永达安全隔离与信息交换系统技术白皮书

永达安全隔离与信息交换系统技术白皮书V2.3.2目录一、产品概述41.1概述41.2系统架构4二、产品规格(参数、性能特性)6三、功能介绍73.1丰富的应用模块73.2安全功能93.3管理功能113.4可靠性123.5扩展功能12四、产品特点134.1用户态协议栈,避免内核协议栈实现本身漏洞134.2先进的数据库同步技术134.3高速包捕获与转发134.4双摆渡传输技术144.5高强度自身防护144.6集安全隔离、防火墙、防毒特征于一身144.7强大的定制扩展能力14五、典型应用155.1单向（策略控制）访问安全隔离解决方案155.2双向（策略控制）访问安全隔离解决方案155.3双机热备冗余安全隔离解决方案16六、销售许可证与资质176.1销售许可证：176.2资质证书：18一、产品概述1.1概述随互联网应用越来越多样化，出于各种目的网络入侵和攻击也越来越频繁。人们在享受网络带来的丰富、便捷的信息同时，频繁的网络攻击、病毒泛滥、非授权访问、信息泄密数据篡改等问题也日益突显。为了解决不同安全等级的网络及系统之间信息的传递与交换，建立高速、安全的数据交换通道，从物理层、链路层、网络层和应用层逐层确保网络的安全和信息交互的安全，提供高安全级别与低安全级别之间的数据保护与信息交换的需求，而研制出永达ASG安全隔离与信息交换系统。永达ASG1000系统采用独特的“2+1”安全体系架构,由信任网处理单元、专有隔离硬件和非信任网处理单元三部分组成。永达安全隔离与信息交换系统可以完全阻断可信网络与非可信网络间的TCP/IP连接，剥离通用协议，将数据信息格式转换成只有永达安全隔离与信息交换系统可以识别的专有数据格式，将信息从一边网络传送到另一边网络，同时采用多种安全技术对出入的数据进行安全检查，最大程度地保证数据信息交换的安全，充分满足了网络间边界防护和数据信息安全交换的需求。彻底实现不同安全等级网络间信息的隔离，保证了信息交换的安全。永达ASG1000系统可广泛应用于各级政府机关、军队、科研院校、民航、电力、石油、金融证券和交通等企事业单位，实现不同安全等级的网络之间、同一网络的不同安全域之间的安全隔离和可控的、实时的数据信息交换。1.2系统架构永达ASG1000安全隔离与信息交换系统，采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和永达专有隔离硬件。内、外网主机模块具有独立运算单元和存储单元，分别连接高安全级别网络及低安全级别网络，对访问请求进行预处理，以实现安全应用数据的剥离。通过永达专有隔离硬件的开关控制子系统，加速隔离交换卡首先断开彼此之间的物理连接，分别通过ASIC芯片连接内外网主机系统，内（外）网主机系统通过ASIC芯片将数据块封装为自有协议格式写入交换芯片的交换子系统（或通过ASIC芯片读出交换子系统缓存将自有协议格式数据拆封为数据块），完成一次摆渡；然后加速隔离交换卡通过开关控制子系统断开与内（外）网主机系统的连接，彼此之间建立连接，自动进行协商，实现数据交换，完成二次摆渡。通过这种双摆渡技术，内外网络永远不会直接连接，由于采用专门设计的硬件加速隔离交换卡进行数据交换，剥离通用网络协议，因此，内外网主机系统之间无法进行基于网络协议的数据交换，从而从硬件层面保证了内外网主机系统之间的安全隔离。隔离交换矩阵基于ASIC专用芯片技术及相应的时分多路隔离交换逻辑电路，不受主机系统控制，独立完成应用数据的封包、摆渡、拆包，从而实现内外网之间的数据隔离交换。基于ASIC芯片的多路固化数据通道技术，解决了安全隔离与信息交换系统进行数据过滤和摆渡时性能低的难题，从而满足了用户对高性能的需求。