安全隔离与信息交换系统-北京锐安科技有限公司课件

北京锐安科技有限公司——RUN-NetGap100

安全隔离与信息交换系统

（简称“网闸”）产品简介北京锐安科技有限公司1RUN-NetGap100安全隔离与信息交换系统产品简介RUN-NetGap100安全隔离与信息交换系统（简称“网闸”）是北京锐安科技有限公司研制的新一代安全隔离产品。它通过对网络通信进行完整采集、深层解析、应用重建，实现内外网络在相互隔离的基础上进行数据交换，确保可靠安全的通信。RUN-NetGap100安全隔离与信息交换系统产品简介RU2RUN-NetGap100安全隔离与信息交换系统产品功能安全隔离：本系统在网络通信中的协议、应用、内容等各个层面真正做到隔离，确保用户信息系统安全。信息交换：本系统实现HTTP、FTP、邮件、数据库等内外网之间的安全交换。网络访问控制：可通过订制访问策略，精细地控制谁（网络对象）在什么情况下（场景）能够（允许或禁止）以何种方式访问（应用）谁（被访问对象）。应用内容控制：本系统可控制HTTP、FTP、邮件、数据库等应用内容的控制，并可自定义应用控制。RUN-NetGap100安全隔离与信息交换系统产品功能安全3RUN-NetGap100安全隔离与信息交换系统产品优势高安全性：采用专有安全操作系统，没有TCP/IP协议栈，所有功能由专有硬件及软件实现，系统剥离了易受攻击的TCP/IP协议，保证系统的高安全性。高吞吐率：采用专用的流处理芯片（FPU）进行网络流的解析与重建，提升系统的吞吐能力。高便利性：完全在透明模式下工作，用户无需更改任何网络设置即可将安全隔离器与现有软硬件系统迅速集成。管理简便：管理后台与安全隔离器的通信采用底层私有网络协议，在不依赖IP地址的前提下实现设备自动发现。灵活定制：对于用户自己研发的、非标准通信，可借助我公司协议分析产品，从而轻松支持非标准协议。RUN-NetGap100安全隔离与信息交换系统产品优势高安4RUN-NetGap100安全隔离与信息交换系统应用方案（安全隔离与信息交换系统应用方案图）RUN-NetGap100安全隔离与信息交换系统应用方案（安5RUN-NetGap100安全隔离与信息交换系统产品特性项目描述名称产品名称：安全隔离与信息交换系统产品型号：RUN-NETGAP100版本号信息：Build1.702形态双主机构架，专有安全通道进行数据通信接口外网接口*110M/100MbpsRJ-45内网接口*210M/100MbpsRJ-45Console接口*110M/100MbpsRJ-45OS类型、版本自主研发的安全操作系统，无网络通信功能，无法从外界写入信息升级方式依据产品特性进行升级服务，具体升级周期与方式不限通过的测评通过公安部检测，编号为：RUN-NetGap100安全隔离与信息交换系统产品特性项目6RUN-NetGap100安全隔离与信息交换系统产品功能产品通过公安部检测；具有自主知识产权；采用自主、安全可靠的专有操作系统；纯透明处理，不影响网络拓扑；在确保安全隔离的情况下进行适度信息交换；内外网无法进行通畅的TCP/IP会话；严格控制内外网的信息交换，强大的信息过滤功能；支持HTTP、FTP、POP3、SMTP通讯；支持常见数据库通讯；对支持的应用进行深度内容解析，可控制协议版本、命令、参数、内容等信息；

