安全隔离和信息交换系统

北京锐安科技有限企业——RUN-NetGap100

安全隔离与信息交换系统

（简称“网闸”）产品介绍第1页RUN-NetGap100安全隔离与信息交换系统产品介绍RUN-NetGap100安全隔离与信息交换系统（简称“网闸”）是北京锐安科技有限企业研制新一代安全隔离产品。它经过对网络通信进行完整采集、深层解析、应用重建，实现内外网络在相互隔离基础上进行数据交换，确保可靠安全通信。第2页RUN-NetGap100安全隔离与信息交换系统产品功效安全隔离：本系统在网络通信中协议、应用、内容等各个层面真正做到隔离，确保用户信息系统安全。信息交换：本系统实现HTTP、FTP、邮件、数据库等内外网之间安全交换。网络访问控制：可经过订制访问策略，精细地控制谁（网络对象）在什么情况下（场景）能够（允许或禁止）以何种方式访问（应用）谁（被访问对象）。应用内容控制：本系统可控制HTTP、FTP、邮件、数据库等应用内容控制，并可自定义应用控制。第3页RUN-NetGap100安全隔离与信息交换系统产品优势高安全性：采取专有安全操作系统，没有TCP/IP协议栈，全部功效由专有硬件及软件实现，系统剥离了易受攻击TCP/IP协议，确保系统高安全性。高吞吐率：采取专用流处理芯片（FPU）进行网络流解析与重建，提升系统吞吐能力。高便利性：完全在透明模式下工作，用户无需更改任何网络设置即可将安全隔离器与现有软硬件系统快速集成。管理简便：管理后台与安全隔离器通信采取底层私有网络协议，在不依赖IP地址前提下实现设备自动发觉。灵活定制：对于用户自己研发、非标准通信，可借助我企业协议分析产品，从而轻松支持非标准协议。第4页RUN-NetGap100安全隔离与信息交换系统应用方案（安全隔离与信息交换系统应用方案图）第5页RUN-NetGap100安全隔离与信息交换系统产品特征项目描述名称产品名称：安全隔离与信息交换系统产品型号：RUN-NETGAP100版本号信息：Build1.702形态双主机构架，专有安全通道进行数据通信接口外网接口*110M/100MbpsRJ-45内网接口*210M/100MbpsRJ-45Console接口*110M/100MbpsRJ-45OS类型、版本自主研发安全操作系统，无网络通信功效，无法从外界写入信息升级方式依据产品特征进行升级服务，详细升级周期与方式不限经过测评经过公安部检测，编号为：第6页RUN-NetGap100安全隔离与信息交换系统产品功效

