金电网安网闸

安全隔离与信息交换系统

FerryWayV2.0上海金电网安科技有限公司一、金电网安公司简介﹡公司背景﹡资质与合作伙伴﹡公司承担项目二、网络安全与隔离技术﹡网络隔离现状﹡网络安全分析﹡隔离技术的原理及其优势﹡网闸产品分类三、FerryWay产品介绍﹡FerryWay原理﹡FerryWay功能和性能一、金电网安公司介绍一、金电网安公司介绍公司背景成立于2000年11月是专业从事信息安全的高科技公司集科研、产品开发与生产、安全集成、专业服务为一体国家信息安全成果产业化（东部）基地首批入驻企业公司研发骨干力量由著名高校博士、硕士组成资质与合作伙伴是国家认定的软件企业和高新技术企业与清华、交大、浙大、解放军信息工程大学等著名高校和科研院所紧密合作中软博士后流动工作站上海分站与上海交大成立了信息与网络安全体系结构实验室资质证书公司承担项目承担了国家863、973计划重点项目科技部科技型中小企业创新基金项目国务院信息办软课题研究项目上海高新技术成果转化项目上海市科学技术委员会科研计划项目课题上海市信息化专项资金项目一、金电网安公司介绍二、网络安全与隔离技术网络隔离现状物理隔离效率低

实时性差数据缺乏安全审计人工拷贝网络隔离现状一人多个终端应用系统无法统一规划、统一管理容易造成“信息孤岛”、“网络孤岛”的现象增加工作量和资源的占用浪费影响工作人员工作效率增加了管理维护的难度和工作量网络隔离现状是国家保密局认定的一类专门的隔离产品是在吸取了以前多种隔离技术的优点并解决了各自存在的问题的基础上开发的采用多机系统结构，对内外部网络进行有效安全隔离，阻断网络直接连接，阻断通用协议贯通安全隔离与信息交换系统通常都采用基于用户的访问控制只对合法用户开放信息交换的受控通道用户要使用受控通道时，需提交并验证自己的真实身份支持多种身份验证方式网闸隔离示意图内部网络外部网络需要资源共享的服务器可以被内外网访问保证其他非资源共享主机被安全隔离使两网在安全隔离的前提下进行信息交换和信息共享隔离网闸技术原理IP包，3层IP包，3层TCP4层TCP4层5至7层5至7层数据摆渡OSI第七层外隔离网闸私有协议摆渡内部网络外部网络物理、数据链路1至2层物理、数据链路1至2层隔离网闸需具备的安全要点要具有高度的自身安全性要确保网络之间是隔离的要保证数据剥离到应用层才交换要对网间的访问进行严格的控制和检查与防火墙的主要区别隔离网闸防火墙政策归类安全隔离与信息交换防火墙功能定位安全第一，通信第二通信第一，安全第二硬件体系多机系统单机系统通信协议专用私有协议公用协议安全级别内外皆防防外网闸的分类网闸主要分为两类：“2+1”结构为基础的网闸三机架构的网闸一、金电网安公司介绍三、FerryWay产品介绍2+1系统结构内网单元、外网单元独立主板、总线及CPU控制

精简加固的安全操作系统数据剥离到应用层，彻底落地内网单元外网单元数据迁移控制单元2+1系统结构数据迁移控制单元独立硬件数据迁移逻辑，无操作系统结合专用隔离硬件，完成内外单元的数据摆渡高安全性，无法通过外部接口对隔离硬件进行驱动控制专用隔离硬件内网单元外网单元数据迁移控制单元2+1系统结构

专用隔离硬件结合专用通信协议完成应用数据迁移

TCP/IP协议彻底阻断

私有协议采用高强度加密传输算法私有协议数据迁移控制单元内网单元外网单元数据迁移数据迁移2+1系统结构内网单元独有的控制管理中心，可杜绝黑客通过外网

单元获得非法控制权限

独立的、非数据传输口的管理监控接口进行配置多种管理员登陆认证保密机制，确保登陆操作的安全管理配置内网单元外网单元数据迁移控制单元管理审计端2+1系统结构内/外网单元通过数据传输口接收应用数据拆封TCP/IP协议，剥离应用层协议，将数据还原为文件内网单元外网单元数据迁移控制单元应用数据应用数据应用预处理器应用预处理器2+1系统结构

