1、北京锐安科技有限公司北京锐安科技有限公司 RUN-NetGap100 安全隔离与信息交换系统 (简称“网闸”)产品简介产品简介RUN-NetGap100安全隔离与信息交换系统产品简介产品简介RUN-NetGap100安全隔离与信息交换系统(简称“网闸”)是北京锐安科技有限公司研制的新一代安全隔离产品。它通过对网络通信进行完整采集、深层解析、应用重建,实现内外网络在相互隔离的基础上进行数据交换,确保可靠安全的通信。RUN-NetGap100安全隔离与信息交换系统产品功能产品功能安全隔离安全隔离:本系统在网络通信中的协议、应用、内容等各个层面真正做到隔离,确保用户信息系统安全。信息交信息交换换:本
2、系统实现 HTTP、FTP、邮件、数据库等内外网之间的安全交换。网网络访问络访问控制控制:可通过订制访问策略,精细地控制谁(网络对象)在什么情况下(场景)能够(允许或禁止)以何种方式访问(应用)谁(被访问对象)。应应用内容控制用内容控制:本系统可控制 HTTP、FTP、邮件、数据库等应用内容的控制,并可自定义应用控制。RUN-NetGap100安全隔离与信息交换系统产品优势产品优势高安全性高安全性:采用专有安全操作系统,没有TCP/IP协议栈,所有功能由专有硬件及软件实现,系统剥离了易受攻击的TCP/IP协议,保证系统的高安全性。高吞吐率高吞吐率:采用专用的流处理芯片(FPU)进行网络流的解析
3、与重建,提升系统的吞吐能力。高便利性高便利性:完全在透明模式下工作,用户无需更改任何网络设置即可将安全隔离器与现有软硬件系统迅速集成。管理管理简简便便:管理后台与安全隔离器的通信采用底层私有网络协议,在不依赖IP地址的前提下实现设备自动发现。灵活定制灵活定制:对于用户自己研发的、非标准通信,可借助我公司协议分析产品,从而轻松支持非标准协议。RUN-NetGap100安全隔离与信息交换系统应用方案应用方案(安全隔离与信息交换系统应用方案图)RUN-NetGap100安全隔离与信息交换系统产品特性产品特性项目项目描述描述名称产品名称:安全隔离与信息交换系统产品型号:RUN-NET GAP 100版
4、本号信息:Build 1.702形态双主机构架,专有安全通道进行数据通信接口外网接口*1 10M/100Mbps RJ-45内网接口*2 10M/100Mbps RJ-45Console接口*1 10M/100Mbps RJ-45OS类型、版本自主研发的安全操作系统,无网络通信功能,无法从外界写入信息升级方式依据产品特性进行升级服务,具体升级周期与方式不限通过的测评通过公安部检测,编号为:RUN-NetGap100安全隔离与信息交换系统产品功能产品功能 产品通过公安部检测;具有自主知识产权;采用自主、安全可靠的专有操作系统;纯透明处理,不影响网络拓扑;在确保安全隔离的情况下进行适度信息交换;内
5、外网无法进行通畅的TCP/IP会话;严格控制内外网的信息交换,强大的信息过滤功能;支持HTTP、FTP、POP3、SMTP通讯;支持常见数据库通讯;对支持的应用进行深度内容解析,可控制协议版本、命令、参数、内容等信息;GUI方式管理;安全的用户角色划分;完善的日志记录及查询审计功能;强大的扩展能力;RUN-NetGap100安全隔离与信息交换系统详细功能指标详细功能指标类别类别子类子类技术指标技术指标业务功能内外网间不建立TCP/IP会话安全隔离与信息交换系统采用双主机构架,内外网主机间采用专有安全通道进行纯数据传输,内外网间无法建立通畅的TCP/IP会话纯透明处理安全隔离与信息交换系统对网络
