1.
StoneWall-2000網絡安全隔離設備(反向型)的基本功能和特性
3.1基本功能
Ø 具有基于非對稱加密算法(1024位RSA)數字簽名和驗證功能
Ø 通過自動調用殺毒軟件查殺病毒
Ø 通過對文本數據進行全角檢查��、對二進制數據進行病毒粉碎�����,進一步防毒
Ø 在配套軟件的配合下�����,實現可信數據由外網到內網的自動或手動傳輸
Ø 自動傳遞的文件任務可定制����,支持更新檢查、增量發送
Ø 任務發送情況有日志記錄�����,可隨時查閱
Ø 支持透明連接��。網絡安全隔離設備(反向型)接入網絡,無需對網絡的結構及設置做任何改動
Ø 支持狀態檢測功能
Ø 支持地址綁定功能��,可以有效阻止非法用戶盜用合法用戶的IP地址
Ø 支持雙向地址轉換功能����,可以在保障自身網絡安全的前提下向外提供服務
Ø 支持雙機熱備功能
Ø 支持日志審計功能,方便管理員的工作����,加強網絡的安全性
Ø 優化、加固的系統內核
Ø 在操作簡便和安全穩定之間達到了完美和平衡
3.2 StoneWall-2000網絡安全隔離設備(反向型)特性
安全可靠
StoneWall-2000建立在具有自主知識產權的安全操作系統基礎上�����。通過對操作系統內核的大規模裁減����,剔除不安全模塊,大大加強了系統內核的安全性和抗攻擊能力,而且操作系統固化在隔離設備中�����,避免了因操作系統故障而導致設備工作異常��。
StoneWall-2000網絡安全隔離設備(反向型)功能比較全面����,具有任務定制、文件名模式匹配��、狀態檢測功能�����、地址綁定功能�����、雙向地址轉換功能�����、雙機熱備功能�����、日志審計功能等�����,而且由于StoneWall-2000網絡安全隔離設備(反向型)使用透明接入方式�����,是一般用戶在正常操作時感覺不到設備的存在,這樣既不影響網絡的工作效率��,又保證了更高的安全性�����。
高速穩定
StoneWall-2000網絡安全隔離設備(反向型)采用高速處理器��,保證了硬件平臺的高速運轉�����,操作系統經過適當裁減和安全加固��,保證了軟件平臺的穩定運行��,再加上百兆以太網模塊����,這些條件保證了高速穩定的網絡傳輸。
硬件數據流向控制
經過網絡安全隔離設備(反向型)的數據流向控制是通過特有的硬件實現的硬控制��,數據只能有外網流向內網����,保證內部系統的安全;
具有內外網絡接口通信狀態指示燈
高強度的抗攻擊能力
處于內網和外網通信唯一通路上的網絡安全隔離設備(反向型)無形中成為黑客攻擊的首要目標��,要保護內網的安全����,首先要保證網絡安全隔離設備(反向型)具有較強的抗攻擊能力,網絡安全隔離設備(反向型)采用非INTEL(及兼容)雙微處理器�����,減少被病毒攻擊的概率����,采用自主版權的操作系統內核,取消所有網絡功能�����,而且設備本身沒有IP地址����,使得黑客攻擊無從下手。
嵌入式病毒查殺
在發送文件時��,發送端軟件調用本地安裝的殺毒軟件的殺毒引擎對文件進行掃描并查殺病毒。通過病毒檢查后的文件��,才會由發送端軟件發送到內網�����,保證內網的安全��。通過升級本地殺毒軟件��,保證病毒檢查查殺病毒的能力��。
數字簽名驗證技術
反向型隔離設備保留了正向隔離設備綜合過濾功能�����,確保內網的安全�����。在此基礎上�����,通過綜合過濾的報文��,需要通過StoneWall-2000反向型網絡安全隔離設備的數字簽名驗證,才可以通過反向隔離設備進入內網��,這種數字簽名采用非對稱數字加密技術(1024bit RSA算法)��,可以防止非法用戶假冒合法用戶向內網發送文件�����。
配套軟件在發送數據時自動添加數字簽名�����。
雙字節轉換及檢查技術
