专网与外网信息交互技术方案.doc

专网与外网信息交互技术方案目 录一、安全隔离与信息交换系统（网闸）解决方案31.1技术实现31.2功能描述51.3产品介绍51.4产品指标及技术参数71.5解决方案101.6所选产品认证情况12二、外网防火墙解决方案131.1支队需求说明131.2安全解决方案131.2.1网络拓扑图131.2.2网络安全解决方案陈述141.2.4 sonicwall nsa 3500产品功能和技术16三、整体方案简单说明182一、 安全隔离与信息交换系统（网闸）解决方案专网业务涉密网与办公业务非涉密网间，根据业务及应用特点，以需求为导向，以应用为核心，以方便群众为最终目的，利用先进理念和技术，以提高我机关工作效率，充分利用现有资源和技术力量，实现系统的计算机网络化处理和应用，根据实际存在数据双向交换的需求和国家相关主管部门的要求，在充分做到安全保证的前提下，允许非涉密数据在两个网络间交换。1.1 技术实现安全隔离与信息交换系统（网闸）的工作基于人工信息交换的操作模式，即由内外网主机模块分别负责接收来自所连接网络的访问请求，两模块间没有直接的物理连接，形成一个物理隔断，从而保证可信网和非可信网之间没有数据包的交换，没有网络连接的建立。在此前提下，通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发，而是应用层数据的静态读写操作，因此可信网的用户可以通过安全隔离与信息交换系统（网闸）放心的访问非可信网的资源，而不必担心可信网的安全受到影响。信息通过网闸传递需经过多个安全模块的检查，以验证被交换信息的合法性。当访问请求到达内外网主机模块时，首先由网闸实现tcp连接的终结，确保tcp/ip协议不会直接或通过代理方式穿透网闸；然后，内外网主机模块会依据安全策略对访问请求进行预处理，判断是否符合访问控制策略，并依据rfc或定制策略对数据包进行应用层协议检查和内容过滤，检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查，内外网主机模块会对数据包进行格式化，将每个合法数据包的传输信息和传输数据分别转换成专有格式数据，存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行，不依赖于任何通用协议，只能被网闸的内部处理机制识别及处理，因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如图551所示：图示 一51安全隔离与信息交换系统（网闸）原理示意图安全隔离与信息交换系统（网闸）通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能，将指定区域的数据复制到对端相应的区域，完成数据的交换。隔离交换卡内嵌安全芯片，采用高速全双工流水线设计，内部吞吐速率达2gbps，完全可以满足高速数据交换的需要。隔离交换模块固化控制逻辑，与内外网模块间只存在内存缓冲区的读写操作，没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制，在读写一端主机模块的数据前先中止对另一端的操作，确保隔离交换系统不会同时对内外网主机模块的数据进行处理，以保证在任意时刻可信网与非可信网间不存在链路层通路，实现网络的安全隔离。当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据，可根据本端的安全策略进行进一步的应用层安全检查。经检验合格，则进行逆向转换，将格式化数据转换成符合rfc标准的tcp/ip数据包，将数据包发送到目的计算机，完成数据的安全交换。1.2 功能描述本方案设计严格遵循xx部金盾工程总体方案设计中要求xx专网与外界物理隔离的设计原则，同时为确保准确性和及时性，我们采用天行安全隔离网闸作为我支队互联网驾驶人科目预约考试系统的安全物理隔离解决方案。