GUI方式管理；安全的用户角色划分；完善的日志记录及查询审计功能；强大的扩展能力；RUN-NetGap100安全隔离与信息交换系统产品功能7RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标业务功能内外网间不建立TCP/IP会话安全隔离与信息交换系统采用双主机构架，内外网主机间采用专有安全通道进行纯数据传输，内外网间无法建立通畅的TCP/IP会话纯透明处理安全隔离与信息交换系统对网络应用进行纯透明处理，以透明方式介入，无需更改用户网络拓扑网络访问控制用户可定制不同的访问策略，以控制内外网络间的访问，可依据多种元素如MAC、IP、协议、端口等信息进行网络访问控制单向访问控制安全隔离与信息交换系统允许用户控制访问的方向RUN-NetGap100安全隔离与信息交换系统详细功能指标8RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标应用层深度解析安全隔离与信息交换系统对所支持的应用进行应用层的深度内容解析应用协议命令控制安全隔离与信息交换系统可对所应用支持的协议进行协议命令的控制协议命令参数控制安全隔离与信息交换系统可对所应用支持的协议进行命令参数的控制应用协议版本控制安全隔离与信息交换系统可对所应用支持的协议进行协议版本的控制应用内容过滤安全隔离与信息交换系统能够进行应用层的内容过滤RUN-NetGap100安全隔离与信息交换系统详细功能指标9RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标域名解析与控制安全隔离与信息交换系统能够进行域名解析与控制HTTP控制支持HTTP应用安全隔离与信息交换系统支持HTTP协议，允许用户通过安全隔离与信息交换系统进行HTTP访问HTTP版本控制安全隔离与信息交换系统允许用户控制HTTP协议版本HTTP命令控制安全隔离与信息交换系统允许用户控制HTTP协议命令URL控制安全隔离与信息交换系统允许用户控制URL文件类型过滤安全隔离与信息交换系统允许用户控制通过HTTP协议传输的文件类型关键字过滤安全隔离与信息交换系统允许用户过滤HTTP通信的特定关键字RUN-NetGap100安全隔离与信息交换系统详细功能指标10RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标FTP控制支持FTP应用安全隔离与信息交换系统支持FTP协议，允许用户通过安全隔离与信息交换系统进行FTP访问。FTP动态端口安全隔离与信息交换系统支持主被动FTP传输，支持动态端口FTP命令控制安全隔离与信息交换系统允许用户控制FTP协议命令命令参数控制安全隔离与信息交换系统允许用户控制FTP协议命令的参数文件类型过滤安全隔离与信息交换系统允许用户控制通过FTP协议传输的文件类型关键字过滤安全隔离与信息交换系统允许用户过滤FTP通信的特定关键字RUN-NetGap100安全隔离与信息交换系统详细功能指标11RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标邮件控制支持邮件应用安全隔离与信息交换系统支持POP3、SMTP协议，允许用户通过安全隔离与信息交换系统收发邮件邮件命令控制安全隔离与信息交换系统允许用户控制POP3、SMTP协议命令命令参数控制安全隔离与信息交换系统允许用户控制POP3、SMTP协议命令的参数数据库控制支持数据库应用支持常见的基于结构化查询语言的数据库，如ORACLE、MSSQL等动态端口支持ORACLE的动态端口通信数据库命令控制安全隔离与信息交换系统允许用户控制各种数据库协议命令命令参数控制安全隔离与信息交换系统允许用户控制数据库协议命令的参数RUN-NetGap100安全隔离与信息交换系统详细功能指标12RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标管理功能设备工作状态可定制用户可定制不同的访问策略图形化管理用户可以图形化界面管理隔离设备多用户管理系统采用多用户的管理方式，管理者可创建不同的帐户并设定帐户的权限及有效期权限分立安全隔离与信息交换系统可设置不同的用户具备不同的权限网络对象及分组管理安全隔离与信息交换系统可管理网络对象并进行分组化管理业务通信定制安全隔离与信息交换系统定制网络业务通信安全通道管理安全隔离与信息交换系统可管理内外网交换数据的安全通道RUN-NetGap100安全隔离与信息交换系统详细功能指标13RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标场景化的策略应用安全隔离与信息交换系统采用时间化的规则应用方式日志记录/查询安全隔离与信息交换系统可记录/查询多种日志信息，如系统日志、成功日志、报警日志等报表与审计具备日志审计功能并可生成报表日志转存可将日志转存至别处扩展功能扩展至千兆可通过硬件升级实现带宽的增长多机热备可扩展多机热备负载均衡可扩展多机负载均衡RUN-NetGap100安全隔离与信息交换系统详细功能指标14RUN-NetGap100安全隔离与信息交换系统技术指标类别技术指标吞吐量安全隔离与信息交换系统的内部数据交换率达到360Mbps，百兆带宽的网络出口的吞吐量为86Mbps。最大并发连接数安全隔离与信息交换系统建立的最大TCP并发虚拟连接数不少于15000。系统延迟安全隔离与信息交换系统正常情况下数据延迟小于1毫秒。工作环境工作温度：0～45摄氏度（32～113华氏度）存储温度：-40～65摄氏度（-40～149华氏度）工作湿度：8～85％，非冷凝存储湿度：5～95％，非冷凝RUN-NetGap100安全隔离与信息交换系统技术指标类别15RUN-NetGap100安全隔离与信息交换系统技术指标类别技术指标电源指标输入电压：100/240VAC输入频率：50/60Hz电源功耗：400W平均无故障时间安全隔离与信息交换系统的平均无故障时间大于45000小时电磁屏蔽IEC－1000－4－2(ESD)IEC－1000－4－3(辐射敏感性)IEC－1000－4－4(点快速瞬变)IEC－1000－4－5(电涌)IEC－1000－3－2(谐波)RUN-NetGap100安全隔离与信息交换系统技术指标类别16RUN-NetGap100安全隔离与信息交换系统参考的安全规范及标准UL1950EN41003AS/NZS3260AS/NZS3548ClassACSAClassAFCCClassAEN60555-2VCCI(ClassII)RUN-NetGap100安全隔离与信息交换系统参考的安全规17RUN-NetGap100安全隔离与信息交换系统系统硬件指标网络接口：三个10/100M自适应网卡接口。外设接口：终端接口规格：（长×宽×高）：481.2×449.5×88毫米（19×17.7×4英寸）。材料：重负荷钢。指示器：LED电源指示灯，HDD硬盘指示灯，网卡状态指示灯。重量：9.8千克（21.8磅）。工作温度：0~60°C。工作湿度：最大相对湿度5%-95%，不结露。机箱使用的电源：220V交流电。RUN-NetGap100安全隔离与信息交换系统系统硬件指标18RUN-NetGap100安全隔离与信息交换系统硬件安装图1RUN-Net-GAP背面板示意图RUN-NetGap100安全隔离与信息交换系统硬件安装图119RUN-NetGap100安全隔离与信息交换系统硬件安装图2网间隔离安装示意图RUN-NetGap100安全隔离与信息交换系统硬件安装图220RUN-NetGap100安全隔离与信息交换系统硬件安装图3服务器保护安装示意图RUN-NetGap100安全隔离与信息交换系统硬件安装图321RUN-NetGap100安全隔离与信息交换系统详细技术参数参数项目标准型备注性能指标1.1吞吐量95单位:Mbps1.2网络用户数量1024

