南京科东隔离装置Stonewall-2000

数据包的综合过滤技术

StoneWall-2000网络安全隔离设备(正向型)对于数据包采用基于状态检测的MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制,多级过滤形成了立体的全面的访问控制机制。它在链路层根据MAC地址进行分组过滤,支持地址绑定,可有效防止非法用户冒用合法用户IP地址;在传输层基于状态检测技术,根据网络地址、网络协议以及TCP、UDP端口进行报文过滤与访问控制;在应用层通过应用代理提供对应协议的命令、访问路径、内容等的内容过滤;同时还提供用户级的鉴别和过滤控制,保证系统的安全及防护能力,增强了访问控制的可靠性及灵活性。

通过综合报文过滤与访问控制、非穿透性TCP联接、表示层与应用层数据完全单向传输、应用层解析、日志审计和报警功能,能够抵御除DoS以外的已知的网络攻击。

状态检测技术

状态检测技术:基于隔离设备所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤使用的过滤规则是静态的。而采用状态检测技术的隔离设备在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后隔离设备根据状态表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。

高可用技术

StoneWall-2000网络安全隔离设备(正向型)内置硬件Watchdog,保证系统软件的可靠运行。支持双机热备,互为备用的两台设备中任何一台出现故障,另一台设备自动接替其工作,对外两台设备提供单一映像,应用系统配置不必因设备切换而从新配置,保证提供不间断的网络服务;支持双电源在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间,通过采用以上技术,提高设备的持续运行能力,提供更高的可用性。

地址绑定技术

隔离设备具有地址绑定技术,可以通过建立起来的合法IP地址和MAC地址的对应关系识破非法用户盗用合法IP的阴谋,并拒绝该连接请求。

双向网络地址转换技术

为了达到可以让不同网段两个网络通过隔离设备通信的目的,在隔离设备上采用网络地址转换功能模块,当NAT代表内部网络与外部网络建立连接时,它使用自定义的IP地址。在受保护的内部网络里,当一个TCP/IP请求被送往隔离设备时,NAT模块将源IP地址替换为自定义的IP地址。当外部网络的应答返回到隔离设备时,NAT将应答的目标地址字段替换为最初建立TCP/IP请求的的内部网络计算机结点的IP地址。

因为外部网络的计算机结点也有可能主动发送TCP/IP连接请求给内部网络,所以外部网络的计算机必须知道内部网络的计算机的IP地址,因此,对于NAT的设计采用的是静态地址分配机制,就是说NAT为内部网络的计算机结点绑定了一个固定的IP地址(虚拟的IP地址)。

日志审计

设备提供完备的日志审计功能及状态监视功能,在出现设备掉电、通信中断、装置异常、非法访问等情况下自动记录,对通过装置进入内网的应用数据及未能通过装置而被丢弃的应用数据均有完整的记录,日志符合SYSLOG规范,包括时间、IP、MAC、PORT等信息,支持日志集中存储和管理,便于事后审计。同时提供通信链路的状态监视功能,可以实时监控数据通信状况,对非法的数据包进行信息记录和浏览,方便管理员及早发现问题。

实时报警

提供实时的报警输出功能,当出现非法访问,设备重启动,通信中断、装置异常或丢失应用数据时,设备将相应的报警信息输出到专用的RS232串口,最简单的应用办法是:用户可以通过串口线将报警信息接入到监控主机,利用超级终端显示,即可获得设备的实时报警信息,也可以连接综合告警平台,实现报警的综合处理。设备的报警格式遵循SYSLOG规范,便于用户收集、分析及综合利用。