宇宙盾网络安全隔离系列产品的设计特点和设计考虑

1、 电话:010-* E-mail: digitalstar宇宙盾网络安全隔离系列产品的设计特点本文将详细介绍宇宙盾安全隔离网闸的设计的独特设计和结构。我们还将介绍无文件无shell 系统、隐身设计、单串口设计的优势。最后回答所谓的“双机热备份”是增加了可靠性还是减少了可靠性的问题,以及究竟是网闸需要多少个网口最合适。1.高安全性设计:一个有效的安全防护设备,首先要保证自身的安全。如果无法保证自身的安全,那么保护其他设备和网络的安全就完全没有保证。我们清醒地认识到这一点,所以在提高设备自身的安全性方面作了大量的技术创新工作。北京数码星辰注意到这一问题的严重性,数码星辰设计的宇宙盾物理隔离网闸都具

2、有极高的自身防护特性,可以阻止器来自从任何协议层发起的攻击、入侵和非法访问。数码星辰独特的 “无文件无shell (linux 命令界面操作系统技术”。由于病毒均是以文件方式存在和执行,没有文件系统也就消除了病毒赖以生存的基础,也就彻底消除了病毒和木马的生存基础,建立了一个任何病毒和入侵攻击都无法逾越的防线,使得宇宙盾网络安全隔离产品具有一般安全隔离网闸和安全隔离网闸无法比拟的自身防护能力。无Shell (命令界面 的设计也是的宇宙盾物理安全隔离具有任何其他网闸没有的防止命令界面攻击的能力,进一步加固了系统的防护能力。宇宙盾物理安全隔离系列产品还具有极强的抗攻击能力可以有效地抵御和防止PING

3、 FLOOD 、SYNF LOOD 、Dos 和DDos 等多种网络攻击。宇宙盾网络安全物理隔离网闸是唯一一家采用无“后门”的CPU 芯片系统设计; 宇宙盾网物理隔离网闸是唯一一家采用操作系统防病毒加载技术,完全杜绝木马合病毒的攻击和加载;宇宙盾网络安全物理隔离网闸是唯一一家采用无命令界面的内核设计,防止任何对系统命令界面的攻击。相对于安全隔离网闸,宇宙盾网物理隔离网闸自身不提供任何服务,杜绝了利用其他服务进行攻击的可能性。 电话:010-* E-mail: digitalstar宇宙盾网物理隔离网闸还具有一种安全隔离网闸所没有的极强的“隐身功能”。隐身功能,能够完全隐藏受保护的网络或者服务器

4、。这种隐蔽性犹如隐形战机一样,是被雷达侦测不到的!使用任何扫描软件或者工具都无法发现设备的存在。在透明模式下,它不仅没有IP 地址,而且对于任何探测均无任何反应,只有符合安全规则的连接才可以通过,所以任何嗅探也无法探知宇宙盾网物理隔离网闸及其被保护的服务器和内部网络。整个安全隔离装置和被保护的网络就像在网络中消失了一样。 也就是说,不仅设备本身在网络中是不可见的,而且被保护的网络更是完全不可见,实现了彻底的“隐身”,极大地提高了网络的安全性能。数码星辰在隔离装置设计中集成了先进的状态分析(Stateful Inspection 。该技术使用了一个在网关上执行网络安全策略的软件模块监测引擎,采用

5、智能分析有关数据流的方法,依据安全策略对网络通信的27层实施监测与扫描。它对每一个TCP 数据流数据包进行扫描后,生成状态信息,动态地监视整个会话过程,以便为以后执行安全策略提供参考。当与该数据流相关的数据包通过隔离网闸时,隔离网闸依据动态链接表中的状态信息,严格检查它的合法性,在合法的情况下该数据包将被快速转发,从而大大提高监测安全性,不仅整体处理性能上升,还使网络系统更安全。北京数码星辰科技有限公司还提供独有的“相关性内容过滤”技术,对应用层的安全传输提供了独一无二的安全保护方案。这种过滤技术对应用层数据进行“状态相关的过滤与检测”,只允许符合特定规则的应用数据通过,在应用层建立了一个任何