二、产品规格(参数、性能特性)型号ASG1000-G-500ASG1000-G-800规格2U2U吞吐量(MB/SEC)800Mbps1000Mbps最大并发数=8000=20000系统延时=5us=5us最大客户数目40964096最大TCP连接200000200000最大规则数目1024010240网口用途外网口*1内网口*1管理口*2外网口*1内网口*1管理口*2安全操作系统SECLinuxSECLinuxHTTPS支持支持支持WEB入侵防护支持支持SSL硬件加速单硬件加速卡双硬件加速卡WEB应用加速支持支持自定义规则库支持支持电源HP2-6400PHP2-6400P输入电压AC220V/50~60HzAC220V/50~60Hz最大功率800W800W尺寸420mm*39mm*88mm420mm*39mm*88mm净重12kg12kg平均无故障时间(MIBF)10000小时10000小时外观颜色银白色银白色串口管理RS232串口：1个RS232串口：1个隔离卡32bitPCIYD-GAP-R100隔离卡32bitPCIYD-GAP-R100隔离卡管理方式B/S与CONSOLE两种管理模式三、功能介绍3.1丰富的应用模块3.1.1文件交换模块：提供内外网文件安全交换功能。支持协议：支持文件共享方式交换。自动执行：支持周期更新，一次配置，自动执行，方便用户。内容过滤：支持传输文件类型限定，提供基于关键字、黑白名单的信息过滤技术。传输策略：支持单向/双向传输方式，控制信息流向。3.1.2安全浏览模块：提供内网用户安全上网功能。工作模式：支持代理模式，适应不同的用户环境。用户认证：提供基于本地用户名/口令、Radius、LDAP等多种认证方式。协议过滤：支持对HTTP协议的细粒度检测，对URL、访问方式等多种属性进行检测。内容过滤：支持各种脚本、控件、JavaApplet、Cookie的过滤，支持关键字过滤，保障页面安全。MIME类型过滤：支持对访问文件类型的过滤，阻止可疑文件的进入。3.1.3数据库同步模块：通过灵活的同步机制，保证安全等级不同的网络中的数据库系统实现数据同步更新。支持同步方式：支持全表复制、增量更新、全表更新、标识更新等多种同步方式。支持数据库：支持ORACLE、MSSQLSERVER、SYBASE、MYSQL、ACCESS等各种常见数据库。自定义更新标记：在原有标记更新基础上，可以自定义标记的字段名称和字段类型，灵活方便，更加适应用户应用系统。大字段支持：支持各常见数据库中各种大字段的数据同步。自定义任务：支持自定义任务，支持一次性和周期性交换任务，全自动执行。3.1.4数据库访问模块：提供客户端安全访问网络另一侧的数据库服务器的功能。安全隔离：采用信息摆渡技术，实现内外网安全隔离。支持数据库：支持ORACLE、MSSQLSERVER、SYBASE、MYSQL、ACCESS等各种常见数据库。语句过滤：支持对访问的SQL语句过滤，防止非法SQL语句。表访问过滤：支持对表的访问控制，禁止访问受保护表。用户过滤：支持对用户的访问控制，拒绝非法用户的连接。3.1.5邮件交换模块：在内外网邮件服务器之间进行邮件交换，内网用户可以安全收发外网邮件。协议支持：支持SMTP、POP3通用协议。支持SMTP认证，校验用户的合法性。数字认证：支持对邮件的数字签名，只有通过数字认证的邮件才能被转发，阻止保密信息的非法泄漏。邮件过滤：支持垃圾邮件过滤；同时可根据邮件属性特征，设定多种过滤策略，控制邮件同步。内容过滤：支持对邮件内容的过滤。智能转发：内外网智能检测和转发邮件，用户可以透明的方式收发邮件。3.1.6邮件访问模块：提供用户安全访问网络另一侧的邮件服务器的功能。安全隔离：采用信息摆渡技术，实现内外网安全隔离。协议过滤：支持SMTP、POP3协议，对协议命令进行安全过滤。内容过滤：支持对标题和内容及文本文件附件的过滤，阻止有害信息传递。附件过滤：支持对各种附件类型的过滤。3.1.7FTP访问模块：提供FTP客户端安全访问网络另一侧的FTP服务器的功能。安全隔离：采用信息摆渡技术，实现内外网安全隔离。协议过滤：对协议命令进行安全过滤，可以实现单向访问。文件访问控制：通过扩展名，限定用户可以访问的文件类型。