产品经过公安部检测；

含有自主知识产权；

采取自主、安全可靠专有操作系统；

纯透明处理，不影响网络拓扑；

在确保安全隔离情况下进行适度信息交换；

内外网无法进行通畅TCP/IP会话；

严格控制内外网信息交换，强大信息过滤功效；

支持HTTP、FTP、POP3、SMTP通讯；

支持常见数据库通讯；

对支持应用进行深度内容解析，可控制协议版本、命令、参数、内容等信息；

GUI方式管理；

安全用户角色划分；

完善日志统计及查询审计功效；

强大扩展能力；第7页RUN-NetGap100安全隔离与信息交换系统详细功效指标类别子类技术指标业务功效内外网间不建立TCP/IP会话安全隔离与信息交换系统采取双主机构架，内外网主机间采取专有安全通道进行纯数据传输，内外网间无法建立通畅TCP/IP会话纯透明处理安全隔离与信息交换系统对网络应用进行纯透明处理，以透明方式介入，无需更改用户网络拓扑网络访问控制用户可定制不一样访问策略，以控制内外网络间访问，可依据各种元素如MAC、IP、协议、端口等信息进行网络访问控制单向访问控制安全隔离与信息交换系统允许用户控制访问方向第8页RUN-NetGap100安全隔离与信息交换系统详细功效指标类别子类技术指标应用层深度解析安全隔离与信息交换系统对所支持应用进行应用层深度内容解析应用协议命令控制安全隔离与信息交换系统可对所应用支持协议进行协议命令控制协议命令参数控制安全隔离与信息交换系统可对所应用支持协议进行命令参数控制应用协议版本控制安全隔离与信息交换系统可对所应用支持协议进行协议版本控制应用内容过滤安全隔离与信息交换系统能够进行应用层内容过滤第9页RUN-NetGap100安全隔离与信息交换系统详细功效指标类别子类技术指标域名解析与控制安全隔离与信息交换系统能够进行域名解析与控制HTTP控制支持HTTP应用安全隔离与信息交换系统支持HTTP协议，允许用户经过安全隔离与信息交换系统进行HTTP访问HTTP版本控制安全隔离与信息交换系统允许用户控制HTTP协议版本HTTP命令控制安全隔离与信息交换系统允许用户控制HTTP协议命令URL控制安全隔离与信息交换系统允许用户控制URL文件类型过滤安全隔离与信息交换系统允许用户控制经过HTTP协议传输文件类型关键字过滤安全隔离与信息交换系统允许用户过滤HTTP通信特定关键字第10页RUN-NetGap100安全隔离与信息交换系统详细功效指标类别子类技术指标FTP控制支持FTP应用安全隔离与信息交换系统支持FTP协议，允许用户经过安全隔离与信息交换系统进行FTP访问。FTP动态端口安全隔离与信息交换系统支持主被动FTP传输，支持动态端口FTP命令控制安全隔离与信息交换系统允许用户控制FTP协议命令命令参数控制安全隔离与信息交换系统允许用户控制FTP协议命令参数文件类型过滤安全隔离与信息交换系统允许用户控制经过FTP协议传输文件类型关键字过滤安全隔离与信息交换系统允许用户过滤FTP通信特定关键字第11页RUN-NetGap100安全隔离与信息交换系统详细功效指标类别子类技术指标邮件控制支持邮件应用安全隔离与信息交换系统支持POP3、SMTP协议，允许用户经过安全隔离与信息交换系统收发邮件邮件命令控制安全隔离与信息交换系统允许用户控制POP3、SMTP协议命令命令参数控制安全隔离与信息交换系统允许用户控制POP3、SMTP协议命令参数数据库控制支持数据库应用支持常见基于结构化查询语言数据库，如ORACLE、MSSQL等动态端口支持ORACLE动态端口通信数据库命令控制安全隔离与信息交换系统允许用户控制各种数据库协议命令命令参数控制安全隔离与信息交换系统允许用户控制数据库协议命令参数第12页RUN-NetGap100安全隔离与信息交换系统详细功效指标类别子类技术指标管理功效设备工作状态可定制用户可定制不一样访问策略图形化管理用户能够图形化界面管理隔离设备多用户管理系统采取多用户管理方式，管理者可创建不一样帐户并设定帐户权限及使用期权限分立安全隔离与信息交换系统可设置不一样用户具备不一样权限网络对象及分组管理安全隔离与信息交换系统可管理网络对象并进行分组化管理业务通信定制安全隔离与信息交换系统定制网络业务通信安全通道管理安全隔离与信息交换系统可管理内外网交换数据安全通道第13页RUN-NetGap100安全隔离与信息交换系统详细功效指标类别子类技术指标场景化策略应用安全隔离与信息交换系统采取时间化规则应用方式日志统计/查询安全隔离与信息交换系统可统计/查询各种日志信息，如系统日志、成功日志、报警日志等报表与审计具备日志审计功效并可生成报表日志转存可将日志转存至别处扩展功效扩展至千兆可经过硬件升级实现带宽增加多机热备可扩展多机热备负载均衡可扩展多机负载均衡第14页RUN-NetGap100安全隔离与信息交换系统技术指标类别技术指标吞吐量安全隔离与信息交换系统内部数据交换率抵达360Mbps，百兆带宽网络出口吞吐量为86Mbps。最大并发连接数安全隔离与信息交换系统建立最大TCP并发虚拟连接数不少于15000。系统延迟安全隔离与信息交换系统正常情况下数据延迟小于1毫秒。工作环境工作温度：0～45摄氏度（32～113华氏度）存放温度：-40～65摄氏度（-40～149华氏度）工作湿度：8～85％，非冷凝存放湿度：5～95％，非冷凝第15页RUN-NetGap100安全隔离与信息交换系统技术指标类别技术指标电源指标输入电压：100/240VAC输入频率：50/60Hz电源功耗：400W平均无故障时间安全隔离与信息交换系统平均无故障时间大于45000小时电磁屏蔽IEC－1000－4－2(ESD)IEC－1000－4－3(辐射敏感性)IEC－1000－4－4(点快速瞬变)IEC－1000－4－5(电涌)IEC－1000－3－2(谐波)第16页RUN-NetGap100安全隔离与信息交换系统参考安全规范及标准