1.3 产品介绍天行安全隔离网闸(topwalk-gap)是天行网安信息技术有限公司与xx部信息通信局联合研制的新一代安全隔离产品。该产品是中国特色的gap技术的代表产品，它采用自主产权的专用隔离硬件和多个处理单元紧密集成的独特设计，集成各种安全模块为一体，布署于信任网络与非信任网络之间，能够防止并抵御各种网络攻击及病毒入侵，用户可以安全地浏览、收发邮件及文件传输与数据库交换。天行安全隔离网闸(topwalk-gap)从硬件上来分主要包括三部分，分别是专用安全隔离切换装置（数据暂存区）、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元，这种独特设计保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元，从而实现内外网的安全隔离。首先，gap硬件采用多主机架构。gap设备需要对在网络间交换的数据进行预处理。预处理过程包括：将网络上传送的数据还原为应用层数据；对这些数据进行由用户所定义的检查；读取和发送这些应用数据。这些预处理操作在进行数据交换之前必须在独立的主机系统中进行，保证数据的隔离。另外，多台主机用专用硬件串联的架构形成纵深防御，既使外部主机被攻击，也可以保证内部主机的安全。第二，gap硬件架构中采用专用防篡改硬件隔断tcp/ip协议通信，保证数据传送和检查机制固化、防篡改，保证网络隔离的有效性。第三，gap的“白名单”策略面向应用数据，并对未知来源的主动请求一律拒绝。读取和发送这些数据时，gap采用主动请求（pull & push）或者专用安全接口（api）或安全客户端的方法。内部网络的服务端口暴露在各种各样的未知请求面前时，很难避免遭受堆栈溢出、绕过安全检查、拒绝服务等的攻击。通过主动请求的方法可以避免开放服务端口；通过专用安全接口或者专用安全客户端进行数据读取和发送可以避免接收未知数据。这样可以避免绝大多数隐患。最后，gap提供内容检查机制。内容检查根据用户对数据的定义检查数据的格式和内容。产品模块介绍下面简单介绍天行安全隔离网闸(topwalk-gap)的一个基本模块与六个应用模块： 基本模块整个安全隔离网闸的核心部件，是其他应用模块的安全平台。 数据库交换模块支持多种主流数据库在网络间的可控方向的安全数据交换。 文件交换模块提供网络间的基于文件的可控方向的安全文件传输。 消息模块提供与不信任网络进行安全消息传输的功能，提供c、java两种编程接口。 邮件模块安全可定制的地址内容检查、审核和控制；支持多种方式的安全收发邮件。 浏览模块安全浏览外网最新网页，采用多种过滤机制过滤cookie、url等信息。 视频会议模块全面支持现有视频会议系统数据通信，包括h.323协议族、h.264等1.4 产品指标及技术参数1.资质认证xx部销售许可证书国家保密局认证证书xx部科技成果鉴定证书国家安全产品测评认证中心认证证书解放军测评认证中心军用信息安全产品认证证书2.知识产权国家知识产权局专利证书3.硬件架构采用2+1架构和专用硬件隔离技术，属完全自主开发且不可从外部编程控制；保证信任网络和非信任网络之间链路层的断开，彻底阻断tcp/ip协议以及其他网络协议；4.操作系统采用获得xx部销售许可的安全操作系统topos；操作系统基于linux操作系统内核剪裁、增强、优化；5.系统内核采用增强内核系统，对内外两个主机系统采取多个层次（操作系统层、网络层、应用层等）的高强度安全防护措施，保护其重要进程、文件、数据不受黑客侵袭；6.数据处理方式面向应用数据，采用白名单策略，进行高度可控的数据交换，不接受任何未知来源的主动请求；通过可进行扩展定义的内容检查机制为白名单策略提供保障机制7.身份认证采用身份认证技术对使用隔离网闸的用户进行身份鉴别，以确保只有合法用户和计算机能使用网闸系统传输数据：高强度双重口令认证、ca证书认证等；8.