网神SecSIS 3600安全隔离与信息交换系统技术白皮书 V1.0(2)

3 系统功能详述

3.1 丰富的应用模块

网神SecSIS 3600安全隔离与信息交换系统采用模块化的系统结构设计，根据不同的应用环境，量身定制多个功能模块，以满足用户的不同需求，主要包括：

文件交换模块：实现不同安全等级网络间文件的安全交换。

数据库同步模块：通过灵活的同步机制，保证安全等级不同的网络中的数据库系统

实现数据同步更新。

邮件交换模块：保证在内外网隔离的环境下实现安全的邮件收发。

安全浏览模块：保证在内外网隔离的环境下，内网用户安全浏览外网资源。

通用模块：保证内外网隔离的同时实现FTP、DNS、TNS等协议及其他通用TCP/IP

协议的定制交换。

其它定制用户专有应用模块。

3.2 访问控制

系统支持强大的访问控制策略，支持通过源地址、目的地址、端口、协议等多种元素对允许通过网闸传输的数据进行过滤，判断是否符合组织安全策略。

网御神州科技（北京）有限公司 3

3.3 地址绑定

提供IP与MAC地址绑定功能，可对指定接口所连接的网络中的主机的IP 和MAC 地址进行绑定，防止内部用户盗用IP和内网地址资源分配的混乱，方便网络IP资源管理。

3.4 内容检查

网神SecSIS 3600安全隔离与信息交换系统提供多种内容安全过滤与内容访问控制功能，既能有效的防止外部恶意代码进入内网，也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。网神SecSIS 3600安全隔离与信息交换系统的内容检查机制主要针对HTTP、FTP、邮件及文件交换等应用，包括URL过滤、关键字过滤、Cookie过滤、文件类型检查及病毒查杀等操作。

URL/域名过滤

网闸可对用户访问的Web站点的域名及URL等进行基于正则表达式的过滤，禁止用户访问暴力、色情、反动的主页或站点中的特定目录或文件。

黑/白名单关键字过滤

网闸可对邮件标题和内容以及传输的文件等进行黑/白名单关键字过滤，进行单词及短句的智能匹配，禁止包含特定关键字的敏感信息泄漏，或只允许包含相应关键字的文件通过网闸传递。

COOKIE过滤

网闸可对COOKIE进行过滤。通过对COOKIE进行过滤，可以防止敏感信息的泄漏。同时还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作。

文件类型检查

网闸可对传输的文件进行类型检查，只允许符合安全策略的文件通过网闸传递。避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。

病毒及恶意代码检查

系统可内嵌杀病毒引擎，对允许传输的文件进行病毒的检查，确保进入可信网络的文件不包含病毒及Java/JavaScript/Active-X等恶意代码。

3.5 高安全的文件交换

网神SecSIS3600安全隔离与信息交换系统提供基于纯文件的交换方式，内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤，对符合要求的文件进行转发。不借助任何第三方软件，完全通过文件的拷贝、粘贴方式实现，为了避免网络漏洞，网闸不开放任何连通两侧的网络通道，在保证绝对安全的前提下，通过数据摆渡实现文件交换。

3.6 内置的数据库同步模块

网神SecSIS3600安全隔离与信息交换系统的数据库同步模块，独立自主开发完成，完全内置于网闸内部，所有的同步操作由网闸自己独立完成。不在用户数据库中安装任何客户端软件，不需要在用户网络中部署专用服务器，对用户数据库不作任何改变。该模块支持

网御神州科技（北京）有限公司 4

Oracle和Sql Server等流行数据库版本，同时预留开发接口，定制支持各种数据库系统。在高速运行的基础上解决了字段级数据同步、双向数据同步、大字段同步等技术难题，适合于各种数据库同步工作的需要。

由于是网闸自身发起的动作，所以网闸两侧不开放任何基于数据库访问或者定制TCP的网络服务端口，避免网络安全漏洞。

3.7 高可用设计

网神SecSIS 3600安全隔离与信息交换系统支持高可用方案，全面解决设备故障与链路故障造成的业务中断，保证系统7X24小时不间断服务。

3.8 轻松的管理

网神SecSIS 3600安全隔离与信息交换系统配备专门的管理端口，通过数字证书认证与管理信息的加密传输实现网闸设备的集中管理。系统采用全中文的Web方式进行远程网络管理，界面友好，操作方便。系统管理员和审计员实现分权管理，使得对网闸的管理更加安全可控，避免人为因素带来的安全风险。

3.9 传输方向控制

网神SecSIS 3600安全隔离与信息交换系统采用双通道通信机制，从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道，对通道的分离控制保证各通道的传输方向可控。在特殊应用环境中可实现数据的单向传送，以避免信息的泄漏。

3.10 协议分析能力

系统支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS等多种应用层协议，可对常见协议的命令和参数进行分析和过滤。

应用数据以“原始”的形态在内外主机模块中传递，数据包经过预处理、安全决策、RFC校验、协议分析、数据提取，格式化等多个处理模块的检查，充分保证了交换信息内容的安全。

3.11 完善的安全审计

网神SecSIS 3600安全隔离与信息交换系统提供管理员多种手段了解网络运行状况及可疑事件的发生。用户可根据特定的需要进行日志审计（包括系统日志、访问控制策略日志、应用层协议分析日志、应用层内容检查日志等）。系统支持本地日志缓存,可实现本地日志的浏览查询等操作。日志依据事件的重要程度分为错误/警告/通知三级，支持Syslog日志存储，可实现日志的分级发送。

网御神州科技（北京）有限公司 5

3.12 强大的抗攻击能力

网神SecSIS 3600安全隔离与信息交换系统具备强大的抗攻击能力，内外网主机模块采用专用的安全操作系统，内核经过特殊定制，实现强制性访问控制，保护自身进程及文件不被非法篡改和破坏。同时系统实现了针对多种DoS和DDoS攻击的防范，可阻挡SynFlood, UdpFlood, PingFlood, TearDrop, Ping of Death, Smurf, Land等多种类型的DoS和DDoS攻击，保护可信网络的安全。

3.13 多样化的身份认证

网神SecSIS 3600安全隔离与信息交换系统支持多样灵活的身份认证方式，包括：本地用户名及口令认证，基于数字证书的认证，RADIUS远程访问认证及LDAP认证等。

本地认证

系统内置认证数据库提供本地的用户名、口令认证，支持HTTP/HTTPS方式实现认证信息的获取。

数字证书认证

网闸支持数字证书认证，允许客户端通过HTTP连接向服务器发送访问请求。网闸可导入根证书，通过检查用户证书格式，证书的过期时间，签发者等信息以确认访问者身份的合法性，还可依据用户身份属性判断其是否具有适当的访问权限。

RADIUS远程访问认证及LDAP认证

网闸向第三方认证服务器发送用户名和口令，一旦认证服务器认证成功，则网闸允许用户访问。

3.14 负载均衡解决方案

网神SecSIS 3600安全隔离与信息交换系统支持负载均衡解决方案。网闸群集可实现动态管理和维护，根据实际响应时间制定优先响应策略，从而提高系统总体性能、优化流量管理、提高群集性能，保证系统正常运行的高可用性和高可靠性。如果访问量超出了网闸的响应能力，只需增加服务器数目即可实现系统的平滑升级，无需第三方软件支持。 4 产品技术优势

在网络中部署网神SecS …… 此处隐藏：2808字，全部文档内容请下载后查看。喜欢就下载吧 ……