应用控制：支持Http、Smtp、Pop3、FTP等多种主流应用协议的应用层过滤多种安全机制：数据包各层面的控制、用户名/密码认证、IP/MAC绑定等会话层控制：断开网络两端会话层连接，会话层以下攻击可直接免疫管理配置专用隔离硬件内网单元外网单元数据迁移控制单元数据迁移数据迁移控制管理中心应用数据应用数据应用预处理器应用预处理器策略控制策略控制三机系统模型基于三机系统的安全隔离与信息交换模型内部网络应用层数据仲裁应用层数据外部网络TCP/IPTCP/IPTCP/IP协议终点TCP/IP协议终点内端机仲裁机外端机专用硬件专用硬件专用协议专用协议安全隔离与信息交换系统三机架构系统模型2+1架构与三机架构比较2+1架构三机架构结构分析2主机+隔离传输卡3主机+隔离传输卡自身安全性内端机独立网口管理自身安全性高处理性能一次内部交换两次内部交换系统时延损耗较少损耗较多安全级别内外防护对称，但管理中心存在安全隐患内外防护对称产品特点专用硬件和专用通信协议在金电网安公司专用安全操作系统中嵌入专用协议和认证机制，使得设备的安全隔离；内网主机和外网主机是内部网络和外部能力大大增强；网络通用TCP/IP协议的终点，各自的网络协议在仲裁主机实现剥离和重建。产品特点应用级完全内容检测与审计采用金电网安公司专有完全内容检测模块，过滤所有交换数据，全面解析网络传输信息，通过深层次细粒度的内容过滤，预先拦截内、外网用户禁止访问的内容Ferryway完全内容检测模块HTTP协议--对流过的WEB访问进行内容检查邮件协议--对SMTP和POP3协议进行数据内容检查FTP协议--对文件访问同步进行数据检查提供审计日志产品特点强大的数据库访问和同步功能专用的入侵检测引擎、杀毒引擎、安全协议通道等技术的使用，可以使设备发现、过滤并阻塞各种已知、未知的攻击，病毒和蠕虫等恶意代码，有效保护内部网络系统的安全性。DEP产品ADEP产品CDEP产品B数据库A数据库B数据库C数据库E数据库D隔离器日志审计功能06功能模块安全上网模块05数据库同步模块04文件同步模块03安全邮件模块02受控通道01功能模块-受控通道

内外网间的信息交换全部要通过预先建立的受控安全通道来进行该安全通道完全置于仲裁机的控制之下在建立的安全通道上可以设定各种安全策略，以规定具体控制方式受控安全通道可支持多种工作模式，适应于不同的场合功能模块-安全上网模块支持HTTP协议及代理等;支持访问控制对象：源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等支持关键字过滤、脚本过滤：支持其他过滤策略：文件类型、页面提交方式等;支持用户名/密码认证方式功能模块-安全邮件模块功能模块-文件同步模块基于专用客户端提供安全的文件同步功能，占用系统资源少，文件交换效率高，不会频繁的进行磁盘扫描支持windows平台和linux平台同步传输方向可控，双向或单向支持实时扫描传输支持一对多或多对一传输支持目录内子目录同步，至多支持32级目录支持中文文件名或目录同步功能模块-文件访问模块提供安全的文件传输功能，支持FTP等文件传输协议支持用户名/密码认证支持用户名/IP-MAC绑定

功能模块-数据库同步模块基于专用客户端与网闸安全连接方式，提供多种主流数据库（SQLS、ORACLE、DB2、SYBASE等）的单、双向数据交换支持异构数据结构以及代码语义的转换规则定义，并实现源数据到目标数据之间的实时数据交换，支持数据整合业务支持各种数据库操作以及对数据库的操作时间等限制采用XML技术，具有可配置性。可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义功能模块-数据库同步模块功能模块-日志审计功能

日志审计功能可以完成系统活动、网络连接的记录；并且对得到的日志进行分析、统计和导出。网闸所适合的网络◆分支机构与总部网络之间的安全隔离