科东隔离装置stonewall-2000正向

高强度的抗攻击能力

StoneWall-2000网络安全隔离设备采用两个嵌入式计算机及”安全岛技术”装置组成。操作系统采用专门裁剪的嵌入式LINUX内核,删除了TCP/IP协议栈及其它不需要的所有系统服务,内核中只保留用户管理、进程管理、Socket编程接口模块,程序模块采用高优先级实时调度运行,操作系统及程序模块固化在接口机内。此外,网络安全隔离设备本身没有任何的IP地址,使黑客无法攻击。并且,把规则设置和对数据报的细致检查都放在内网主机中,通过这样的设置保证即使网络隔离设备的外网侧被黑客攻占,也能保证非法的数据报文无法被传输到内网中去,保证网络物理隔离设备本身具有高的抗攻击特性及系统安全性,保证了系统安全的大化。

性能优化技术

隔离设备性能的优劣影响到用户的使用也同时影响了系统的安全和稳定性,我们采用了多种性能优化技术,包括裁减内核,保证程序序模块采用高优先级实时调度运行,优化函数代码,优化编译,大大改善了隔离设备的性能,进一步保证系统安全运行。

用户受益

高安全性

物理隔离设备被誉为所有安全产品中具有高安全性的产品。其哲学思想是不安全就断开。在保证安全的情况下,才考虑使用网络。避免了来自操作系统、命令、协议的已知和未知攻击,达到了物理断开和信息交换的目的,强于手动拷贝数据的安果。

高可用性

StoneWall-2000网络安全隔离设备支持相互备份的双路通信功能,提供高可用性。网络隔离设备本身可选支持采用双电源,确保网络关键设备稳定和可靠的运行。另外,网络隔离设备断开两个网络,对网络结构和IP地址没有特别要求,对用户完全透明,具有很高的网络适应能力。

为我国电力专用网络量身定做

StoneWall-2000网络安全隔离设备是国内一家取得的网络隔离设备,并率先取得了国家电力调度中心的检测证明,得到了电力二次系统安全专家组的好评。StoneWall-2000网络安全隔离设备是根据我国电力网络中数据通讯主要存在于特定的网络与网络之间、主机与主机之间的特性,提供的一种具有高安全性和高可用性的廉价的网络安全解决方案,处于国内良好,国际先进的地位。

型号

StoneWall-2000网络安全隔离设备(正向千兆型)。

性能指标

StoneWall-2000G网络安全隔离设备(正向千兆型)

序号

名称

卖方提供值

1

产品证书

计算机信息系统安全专用产品销售许可证

国家电力调度中心关于电力专用安全防护设备的检测证明

公安部检测认证、ISO9001认证。

2

方向

正向

3

应答返回

单比特

4

数据传输速率

网络吞吐率≥500MMbps;

网络有效吞吐率≥389Mbps

5

并发联接数

≥3000

6

配置管理工具

图像界面,配置工具

7

供电双电源

220V/50HZ双电源

8

支持双机热备

内置硬件WATCHDOG,保证系统软件的可靠运行,持双机热备份。

9

支持双进双出

支持双进双出,单进单出,单进双出,双进单出等组合传输模式。

10

网络端口

100/1000M接口2(内网)

100/1000M接口2(外网)

SFP模块接口2个

11

配置口

终端管理接口(RS-232)2个

12

隔离技术

安全岛技术

13

网络隔离模式

TCP层应答数据段禁止携带应用数据工作模式。

14

物理尺寸

19寸,标准2U高度机箱,标准机架设备

典型应用

StoneWall-2000网络安全隔离设备(正向型)的应用可分为比较典型的三种:

计算机和计算机主机之间


计算机网络和计算机主机之间


计算机网络和计算机网络之间





2.13安全机理

2.13.1具有的物理结构和安全岛技术

StoneWall-2000使用双机结构,通过连接双机的非网络设备而实现的安全岛技术将受保护网络从物理上隔离开来。

网络安全隔离设备(正向型)通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,而数据流经网络安全隔离设备(正向型)时TCP/IP协议被终止,防止了利用协议进行攻击,在某一时刻网络安全隔离设备(正向型)只能连接到一个网络。