1.3并发连接数10万

1.4策略数量1024

1.5MTBF≥10平均无故障时间(单位:万小时)产品规格2.1外形尺寸50X43X9单位：cm2.2重量16Kg

接口指标3.1网络接口410/100MB3.2控制接口2RS232(115200)环境要求4.1温度0℃-60℃

4.2相对湿度10-90%

4.3冲击300m/S²

电源要求5.1电流2-4A

5.2电压220V

5.3频率50-60Hz

5.4功率250W

RUN-NetGap100安全隔离与信息交换系统详细技术参数22RUN-NetGap100安全隔离与信息交换系统产品功能参数功能项目

说明应用模块1.1WEB浏览WEB网页，可防止无界浏览1.2MAIL收发电子邮件1.3FTP接收电子邮件1.4FileExchange私有文件交换服务1.5MySQL支持所有版本，可控制SQL语句动作1.6SQLServer6.5版本以上，可控制SQL语句动作1.7OracleOracle8i以上版本，可控制SQL语句动作1.8MMSMicrosoft媒体格式身份鉴别2.1OTP用户名+口令认证方式2.2数字证书X.509证书文件RUN-NetGap100安全隔离与信息交换系统产品功能参数23RUN-NetGap100安全隔离与信息交换系统产品功能参数功能项目

说明管理方式3.1GUI人性化图形化管理界面内容检查4.1URL过滤URL地址过滤4.2HTTP过滤脚本、控件、关键字过滤4.3邮件内容过滤主题、正文关键字过滤4.4邮件附件过滤禁止附件、附件内容过滤4.5病毒检查支持第三方病毒服务器4.6文件类型过滤过滤指定的文件类型主机安全5.1DDos支持内外网抗DDOS攻击RUN-NetGap100安全隔离与信息交换系统产品功能参数24RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸需要哪些“许可证”？

答：根据我国计算机网络安全管理的规定，物理隔离网闸需要取得公安部、国家保密局和中国信息安全测评认证中心的安全产品的测评认证证书。在此基础上，进入军事领域，还需要军队测评认证中心的认证证书。

物理隔离网闸是硬件还是软件解决方案？

答：物理隔离网闸包含两个独立的主机系统和一套固态开关读写介质系统，属于硬件解决方案。但是物理隔离可以通过模块定制来满足行业个性化的需求。

物理隔离网闸是不是防火墙的一种？

答：物理隔离网闸不是防火墙的一种。就像路由器中也带有访问控制的功能一样，但路由器不是防火墙的一种。防火墙是检查设备；物理隔离网闸是隔离设备。防火墙的逻辑是在保证连接连通的情况下尽可能安全；物理隔离的逻辑则是如果不能保证安全的情况下则断开。

物理隔离网闸与物理隔离卡是不是一回事？

答：不是一回事。物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，甚至只可能在Windows环境下工作，每次切换都需要开关机一次。物理隔离网闸是物理隔离的高级实现形式，网闸可以管理整个网络，不需要开关机。网闸实现后，原则上不再需要物理隔离卡。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答25RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸与安全隔离网闸是不是一回事？

答：不是一回事。安全隔离是一种逻辑隔离，防火墙就是一种逻辑隔离，因此防火墙也是一种安全隔离。有些厂商对安全隔离增加了一些特点，如采用了双主机结构，但双主机之间却是通过包来转发的。无论双主机之间采用了多么严格的安全检查，但只要是包转发，就存在基于包的安全漏洞，存在对包的攻击。这在本质上同两个防火墙串联并无本质的差别。

安全隔离网闸存在哪些形式？

答：从目前已经发现的安全隔离网闸，包括以下类型：通过串口或并口来实现双主机之间的包转发，通过USB或1394或firewire（火线）等方式来实现双主机之间的包转发，甚至是直接通过以太线来实现双主机之间的包转发，以及其他任何形式的通信方式来实现双主机之间的包转发如专用ASIC开关电路，ATM，Myri卡等，都是安全隔离网闸，但都不是物理隔离网闸。

怎么在技术上区分物理隔离网闸和安全隔离网闸？

答：物理隔离网闸的主机之间，没有包转发，只有文件“摆渡”，没有协议存在，对固态介质只有读和写两个命令。安全隔离网闸的主机之间，是采用私有协议，专用协议，有的甚至是公有协议，来实现包转发，主机之间存在协议连接。怎么在技术上区分物理隔离网闸和安全信息交换系统？

答：安全信息交换系统，从物理特征上作判断，通过以太协议将三套主机按系统方式连接起来，主机之间的通信可能采用了专用协议，也可能是私有协议，具有较强的深度检查功能。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答26RUN-NetGap100安全隔离与信息交换系统产品疑问解答是不是有开关就是物理隔离网闸？