UL1950

EN41003

AS/NZS3260

AS/NZS3548ClassA

CSAClassA

FCCClassA

EN60555-2

VCCI(ClassII)第17页RUN-NetGap100安全隔离与信息交换系统系统硬件指标网络接口：三个10/100M自适应网卡接口。外设接口：终端接口规格：（长×宽×高）：481.2×449.5×88毫米（19×17.7×4英寸）。材料：重负荷钢。指示器：LED电源指示灯，HDD硬盘指示灯，网卡状态指示灯。重量：9.8千克（21.8磅）。工作温度：0~60°C。工作湿度：最大相对湿度5%-95%，不结露。机箱使用电源：220V交流电。第18页RUN-NetGap100安全隔离与信息交换系统硬件安装图1RUN-Net-GAP后面板示意图第19页RUN-NetGap100安全隔离与信息交换系统硬件安装图2网间隔离安装示意图第20页RUN-NetGap100安全隔离与信息交换系统硬件安装图3服务器保护安装示意图第21页RUN-NetGap100安全隔离与信息交换系统详细技术参数参数项目标准型备注性能指标1.1吞吐量95单位:Mbps1.2网络用户数量1024

1.3并发连接数10万

1.4策略数量1024

1.5MTBF≥10平均无故障时间(单位:万小时)产品规格2.1外形尺寸50X43X9单位：cm2.2重量16Kg

接口指标3.1网络接口410/100MB3.2控制接口2RS232(115200)环境要求4.1温度0℃-60℃

4.2相对湿度10-90%

4.3冲击300m/S²

电源要求5.1电流2-4A

5.2电压220V

5.3频率50-60Hz

5.4功率250W

第22页RUN-NetGap100安全隔离与信息交换系统产品功效参数功效项目

说明应用模块1.1WEB浏览WEB网页，可预防无界浏览1.2MAIL收发电子邮件1.3FTP接收电子邮件1.4FileExchange私有文件交换服务1.5MySQL支持全部版本，可控制SQL语句动作1.6SQLServer6.5版本以上，可控制SQL语句动作1.7OracleOracle8i以上版本，可控制SQL语句动作1.8MMSMicrosoft媒体格式身份判别2.1OTP用户名+口令认证方式2.2数字证书X.509证书文件第23页RUN-NetGap100安全隔离与信息交换系统产品功效参数功效项目

说明管理方式3.1GUI人性化图形化管理界面内容检验4.1URL过滤URL地址过滤4.2HTTP过滤脚本、控件、关键字过滤4.3邮件内容过滤主题、正文关键字过滤4.4邮件附件过滤禁止附件、附件内容过滤4.5病毒检验支持第三方病毒服务器4.6文件类型过滤过滤指定文件类型主机安全5.1DDos支持内外网抗DDOS攻击第24页RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸需要哪些“许可证”？

答：依据我国计算机网络安全管理要求，物理隔离网闸需要取得公安部、国家保密局和中国信息安全测评认证中心安全产品测评认证证书。在此基础上，进入军事领域，还需要军队测评认证中心认证证书。

