(伟思ViGap300安全隔离与信息交换系统)
产品特点 伟思ViGap300是一款面向大型网络的安全隔离系统,为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护,并在可控状态下实现内部网络或服务器与外界的实时(适度)信息交换。 采用独特的“2+1”安全体系架构,通过基于ASIC芯片技术设计的专用隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。 采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架构,拥有全线速隔离交换性能,满足大型网络应用所面对大用户量、低延时访问的需求。在核心的GAP电子开关隔离芯片上采用了含TRUE LVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片,该芯片具有500万门电路以及多路Giga位的通道,支持内部高达1060个硬件I/Os通道,使得电子开关具有高速的数据传输能力和并发处理能力。 充分考虑关键应用对可靠性、可用性的要求,独家采用负载均衡技术以及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证 采用无协议的“GAP Reflective”,GAP隔离反射技术实现开放网络通讯协议的剥离与重组,有效阻断来自网络层及服务器OS层的各类已知/未知攻击,弥补其它安全技术对网络未知攻击的防御盲区。 广泛支持各类通用应用协议(HTTP、FTP、SMTP、DNS、SQL等),包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。 采用专利技术的应用层安全防御系统,ViGap300特别针对广泛应用的WEB、EMAIL和FTP等服务采用专利技术WebApplication?,实现了全面应用层安全防护,可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、Cookie中毒、恶意JaveScript、ActiveX控件甚至CGI脚本等各类应用层安全风险。 智能化攻击识别与过滤,ViGap300采用先进的应用层协议分析技术智能识别并过滤大量基于应用层协议的攻击行为,ViGap300提供目前市场上丰富的协议分析模块,全面防护各类应用系统安全风险,包括:HTTP、FTP、SMTP、POP3、IMAP、DNS等数十种协议分析模块。
产品功能介绍
系统可靠性 双机热备功能 ViGap300系列产品针对大型网络的应用提供了双机热备份功能,实现系统的稳定可靠运行。通过内置的双机热备系统,连接在同一个网络内的多台ViGap300设备可以建立双机热备机制,并通过虚拟IP统一对外提供服务。从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设备将立即接管并继续提供服务。结合ViGap300独有的状态检测系统,管理员能够迅速发现设备故障并作出处理。 系统工作状态检测与报警 ViGap300系列采用基于工业控制系统的架构设计,具备良好的稳定性。并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进行检查,并将系统状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并作出响应。 同时,ViGap300系列软件系统采用了先进的自愈技术,当故障发生时可迅速命令系统重启恢复到正常工作状态。
系统可用性 ViGap300系列为满足高性能的网络处理而设计,因此,必须支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外,ViGap300系列还设计了最大支持32台设备的负载平衡系统来实现高可用性。 ViGap300系列的负载平衡系统通过仲裁网络流量方式实现流量在ViGap300集群中的平均分配,从而将处理性能大幅提升。
安全功能 网络隔离功能 ViGap300系列具有网络隔离功能,通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击。 IDS入侵检测功能 ViGap300系列在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与ViGAP隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。 SAT(服务器地址映射)功能 ViGap300系列具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap300系列的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。 身份认证功能 不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。ViGap300系列除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。 安全代理服务功能 ViGap300系列允许可信端用户以应用代理方式访问不可信网络,ViGap300系列作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。 AI安全过滤功能 应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。ViGap300系列产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击。ViGap300系列在AI功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。 防病毒功能 系统内嵌防病毒引擎,可实现对内外网摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。 内容及格式检测功能 ViGap300系列具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵。 VPN通讯安全 ViGap300系列对受保护WEB服务器提供内置的SSL VPN加密通讯机制,建立客户端与虚拟服务端口间的SSL加密VPN链路,实现通讯安全。该加密方式无需修改客户端设置,透明实现客户端与服务器端的加密通讯。 WEB站点保护功能 目前大量应用基于B/S架构开发,WEB服务成为了越来越通用的服务,然而WEB服务器的大量漏洞也时时威胁着应用系统的安全。ViGap300系列全面分析了来自WEB服务的漏洞,建立了WEB站点保护系统WebAppliaction?,全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Webservice函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。
系统管理 轻松管理 ViGap300系列安全管理架构允许管理员将多个隔离与信息交换系统设备部署到任何位置上并对其进行集中式管理。一旦创建或修改了策略,它就被自动分发到规则指定的所在位置。 良好的用户界面 ViGap300系列提供了一个良好的用户界面,以树型结构组织对象,可在所有规则中共享所有的对象定义(例如:用户、主机、网络和服务等等),以便进行有效的策略创建和安全管理。 丰富的日志及审计 ViGap300系列管理平台能够监控并记录 ViGap300系列产品的系统状态。全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息。
应用支持 安全上网 ViGap300系列支持用户安全上网应用,可根据身份认证、IP+MAC绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。 数据库应用 ViGap300系列全面支持各种类型的数据库应用,支持Oracle、MS SQL、MySQL、SyBase等主流的数据库的SQL查询,支持全表复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。 网络应用 ViGap300系列支持各类TCP/IP以上的网络应用协议,无需二次开发。包括:HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP等等。支持用户自定义开发的特殊应用协议。同时,针对用户特殊需求ViGap300系列提供API应用开发接口。 当用户需要联接两个不同的网络,比如LAN和Internet,这将导致了重复的网络设施,或者用户在已有的网络结构上如需再联结一个网,也会需要安装整体的结构改造,这都会导致很大的额外成本、繁重的工作和大量的时间。 而作为网络安全隔离卡的一项配套产品,将是一个完善的解决方式,这将节省额外的布线,并可使用已有的单条以太网/快速以太网,将已装有网络安全隔离卡的用户安全地从桌面联接到两个不同的网络上去。
图1
在安装了网络安全隔离卡的工作站上,实际上存在着安全区与公共区两种状态,当工作站通过网络安全隔离集线器联结内外网时,当工作站处于公共状态说,将只能联结外部网,而处于安全状态时,则只能联结内部网。 网络安全隔离集线器是一个标准的19″IU修补面板,支持最多8个终端用户工作站。这种设备不能视为以太网设备,它对以太网信号的减弱可以忽略不计(与电缆的长度相比小于30cm)。连接于现有集线器开关与LAN之间的网络电缆通过网络安全隔离集线器与数据安全保护器(控制以太网/快速以太网)进行排线。 在电线(TX与RX对)增加一个"超带"DC(直电流)电压信号能够可靠地控制两个不同网络间的转接。信号的极性可以测定哪一个网络通过网络安全隔离集线器与工作站连接。网络安全隔离集线器与数据安全保护器抹去DC元素,并用清晰、标准的IEEE802.3信号将网络端口呈现在"背面"。
图2
*所有以太网参数同样适用于快速以太网 如果没有检测到DC电流,两个网络都会被全部切断,这样减小了安全区的工作站被错误地连接上未分类网络的风险。 这种网络安全隔离集线器与数据安全保护器的设置允许用户顺利地进行额外的网络工作,避免了向桌面铺设新电缆的争论。所有的附属设施被连接在通信机箱与后面的中枢上。此外,数据安全隔离集线器操作是全透明的,无需维修,且对以太网/快速以太网的标准通信没有任何影响。 那些对安全要求高的机构一方面寻求向他们的用户提供Internet连接,另一方面保证内部数据的安全。这样的话,这些机构只需在桌面工作站内安装数据安全保护器,然后添加普通的商业Internet访问解决方案即可。
|