流量管理提供流量管理功能，对系统数据通信量、连接数进行管理9.系统资源管理提供内存管理、系统资源分配管理，优化系统性能，可根据管理员设置进行调整10.*专用功能*数据库同步提供多种主流数据库（sqlserver、oracle、sybase、db2等）的单、双向数据交换；基于专用客户端与网闸安全连接方式，发送、接收应用数据；无需修改数据库表结构，不涉及到代码修改；可以同时发送和接收多个数据库中的多个表；支持多种增量方式；可分别定义增加、删除、修改的数据传输；根据指定字段值进行条件传输；支持大字段数据同步交换；支持不同类型数据库之间的异构数据安全传输；数据传输采用ssl加密，链路安全；数据传输高度可靠，采用缓存确认机制进行保证11.*文件同步专用客户端通过捕获系统消息方式获取文件信息，占用系统资源少，文件交换效率高，不会频繁的进行磁盘扫描；传输方向可控；支持实时或定时文件摆渡；文件传输支持断点续传；支持文件类型过滤；支持多文件并发传输；支持多级目录（128级）；支持中文文件名，长文件名（255字符）；根据权限划分每个用户的文件传输通道；数据传输采用ssl加密，链路安全；数据传输高度可靠，采用缓存确认机制进行保证12.*消息交换采用基于证书认证的api接口方式进行自定义消息交换；数据传输采用ssl加密；支持多种平台包括：windows、linux、aix、unix等；提供c、java两种开发接口；基于组策略的权限控制；支持多会话并发消息传递；13.*代理功能http支持http/https协议数据的代理传输，提供脚本过滤、内容过滤、身份认证功能，提供qq、msn等及时通信软件控制14.ftp支持ftp协议数据的代理传输，以及ftp命令、文件过滤15.邮件支持基于pop3、smtp协议的邮件代理16.socks支持socks数据代理功能，实现socket数据的传输，提供用户身份认证17.数据库支持常见数据库数据代理传输，包括：sql server、oracle、db2、sybase等18.流媒体支持rtsp、mms流媒体协议数据的交换19.其他协议支持其他常见的tcp、udp协议应用代理功能20.mac过滤支持mac地址过滤21.*通用功能时间管理支持时间段管理，提供分时间段的管理控制策略；22.即时通信软件管理支持对即时通信软件的控制管理功能，如qq、msn、popo等；23.http支持http、https协议数据的代理传输，提供脚本过滤、身份认证功能；24.其他协议支持包括网络音频、视频在内的多种tcp、udp协议数据传输交换：如ftp、tns、pop3、smtp等25.通用性网络适应性良好，无须修改原有网络结构、配置；实现透明应用支持26.mac过滤支持mac地址过滤功能，可通过ip地址查询相应的mac地址并进行拦截过滤；27.*文件传输传输方式支持多种文件传输方式：专用客户端、ftp、samba、nfs28.传输功能高可靠文件传输，文件完整性校验；文件传输断点续传；文件传输优先级；文件内容识别检查过滤；文件传输加密；29.性能高效率、低延迟，文件传输速率接近线速大并发文件传输，多个文件同时传输；支持并发数100030.*扩展功能*日志功能专用日志服务程序处理系统日志；提供日志分级处理、审计、导入/导出、过滤等强化功能；并提供文件型日志数据库记录系统日志；可集中处理多台网闸设备的日志信息31.*双机热备支持双机热备功能，提供高可靠性支持32.*snmp支持snmp协议，实现网闸与标准网管平台的无缝集成33.*视频会议全面支持现有视频会议系统数据通信，包括h.323协议族、h.264等34.日志提供系统日志显示、读取功能，日志信息可配置、可管理35.管理通过专用客户端对网闸进行管理，可远程集中管理多台网闸设备；系统配置信息可导出备份、导入恢复36.硬件开关切换时间0.5ms37.应用层数据传输率350mbps38.延时15ms39.