南京供应科东隔离装置 专业从事隔离装置

StoneWall-2000?网络安全隔离设备(正向型)


1.该产品可以适用于计算机网络与网络之间,主机与主机之间,主机与网络之间的物理隔离,是应用了安全岛技术的具有物理隔离能力的网络安全产品。在
硬件上,使用了双嵌入式计算机结构,通过“单向二极管式”的安全岛装置来实现通信上的物
理隔离,保证数据单向传递。在软件上,采用综合过滤、访问控制、应用代理等技术在保证网络透明的基础上实现对非法信息的隔离。国内家采用双主机结构安全岛技术,获得国家,个取得国调检测证明。采用国内高速、稳定的硬件平台POWER?PC?8245?350MHZ?内置硬件WatchDog。在为用户提供安全的物理隔离保障同时,平均数据传输
率可达到60-85Mbps。
2.13?安全机理
2.13.1?具有的物理结构和安全岛技术
StoneWall-2000使用双机结构,通过连接双机的非网络设备而实现的安全岛技术将受保护网络从物理上隔离开来。
网络安全隔离设备(正向型)通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,而数据流经网络安全隔离设备(正向型)时TCP/IP协议被终止,防止了利用协议进行攻击,在某一时刻网络安全隔离设备(正向型)只能连接到一个网络。?
网络安全隔离设备(正向型)作为代理从内网的网络数据包中抽取出数据然后通过数据缓冲设施转到外网,完成数据中转。在中转过程中,网络安全隔离设备(正向型)会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施综合过滤控制,只有满足要求的报文才可以通过网络安全隔离设备(正向型)。由于网络安全隔离设备(正向型)采用了独特的开关切换机制,因此,在进行检查时网络实际上处于断开状态,即使黑客强行攻击了网络安全隔离设备(正向型),由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。
网络安全隔离设备(正向型)在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。在安全岛硬件上将外网到内网传递的应用数据大小限定为1个bit,保证从低安全区到高安全区的TCP应答禁止携带应用数据,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换,并提高了防止病毒和黑客非法访问的能力。
2.13.2?安全的硬件及操作系统
StoneWall-2000网络安全隔离设备(正向型)采用非INTEL指令系统(及兼容)的RISC微处理器、采用双嵌入式计算机及安全岛技术,减少受攻击的概率,实现两个安全区之间的非网络方式的单向数据传输;
设备固化了精简的、安全的linux操作系统,将嵌入式Linux内核进行了裁剪。内核中只包括用户管理﹑进程管理﹑和Socket编程接口,裁剪掉TCP/IP协议栈和其它不需要的所有系统服务,提高了系统安全性和抗攻击能力,保证了系统安全的大化;