通過數字簽名驗證的文本報文�����,需要通過StoneWall-2000網絡安全隔離設備(反向型)的雙字節檢查��,才能最終進入內網����,通過雙字節檢查�����,可以保證進入內網的數據為純文本數據,而且這種文本數據中的腳本數據也是不能運行的全角數據��,可以防止病毒進入內網�����。
病毒粉碎技術
發送端軟件在發送二進制文件數據時,自動在數據報的特定位置依據專門的算法插入破壞字節以破壞病毒的結構�����。在StoneWall-2000反向網絡安全隔離設備上�����,通過數字簽名驗證的二進制數據報文�����,才能進入內網絡����。進入內網的報文將被以二進制文件格式存放,接收端的應用程序用專用的API函數讀出讀取二進制文件��,去掉其中的破壞字節,并直接使用該數據進行運算�����,通過對相應字節的校驗����,可以檢測出文件是否在內網側被病毒感染過�����。病毒粉碎技術保證病毒進入內網時已經在結構上被破壞掉�����,無法工作�����。
配置簡單
StoneWall-2000網絡安全隔離設備(反向型)配置非常簡便��,對它的操作及設置都可以通過使用規則配置管理工具及配套文件傳輸程序實現��。StoneWall-2000網絡安全隔離設備(反向型)提供了兩種不同的規則配置管理工具:GUI管理工具�����、CLI管理工具,配套文件傳輸程序包括:文件發送端程序�����、文件接收端程序�����。
規則管理工具(GUI)是本產品的專用配套程序��。該管理器具有界面友好直觀�����、功能齊全��、通俗易懂等特點��,可以運行于Microsoft Windows9X/Me/2000/XP環境下��。管理工具如下圖所示:
CLI命令行方式是指使用設備提供的Console接口進行本地管理�����。該管理工具具有最高的安全級別,但相應的對管理員的要求比較高�����。管理工具的界面如下:
使用方便
我們為用戶提供配套軟件��,實現可信數據以文件形式由外網到內網的自動或手動傳遞��,該軟件充分考慮用戶的需要����,提供盡可能簡便的操作��,通過該軟件用戶可以定制自動發送文件的任務��,定義任務文件名的模式匹配�����,實現文件的自動發送����,并對文件的發送情況進行日志記錄,用戶可以通過查閱日志記錄����,了解定制的任務的執行情況����,同時��,又為用戶提供手動發送文件的功能�����,保證用戶發送文件的需要能夠及時�����,可靠的完成����。
配套軟件如下圖所示:
接收端軟件:
發送端軟件
試用防止穿透性連接
StoneWall-2000做到了禁止通過穿越安全區的穿透性訪問,同時也禁止穿越安全區的E-MAIL��、WEB����。
真正支持透明接入
StoneWall-2000網絡安全隔離設備(反向型)真正做到了透明接入,即無論使用任何功能����,對正常使用網絡的合法用戶來說設備是不可感知的��。
2.StoneWall-2000網絡安全隔離設備(反向型)接口設計說明
4.1型號
StoneWall-2000網絡安全隔離設備(反向型)
4.2系統組成
設備(硬件):是一個高速穩定的硬件平臺和安全加固的操作系統的完美結合體
配置管理工具(軟件):StoneWall-2000提供了兩種管理工具:GUI和CLI�����。用于對隔離設備的配置和管理�����。
配套應用程序(軟件):文件發送端程序��,文件接收端程序����。
4.3接口配置
兩個CONSOLE口
兩個10/100Base-TX
一個220V/50HZ電源插座
一個電源開關
4.4接口規范
網絡接口:10/100BaseTX
CONSOLE接口:RS232C�����,19200-8-N-1
4.5電氣性能
a) 電源
220V/50HZ
b) 環境規范
運行溫度:0℃ -- 40℃