答：不是。开关只是离散脉冲的概念，光有离散脉冲并不是物理隔离。只要采用了TCP/IP包的形式，IP包本身就是离散的，TCP可以控制保证在离散的基础上建立完整的连接。在FTP的应用中如断点续传技术就是一个例子，拨号上网掉线了，重新拨号，可以继续下载文件。通过开关将线路时断时通，并不妨碍物理的连接。如果没有TCP/IP协议，只是读写文件，断开则导致读写失败。因此，物理隔离必须建立在无协议的文件“摆渡”的基础上，这种情况下的开关才是物理隔离。

物理隔离网闸是指两个主机之间物理上是完全隔开的吗？

答：不是。有些人认为，物理隔离是指两个主机之间没有物理连接，是空气断开的。两个主机之间物理上隔开，并不表示是物理隔离。例如，两个主机之间通过无线连网，尽管在物理上是断开的。两个主机是真空断开，也可能是连接的，如卫星通信。物理隔离网闸是指两个主机之间，没有基于物理的通信连接。

到底什么是物理隔离网闸？

答：物理隔离网闸，是利用双主机形式，从物理上来隔离阻断潜在攻击的连接，其中包括一系列的阻断特征，如没有通信连接，没有命令，没有协议，没有TCP/IP连接，没有应用连接，没有包转发，只有文件“摆渡”，对固态介质只有读和写两个命令。其结果是无法攻击，无法入侵，无法破坏。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答27RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸阻断了所有的连接，怎么交换信息？

答：计算机连网是为了信息交换和共享，但交换信息有很多种形式，连网只是其中的一种。在没有互联网的时代，信息照样交换。阻断了连接，完全可以通过其他形式来继续信息交换。大家比较能理解的方式，如从一台连网的计算机中，将数据拷贝复制，继续检查后，再拷贝复制到另外一台计算机中。其他的形式如复制（拷贝），数据摆渡，镜像，反射等。

应用代理也阻断了直接连接，也是物理隔离网闸吗？

答：不是。应用代理确实阻断了网络的直接连接，但不是物理隔离。因为应用代理虽说阻断了直接连接，但两个连接共享在一个主机上，存在入侵的威胁。当黑客通过扫描代理主机的操作系统漏洞，通过入侵代理主机本身，以代理主机为跳板，就可以利用建立代理主机和内部主机的连接来进行攻击。物理隔离网闸，采用了双主机结构，两级主机之间是阻断隔离的，即使黑客能够攻破外部主机，也无法入侵和攻击内部主机。

物理隔离网闸可以抵抗哪些攻击？

答：物理隔离网闸可以解决以下威胁：操作系统漏洞，入侵，基于TCP/IP漏洞的攻击，基于协议漏洞的攻击，木马，基于隧道的攻击，基于文件的攻击（可选）等。这些是互联网目前存在的绝大部分主要威胁。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答28RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸是如何防止操作系统漏洞的？

答：双主机之间是物理阻断的，无连接的，因此，黑客不可能扫描内部网络的所有主机的操作系统漏洞，无法攻击内部，包括物理隔离网闸的内部主机。

物理隔离网闸是如何防止网络入侵的？

答：物理隔离网闸的主机之间，无法建立连接，无法入侵。

物理隔离网闸是如何抵抗基于TCP/IP漏洞的攻击的？

答：物理隔离网闸的外部主机把TCP/IP协议全部剥离，以原始数据方式进行“摆渡”，因此，无法基于TCP/IP漏洞来进行攻击。同样，也无法基于UDP，ICMP，ARP等协议来进行攻击。

物理隔离网闸是如何抵抗基于协议漏洞的攻击的？

答：物理隔离网闸的外部主机，剥离了应用协议，以原始数据方式进行“摆渡”，因此，无法基于应用协议的漏洞来进行攻击。

物理隔离网闸是如何防止木马攻击的？

答：物理隔离网闸阻断了网络的所有连接，因此，没有OSI模型的link层，没有TCP、UDP，ICMP，ARP等协议，等于把木马变成了死马，因此对木马攻击是免疫的，无论是已知的还是未知的木马。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答29RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸是如何防止基于隧道的攻击？

答：因为没有连接，因此无法建立隧道攻击。

物理隔离网闸是如何防止基于文件的攻击？

答：物理隔离网闸在理论上是完全可以防止基于文件的攻击，如病毒等。病毒一般依附在高级文件格式上，低级文件格式则不会有病毒，因此进行文件“摆渡”的时候，可以限制文件的类型，如只有文本文件才可以通过“摆渡”，这样就不会有病毒。但用户有时候会不方便，因此，定义为可选。另外一种方式，是剥离重组方式。剥离高级格式，就消除了病毒的载体，重组后的文件，不会再有病毒。这种方式会导致效率的下降，一些潜在的危险的格式可能会被禁止，导致一些不方便，因此是可选。物理隔离网闸是中国特有的吗？

答：不是。美国，以色列，俄罗斯等国家很早就规定涉密网络要采用物理隔离。俄罗斯的RyJones，以色列的BukyCarmeli，EladBaron，DanielSteiner等人都是该领域的先驱，后者现在美国开公司。目前最大的物理隔离公司当属美国的Whalecommunications公司，Spearhead公司也不小。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答30RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸有哪些政策规定？

