技术培训-应用交付产品部-张凌云-XXXX0311

网络卫士安全隔离与信息交换系统TopRules技术培训应用交付产品部张凌云2012年7月提纲网闸基础知识介绍2TopRules产品介绍34TopRules特色介绍TopRules应用案例介绍15网闸FAQ隔离技术的起源一、网闸基础知识介绍网络隔离，是指把两个或两个以上可路由的网络通过不可路由的协议进行数据交换。其原理主要是采用了不同的协议，所以通常也叫协议隔离。国内隔离技术要求实在2000年前后由国家保密局提出的，经过10余年的发展，已经日趋完善。隔离技术最早起源于美国和以色列等国，早在1997年，著名的信息安全专家MarkJosephEdwards在他编写的《UnderstandingNetworkSecurity》一书中，就明确了协议隔离的概念。在书中他也明确地指出了协议隔离和防火墙不属于同类产品。我国隔离政策要求中共中央办公厅2002年17号文件《国家信息化领导小组关于我国电子政务建设指导意见》2007年四部委联合下发的《信息安全等级保护管理办法》1232000年保密局发布实施《计算机信息系统国际互联网保密管理规定》涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。不同安全级别的网络与信息系统实施分级保护，在我国电子政务以及电信、金融、能源、民航、交通等重要行业以及企业不同安全级别、不同业务网络之间实现安全隔离和安全、高效的信息交换。政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。在旅馆业、印章业等特种行业管理规定中，明确要求公安外网和公安内网之间必须使用网闸设备进行安全隔离。4公安部文件（公通字[1999]100号）一、网闸基础知识介绍隔离技术的发展过程隔离技术初期隔离技术发展期隔离技术中期隔离技术成熟期物理隔离单机隔离卡传统网闸安全隔离与信息交换系统网络之间物理断开，网络间信息传递需要通过存储介质拷贝实现。这种方法造成资源的浪费操作也很不方便，最终形成信息孤岛的不利局面将设备上的硬盘物理分割为两个分区，并分别与内外网络相连，通过切换系统实现内外网工作。在隔离卡建立起的两套系统间设立数据缓冲区，进行分时连接和切换。现在业界普遍使用的逻辑隔离网闸产品。一、网闸技术知识介绍为什么用网闸一、网闸基础知识介绍合规性：符合国家保密局的要求。安全性：高强度、高粒度的安全防护。保密性：防止泄密。多机架构（2+1或者3机）协议落地、私有协议协议剥离、数据摆渡、安全控制网闸技术特点一、网闸基础知识介绍提纲网闸基础知识介绍2TopRules产品介绍34TopRules特色介绍TopRules应用案例介绍1网闸FAQ5二、TopRules产品介绍TopRules产品线单向网闸百兆网闸千兆网闸万兆网闸•TR-61166•TR-61288•TR-71144、TR-71166•TR-71288、TR-7355•TR-81144、TR-81288•TR-8333、TR-8377•TR-81366二、TopRules产品介绍TR-711662U机型；内端机6个10/100/1000Base-T接口（5个数据口+1个MAN口）；外端机6个10/100/1000Base-T接口（5个数据口+1个HA口；标配单电源,可扩展冗余电源；网络吞吐量：150Mbps。系统整体时延：5毫秒；并发连接数：35000。TopRules主要业务功能介绍二、TopRules产品介绍•javascript、Applet、ActiveX•关键字、URL控制•基于IP、MAC、端口、时间等•Http各种命令控制•在加密通道中分解出正常HTTPS网络应用，可以屏蔽自由门等各类加密翻墙软件的传输。