网络安全隔离设备(正向型)作为代理从内网的网络数据包中抽取出数据然后通过数据缓冲设施转到外网,完成数据中转。在中转过程中,网络安全隔离设备(正向型)会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施综合过滤控制,只有满足要求的报文才可以通过网络安全隔离设备(正向型)。由于网络安全隔离设备(正向型)采用了独特的开关切换机制,因此,在进行检查时网络实际上处于断开状态,即使黑客强行攻击了网络安全隔离设备(正向型),由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。

网络安全隔离设备(正向型)在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。在安全岛硬件上将外网到内网传递的应用数据大小限定为1个bit,保证从低安全区到高安全区的TCP应答禁止携带应用数据,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换,并提高了防止病毒和黑客非法访问的能力。

2.13.2安全的硬件及操作系统

StoneWall-2000网络安全隔离设备(正向型)采用非INTEL指令系统(及兼容)的RISC微处理器、采用双嵌入式计算机及安全岛技术,减少受攻击的概率,实现两个安全区之间的非网络方式的单向数据传输;

设备固化了精简的、安全的linux操作系统,将嵌入式Linux内核进行了裁剪。内核中只包括用户管理﹑进程管理﹑和Socket编程接口,裁剪掉TCP/IP协议栈和其它不需要的所有系统服务,提高了系统安全性和抗攻击能力,保证了系统安全的大化;


2.13.3数据包的综合过滤技术

StoneWall-2000网络安全隔离设备(正向型)对于数据包要进行IP/MAC/PORT的综合过滤,只有满足条件的数据包才可以通过隔离设备;

通过综合报文过滤与访问控制、非穿透性TCP联接、表示层与应用层数据完全单向传输、应用层解析、日志审计和报警功能,能够抵御除DoS以外的已知的网络攻击。

2.13.4状态检测技术

状态检测技术:基于隔离设备所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤使用的过滤规则是静态的。而采用状态检测技术的隔离设备在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后隔离设备根据状态表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。

2.13.5高可用技术

StoneWall-2000网络安全隔离设备(正向型)内置硬件Watchdog,保证系统软件的可靠运行。支持双机热备,互为备用的两台设备中任何一台出现故障,另一台设备自动接替其工作,保证提供不间断的网络服务;支持双电源,在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间,通过采用以上技术,提高设备的持续运行能力,提供更高的可用性;

2.13.6地址绑定技术

隔离设备具有地址绑定技术,可以通过建立起来的合法IP地址和MAC地址的对应关系识破非法用户盗用合法IP的阴谋,并拒绝该连接请求。

2.13.7双向网络地址转换技术

为了达到可以让不同网段两个网络通过隔离设备通信的目的,在隔离设备上采用网络地址转换功能模块,当NAT代表内部网络与外部网络建立连接时,它使用自定义的IP地址。在受保护的内部网络里,当一个TCP/IP请求被送往隔离设备时,NAT模块将源IP地址替换为自定义的IP地址。当外部网络的应答返回到隔离设备时,NAT将应答的目标地址字段替换为初建立TCP/IP请求的的内部网络计算机结点的IP地址。

因为外部网络的计算机结点也有可能主动发送TCP/IP连接请求给内部网络,所以外部网络的计算机必须知道内部网络的计算机的IP地址,因此,对于NAT的设计采用的是静态地址分配机制,就是说NAT为内部网络的计算机结点绑定了一个固定的IP地址(虚拟的IP地址)。

2.13.8日志审计及实时报警

可以实时监控数据通信状况,对非法的数据包进行信息记录和浏览,方便管理员及早发现问题。支持日志集中存储和管理的SYSLOG机制。

StoneWall-2000网络安全隔离设备(正向型)提供实时的报警输出功能,用户可以通过串口,获得系统的实时报警信息,报警格式遵循SYSLOG规范,便于用户收集、分析及综合利用。