用户访问控制：限定访问用户，禁止非法用户访问。3.1.8定制模块：用于定制通过安全隔离与信息交换系统基于TCP/UDP协议的访问任务。提供方便的开发接口，可根据用户的网络特点和应用需求，通过二次开发定制用户的个性化安全策略，从而达到理想的安全效果。3.2安全功能3.2.1专有的物理隔离部件永达ASG1000安全隔离与信息交换系统采用专用安全隔离卡实现基于硬件的安全隔离，确保两个网络间无任何的网络连接和网络协议直接穿透，并且隔离硬件与底层支撑应用采用身份验证机制，以确保数据来源的合法性和安全性。采用高速双端RAM存储器实现网络的物理隔离，可以支持到纳秒级的开关切合频率。采用固化硬件保护控制逻辑的完整性及不可更改性。3.2.2安全加固操作系统采用专用安全操作系统定制而成，具有极高的安全性，对核心部分采用只读文件系统，杜绝非法修改。能主动识别并防范扫描攻击、异常网络协议攻击、DoS/DDoS攻击等。能有效的防止IPSpoofing、Synattack、ICMPflood等黑客攻击。3.2.3安全加固的TCP/IP协议栈采用用户态TCP/IP协议栈，并且进行安全加固，实现完整的TCP状态机过程。因为协议栈在用户空间实现，直接作用于捕获的网络报文，减少数据安全检查的次数，更加高效。协议栈支持ARP、ICMP、DNS、VLAN、TCP、UDP等协议。3.2.4强的抗攻击能力不断深入分析应用协议，根据协议规范和跟踪用户使用习惯形成“访问内容白名单”嵌入到主机系统中，并且融合独创的智能算法形成“智能白名单技术”对数据报文的协议格式和数据内容进行快速严格检查，通过专有算法智能比对正确协议格式和数据内容的“白名单”，从而实现对各种畸形攻击数据报文的拦截。主机系统内置独立的自主研发的安全引擎，与系统紧密集成，包括包解码、规则解析及检测引擎、日志记录及报警等子模块。采用实时入侵检测机制和自动响应技术，可选择配置不同的攻击特征码并且支持攻击特征码分类，可以根据大类进行特征码选择。攻击的特征库包括IP地址欺骗、ARP欺骗、PingOfDeath、Smurf、扫描攻击、SMTP攻击、HTTP攻击、FTP攻击等多类攻击，可以检测到网络中的绝大多数入侵行为，可以实时设置阻断规则，将入侵及时阻断。并且提供攻击特征码的升级和特征码的自定义。3.2.5协议剥离与数据摆渡功能实现协议剥离与数据摆渡的功能。内部隔离通道作为一个中间存储介质使用，非协议格式化访问，不存在协议渗透问题。采用专有数据格式，不借助任何通用协议作为基本媒介，彻底剥离通用TCP/IP协议。3.2.6多种应用代理功能支持通用服务包括HTTP、FTP、SMTP、POP3、SAMBA、TELNET、SSH等；支持数据库代理，包括ORACLE、SYBASE、MYSQL、MSSQL等；支持可定制的TCP/UDP代理服务。3.2.7数据交换与管理控制分离机制主机隐藏技术，可防止恶意扫描（黑客入侵的第一步），从源头上遏制了黑客入侵。采用数据交换接口与管理控制接口完全独立的机制，保证数据交换与管理控制的独立性和互不干扰性，在数据交换繁忙时，确保对安全隔离与信息交换系统的可管理性和可控制性，从而保证网络的安全性。3.2.8网络过滤和访问控制支持基于地址、端口、协议等元素的包过滤检测技术。通过严格的访问控制策略，拒绝非法连接于网络层，实现基本的网络安全访问和控制。3.2.9强大的信息过滤和检测功能各子系统根据各自的需求特点，在应用层实现了功能强大的过滤机制，通过对应用层内容的过滤和检测，进一步保障数据的安全，主要包括：关键字检测、黑白名单机制、文件类型检查、用户名/口令认证、数字签名、脚本过滤、URL过滤、邮件属性过滤等。系统还可以根据用户的安全需要进行二次开发，对用户数据进行安全检测。3.2.10多样化的身份认证永达安全隔离与信息交换系统支持灵活多样的身份认证方式，包括：本地用户名及口令认证、基于数字证书的认证、RADIUS远程访问认证及LDAP认证等。本地认证：系统内置认证数据库提供本地的用户名、口