《伟思网闸技术说明》由会员分享,可在线阅读,更多相关《伟思网闸技术说明(5页珍藏版)》请在金锄头文库上搜索。
1、伟思信安安全隔离与信息交换系统 系统可靠性 系统可用性 安全功能 系统管理 应用支持 产品规格产品特点ViGap是一款面向大型网络的安全隔离系统,为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护,并在可控状态下实现内部网络或服务器与外界的实时(适度)信息交换。采用独特的“21”安全体系架构,通过基于 ASIC芯片技术设计的专用隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。采用高性能和多条流水线设计的 ASIC芯片为基础建立的全新硬件隔离架构,拥有全线速隔离交换性能,满足大型网络应用
2、所面对大用户量、低延时访问的需求。在核心的 GAP电子开关隔离芯片上采用了含 TRUE LVDS功能强大的 APXII系列 EP2A70作为 FPGA设计硬件基片,该芯片具有 500万门电路以及多路 Giga位的通道,支持内部高达 1060个硬件 I/Os通道,使得电子开关具有高速的数据传输能力和并发处理能力。 充分考虑关键应用对可靠性、可用性的要求,独家采用负载均衡技术以及基于应用协议连接资源保护的 QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证 采用无协议的“GAP Reflective”,GAP 隔离反射技术实现开放网络通讯协议的剥离与重组,有效阻断来自网络
3、层及服务器 OS层的各类已知/未知攻击,弥补其它安全技术对网络未知攻击的防御盲区。广泛支持各类通用应用协议(HTTP、FTP、SMTP、DNS、SQL 等),包括支持视频会议、流媒体以及 VPN等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。采用专利技术的应用层安全防御系统,ViGap300 特别针对广泛应用的WEB、EMAIL 和 FTP等服务采用专利技术 WebApplication?,实现了全面应用层安全防护,可防止 WEB溢出漏洞、Unicode 漏洞、Inject 攻击、Cookie 中毒、恶意 JaveScript、ActiveX 控件甚至 CGI脚本等各类应用层
4、安全风险。智能化攻击识别与过滤,ViGap300 采用先进的应用层协议分析技术智能识别并过滤大量基于应用层协议的攻击行为,ViGap300 提供目前市场上丰富的协议分析模块,全面防护各类应用系统安全风险,包括:HTTP、FTP、SMTP、POP3、IMAP、DNS 等数十种协议分析模块。产品功能介绍系统可靠性双机热备功能 ViGap300 系列产品针对大型网络的应用提供了双机热备份功能,实现系统的稳定可靠运行。通过内置的双机热备系统,连接在同一个网络内的多台 ViGap300设备可以建立双机热备机制,并通过虚拟 IP统一对外提供服务。从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设
5、备将立即接管并继续提供服务。结合 ViGap300独有的状态检测系统,管理员能够迅速发现设备故障并作出处理。系统工作状态检测与报警 ViGap300 系列采用基于工业控制系统的架构设计,具备良好的稳定性。并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进行检查,并将系统状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并作出响应。 同时,ViGap300 系列软件系统采用了先进的自愈技术,当故障发生时可迅速命令系统重启恢复到正常工作状态。系统可用性ViGap300系列为满足高性能的网络处理而设计,因此,必须支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处
6、理系统、内存以及接口以外,ViGap300系列还设计了最大支持 32台设备的负载平衡系统来实现高可用性。 ViGap300系列的负载平衡系统通过仲裁网络流量方式实现流量在 ViGap300集群中的平均分配,从而将处理性能大幅提升。安全功能网络隔离功能 ViGap300 系列具有网络隔离功能,通过基于 ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击。IDS入侵检测功能 ViGap300 系列在设备两端内置了 IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与 ViGAP隔离系统实现内部联
7、动对可疑数据包采取拒绝连接的方式防御攻击。SAT(服务器地址映射)功能 ViGap300 系列具备完善的 SAT功能,可信端服务器可通过 SAT功能将自身的特定服务虚拟映射到 ViGap300系列的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。身份认证功能 不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。ViGap300 系列除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的 Radius、PKI 数字证书、SecureID等多种强身份
8、认证功能。 安全代理服务功能 ViGap300 系列允许可信端用户以应用代理方式访问不可信网络,ViGap300 系列作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的 NAT方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。AI安全过滤功能 应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。ViGap300 系列产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击。ViGap300 系列在
9、AI功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。防病毒功能 系统内嵌防病毒引擎,可实现对内外网摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过 HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀,支持包括 HTTP、SMTP、POP3 协议的网关级病毒过滤。内容及格式检测功能 ViGap300 系列具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP 文件等具有
10、安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵。VPN通讯安全 ViGap300 系列对受保护 WEB服务器提供内置的 SSL VPN加密通讯机制,建立客户端与虚拟服务端口间的 SSL加密 VPN链路,实现通讯安全。该加密方式无需修改客户端设置,透明实现客户端与服务器端的加密通讯。WEB站点保护功能 目前大量应用基于 B/S架构开发,WEB 服务成为了越来越通用的服务,然而 WEB服务器的大量漏洞也时时威胁着应用系统的安全。ViGap300系列全面分析了来自 WEB服务的漏洞,建立了 WEB站点保护系统WebAppliaction?,全面抵御黑客对用户对外 WEB、MAIL 以及 FTP
11、系统服务系统发动的攻击。包括:Cookie 安全签名、URL 字段细粒度过滤、输入参数检测、操作系统屏蔽、Webservice 函数、CGI 调用函数、特别针对 WEB的 IDS检测、文件目录及文件访问控制等功能。系统管理轻松管理 ViGap300 系列安全管理架构允许管理员将多个隔离与信息交换系统设备部署到任何位置上并对其进行集中式管理。一旦创建或修改了策略,它就被自动分发到规则指定的所在位置。良好的用户界面 ViGap300 系列提供了一个良好的用户界面,以树型结构组织对象,可在所有规则中共享所有的对象定义(例如:用户、主机、网络和服务等等),以便进行有效的策略创建和安全管理。丰富的日志及
12、审计 ViGap300 系列管理平台能够监控并记录 ViGap300 系列产品的系统状态。全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息。应用支持安全上网 ViGap300 系列支持用户安全上网应用,可根据身份认证、IPMAC 绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。数据库应用 ViGap300 系列全面支持各种类型的数据库应用,支持 Oracle、MS SQL、MySQL、SyBase 等主流的数据库的 SQL查询,支持全表复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。网络应用 ViGa
13、p300 系列支持各类 TCP/IP以上的网络应用协议,无需二次开发。包括:HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP 等等。支持用户自定义开发的特殊应用协议。同时,针对用户特殊需求 ViGap300系列提供 API应用开发接口。产品规格硬件规格: 尺寸规格:标准 2U 机架式 重量:15KG 电压:100240V,4763HZ 功率:300W 操作环境:5 50 环境湿度:595系统接口: 网络接口:4 个 10/100Mbps RJ45 以太网接口,2 个 1000M 光纤模块接口(ViGAP300D) 系统控制:DB9 针 RS232 串行通讯接口 系统显示:内置液晶显示面板、2 个网络连接 LED 指示灯安全及电磁标准: CB to IEC 60950:1999, 3rd edition TUV GS mark toEN60950: 2000 TUV C-US to UL60950: 2000 CAN/CSA-C22.2;No 60950: 2000 FCC Class B, VCCI Class B, CE class B