操作濕度:10% -- 90%@40攝氏度�����,非冷凝
4.6參考的安全規范和標準
UL 1950
EN 41003
AS/NZS 3260
AS/NZS 3548 Class A
CSA Class A
FCC Class A
EN 60552-2
VCCI(ClassII)
4.7抗干擾性
IEC-1000-4-2 (ESD)
IEC-1000-4-3 (輻射敏感性)
IEC-1000-4-4 (電快速瞬變)
IEC-1000-4-5 (電涌)
IEC-1000-4-6 (諧波)
4.8幾何尺寸
尺寸:標準1U機箱
重量:3kg
3.StoneWall-2000網絡安全隔離設備(反向型)的性能指標
MTBF:30000小時
安全規則效率:網絡安全隔離設備(反向型)可支持多達1000條規則的定義����。在網絡安全隔離設備(反向型)加載200條規則的情況下,對網絡的速率無明顯影響�����。但應指出��,在規則大數量增加的情況下��,設備的效率會有所降低��。
定制任務數量:配套程序最多可支持1024項任務��。
有效數據傳輸效率:20Mbps
吞吐量:30Mbps
6. StoneWall-2000網絡安全隔離設備(反向型)的安全機制
6.1特殊的物理結構和安全島技術
StoneWall-2000使用雙機結構�����,通過連接雙機的非網絡設備而實現的安全島技術將受保護網絡從物理上隔離開來����。
網絡安全隔離設備(反向型)通過開關切換及數據緩沖設施來進行數據交換。開關的切換使得在任何時刻兩個網絡沒有直接連通����,而數據流經網絡安全隔離設備(反向型)時TCP/IP協議被終止����,防止了利用協議進行攻擊��,在某一時刻網絡安全隔離設備(反向型)只能連接到一個網絡����。
網絡安全隔離設備(反向型)作為代理從外網的網絡訪問包中抽取出數據然后通過數據緩沖設施轉入內網,完成數據中轉�����。在中轉過程中��,網絡安全隔離設備(反向型)會對抽取的數據報文的IP地址��、MAC地址�����、端口號��、連接方向實施綜合過濾控制����,然后對通過上述過濾的報文進行簽名驗證,對驗證通過得報文進行雙字節檢查����,只有滿足上述所有要求的報文才可以通過網絡安全隔離設備(反向型)。由于網絡安全隔離設備(反向型)采用了獨特的開關切換機制��,因此��,在進行檢查時網絡實際上處于斷開狀態��,只有通過嚴格檢查的數據才有可能進入內網����,即使黑客強行攻擊了網絡安全隔離設備(反向型),由于攻擊發生時內外網始終處于物理斷開狀態�����,黑客也無法進入內網����。
網絡安全隔離設備(反向型)在實現物理隔斷的同時允許可信網絡和不可信網絡之間的數據和信息的安全交換。由于網絡安全隔離設備(反向型)僅抽取合法數據交換進內網�����,因此,內網不會受到網絡層的攻擊����,這就在物理隔離的同時實現了數據的安全交換。
6.2數據包的綜合過濾技術
StoneWall-2000網絡安全隔離設備(反向型)對于數據包要進行IP/MAC/PORT的綜合過濾�����,只有滿足條件的數據包才有可能可以通過隔離設備����。
6.3數字簽名驗證技術
通過綜合過濾的報文,需要通過StoneWall-2000網絡安全隔離設備(反向型)的數字簽名驗證��,才有可能可以通過隔離設備進入內網��,這種數字簽名采用非對稱數字加密技術����,可以防止非法用戶假冒合法用戶向內網發送文件。
6.4雙字節檢查技術
通過數字簽名驗證的報文�����,需要通過StoneWall-2000網絡安全隔離設備(反向型)的雙字節檢查����,才能最終進入內網,通過雙字節檢查����,可以保證進入內網的數據為純文本數據,而且這種文本數據中的腳本數據也是不能運行的全角數據�����,可以防止病毒進入內網�����。
點擊圖片查看原圖