•文件类型控制•Web应用•脚本控制•内容过滤•访问控制•指令控制•Http、•Https•文件控制TopRules主要业务功能介绍二、TopRules产品介绍•指定邮件服务器收发邮件•附件过滤、附件类型过滤•基于IP、MAC、端口、时间等•SMTP、POP3各种命令控制•支持SMTP、POP3协议•发件地址、收件地址过滤•Mail应用•邮件服务器过滤•内容过滤•访问控制•指令控制•SMTP、•POP3•邮箱过滤TopRules主要业务功能介绍二、TopRules产品介绍•基于IP、MAC端口、时间等•FTP命令参数控制•支持主动、被动模式•文件类型控制、文件内容关键字过滤•FTP应用•访问控制•指令控制•PORT、•PASV•文件过滤TopRules主要业务功能介绍二、TopRules产品介绍•基于IP、MAC、端口•过滤SQL语句•Oracle、SqlServer、DB2、Sybase、Mysql、PostGrelsql•操作时间控制、特定时间访问数据库•数据库访问•访问控制•Sql语句控制•常见数据库访问•时间控制TopRules主要业务功能介绍二、TopRules产品介绍•实时同步、定时同步、一对多同步、多对一同步•文件内容过滤、文件类型过滤•Windows平台、Linux平台•单向同步、双向同步•支持Samba、FTP、Http协议同步•目录同步、目录内子目录同步、支持中文文件名、至多支持32级目录同步•文件同步•同步策略•内容过滤•跨平台•同步方向控制•多协议•目录同步TopRules主要业务功能介绍二、TopRules产品介绍•实时同步、定时同步、一对一同步、一对多同步•数据库同构同步、异构同步•Windows平台、Linux平台•单向同步、双向同步•ORACLE、SQLSERVER、MYSQL、SYBASE、DB2•增加、删除、修改同步、BLOB大字段同步、字段级同步•数据库同步•同步策略•同构、异构•跨平台•同步方向控制•多数据库支持•同步方式TopRules主要业务功能介绍二、TopRules产品介绍•支持电力行业单向传输网闸要求•支持动态端口的OPC工业控制应用•支持动态端口应用的视频监控、视频会议应用•IP、MAC、端口、协议、时间等控制•TCP、UDP自定义应用•自定义应用应用层控制、如命令、参数、内容等控制•自定义应用•TCP单向应用•OPC工控应用•视频应用•访问控制•TCP、UDP•内容控制提纲网闸基础知识介绍2TopRules产品介绍34TopRules特色介绍TopRules应用案例介绍1网闸FAQ52+1系统架构三、TopRules特色介绍内网单元外网单元数据迁移控制单元专用传输隔离硬件私有协议私有协议管理配置管理配置协议剥离协议剥离TCP/IP协议TCP/IP协议数据迁移控制单元：独立硬件数据迁移逻辑，无操作系统；专用隔离硬件，内外单元的数据高效摆渡；私有协议。•内网单元、外网单元•独立主板、总线及CPU控制•专用安全操作系统，多层次的高强度安全防护内网单元、外网单元：独立主板、总线及CPU控制；专用安全操作系统，多层次的高强度安全防护管理：管理端口、业务端口相互独立；内网管理；多种管理员登陆认证保密机制。数据：单独数据口传输接收数据；拆封TCP/IP协议，剥离应用层协议，将数据还原为文件。多种应用模式，满足各种应用场合三、TopRules特色介绍代理模式透明模式路由模式两端在同一网段或者原来网络就路由可达，网闸数据口不需要配置IP地址、不改变用户网络结构、用户通过网闸访问时，直接访问目标的地址。两端不在同一网段且路由不可达，网闸的数据口要配置IP地址、用户通过网闸访问时，需要改变客户端的访问方式，访问的目标是网闸的地址。两端不在同一网段且路由不可达，网闸的数据口要配置IP地址、客户端需要把网关地址指向网闸，用户通过网闸访问时，访问的是目标的地址。三、TopRules特色介绍管理端口无IP双机、多机热备OSPF协议支持可实现双机、多机热备，配置简单方便，只需在主设备上配置相应规则即可，从设备无需配置。管理口独立，并且只允许内网管理；另外，管理端口无IP地址，进一步加强设备自身安全性。支持OSPF路由协议。