方正安全隔离与信息交换系统白皮书

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

Founder-GAP产品白皮书方正信息安全技术有限公司2013年11月版本:V3.0.2.1方正安全隔离与信息交换系统产品白皮书1目录1产品概述.................................................................................................................22产品特色.................................................................................................................42.1品质卓越,稳定可靠..................................................................................42.2支持IPv6,最强兼容.................................................................................42.3万兆吞吐,性能卓越..................................................................................62.4普适业务,无缝接入..................................................................................73技术优势...............................................................................................................113.1“2+1”硬件架构..........................................................................................113.2开放式软件架构........................................................................................123.3深度内容检测............................................................................................143.4TCP终结的数据摆渡模式........................................................................164主要功能...............................................................................................................185产品型号与指标...................................................................................................215.1产品图示....................................................................................................215.2产品规格....................................................................................................216解决方案...............................................................................................................236.1安全隔离解决方案....................................................................................236.2安全文件交换解决方案............................................................................246.3数据库安全同步解决方案........................................................................256.4安全邮件收发解决方案............................................................................276.5安全网络访问解决方案............................................................................287联系方式...............................................................................................................30方正安全隔离与信息交换系统产品白皮书21产品概述方正安全隔离与信息交换系统,是方正信息安全技术有限公司自主研发的高性能安全隔离产品,具有完全自主知识产权。该系统可广泛应用于政府、企业、军队、电力等部门既需要对网络进行隔离又需要进行数据交换的场所,它部署在不同网络安全域之间,实现了不同网络安全域之间“安全隔离、数据交换”的安全可靠的通信要求。