6、应用进行纯透明处理,以透明方式介入,无需更改用户网络拓扑网络访问控制用户可定制不同的访问策略,以控制内外网络间的访问,可依据多种元素如MAC、IP、协议、端口等信息进行网络访问控制单向访问控制安全隔离与信息交换系统允许用户控制访问的方向RUN-NetGap100安全隔离与信息交换系统详细功能指标详细功能指标类别类别子类子类技术指标技术指标应用层深度解析安全隔离与信息交换系统对所支持的应用进行应用层的深度内容解析应用协议命令控制安全隔离与信息交换系统可对所应用支持的协议进行协议命令的控制协议命令参数控制安全隔离与信息交换系统可对所应用支持的协议进行命令参数的控制应用协议版本控制安全隔离与信息交换
7、系统可对所应用支持的协议进行协议版本的控制应用内容过滤安全隔离与信息交换系统能够进行应用层的内容过滤RUN-NetGap100安全隔离与信息交换系统详细功能指标详细功能指标类别类别子类子类技术指标技术指标域名解析与控制安全隔离与信息交换系统能够进行域名解析与控制HTTP控制支持HTTP应用安全隔离与信息交换系统支持HTTP协议,允许用户通过安全隔离与信息交换系统进行HTTP访问HTTP版本控制安全隔离与信息交换系统允许用户控制HTTP协议版本HTTP命令控制安全隔离与信息交换系统允许用户控制HTTP协议命令URL控制安全隔离与信息交换系统允许用户控制URL文件类型过滤安全隔离与信息交换系统允许
8、用户控制通过HTTP协议传输的文件类型关键字过滤安全隔离与信息交换系统允许用户过滤HTTP通信的特定关键字RUN-NetGap100安全隔离与信息交换系统详细功能指标详细功能指标类别类别子类子类技术指标技术指标FTP控制支持FTP应用安全隔离与信息交换系统支持FTP协议,允许用户通过安全隔离与信息交换系统进行FTP访问。FTP动态端口安全隔离与信息交换系统支持主被动FTP传输,支持动态端口FTP命令控制安全隔离与信息交换系统允许用户控制FTP协议命令命令参数控制安全隔离与信息交换系统允许用户控制FTP协议命令的参数文件类型过滤安全隔离与信息交换系统允许用户控制通过FTP协议传输的文件类型关键字
9、过滤安全隔离与信息交换系统允许用户过滤FTP通信的特定关键字RUN-NetGap100安全隔离与信息交换系统详细功能指标详细功能指标类别类别子类子类技术指标技术指标邮件控制支持邮件应用安全隔离与信息交换系统支持POP3、SMTP协议,允许用户通过安全隔离与信息交换系统收发邮件邮件命令控制安全隔离与信息交换系统允许用户控制POP3、SMTP协议命令命令参数控制安全隔离与信息交换系统允许用户控制POP3、SMTP协议命令的参数数据库控制支持数据库应用支持常见的基于结构化查询语言的数据库,如ORACLE、MS SQL等动态端口支持ORACLE的动态端口通信数据库命令控制安全隔离与信息交换系统允许用户
10、控制各种数据库协议命令命令参数控制安全隔离与信息交换系统允许用户控制数据库协议命令的参数RUN-NetGap100安全隔离与信息交换系统详细功能指标详细功能指标类别类别子类子类技术指标技术指标管理功能设备工作状态可定制用户可定制不同的访问策略图形化管理用户可以图形化界面管理隔离设备多用户管理系统采用多用户的管理方式,管理者可创建不同的帐户并设定帐户的权限及有效期权限分立安全隔离与信息交换系统可设置不同的用户具备不同的权限网络对象及分组管理安全隔离与信息交换系统可管理网络对象并进行分组化管理业务通信定制安全隔离与信息交换系统定制网络业务通信安全通道管理安全隔离与信息交换系统可管理内外网交换数据的
11、安全通道RUN-NetGap100安全隔离与信息交换系统详细功能指标详细功能指标类别类别子类子类技术指标技术指标场景化的策略应用安全隔离与信息交换系统采用时间化的规则应用方式日志记录/查询安全隔离与信息交换系统可记录/查询多种日志信息,如系统日志、成功日志、报警日志等报表与审计具备日志审计功能并可生成报表日志转存可将日志转存至别处扩展功能扩展至千兆可通过硬件升级实现带宽的增长多机热备可扩展多机热备负载均衡可扩展多机负载均衡RUN-NetGap100安全隔离与信息交换系统技术指标技术指标类别类别技术指标技术指标吞吐量安全隔离与信息交换系统的内部数据交换率达到360Mbps,百兆带宽的网络出口的吞