最短无故障间隔时间50000小时40.网络接口5个10/100/1000base-tx接口2个com口41.输入电压和频率220vac/50hz42.冗余电源提供冗余电源43.消耗功率350w44.工作温度5-4045.存储温度0-5046.工作湿度10%-90%47.存储湿度5%-90%1.5 解决方案针对我支队xx信息系统的网络与业务系统的需求和特点，结合金盾工程对网络安全的要求,天行网安提供了如下采用天行安全隔离网闸及其消息模块、数据库交换模块、文件同步模块的安全解决方案，解决互联网用户通过网络进行科目预约考试的安全问题。方案分析如方案图所示，由安全隔离网闸为基础防御体系保护着xx专网网络中的各个重要的应用系统的运行。位于互联网络一侧的学员和驾校可以根据实际条件首先通过防火墙的安全认证连接到处于外网的支队科目考试预约服务器然后，预约考试服务器再把考试请求发到数据中转服务器，通过中转服务器跟安全隔离网闸外部处理单元建立连接，而xx专网内部的应用数据库服务器跟安全隔离网闸内部处理单元建立连接，两台服务器通过网闸建立起通信管道，通过此管道交换消息。学员通过互联网络发送提交考试预约请求或者成绩查询等请求发送到处于互联网方的预约应用服务器，由此服务器通过中转服务器来实现查询及写入，再通过安全隔离网闸递交到位于安全隔离网闸内网一侧的应用数据服务器，由此服务器将请求再发送给支队核心服务器，验证无误后再把返回信息层层传递给预约学员最终完成整个科目预约、成绩查询等作业流程。在本方案中，我们采用天行网安公司出品的天行安全隔离网闸及其相应模块（api接口）承担这一角色。用户通过调用模块的api函数接口来进行数据的交换，交换的数据类型可完全由用户自定义，方式灵活。方案中的两台服务器即是为了调用网闸的api接口而设置的，通过开发商的快速二次开发，可通过此模块传递科目预约考试及其它系统所需的各种业务数据。在整个的方案部署当中，天行安全隔离网闸有效的切断内外部网络的tcp/ip会话，可以有效地防止基于网络的各种攻击如后门木马攻击，安全隔离确保了物理链路层的安全和上层应用的安全，真正实现了网络的隔离。同时由于消息的传递是通过ssl加密的，因此也有足够的强度保证数据的完整性、保密性。天行安全隔离网闸的隔离硬件延时小于5ms，能够保证业务系统的时效性要求。方案特点系统在满足科目预约考试业务运行的需求下，还考虑了我支队以后的驾校管理平台、车辆违章查询，无线视频传输等平台的扩展应用，在安全性方面，还在通过以下几点最大的保证了我xx内网数据安全性和保密性。第一，系统保证了内网的安全性。利用安全隔离网闸，把专网与公网从物理上隔离开，这是最切实有效的安全措施。第二，安全隔离网闸本身的安全性。在安全隔离网闸的体系结构中，内外网进行信息交换的唯一途径是通过数据暂存区交换文件。在这样的设计中，即使外部处理单元完全被黑客侵占，也只能通过在数据暂存区中存放文件以试图入侵办公网络，而这些被存入的文件首先会被办公网络中的扫描引擎进行扫描，有害数据将会被清除，并且，这些文件在系统中永远不会被执行。最后，系统的内外部处理单元都采用了专用的安全增强的技术，能够很好的保护主机自身的安全性。1.6 所选产品认证情况目前天行安全隔离网闸(topwalk-gap)已经通过了xx部第三研究所和中国信息安全产品测评认证中心的安全检测，获得了xx部以及测评认证中心颁发的证书，军队的安全评测认证证书，以及xx部科技成果鉴定。并且作为安全隔离及交换产品第一家通过国家保密局的认证。本方案采用的系统已经通过了航天部706所的电磁泄漏测试。本方案采用的系统中采用的toplinux操作系统作为安全linux服务平台，已经通过了xx部三所的检测，获得了xx部颁发的计算机安全专用产品销售许可证。二、 外网防火墙解决方案1.1支队需求说明1. 外部应试人员能正常访问内部考试预约服务器。2. 不允许病毒和攻击行为进入考试服务器。3. 不允许考试服务器内敏感信息外泄。