2.13.3?数据包的综合过滤技术
StoneWall-2000网络安全隔离设备(正向型)对于数据包要进行IP/MAC/PORT的综合过滤,只有满足条件的数据包才可以通过隔离设备;
通过综合报文过滤与访问控制、非穿透性TCP联接、表示层与应用层数据完全单向传输、应用层解析、日志审计和报警功能,能够抵御除DoS以外的已知的网络攻击。
2.13.4?状态检测技术
状态检测技术:基于隔离设备所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤使用的过滤规则是静态的。而采用状态检测技术的隔离设备在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后隔离设备根据状态表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
2.13.5?高可用技术
StoneWall-2000网络安全隔离设备(正向型)内置硬件Watchdog,保证系统软件的可靠运行。支持双机热备,互为备用的两台设备中任何一台出现故障,另一台设备自动接替其工作,保证提供不间断的网络服务;支持双电源,在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间,通过采用以上技术,提高设备的持续运行能力,提供更高的可用性;
2.13.6?地址绑定技术
隔离设备具有地址绑定技术,可以通过建立起来的合法IP地址和MAC地址的对应关系识破非法用户盗用合法IP的阴谋,并拒绝该连接请求。
2.13.7?双向网络地址转换技术
为了达到可以让不同网段两个网络通过隔离设备通信的目的,在隔离设备上采用网络地址转换功能模块,当NAT代表内部网络与外部网络建立连接时,它使用自定义的IP地址。在受保护的内部网络里,当一个TCP/IP请求被送往隔离设备时,NAT模块将源IP地址替换为自定义的IP地址。当外部网络的应答返回到隔离设备时,NAT将应答的目标地址字段替换为初建立TCP/IP请求的的内部网络计算机结点的IP地址。
因为外部网络的计算机结点也有可能主动发送TCP/IP连接请求给内部网络,所以外部网络的计算机必须知道内部网络的计算机的IP地址,因此,对于NAT的设计采用的是静态地址分配机制,就是说NAT为内部网络的计算机结点绑定了一个固定的IP地址(虚拟的IP地址)。
2.13.8?日志审计及实时报警
可以实时监控数据通信状况,对非法的数据包进行信息记录和浏览,方便管理员及早发现问题。支持日志集中存储和管理的SYSLOG机制。
StoneWall-2000网络安全隔离设备(正向型)提供实时的报警输出功能,用户可以通过串口,获得系统的实时报警信息,报警格式遵循SYSLOG规范,便于用户收集、分析及综合利用。
2.13.9?高强度的抗攻击能力
通过特殊的硬件结构和加固的操作系统的内核以及隔离设备本身没有IP地址,使得隔离设备本身的抗攻击能力的强度极高,黑客对设备的攻击无从下手。
2.13.10?性能优化技术
隔离设备性能的优劣影响到用户的使用也同时影响了系统的安全和稳定性,我们采用了多种性能优化技术,大大改善了隔离设备的性能。
2.15?典型应用
StoneWall-2000网络安全隔离设备(正向型)的应用可分为比较典型的三种:
2.15.1?计算机和计算机主机之间