12、吐量为86Mbps。最大并发连接数安全隔离与信息交换系统建立的最大TCP并发虚拟连接数不少于15000。系统延迟安全隔离与信息交换系统正常情况下数据延迟小于1毫秒。工作环境工作温度:0 45 摄氏度(32 113 华氏度)存储温度:-40 65 摄氏度(-40 149华氏度)工作湿度:8 85,非冷凝存储湿度:5 95,非冷凝RUN-NetGap100安全隔离与信息交换系统技术指标技术指标类别类别技术指标技术指标电源指标输入电压:100/240V AC输入频率:50/60 Hz电源功耗:400 W平均无故障时间安全隔离与信息交换系统的平均无故障时间大于45000小时电磁屏蔽IEC100042(
13、ESD)IEC100043(辐射敏感性)IEC100044(点快速瞬变)IEC100045(电涌)IEC100032(谐波)RUN-NetGap100安全隔离与信息交换系统参考的安全规范及标准参考的安全规范及标准 UL 1950 EN 41003 AS/NZS 3260 AS/NZS 3548 Class A CSA Class A FCC Class A EN 60555-2 VCCI(ClassII)RUN-NetGap100安全隔离与信息交换系统系统硬件指标系统硬件指标网络接口:网络接口:三个10/100M自适应网卡接口。外设接口:外设接口:终端接口规格:规格:(长宽高):481.244
14、9.588毫米(1917.74英寸)。材料:材料:重负荷钢。指示器:指示器:LED电源指示灯,HDD硬盘指示灯,网卡状态指示灯。重量:重量:9.8千克(21.8磅)。工作温度:工作温度:060C。工作湿度:工作湿度:最大相对湿度5%-95%,不结露。机箱使用的电源:机箱使用的电源:220V交流电。RUN-NetGap100安全隔离与信息交换系统硬件安装硬件安装图图1 RUN-Net-GAP背面板示意图背面板示意图RUN-NetGap100安全隔离与信息交换系统硬件安装硬件安装图图2 网间隔离安装示意图网间隔离安装示意图RUN-NetGap100安全隔离与信息交换系统硬件安装硬件安装图图3服务器
15、保护安装示意图服务器保护安装示意图RUN-NetGap100安全隔离与信息交换系统详细技术参数详细技术参数参数项目参数项目标准型标准型备注备注性能指标1.1 吞吐量95单位:Mbps1.2 网络用户数量10241.3 并发连接数10万 1.4 策略数量10241.5 MTBF 10平均无故障时间(单位:万小时)产品规格2.1 外形尺寸50X43X9单位:cm2.2 重量16Kg接口指标3.1 网络接口410/100MB3.2 控制接口2RS232(115200)环境要求4.1 温度0-604.2 相对湿度10-90%4.3 冲击300m/S电源要求5.1 电流2-4A5.2 电压220V5.3
16、 频率50-60Hz5.4 功率250WRUN-NetGap100安全隔离与信息交换系统产品功能参数产品功能参数功能项目功能项目说明说明应用模块1.1 WEB 浏览WEB网页,可防止无界浏览1.2 MAIL收发电子邮件1.3 FTP接收电子邮件1.4 FileExchange私有文件交换服务1.5 My SQL支持所有版本,可控制SQL语句动作1.6 SQL Server6.5版本以上,可控制SQL语句动作1.7 OracleOracle 8i以上版本,可控制SQL语句动作1.8 MMSMicrosoft 媒体格式身份鉴别2.1 OTP用户名+口令认证方式2.2 数字证书X.509证书文件RU