4. 不允许考试服务器使用开启高带宽的应用程序，如p2p,im。5. 需要保证管理人员安全远程地登陆到考试服务器中进行作业。6. 防火墙需要提供完全可视化并易于操作的管理界面。7. 网络安全部分需要优良的兼容性、先进性和可移植性。8. 防火墙必须有自主的精简内核，不使用linux等开源操作系统。9. 兼顾到以后可能发展的驾校管理平台、车辆违章查询等的应用模块的扩展。1.2安全解决方案1.2.1网络拓扑图基于我支队的实际需求和xx网络的实际情况，现提供如下图的网络拓扑结构简单说明： 1.2.2网络安全解决方案陈述如上图所示，报考学员和驾校工作人员通过isp链路接入到internet中，他们通过sonicwall nsa 3500 的x1(wan)端口来访问考试预约服务器;防火墙对于用户来说是不可见的，既黑洞模式，考试预约应用服务器连到nsa 3500的x0端口上，这样外部应试人员就可以安全进行预约操作了。预约服务器在接受请求后通过防火墙的x2端口连接到中转应用数据库服务器上，通过该服务器把数据请求摆渡到隔离网闸另一端的数据库服务器上完成整个操作。从性能上考虑，1g+mbps的背板处理速率，基于asic晶片体系结构，绝对不会成为网络上的瓶颈；从安全性考虑，自主操作系统避免了公众操作系统的漏洞成为侵入点的可能性，采用的全状态检测技术更是实现了对进出数据包的双重检测，vpn通道的启用，支持des、3des、rc4以及最新的aes加密技术，从真正意义上保证数据传输、互联网访问的安全性，从操作简单化考虑，全图形界面管理，并支持远程管理，大大简化管理员的管理程序。通过采用sonicwall utm中gav(网关防病毒)功能让病毒阻止到网关外，根本无法进入到考试服务器中。采用sonicwall utm中防间谍软件功能使间谍软件无法进入到考试服务器中，以致敏感信息很难外泄。通过sonicwall utm中ips(入侵防御)功能使得占有高带宽的bt、qq等应用不能在网络内部运行。管理人员通过其vpn功能可以安全地管理远程的考试服务器。sonicwall防火墙采用基于web的管理界面，使得管理员管理网络起来十分简单。sonicwall防火墙同时可以其它vpn设备建立vpn的连接，同时sonicwall防火墙采用多核处理技术大大提高了防火墙的性能。1.2.3防火墙主要安全规则说明一、通过防火墙做nat地址映射，把相应的服务端口（如80、443）映射到服务器上，更改应用服务器默认端口。二、禁止所有到内网的访问，开启预约考试服务访问所需的协议和端口。 三、禁止外网的ping入和一切网络扫描响应四、启用https协议进行内网授权访问。五、禁止所有的网络访问到x2端口的中转数据库服务器，只对应用数据库服务器开启数据库连接访问服务。六、预约考试服务器除响应外网考试预约请求外，禁止通过任何协议到外网的访问。七、根据实际需要对所有网络访问进行时间段限制。八、屏蔽所有针对网内各种操作系统和应用程序的恶意请求。九、所有服务器升级操作系统补丁和安装的应用程序的补丁，安装部署防病毒软件等。1.2.4 sonicwall nsa 3500产品功能和技术(1)nsa 3500内嵌四核处理器为了提高数据进出防火墙的速度，sonicwall采用多核处理技术。nsa 3500就是采用四核的防火墙产品。(2)双wan路冗余及负载平衡. nsa 3500 可指定x3端口成为第二个 wan口 以支持 active-passive 线路备份架构,并提供高效能模式支持 wan路负载平衡。（3）高性能 asic 加解密芯片. 全状态包检查防火墙性能高达1 gbps ,3des 及 aes vpn加密性能高达625 mbps。（4）支持多网络接口的安全区域(security zone). 网络管理者可集合nsa 3500 多个实体网络接口成为逻辑区域 zones 以增进弹性及简化管理,并且在部署 sonicwall 防火墙