物理隔离网闸是硬件还是软件处理方案？

答：物理隔离网闸包含两个独立主机系统和一套固态开关读写介质系统，属于硬件处理方案。不过物理隔离能够经过模块定制来满足行业个性化需求。

物理隔离网闸是不是防火墙一个？

答：物理隔离网闸不是防火墙一个。就像路由器中也带有访问控制功效一样，但路由器不是防火墙一个。防火墙是检验设备；物理隔离网闸是隔离设备。防火墙逻辑是在确保连接连通情况下尽可能安全；物理隔离逻辑则是假如不能确保安全情况下则断开。

物理隔离网闸与物理隔离卡是不是一回事？

答：不是一回事。物理隔离卡是物理隔离低级实现形式，一个物理隔离卡只能管一台个人计算机，甚至只可能在Windows环境下工作，每次切换都需要开关机一次。物理隔离网闸是物理隔离高级实现形式，网闸能够管理整个网络，不需要开关机。网闸实现后，标准上不再需要物理隔离卡。

第25页RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸与安全隔离网闸是不是一回事？

答：不是一回事。安全隔离是一个逻辑隔离，防火墙就是一个逻辑隔离，所以防火墙也是一个安全隔离。有些厂商对安全隔离增加了一些特点，如采取了双主机结构，但双主机之间却是通过包来转发。不论双主机之间采取了多么严格安全检验，但只要是包转发，就存在基于包安全漏洞，存在对包攻击。这在本质上同两个防火墙串联并无本质差异。

安全隔离网闸存在哪些形式？

答：从当前已经发觉安全隔离网闸，包含以下类型：经过串口或并口来实现双主机之间包转发，经过USB或1394或firewire（火线）等方式来实现双主机之间包转发，甚至是直接经过以太线来实现双主机之间包转发，以及其它任何形式通信方式来实现双主机之间包转发如专用ASIC开关电路，ATM，Myri卡等，都是安全隔离网闸，但都不是物理隔离网闸。

怎么在技术上区分物理隔离网闸和安全隔离网闸？

答：物理隔离网闸主机之间，没有包转发，只有文件“摆渡”，没有协议存在，对固态介质只有读和写两个命令。安全隔离网闸主机之间，是采取私有协议，专用协议，有甚至是公有协议，来实现包转发，主机之间存在协议连接。怎么在技术上区分物理隔离网闸和安全信息交换系统？

答：安全信息交换系统，从物理特征上作判断，经过以太协议将三套主机按系统方式连接起来，主机之间通信可能采取了专用协议，也可能是私有协议，含有较强深度检验功效。

第26页RUN-NetGap100安全隔离与信息交换系统产品疑问解答是不是有开关就是物理隔离网闸？

答：不是。开关只是离散脉冲概念，光有离散脉冲并不是物理隔离。只要采取了TCP/IP包形式，IP包本身就是离散，TCP能够控制确保在离散基础上建立完整连接。在FTP应用中如断点续传技术就是一个例子，拨号上网掉线了，重新拨号，能够继续下载文件。经过开关将线路时断时通，并不妨碍物理连接。假如没有TCP/IP协议，只是读写文件，断开则造成读写失败。所以，物理隔离必须建立在无协议文件“摆渡”基础上，这种情况下开关才是物理隔离。

物理隔离网闸是指两个主机之间物理上是完全隔开吗？

答：不是。有些人认为，物理隔离是指两个主机之间没有物理连接，是空气断开。两个主机之间物理上隔开，并不表示是物理隔离。比如，两个主机之间经过无线连网，尽管在物理上是断开。两个主机是真空断开，也可能是连接，如卫星通信。物理隔离网闸是指两个主机之间，没有基于物理通信连接。

到底什么是物理隔离网闸？

答：物理隔离网闸，是利用双主机形式，从物理上来隔离阻断潜在攻击连接，其中包含一系列阻断特征，如没有通信连接，没有命令，没有协议，没有TCP/IP连接，没有应用连接，没有包转发，只有文件“摆渡”，对固态介质只有读和写两个命令。其结果是无法攻击，无法入侵，无法破坏。