答：根据我国2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离“。涉密网络必须在物理隔离的基础上实现WWW浏览和自由收发E-mail。各级政府机关和涉密单位，必须将已建成的办公局域网同Inter或上一级专网实行物理隔离，正在建设的电子政务网络必须实现物理隔离。

除了党政军外，电力、铁道、金融、银行、证券、保险、税务、海关、水利、交通、民航、社保、石化等行业部门，要求在物理隔离的条件下实现安全的数据库数据交换。如国家经贸委令第30号《电网和电厂计算机监控系统及调度数据网络安全防护规定》，建立健全电力调度系统信息安全防护体系，将电网和电厂计算机监控系统与管理信息系统及办公自动化系统有效隔离，将调度专用数据网络与综合信息网络及外部因特网物理隔离，确保电网调度通讯系统安全、畅通。又如中国证监会颁布的《证券经营机构营业部信息系统技术管理规范》要求，采用硬三层网络结构，内、外网物理隔离，实现证券营业部行情网、交易网和办公网的隔离，系统安全，保密性高。其他行业和部门纷纷颁布建设规范和管理办法，要求使用物理隔离。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答31RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸的速度很慢？

答：错。由于一些厂商在实现技术上的问题，很多人误以为物理隔离网闸的速度很慢。其实不是，目前中网的物理隔离的开关速度在理论上可以达到5120M的速度（5G）。为什么物理隔离的速度反而快了？因为没有复杂的协议，没有协议所带来的额外开销。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答32RUN-NetGap100安全隔离与信息交换系统产品销售许可证（公安部颁发）证书编号：XKC30760RUN-NetGap100安全隔离与信息交换系统产品销售许可33RUN-NetGap100安全隔离与信息交换系统产品检测证书（国家保密局颁发）证书编号：ISSTEC2006YT0357RUN-NetGap100安全隔离与信息交换系统产品检测证书34RUN-NetGap100安全隔离与信息交换系统产品检测报告（国家保密局颁发）RUN-NetGap100安全隔离与信息交换系统产品检测报告35RUN-NetGap100安全隔离与信息交换系统感谢您的阅读RUN-NetGap100安全隔离与信息交换系统感谢您的阅读36北京锐安科技有限公司——RUN-NetGap100

安全隔离与信息交换系统

（简称“网闸”）产品简介北京锐安科技有限公司37RUN-NetGap100安全隔离与信息交换系统产品简介RUN-NetGap100安全隔离与信息交换系统（简称“网闸”）是北京锐安科技有限公司研制的新一代安全隔离产品。它通过对网络通信进行完整采集、深层解析、应用重建，实现内外网络在相互隔离的基础上进行数据交换，确保可靠安全的通信。RUN-NetGap100安全隔离与信息交换系统产品简介RU38RUN-NetGap100安全隔离与信息交换系统产品功能安全隔离：本系统在网络通信中的协议、应用、内容等各个层面真正做到隔离，确保用户信息系统安全。信息交换：本系统实现HTTP、FTP、邮件、数据库等内外网之间的安全交换。网络访问控制：可通过订制访问策略，精细地控制谁（网络对象）在什么情况下（场景）能够（允许或禁止）以何种方式访问（应用）谁（被访问对象）。应用内容控制：本系统可控制HTTP、FTP、邮件、数据库等应用内容的控制，并可自定义应用控制。RUN-NetGap100安全隔离与信息交换系统产品功能安全39RUN-NetGap100安全隔离与信息交换系统产品优势高安全性：采用专有安全操作系统，没有TCP/IP协议栈，所有功能由专有硬件及软件实现，系统剥离了易受攻击的TCP/IP协议，保证系统的高安全性。高吞吐率：采用专用的流处理芯片（FPU）进行网络流的解析与重建，提升系统的吞吐能力。高便利性：完全在透明模式下工作，用户无需更改任何网络设置即可将安全隔离器与现有软硬件系统迅速集成。管理简便：管理后台与安全隔离器的通信采用底层私有网络协议，在不依赖IP地址的前提下实现设备自动发现。灵活定制：对于用户自己研发的、非标准通信，可借助我公司协议分析产品，从而轻松支持非标准协议。RUN-NetGap100安全隔离与信息交换系统产品优势高安40RUN-NetGap100安全隔离与信息交换系统应用方案（安全隔离与信息交换系统应用方案图）RUN-NetGap100安全隔离与信息交换系统应用方案（安41RUN-NetGap100安全隔离与信息交换系统产品特性项目描述名称产品名称：安全隔离与信息交换系统产品型号：RUN-NETGAP100版本号信息：Build1.702形态双主机构架，专有安全通道进行数据通信接口外网接口*110M/100MbpsRJ-45内网接口*210M/100MbpsRJ-45Console接口*110M/100MbpsRJ-45OS类型、版本自主研发的安全操作系统，无网络通信功能，无法从外界写入信息升级方式依据产品特性进行升级服务，具体升级周期与方式不限通过的测评通过公安部检测，编号为：RUN-NetGap100安全隔离与信息交换系统产品特性项目42RUN-NetGap100安全隔离与信息交换系统产品功能产品通过公安部检测；具有自主知识产权；采用自主、安全可靠的专有操作系统；纯透明处理，不影响网络拓扑；在确保安全隔离的情况下进行适度信息交换；内外网无法进行通畅的TCP/IP会话；严格控制内外网的信息交换，强大的信息过滤功能；支持HTTP、FTP、POP3、SMTP通讯；支持常见数据库通讯；对支持的应用进行深度内容解析，可控制协议版本、命令、参数、内容等信息；

