江苏科东隔离装置Stonewall-2000

安全机理

具有的物理结构

StoneWall-2000使用双机结构,通过连接双机的非网络设备而实现的”安全岛技术”技术将受保护网络从物理上隔离开来。网络安全隔离设备(正向型)通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,而数据流经网络安全隔离设备(正向型)时TCP/IP协议被终止,防止了利用协议进行攻击,在某一时刻网络安全隔离设备(正向型)只能连接到一个网络。

网络安全隔离设备(正向型)作为代理从内网的网络数据包中抽取出数据然后通过数据缓冲设施转到外网,完成数据中转。在中转过程中,网络安全隔离设备(正向型)会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施综合过滤控制,只有满足要求的报文才可以通过网络安全隔离设备(正向型)。由于网络安全隔离设备(正向型)采用了独特的开关切换机制,因此,在进行检查时网络实际上处于断开状态,即使黑客强行攻击了网络安全隔离设备(正向型),由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。

网络安全隔离设备(正向型)在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。在硬件上将外网到内网传递的应用数据大小限定为单比特,保证从低安全区到高安全区的TCP应答禁止携带应用数据,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换,并提高了防止病毒和黑客非法访问的能力。

防止穿透性TCP连接

StoneWall-2000网络安全隔离设备(正向型)硬件上采用双主机结构及特有的总线型调度及控制开关电路,提供高速的安全摆渡功能,其特有的硬件结构可以保证数据的单向传递,同时为防止穿透性连接提供了可靠的硬件保障;在软件上隔离设备中外网侧接口机代理内网侧主机与外网主机建立虚拟连接,同样内网侧接口机代理外网侧主机与内网侧主机建立虚拟连接,在此基础上,禁止由外网到内网的协议应答报文携带应用数据,通过了综合过滤的报文,在由内网向外网摆渡的过程中,将被软件模块剥离所有的协议报文头,只保留纯应用数据,并对数据内容作必要检查,检查通过的了的报文才能终通过。由此实现了禁止内网、外网的两个应用网关之间直接建立TCP联接,并将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内数据传递为非网络方式,且硬件保障只允许数据单向传输。

安全的硬件及操作系统

StoneWall-2000网络安全隔离设备(正向型)采用非INTEL指令系统(及兼容)的RISC微处理器、采用双嵌入式计算机及”安全岛技术”技术,减少受攻击的概率,实现两个安全区之间的非网络方式的单向数据传输;

设备固化了精简的、安全的linux操作系统,将嵌入式Linux内核进行了裁剪。内核中只包括用户管理﹑进程管理﹑和Socket编程接口,裁剪掉TCP/IP协议栈和其它不需要的所有系统服务,提高了系统安全性和抗攻击能力,保证了系统安全的大化;

jr