6、病毒和入侵攻击都无法逾越的防线。北京数码星辰的“相关性内容过滤”技术,提供了灵活的过滤机制可以非常方便的提供客户的数据格式定制相应的过滤规则,重组数据报文,并根据用户订制的数据格式进行精确的过滤。可以有效地防治法法数据或病毒的潜入,极大地加强了应用层数据的保护能力。宇宙盾网物理隔离网闸出于安全角度不提供网络管理和配置,使得黑客无法用穷举等 手段威胁设备的自身安全。单串口配置:其他厂商均采用双串口配置,也就是不仅内网主板要配置,外网主办也要配置,这不仅非常不方便,(见后面的关于使用方便性的分析,而且也很不安 电话:010-* E-mail: digitalstar全。由于网闸的配置直接关系到系统

7、的网络安全和访问权限,因此将配置安排在外网主板,就是的配置本身直接与不安全的外网连接,而受到攻击。这是很危险的。此外由于需要在内网页配置外网也配置,加大了配置的复杂性和繁琐性,容易造成误配和漏配,这将这进一步带来严重安全的风险。数码星辰充分认识到这一问题的严重性,采用单串口配置方式,配置只能在处于安全域的内网主板进行。既方便了用户也加大地加强了系统的整体安全。市场上的现有安全产品采用的都是商业TCP/IP 堆栈,其相关资料传播广泛,由于其公开性,就容易受到攻击,而宇宙盾网物理隔离网闸采用了非商业TCP/IP 堆栈,其技术参数是保密的,黑客很难了解到其工作的机制,也就无从下手对网络进行攻击。3.

8、 高可靠性设计宇宙盾物理隔离系列产品从设计、零器件的选择到产品的测试和检测均采用严格的质量管理规程。宇宙盾物理安全物理隔离系统的独有的动态自恢复技术DSR(Dynamic Self-Recovery,它可以在系统发生任何意外故障时,自动恢复到正常工作状态,使系统可靠性有了一个质的飞跃。也是任何同类设备无法比拟的优势。北京数码星辰的网络安全隔离产品采用低功耗无风扇设计,不仅彻底地消除了噪音,极大地减少了功耗,也避免了由于系统发热造成的系统不稳定现象以及由于风扇损坏造成芯片烧毁的严重问题。双电源供电:保证在任何一个电源或供电源发生故障时系统仍能正常工作。北京数码星辰科技有限公司的所有隔离产品所有现

9、场运行的设备从未有一台发生过任何故障,无一台返修,没有一次故障报告,实现了惊人的零故障率!其可靠性远远地超越所有国内国外的竞争对手,充分地展示了北京数码星辰强大的技术实力!3. 超高性能设计数码星辰掌握着”线速处理技术”的多项关键技术,依靠十几年在加拿大超大型超高速通讯设备设计中积累得技术优势,采用加拿大的“线速的硬件加速”技术设计,设计具有极高性能的网络隔离设备,使得传输性能达到一个新的境界。在所作的一项对比试验中,均大幅度超出了对方的产品的性能。 电话:010-* E-mail: digitalstar性能对比:以下是与国内最早做网闸的3家厂商(维思、中网、北京京泰传输性能的比较测试: 与

10、伟思的产品比较在全部采用“透明方式”传输时,实测传157兆的文件,传输时间为: 伟思安全隔离装置:3分20秒 北京数码星辰的安全隔离装置:2分10秒注:伟思产品在“透明方式”传输时,不能设置安全规则,而数码星辰的是在有安全规则的条件下测试的。 与中网的产品比较传输35k 文件,传输时间为 京泰安全隔离装置用了2分(120秒北京数码星辰的安全隔离装置用了 19毫秒 与北京京泰的产品比较传输35k 文件,传输时间为 京泰安全隔离装置用了2分(120秒北京数码星辰的安全隔离装置用了 19毫秒我们同时要特别提醒用户注意,由于物理隔离采用的双主机和隔离岛的硬件结构,设计的难度比安全隔离网闸大的多。由于技