GUI方式管理；安全的用户角色划分；完善的日志记录及查询审计功能；强大的扩展能力；RUN-NetGap100安全隔离与信息交换系统产品功能43RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标业务功能内外网间不建立TCP/IP会话安全隔离与信息交换系统采用双主机构架，内外网主机间采用专有安全通道进行纯数据传输，内外网间无法建立通畅的TCP/IP会话纯透明处理安全隔离与信息交换系统对网络应用进行纯透明处理，以透明方式介入，无需更改用户网络拓扑网络访问控制用户可定制不同的访问策略，以控制内外网络间的访问，可依据多种元素如MAC、IP、协议、端口等信息进行网络访问控制单向访问控制安全隔离与信息交换系统允许用户控制访问的方向RUN-NetGap100安全隔离与信息交换系统详细功能指标44RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标应用层深度解析安全隔离与信息交换系统对所支持的应用进行应用层的深度内容解析应用协议命令控制安全隔离与信息交换系统可对所应用支持的协议进行协议命令的控制协议命令参数控制安全隔离与信息交换系统可对所应用支持的协议进行命令参数的控制应用协议版本控制安全隔离与信息交换系统可对所应用支持的协议进行协议版本的控制应用内容过滤安全隔离与信息交换系统能够进行应用层的内容过滤RUN-NetGap100安全隔离与信息交换系统详细功能指标45RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标域名解析与控制安全隔离与信息交换系统能够进行域名解析与控制HTTP控制支持HTTP应用安全隔离与信息交换系统支持HTTP协议，允许用户通过安全隔离与信息交换系统进行HTTP访问HTTP版本控制安全隔离与信息交换系统允许用户控制HTTP协议版本HTTP命令控制安全隔离与信息交换系统允许用户控制HTTP协议命令URL控制安全隔离与信息交换系统允许用户控制URL文件类型过滤安全隔离与信息交换系统允许用户控制通过HTTP协议传输的文件类型关键字过滤安全隔离与信息交换系统允许用户过滤HTTP通信的特定关键字RUN-NetGap100安全隔离与信息交换系统详细功能指标46RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标FTP控制支持FTP应用安全隔离与信息交换系统支持FTP协议，允许用户通过安全隔离与信息交换系统进行FTP访问。FTP动态端口安全隔离与信息交换系统支持主被动FTP传输，支持动态端口FTP命令控制安全隔离与信息交换系统允许用户控制FTP协议命令命令参数控制安全隔离与信息交换系统允许用户控制FTP协议命令的参数文件类型过滤安全隔离与信息交换系统允许用户控制通过FTP协议传输的文件类型关键字过滤安全隔离与信息交换系统允许用户过滤FTP通信的特定关键字RUN-NetGap100安全隔离与信息交换系统详细功能指标47RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标邮件控制支持邮件应用安全隔离与信息交换系统支持POP3、SMTP协议，允许用户通过安全隔离与信息交换系统收发邮件邮件命令控制安全隔离与信息交换系统允许用户控制POP3、SMTP协议命令命令参数控制安全隔离与信息交换系统允许用户控制POP3、SMTP协议命令的参数数据库控制支持数据库应用支持常见的基于结构化查询语言的数据库，如ORACLE、MSSQL等动态端口支持ORACLE的动态端口通信数据库命令控制安全隔离与信息交换系统允许用户控制各种数据库协议命令命令参数控制安全隔离与信息交换系统允许用户控制数据库协议命令的参数RUN-NetGap100安全隔离与信息交换系统详细功能指标48RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标管理功能设备工作状态可定制用户可定制不同的访问策略图形化管理用户可以图形化界面管理隔离设备多用户管理系统采用多用户的管理方式，管理者可创建不同的帐户并设定帐户的权限及有效期权限分立安全隔离与信息交换系统可设置不同的用户具备不同的权限网络对象及分组管理安全隔离与信息交换系统可管理网络对象并进行分组化管理业务通信定制安全隔离与信息交换系统定制网络业务通信安全通道管理安全隔离与信息交换系统可管理内外网交换数据的安全通道RUN-NetGap100安全隔离与信息交换系统详细功能指标49RUN-NetGap100安全隔离与信息交换系统详细功能指标类别子类技术指标场景化的策略应用安全隔离与信息交换系统采用时间化的规则应用方式日志记录/查询安全隔离与信息交换系统可记录/查询多种日志信息，如系统日志、成功日志、报警日志等报表与审计具备日志审计功能并可生成报表日志转存可将日志转存至别处扩展功能扩展至千兆可通过硬件升级实现带宽的增长多机热备可扩展多机热备负载均衡可扩展多机负载均衡RUN-NetGap100安全隔离与信息交换系统详细功能指标50RUN-NetGap100安全隔离与信息交换系统技术指标类别技术指标吞吐量安全隔离与信息交换系统的内部数据交换率达到360Mbps，百兆带宽的网络出口的吞吐量为86Mbps。最大并发连接数安全隔离与信息交换系统建立的最大TCP并发虚拟连接数不少于15000。系统延迟安全隔离与信息交换系统正常情况下数据延迟小于1毫秒。工作环境工作温度：0～45摄氏度（32～113华氏度）存储温度：-40～65摄氏度（-40～149华氏度）工作湿度：8～85％，非冷凝存储湿度：5～95％，非冷凝RUN-NetGap100安全隔离与信息交换系统技术指标类别51RUN-NetGap100安全隔离与信息交换系统技术指标类别技术指标电源指标输入电压：100/240VAC输入频率：50/60Hz电源功耗：400W平均无故障时间安全隔离与信息交换系统的平均无故障时间大于45000小时电磁屏蔽IEC－1000－4－2(ESD)IEC－1000－4－3(辐射敏感性)IEC－1000－4－4(点快速瞬变)IEC－1000－4－5(电涌)IEC－1000－3－2(谐波)RUN-NetGap100安全隔离与信息交换系统技术指标类别52RUN-NetGap100安全隔离与信息交换系统参考的安全规范及标准UL1950EN41003AS/NZS3260AS/NZS3548ClassACSAClassAFCCClassAEN60555-2VCCI(ClassII)RUN-NetGap100安全隔离与信息交换系统参考的安全规53RUN-NetGap100安全隔离与信息交换系统系统硬件指标网络接口：三个10/100M自适应网卡接口。外设接口：终端接口规格：（长×宽×高）：481.2×449.5×88毫米（19×17.7×4英寸）。材料：重负荷钢。指示器：LED电源指示灯，HDD硬盘指示灯，网卡状态指示灯。重量：9.8千克（21.8磅）。工作温度：0~60°C。工作湿度：最大相对湿度5%-95%，不结露。机箱使用的电源：220V交流电。RUN-NetGap100安全隔离与信息交换系统系统硬件指标54RUN-NetGap100安全隔离与信息交换系统硬件安装图1RUN-Net-GAP背面板示意图RUN-NetGap100安全隔离与信息交换系统硬件安装图155RUN-NetGap100安全隔离与信息交换系统硬件安装图2网间隔离安装示意图RUN-NetGap100安全隔离与信息交换系统硬件安装图256RUN-NetGap100安全隔离与信息交换系统硬件安装图3服务器保护安装示意图RUN-NetGap100安全隔离与信息交换系统硬件安装图357RUN-NetGap100安全隔离与信息交换系统详细技术参数参数项目标准型备注性能指标1.1吞吐量95单位:Mbps1.2网络用户数量1024