应用灵活三、TopRules特色介绍应用层控制功能强大动态端口应用支持数据库同步功能强大支持动态端口应用，满足视频会议、视频监控等应用。不但支持常规应用的应用层控制功能、而且还支持自定义IP应用的应用层控制功能。数据库功能强，能满足多数应用场合。应用层控制功能强三、TopRules特色介绍内容过滤访问控制IDS、DOS基于IP、MAC、协议、端口、时间段等黑白名单控制。URL、关键字、各种应用命令、参数黑白名单控制。内置IDS特征库，检测网络攻击、抗DOS攻击。安全功能强我司产品支持自定义应用应用层数据控制功能，网神的自定义应用不支持应用层数据控制功能。网御产品透明工作模式下不支持应用的应用层数据过滤功能，我们的产品支持。其数据库同步功能不完善，目前数据库双向同步，当出现数据冲突的时候没法解决，我们的可以圆满解决数据库记录冲突的问题，另外网御的数据库同步效率较低，只能达到我们的一半。工作模式上我们支持三种，网御不支持路由模式•1•2•3•4产品在前期技术成熟度不高，主要是用其防火墙产品基础上改装的，安全性很低，从2010年以后才开始做真正的网闸产品，目前个别功能还不稳定，尤其体现在数据库同步功能上，网御产品支持负载功能和身份认证功能，目前我们不支持。优势分析-网御星云三、TopRules特色介绍我司产品支持自定义应用应用层数据控制功能，网神的自定义应用不支持应用层数据控制功能。网神产品透明工作模式下不支持应用的应用层数据过滤功能，我们的产品支持。工作模式上我们支持三种，网神不支持路由模式•1•2•3网神产品的网闸功能很细致，个别模块比我产品做的细，另外网神产品在招标过程中往往会强调防病毒功能，而防病毒功能恰恰是我们产品的弱势优势分析-网御神州三、TopRules特色介绍伟思数据库同步功能不完善，数据记录多的时候，会出现丢数据的情况，而我们产品不会。我司产品支持自定义应用应用层检测功能伟思不支持。工作模式上我们支持三种，伟思只支持代理模式。•1•2•3伟思的网闸产品主要特色是在其产品中集成了流控功能，并且有万兆产品。优势分析-伟思三、TopRules特色介绍提纲网闸基础知识介绍2TopRules产品介绍34TopRules特色介绍TopRules应用案例介绍1网闸FAQ5四、案例介绍-电子政务•在电子政务网络中，网闸主要部署在电子政务内网与电子政务外网，电子政务内网与电子政务专网之间。•政务外网受理公众的业务申请，将数据存储到外网数据库中，网闸的数据库同步痛能负责将电子政务外网数据库中的特定数据实时的摆渡到电子政务外网，并储存到政务内网的数服务器中；电子政务内网负责处理外网的业务申请，处理完毕后网闸再将政务内网数据库中特定的数据摆渡到政务外网，并将数据存储到外网数据库服务器中，供电子政务外网用户浏览查询。通过网闸，实现了电子政务内网与电子政务外网之间数据的实时安全交互。•在电子政务内网和电子政务专网之间通过网闸产品可以开放特定应用（大多数情况下是基于文件的传输），保障电子政务内网与电子政务专网之间可控的信息交换。四、案例介绍-公安•在公安旅馆业、印章业等行业中，网闸主要部署在外网的前置机与公安内网之间，保证公安外网前置机上的文件传输到公安内网指定的服务器上。•旅馆业、印章业等应用是把需要上传到公安内网的数据保存成特定格式的文件，并通过互联网上传到公安外网的前置机上，网闸的文件同步功能把公安外网前置机上的特定类型的文件实时的摆渡到公安内网的服务器上。通过网闸产品，保障公安外网的特定类型的文件能单向的传输到公安内网，防止公安内网泄密。四、案例介绍-平安城市•在平安城市项目中，网闸主要部署在公安内网视频监控平台和外网视频监控区之间，网闸的视频处理模块负责把公安外网监控区的视频实时的传送到公安内网监控平台上，其它的数据一律禁止通过。四、案例介绍-石化•在石油石化等行业中，网闸主要部署在企业的办公网与生产网之间，负责把生产网的生产数据以数据库访问或者文件同步的方式单向的输送到办公网的服务上，办公网数据不传送到生产网中。四、案例介绍-智慧城市天融信网闸TopRules应用