国家强制规定“必须进行隔离”传统的网络安全产品不能解决网络间数据安全交换问题,为了保护重要内部系统的安全,国家相关部门都做了明确的规定:2000年,国家保密局发布实施《计算机信息系统国际互联网保密管理规定》,明确要求:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连,必须实行物理隔离。”2002年,中共中央办公厅第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调:“政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。”必须使用安全隔离产品的环境国家保密局规定安全隔离与信息交换系统在以下四种网络环境下应用:不同的涉密网络之间;同一涉密网络的不同安全域之间;与Internet物理隔离的网络与秘密级涉密网络之间;未与涉密网络连接的网络与Internet之间。实际应用中各单位的主要应用包括:各单位对外提供各项便民服务的接口;各单位内部的不同安全域之间进行数据交换的接口;方正安全隔离与信息交换系统产品白皮书3各单位与业务相关的其他单位之间进行数据交换的接口。方正安全隔离与信息交换系统产品白皮书42产品特色2.1品质卓越,稳定可靠方正安全隔离与信息交换系统,严格遵循相关行业质量认定体系进行研发,产品具有卓越品质,稳定可靠,装备量领先,得到了市场的高度赞誉。2.2支持IPv6,最强兼容方正安全隔离与信息交换系统,对IPv6有良好的支持,可以支持如下环境:纯IPv4环境纯IPv6环境IPv4-IPv6互通环境IPv4-IPv6协议转换环境(也叫IPv4-IPv6隧道互通隔离环境)如下图2-1所示:图2-1支持IPv4/IPv6网络环境IPv6和IPv4网络层协议功能相近,都基于相同的物理网络,加载于其上的方正安全隔离与信息交换系统产品白皮书5传输层协议TCP和UDP又没有任何区别。协议栈结构可以看出,如果一台主机同时支持IPv6和IPv4两种协议,那么该主机既能与支持IPv4协议的主机通信,又能与支持IPv6协议的主机通信。如下图2-2所示:应用程序TCP/UDP协议IPv6IPv4物理网络图2-2IPv4/IPv6双协议栈的协议结构基于IPv6协议安全隔离控制系统与基于IPv4协议安全隔离控制系统的不同之处在网络IP协议的分析解析,但是对上层应用协议的“摆渡”是一样的。为了使设备既能适应于IPv4环境,也能适应于IPv6环境,本系统采用了双协议栈分析。在IPv6网络建设的初期,其网络规模和业务量都较小,经常采用隧道方式来构造大规模的IPv6网络,是目前常用的一种过渡方法。本质上,隧道方式只是把IPv4网络作为一种传输介质。由于隧道技术的应用,如果隔离系统架设在基于IPv4的网络中,现有的隔离机制无法准确找到上层应用,不能摆渡上层应用数据。导致隔离系统在这样的环境中无法应用。方正安全隔离与信息交换系统,支持隧道的隔离,不但适应基于IPv4隧道技术的环境,而且还适应基于IPv6隧道技术的环境。本隔离系统采用隧道协议检测的方式,解析基于隧道技术的IPv4/IPv6的隔离,协议栈的协议解析架构。如下图2-3所示:方正安全隔离与信息交换系统产品白皮书6TCP/UDP扩展协议分析隧道协议检测/封装应用协议IPv6IPv4链路层IPv4扩展协议分析/封装IPv6图2-3协议解析架构隔离系统通过协议解析→隧道协议检查→应用数据摆渡→隧道协议封装→协议封装,完成了协议的隔离应用数据的摆渡,通过上述机制本隔离系统不但适用于IPv4隧道的环境,也适应于基于IPv6隧道的环境。2.3万兆吞吐,性能卓越方正安全隔离与信息交换系统,拥有非常好的性能,万兆产品吞吐量达到8Gbps,千兆产品达到950Mbps。这是因为方正信息对性能进行了良好的优化,通过综合高性能硬件设计和软件优化来解决,主要包括两个方面:在硬件设计方面,采用了高性能的网络处理单元硬件模块。千兆产品提供了高达64位133M总共8Gbps以上的总线带宽,万兆产品提供了高方正安全隔离与信息交换系统产品白皮书7达2.4Tbps的总线带宽,同时采用了低功耗高性能的计算单元。这样,为系统提供了强大、高速的网络协议处理和安全处理的能力。在软件架构和算法上进行优化。其中重要的网卡驱动性能优化部分示意图如下所示,通过减少系统中断和拷贝次数,减少用户态和内核态的切换,扩大缓冲区等多种方式,大幅提升了驱动性能。应用程序也采取了并行处理等性能优化方式。如下图2-4所示:图2-4驱动优化2.4普适业务,无缝接入方正安全隔离与信息交换系统,具有非常强大的网络适应性和业务适应性,可以透明地部署到网络当中,使用者察觉不到该设备的存在。从以下5个角度考量,方正安全隔离与信息交换系统具有“普适业务,无缝接入”的特点:纯透明接入:纯透明代理,无需更改拓扑和周边设备。方正安全隔离与信息交换系统产品白皮书8为了实现对网络业务的透明支持,即用户A与用户B之间的网络应用感觉不到方正安全隔离与信息交换系统的存在,不需要在客户端设置代理,用户A仍然感觉直接与用户通信。因为实际的通信流程是方正安全隔离与信息交换系统截获了用户A所有发向用户B的信息,并代理用户A与用户B通信。只要用户A、B直接的通信通过方正安全隔离与信息交换系统,则该系统就可以截获连接实现纯粹透明代理。如下图2-5所示:物理层链路层重定向模块网络层透明代理模块实际网络流逻辑网络流图2-5透明代理实现协议栈方正安全隔离与信息交换系统,的透明代理实现没有改变基本协议栈处理流程,只是通过在底层网络接口采用协议和端口重定向技术来截获网络连接实现透明代理。如上图所示,网络流重定向模块截获所有网络流,记录网络流源、目的地址后,通过将地址的重新映射使得网络流转向本地透明代理模块(代理存根),由代理存根和代理引擎来完成网络业务的代理服务器功能,返回的流量可通过重定向模块返回源地址主机,源、目的主机无需更改任何配置和应用模式。这样,就很好的解决了设备的透明性问题,做到

1 / 31
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功