第27页RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸阻断了全部连接，怎么交换信息？

答：计算机连网是为了信息交换和共享，但交换信息有很各种形式，连网只是其中一个。在没有互联网时代，信息照样交换。阻断了连接，完全能够经过其它形式来继续信息交换。大家比较能了解方式，如从一台连网计算机中，将数据拷贝复制，继续检验后，再拷贝复制到另外一台计算机中。其它形式如复制（拷贝），数据摆渡，镜像，反射等。

应用代理也阻断了直接连接，也是物理隔离网闸吗？

答：不是。应用代理确实阻断了网络直接连接，但不是物理隔离。因为应用代理虽说阻断了直接连接，但两个连接共享在一个主机上，存在入侵威胁。当黑客经过扫描代理主机操作系统漏洞，经过入侵代理主机本身，以代理主机为跳板，就能够利用建立代理主机和内部主机连接来进行攻击。物理隔离网闸，采取了双主机结构，两级主机之间是阻断隔离，即使黑客能够攻破外部主机，也无法入侵和攻击内部主机。

物理隔离网闸能够抵抗哪些攻击？

答：物理隔离网闸能够处理以下威胁：操作系统漏洞，入侵，基于TCP/IP漏洞攻击，基于协议漏洞攻击，木马，基于隧道攻击，基于文件攻击（可选）等。这些是互联网当前存在绝大部分主要威胁。

第28页RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸是怎样预防操作系统漏洞？

答：双主机之间是物理阻断，无连接，所以，黑客不可能扫描内部网络全部主机操作系统漏洞，无法攻击内部，包含物理隔离网闸内部主机。

物理隔离网闸是怎样预防网络入侵？

答：物理隔离网闸主机之间，无法建立连接，无法入侵。

物理隔离网闸是怎样抵抗基于TCP/IP漏洞攻击？

答：物理隔离网闸外部主机把TCP/IP协议全部剥离，以原始数据方式进行“摆渡”，所以，无法基于TCP/IP漏洞来进行攻击。一样，也无法基于UDP，ICMP，ARP等协议来进行攻击。

物理隔离网闸是怎样抵抗基于协议漏洞攻击？

答：物理隔离网闸外部主机，剥离了应用协议，以原始数据方式进行“摆渡”，所以，无法基于应用协议漏洞来进行攻击。

物理隔离网闸是怎样预防木马攻击？

答：物理隔离网闸阻断了网络全部连接，所以，没有OSI模型link层，没有TCP、UDP，ICMP，ARP等协议，等于把木马变成了死马，所以对木马攻击是免疫，不论是已知还是未知木马。

第29页RUN-NetGap100安全隔离与信息交换系统产品疑问解答物理隔离网闸是怎样预防基于隧道攻击？

答：因为没有连接，所以无法建立隧道攻击。

物理隔离网闸是怎样预防基于文件攻击？

答：物理隔离网闸在理论上是完全能够预防基于文件攻击，如病毒等。病毒普通依附在高级文件格式上，低级文件格式则不会有病毒，所以进行文件“摆渡”时候，能够限制文件类型，如只有文本文件才能够经过“摆渡”，这么就不会有病毒。但用户有时候会不方便，所以，定义为可选。另外一个方式，是剥离重组方式。剥离高级格式，就消除了病毒载体，重组后文件，不会再有病毒。这种方式会造成效率下降，一些潜在危险格式可能会被禁止，造成一些不方便，所以是可选。物理隔离网闸是中国特有吗？

答：不是。美国，以色列，俄罗斯等国家很早就要求涉密网络要采取物理隔离。俄罗斯RyJones，以色列BukyCarmeli，EladBaron，DanielSteiner等人都是该领域先驱，后者现在美国开企业。当前最大物理隔离企业当属美国Whalecommunicat