11、术的复杂性,许多厂家设计的产品存在着可靠性和传输带宽不足的严重的问题,虽然已经产品已经销售了好多年这些问题仍然没有得到彻底的解决。这些问题轻者会造成传输缓慢或丢包现象,严重 电话:010-* E-mail: digitalstar的将造成工作既不稳定,甚至于根本无法正常工作。在此我们要特别提醒用户在选用物理隔离设备时要注意这两个问题。4.使用方便性我们还采用了先进的“透明接入技术”。透明接入技术是新一代网络安全设备的技术发展趋势之一。通常,不透明的隔离装置接入需要修改网络拓扑结构,内部子网用户要更改网关,路由器要更改路由配置等,而且路由器和子网用户都需要知道隔离装置的IP ,一旦整个子网的IP

12、 地址改动了,针对隔离装置的相关改动相当烦人。透明接入技术的实现完全克服了以上的种种缺陷,同时,具有透明代理功能的隔离装置对路由器和子网用户而言是完全透明的,也就是说,他们根本感觉不到隔离装置的存在,犹如网桥一样。我们的产品采用单个串口进行配置的隔离设备。所有的物理隔离设备几乎都采用隔离岛和双处理器设计。由于有两个独立的处理器,所有的隔离设备均采用两个串口,对两个处理器进行分别配置,由于隔离设备一般安装在机架上,采用两个串口进行配置给用户的维护带来极大的不便。每一次配置和修改均要两次走到机架后,以便更换串口。任何简单的修改均要求往返多次从配置台走到机架后。这种非常繁琐的操作,不仅容易出错,而且

13、容易使维护人员对维护产生厌恶情绪而造成误配和错配,增加安全隐患。数码星辰从方便用户和避免安全隐患考虑,增加了这一功能,极大地方便了系统维护和使用。这也是“细微之处见真情”,“细微之处见水平”。竞争对手的配置程序在每次配置后,要重新启动后才会起作用,我们的设备只要一配置好,立即起作用,无需关机再启动。关于双机热备的问题:数码星辰的隔离网闸不支持双机热备,是由于数码星辰充分地认识到所谓的“双机热备方案”不仅不能提高系统可靠性而且恶化了系统的可靠性。一般的双机热备份拓扑图如下图所示:北京数码星辰科技有限公司 网闸 发 送 端 网闸 Hub 心跳线 接 Hub 收 端 没有冗余的网络拓扑图如下图所示：

14、 发 送 端 网闸 接 收 端 乍看起来，似乎第一个图更可靠。但是让我们来分析以下他们的可靠性。加入都 不考虑发送端和接收端的可靠性。显然第一张图有两个单点故障点-两个Hub,任何一个 出问题通讯就会中断。而下面的一个图，只有一个单点故障点网闸。显然所谓的“双 机热备”比不热备的可靠性至少要查一倍。而实际情况是，Hub是低档产品可靠性比网 闸更差。 可以看出所谓的“双机热备”不仅不可靠而且成本也高出一倍以上！ 关于网口数量的问题： 网闸究竟需要多少个网口最合适？ 首先如果从需要连接的设备数量来说，具有多少个网口都有不够的时候。比如说 电话：010-* 网址：www.digital- E-mai

15、l: digitalstar 地址：北京市海淀区上地信息路 2 号 2 号楼 22B 北京数码星辰科技有限公司版权所有，未经允许，请勿转载或刊登。 北京数码星辰科技有限公司 你有4个网口，显然无法满足连接6台服务器的要求。事实上这也不是网闸要解决的问 题。因为网闸重视和交换机连接，交换机可以增加更多端口，满足需求。因此满足连接 任意多的服务器的问题应该是由交换机来解决的。 使用网闸的目的是为了安全，这是网闸最重要的任务。那么从安全角度讲，究竟 多网口好，还是单网口好呢？ 一个安全设备设计原则时尽量减少被攻击的机会，因此暴漏在外部的东西越多， 被攻击的机会越多。所以一般安全设备的设计要求把没有用的服务关掉，没有用的设备 关掉（比如国家一个蓝牙端口，肯定会引入攻击），删除不需要的软件和不需要的