17、N-NetGap100安全隔离与信息交换系统产品功能参数产品功能参数功能项目功能项目说明说明管理方式3.1 GUI人性化图形化管理界面内容检查4.1 URL过滤URL地址过滤4.2 HTTP过滤脚本、控件、关键字过滤4.3 邮件内容过滤主题、正文关键字过滤4.4 邮件附件过滤禁止附件、附件内容过滤4.5 病毒检查支持第三方病毒服务器4.6 文件类型过滤过滤指定的文件类型主机安全5.1 DDos支持内外网抗DDOS攻击RUN-NetGap100安全隔离与信息交换系统产品疑问解答产品疑问解答物理隔离网闸需要哪些物理隔离网闸需要哪些“许可证许可证”?答:根据我国计算机网络安全管理的规定,物理隔离网闸
18、需要取得公安部、国家保密局和中国信息安全测评认证中心的安全产品的测评认证证书。在此基础上,进入军事领域,还需要军队测评认证中心的认证证书。物理隔离网闸是硬件还是软件解决方案?物理隔离网闸是硬件还是软件解决方案?答:物理隔离网闸包含两个独立的主机系统和一套固态开关读写介质系统,属于硬件解决方案。但是物理隔离可以通过模块定制来满足行业个性化的需求。物理隔离网闸是不是防火墙的一种?物理隔离网闸是不是防火墙的一种?答:物理隔离网闸不是防火墙的一种。就像路由器中也带有访问控制的功能一样,但路由器不是防火墙的一种。防火墙是检查设备;物理隔离网闸是隔离设备。防火墙的逻辑是在保证连接连通的情况下尽可能安全;物
19、理隔离的逻辑则是如果不能保证安全的情况下则断开。物理隔离网闸与物理隔离卡是不是一回事?物理隔离网闸与物理隔离卡是不是一回事?答:不是一回事。物理隔离卡是物理隔离的低级实现形式,一个物理隔离卡只能管一台个人计算机,甚至只可能在Windows环境下工作,每次切换都需要开关机一次。物理隔离网闸是物理隔离的高级实现形式,网闸可以管理整个网络,不需要开关机。网闸实现后,原则上不再需要物理隔离卡。RUN-NetGap100安全隔离与信息交换系统产品疑问解答产品疑问解答物理物理隔离网闸与安全隔离网闸是不是一回事?隔离网闸与安全隔离网闸是不是一回事?答:不是一回事。安全隔离是一种逻辑隔离,防火墙就是一种逻辑隔
20、离,因此防火墙也是一种安全隔离。有些厂商对安全隔离增加了一些特点,如采用了双主机结构,但双主机之间却是通过包来转发的。无论双主机之间采用了多么严格的安全检查,但只要是包转发,就存在基于包的安全漏洞,存在对包的攻击。这在本质上同两个防火墙串联并无本质的差别。安全隔离网闸存在哪些形式?安全隔离网闸存在哪些形式?答:从目前已经发现的安全隔离网闸,包括以下类型:通过串口或并口来实现双主机之间的包转发,通过USB或1394或firewire(火线)等方式来实现双主机之间的包转发,甚至是直接通过以太线来实现双主机之间的包转发,以及其他任何形式的通信方式来实现双主机之间的包转发如专用ASIC开关电路,ATM
21、,Myri卡等,都是安全隔离网闸,但都不是物理隔离网闸。怎么在技术上区分物理隔离网闸和安全隔离网闸?怎么在技术上区分物理隔离网闸和安全隔离网闸?答:物理隔离网闸的主机之间,没有包转发,只有文件“摆渡”,没有协议存在,对固态介质只有读和写两个命令。安全隔离网闸的主机之间,是采用私有协议,专用协议,有的甚至是公有协议,来实现包转发,主机之间存在协议连接。怎么在技术上区分物理隔离网闸和安全信息交换系统?怎么在技术上区分物理隔离网闸和安全信息交换系统?答:安全信息交换系统,从物理特征上作判断,通过以太协议将三套主机按系统方式连接起来,主机之间的通信可能采用了专用协议,也可能是私有协议,具有较强的深度检