1.3并发连接数10万

1.4策略数量1024

1.5MTBF≥10平均无故障时间(单位:万小时)产品规格2.1外形尺寸50X43X9单位：cm2.2重量16Kg

接口指标3.1网络接口410/100MB3.2控制接口2RS232(115200)环境要求4.1温度0℃-60℃

4.2相对湿度10-90%

4.3冲击300m/S²

电源要求5.1电流2-4A

5.2电压220V

5.3频率50-60Hz

5.4功率250W

RUN-NetGap100安全隔离与信息交换系统详细技术参数58RUN-NetGap100安全隔离与信息交换系统产品功能参数功能项目

说明应用模块1.1WEB浏览WEB网页，可防止无界浏览1.2MAIL收发电子邮件1.3FTP接收电子邮件1.4FileExchange私有文件交换服务1.5MySQL支持所有版本，可控制SQL语句动作1.6SQLServer6.5版本以上，可控制SQL语句动作1.7OracleOracle8i以上版本，可控制SQL语句动作1.8MMSMicrosoft媒体格式身份鉴别2.1OTP用户名+口令认证方式2.2数字证书X.509证书文件RUN-NetGap100安全隔离与信息交换系统产品功能参数59RUN-NetGap100安全隔离与信息交换系统产品功能参数功能项目

说明管理方式3.1GUI人性化图形化管理界面内容检查4.1URL过滤URL地址过滤4.2HTTP过滤脚本、控件、关键字过滤4.3邮件内容过滤主题、正文关键字过滤4.4邮件附件过滤禁止附件、附件内容过滤4.5病毒检查支持第三方病毒服务器4.6文件类型过滤过滤指定的文件类型主机安全5.1DDos支持内外网抗DDOS攻击RUN-NetGap100安全隔离与信息交换系统产品功能参数60RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸需要哪些“许可证”？

答：根据我国计算机网络安全管理的规定，物理隔离网闸需要取得公安部、国家保密局和中国信息安全测评认证中心的安全产品的测评认证证书。在此基础上，进入军事领域，还需要军队测评认证中心的认证证书。

物理隔离网闸是硬件还是软件解决方案？

答：物理隔离网闸包含两个独立的主机系统和一套固态开关读写介质系统，属于硬件解决方案。但是物理隔离可以通过模块定制来满足行业个性化的需求。

物理隔离网闸是不是防火墙的一种？

答：物理隔离网闸不是防火墙的一种。就像路由器中也带有访问控制的功能一样，但路由器不是防火墙的一种。防火墙是检查设备；物理隔离网闸是隔离设备。防火墙的逻辑是在保证连接连通的情况下尽可能安全；物理隔离的逻辑则是如果不能保证安全的情况下则断开。