2.15.2?计算机网络和计算机主机之间










2.15.3?计算机网络和计算机网络之间
产品基本介绍;
StoneWall-2000建立在具有自主知识产权的安全操作系统基础上。通过对操作系统内核的大规模裁减,剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力,而且操作系统固化在隔离设备中,避免了因操作系统故障而导致设备工作异常。
StoneWall-2000网络安全隔离设备(反向型)功能比较全面,具有任务定制、文件名模式匹配、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等,而且由于StoneWall-2000网络安全隔离设备(反向型)使用透明接入方式,是一般用户在正常操作时感觉不到设备的存在,这样既不影响网络的工作效率,又保证了更高的安全性
设备(硬件):是一个高速稳定的硬件平台和安全加固的操作系统的完美结合体
配置管理工具(软件):StoneWall-2000提供了两种管理工具:GUI和CLI。用于对隔离设备的配置和管理。
配套应用程序(软件):文件发送端程序,文件接收端程序。
4.3接口配置
两个CONSOLE口两个10/100Base-TX一个220V/50HZ电源插座一个电源开关
4.4接口规范
网络接口:10/100BaseTXCONSOLE接口:RS232C,19200-8-N-1
4.5电气性能
电源220V/50HZ
环境规范运行温度:0℃?--?40℃操作湿度:10%?--?90%@40摄氏度,非冷凝
4.6参考的安全规范和标准
UL?1950/EN?41003/AS/NZS?3260/AS/NZS?3548?Class?A/CSA?Class?A/FCC?Class?A/EN?60552-2
VCCI(ClassII)
4.7抗干扰性
IEC-1000-4-2?(ESD)/IEC-1000-4-3?(辐射敏感性)/IEC-1000-4-4??(电快速瞬变)/IEC-1000-4-5??(电涌)/IEC-1000-4-6??(谐波)
4.8几何尺寸
尺寸:标准1U机箱/重量:3kg
StoneWall-2000网络安全隔离设备(正向型)
2.6?系统组成
设备(硬件):是一个高速稳定的硬件平台和安全加固的操作系统的完美结合体
配置管理工具(软件):StoneWall-2000提供了两种管理工具:GUI和CLI。用于对隔离设备的配置和管理。
2.7?接口配置
两个CONSOLE口??(管理设备用)
两个COM口???????(输出告警信息)
四个10/100Base-TX
两个电源插座
两个电源开关
2.8?接口规范
网络接口:10/100BaseTX
CONSOLE接口:RJ45,19200-8-N-1
2.9电气性能
电源
110V/220V
环境规范
运行温度:0℃?--?40℃(-15℃贮藏运输)
操作湿度:10%?--?90%@40摄氏度,非冷凝
2.10参考的安全规范和标准
UL?1950
EN?41003
AS/NZS?3260
AS/NZS?3548?Class?A
CSA?Class?A
FCC?Class?A
EN?60552-2
VCCI(ClassII)
2.11?抗干扰性
IEC-1000-4-2?(ESD)
IEC-1000-4-3?(辐射敏感性)
IEC-1000-4-4??(电快速瞬变)
IEC-1000-4-5??(电涌)
IEC-1000-4-6??(谐波)
2.12几何及物理特性
尺寸:标准1U机箱
重量:4kg
数据包的综合过滤技术
StoneWall-2000网络安全隔离设备(正向型)对于数据包采用基于状态检测的MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制,多级过滤形成了立体的全面的访问控制机制。它在链路层根据MAC地址进行分组过滤,支持地址绑定,可有效防止非法用户冒用合法用户IP地址;在传输层基于状态检测技术,根据网络地址、网络协议以及TCP、UDP端口进行报文过滤与访问控制;在应用层通过应用代理提供对应协议的命令、访问路径、内容等的内容过滤;同时还提供用户级的鉴别和过滤控制,保证系统的安全及防护能力,增强了访问控制的可靠性及灵活性。
通过综合报文过滤与访问控制、非穿透性TCP联接、表示层与应用层数据完全单向传输、应用层解析、日志审计和报警功能,能够抵御除DoS以外的已知的网络攻击。
状态检测技术
状态检测技术:基于隔离设备所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤使用的过滤规则是静态的。而采用状态检测技术的隔离设备在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后隔离设备根据状态表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
高可用技术
StoneWall-2000网络安全隔离设备(正向型)内置硬件Watchdog,保证系统软件的可靠运行。支持双机热备,互为备用的两台设备中任何一台出现故障,另一台设备自动接替其工作,对外两台设备提供单一映像,应用系统配置不必因设备切换而从新配置,保证提供不间断的网络服务;支持双电源,在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间,通过采用以上技术,提高设备的持续运行能力,提供更高的可用性。
地址绑定技术
隔离设备具有地址绑定技术,可以通过建立起来的合法IP地址和MAC地址的对应关系识破非法用户盗用合法IP的阴谋,并拒绝该连接请求。
双向网络地址转换技术
为了达到可以让不同网段两个网络通过隔离设备通信的目的,在隔离设备上采用网络地址转换功能模块,当NAT代表内部网络与外部网络建立连接时,它使用自定义的IP地址。在受保护的内部网络里,当一个TCP/IP请求被送往隔离设备时,NAT模块将源IP地址替换为自定义的IP地址。当外部网络的应答返回到隔离设备时,NAT将应答的目标地址字段替换为初建立TCP/IP请求的的内部网络计算机结点的IP地址。
因为外部网络的计算机结点也有可能主动发送TCP/IP连接请求给内部网络,所以外部网络的计算机必须知道内部网络的计算机的IP地址,因此,对于NAT的设计采用的是静态地址分配机制,就是说NAT为内部网络的计算机结点绑定了一个固定的IP地址(虚拟的IP地址)。
日志审计
设备提供完备的日志审计功能及状态监视功能,在出现设备掉电、通信中断、装置异常、非法访问等情况下自动记录,对通过装置进入内网的应用数据及未能通过装置而被丢弃的应用数据均有完整的记录,日志符合SYSLOG规范,包括时间、IP、MAC、PORT等信息,支持日志集中存储和管理,便于事后审计。同时提供通信链路的状态监视功能,可以实时监控数据通信状况,对非法的数据包进行信息记录和浏览,方便管理员及早发现问题。
实时报警
提供实时的报警输出功能,当出现非法访问,设备重启动,通信中断、装置异常或丢失应用数据时,设备将相应的报警信息输出到专用的RS232串口,简单的应用办法是:用户可以通过串口线将报警信息接入到监控主机,利用超级终端显示,即可获得设备的实时报警信息,也可以连接综合告警平台,实现报警的综合处理。设备的报警格式遵循SYSLOG规范,便于用户收集、分析及综合利用。