22、查功能。RUN-NetGap100安全隔离与信息交换系统产品疑问解答产品疑问解答是不是有开关就是物理隔离网闸?是不是有开关就是物理隔离网闸?答:不是。开关只是离散脉冲的概念,光有离散脉冲并不是物理隔离。只要采用了TCP/IP包的形式,IP包本身就是离散的,TCP可以控制保证在离散的基础上建立完整的连接。在FTP的应用中如断点续传技术就是一个例子,拨号上网掉线了,重新拨号,可以继续下载文件。通过开关将线路时断时通,并不妨碍物理的连接。如果没有TCP/IP协议,只是读写文件,断开则导致读写失败。因此,物理隔离必须建立在无协议的文件“摆渡”的基础上,这种情况下的开关才是物理隔离。物理隔离网闸是指两个
23、主机之间物理上是完全隔开的吗?物理隔离网闸是指两个主机之间物理上是完全隔开的吗?答:不是。有些人认为,物理隔离是指两个主机之间没有物理连接,是空气断开的。两个主机之间物理上隔开,并不表示是物理隔离。例如,两个主机之间通过无线连网,尽管在物理上是断开的。两个主机是真空断开,也可能是连接的,如卫星通信。物理隔离网闸是指两个主机之间,没有基于物理的通信连接。到底什么是物理隔离网闸?到底什么是物理隔离网闸?答:物理隔离网闸,是利用双主机形式,从物理上来隔离阻断潜在攻击的连接,其中包括一系列的阻断特征,如没有通信连接,没有命令,没有协议,没有TCP/IP连接,没有应用连接,没有包转发,只有文件“摆渡”,
24、对固态介质只有读和写两个命令。其结果是无法攻击,无法入侵,无法破坏。RUN-NetGap100安全隔离与信息交换系统产品疑问解答产品疑问解答物理隔离网闸阻断了所有的连接,怎么交换信息?物理隔离网闸阻断了所有的连接,怎么交换信息?答:计算机连网是为了信息交换和共享,但交换信息有很多种形式,连网只是其中的一种。在没有互联网的时代,信息照样交换。阻断了连接,完全可以通过其他形式来继续信息交换。大家比较能理解的方式,如从一台连网的计算机中,将数据拷贝复制,继续检查后,再拷贝复制到另外一台计算机中。其他的形式如复制(拷贝),数据摆渡,镜像,反射等。应用代理也阻断了直接连接,也是物理隔离网闸吗?应用代理也
25、阻断了直接连接,也是物理隔离网闸吗?答:不是。应用代理确实阻断了网络的直接连接,但不是物理隔离。因为应用代理虽说阻断了直接连接,但两个连接共享在一个主机上,存在入侵的威胁。当黑客通过扫描代理主机的操作系统漏洞,通过入侵代理主机本身,以代理主机为跳板,就可以利用建立代理主机和内部主机的连接来进行攻击。物理隔离网闸,采用了双主机结构,两级主机之间是阻断隔离的,即使黑客能够攻破外部主机,也无法入侵和攻击内部主机。物理隔离网闸可以抵抗哪些攻击?物理隔离网闸可以抵抗哪些攻击?答:物理隔离网闸可以解决以下威胁:操作系统漏洞,入侵,基于TCP/IP漏洞的攻击,基于协议漏洞的攻击,木马,基于隧道的攻击,基于文
26、件的攻击(可选)等。这些是互联网目前存在的绝大部分主要威胁。RUN-NetGap100安全隔离与信息交换系统产品疑问解答产品疑问解答物理隔离网闸是如何防止操作系统漏洞的?物理隔离网闸是如何防止操作系统漏洞的?答:双主机之间是物理阻断的,无连接的,因此,黑客不可能扫描内部网络的所有主机的操作系统漏洞,无法攻击内部,包括物理隔离网闸的内部主机。物理隔离网闸是如何防止网络入侵的?物理隔离网闸是如何防止网络入侵的?答:物理隔离网闸的主机之间,无法建立连接,无法入侵。物理隔离网闸是如何抵抗基于物理隔离网闸是如何抵抗基于TCP/IP漏洞的攻击的?漏洞的攻击的?答:物理隔离网闸的外部主机把TCP/IP协议全
27、部剥离,以原始数据方式进行“摆渡”,因此,无法基于TCP/IP漏洞来进行攻击。同样,也无法基于UDP,ICMP,ARP等协议来进行攻击。物理隔离网闸是如何抵抗基于协议漏洞的攻击的?物理隔离网闸是如何抵抗基于协议漏洞的攻击的?答:物理隔离网闸的外部主机,剥离了应用协议,以原始数据方式进行“摆渡”,因此,无法基于应用协议的漏洞来进行攻击。物理隔离网闸是如何防止木马攻击的?物理隔离网闸是如何防止木马攻击的?答:物理隔离网闸阻断了网络的所有连接,因此,没有OSI模型的link层,没有TCP、UDP,ICMP,ARP等协议,等于把木马变成了死马,因此对木马攻击是免疫的,无论是已知的还是未知的木马。RUN