物理隔离网闸与物理隔离卡是不是一回事？

答：不是一回事。物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，甚至只可能在Windows环境下工作，每次切换都需要开关机一次。物理隔离网闸是物理隔离的高级实现形式，网闸可以管理整个网络，不需要开关机。网闸实现后，原则上不再需要物理隔离卡。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答61RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸与安全隔离网闸是不是一回事？

答：不是一回事。安全隔离是一种逻辑隔离，防火墙就是一种逻辑隔离，因此防火墙也是一种安全隔离。有些厂商对安全隔离增加了一些特点，如采用了双主机结构，但双主机之间却是通过包来转发的。无论双主机之间采用了多么严格的安全检查，但只要是包转发，就存在基于包的安全漏洞，存在对包的攻击。这在本质上同两个防火墙串联并无本质的差别。

安全隔离网闸存在哪些形式？

答：从目前已经发现的安全隔离网闸，包括以下类型：通过串口或并口来实现双主机之间的包转发，通过USB或1394或firewire（火线）等方式来实现双主机之间的包转发，甚至是直接通过以太线来实现双主机之间的包转发，以及其他任何形式的通信方式来实现双主机之间的包转发如专用ASIC开关电路，ATM，Myri卡等，都是安全隔离网闸，但都不是物理隔离网闸。

怎么在技术上区分物理隔离网闸和安全隔离网闸？

答：物理隔离网闸的主机之间，没有包转发，只有文件“摆渡”，没有协议存在，对固态介质只有读和写两个命令。安全隔离网闸的主机之间，是采用私有协议，专用协议，有的甚至是公有协议，来实现包转发，主机之间存在协议连接。怎么在技术上区分物理隔离网闸和安全信息交换系统？

答：安全信息交换系统，从物理特征上作判断，通过以太协议将三套主机按系统方式连接起来，主机之间的通信可能采用了专用协议，也可能是私有协议，具有较强的深度检查功能。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答62RUN-NetGap100安全隔离与信息交换系统产品疑问解答是不是有开关就是物理隔离网闸？

答：不是。开关只是离散脉冲的概念，光有离散脉冲并不是物理隔离。只要采用了TCP/IP包的形式，IP包本身就是离散的，TCP可以控制保证在离散的基础上建立完整的连接。在FTP的应用中如断点续传技术就是一个例子，拨号上网掉线了，重新拨号，可以继续下载文件。通过开关将线路时断时通，并不妨碍物理的连接。如果没有TCP/IP协议，只是读写文件，断开则导致读写失败。因此，物理隔离必须建立在无协议的文件“摆渡”的基础上，这种情况下的开关才是物理隔离。

物理隔离网闸是指两个主机之间物理上是完全隔开的吗？

答：不是。有些人认为，物理隔离是指两个主机之间没有物理连接，是空气断开的。两个主机之间物理上隔开，并不表示是物理隔离。例如，两个主机之间通过无线连网，尽管在物理上是断开的。两个主机是真空断开，也可能是连接的，如卫星通信。物理隔离网闸是指两个主机之间，没有基于物理的通信连接。

到底什么是物理隔离网闸？

答：物理隔离网闸，是利用双主机形式，从物理上来隔离阻断潜在攻击的连接，其中包括一系列的阻断特征，如没有通信连接，没有命令，没有协议，没有TCP/IP连接，没有应用连接，没有包转发，只有文件“摆渡”，对固态介质只有读和写两个命令。其结果是无法攻击，无法入侵，无法破坏。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答63RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸阻断了所有的连接，怎么交换信息？

答：计算机连网是为了信息交换和共享，但交换信息有很多种形式，连网只是其中的一种。在没有互联网的时代，信息照样交换。阻断了连接，完全可以通过其他形式来继续信息交换。大家比较能理解的方式，如从一台连网的计算机中，将数据拷贝复制，继续检查后，再拷贝复制到另外一台计算机中。其他的形式如复制（拷贝），数据摆渡，镜像，反射等。

应用代理也阻断了直接连接，也是物理隔离网闸吗？

答：不是。应用代理确实阻断了网络的直接连接，但不是物理隔离。因为应用代理虽说阻断了直接连接，但两个连接共享在一个主机上，存在入侵的威胁。当黑客通过扫描代理主机的操作系统漏洞，通过入侵代理主机本身，以代理主机为跳板，就可以利用建立代理主机和内部主机的连接来进行攻击。物理隔离网闸，采用了双主机结构，两级主机之间是阻断隔离的，即使黑客能够攻破外部主机，也无法入侵和攻击内部主机。

物理隔离网闸可以抵抗哪些攻击？

答：物理隔离网闸可以解决以下威胁：操作系统漏洞，入侵，基于TCP/IP漏洞的攻击，基于协议漏洞的攻击，木马，基于隧道的攻击，基于文件的攻击（可选）等。这些是互联网目前存在的绝大部分主要威胁。

RUN-NetGap100安全隔离与信息交换系统产品疑问解答64RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸是如何防止操作系