28、-NetGap100安全隔离与信息交换系统产品疑问解答产品疑问解答物理隔离网闸是如何防止基于隧道的攻击?物理隔离网闸是如何防止基于隧道的攻击?答:因为没有连接,因此无法建立隧道攻击。物理隔离网闸是如何防止基于文件的攻击?物理隔离网闸是如何防止基于文件的攻击?答:物理隔离网闸在理论上是完全可以防止基于文件的攻击,如病毒等。病毒一般依附在高级文件格式上,低级文件格式则不会有病毒,因此进行文件“摆渡”的时候,可以限制文件的类型,如只有文本文件才可以通过“摆渡”,这样就不会有病毒。但用户有时候会不方便,因此,定义为可选。另外一种方式,是剥离重组方式。剥离高级格式,就消除了病毒的载体,重组后的文件,不会
29、再有病毒。这种方式会导致效率的下降,一些潜在的危险的格式可能会被禁止,导致一些不方便,因此是可选。物理隔离网闸是中国特有的吗?物理隔离网闸是中国特有的吗?答:不是。美国,以色列,俄罗斯等国家很早就规定涉密网络要采用物理隔离。俄罗斯的Ry Jones,以色列的Buky Carmeli,Elad Baron,Daniel Steiner等人都是该领域的先驱,后者现在美国开公司。目前最大的物理隔离公司当属美国的Whalecommunications公司,Spearhead公司也不小。RUN-NetGap100安全隔离与信息交换系统产品疑问解答产品疑问解答物理隔离网闸有哪些政策规定?物理隔离网闸有哪些
30、政策规定?答:根据我国2000年1月1日起颁布实施的计算机信息系统国际联网保密管理规定第二章保密制度第六条的规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离“。涉密网络必须在物理隔离的基础上实现WWW浏览和自由收发E-mail。各级政府机关和涉密单位,必须将已建成的办公局域网同Inter或上一级专网实行物理隔离,正在建设的电子政务网络必须实现物理隔离。除了党政军外,电力、铁道、金融、银行、证券、保险、税务、海关、水利、交通、民航、社保、石化等行业部门,要求在物理隔离的条件下实现安全的数据库数据交换。如国家经贸委令第30号电网和电厂计算
31、机监控系统及调度数据网络安全防护规定,建立健全电力调度系统信息安全防护体系,将电网和电厂计算机监控系统与管理信息系统及办公自动化系统有效隔离,将调度专用数据网络与综合信息网络及外部因特网物理隔离,确保电网调度通讯系统安全、畅通。又如中国证监会颁布的证券经营机构营业部信息系统技术管理规范要求,采用硬三层网络结构,内、外网物理隔离,实现证券营业部行情网、交易网和办公网的隔离,系统安全,保密性高。其他行业和部门纷纷颁布建设规范和管理办法,要求使用物理隔离。RUN-NetGap100安全隔离与信息交换系统产品疑问解答产品疑问解答物理隔离网闸的速度很慢?物理隔离网闸的速度很慢?答:错。由于一些厂商在实现
32、技术上的问题,很多人误以为物理隔离网闸的速度很慢。其实不是,目前中网的物理隔离的开关速度在理论上可以达到5120M的速度(5G)。为什么物理隔离的速度反而快了?因为没有复杂的协议,没有协议所带来的额外开销。RUN-NetGap100安全隔离与信息交换系统产品销售许可证(公安部颁发)产品销售许可证(公安部颁发)证书编号:XKC30760 RUN-NetGap100安全隔离与信息交换系统产品检测证书(国家保密局颁发)产品检测证书(国家保密局颁发)证书编号:ISSTEC2006YT0357 RUN-NetGap100安全隔离与信息交换系统产品检测报告(国家保密局颁发)产品检测报告(国家保密局颁发)RUN-NetGap100安全隔离与信息交换系统感谢您的阅读感谢您的阅读
