金电网安网闸.pptx
《金电网安网闸.pptx》由会员分享,可在线阅读,更多相关《金电网安网闸.pptx(40页珍藏版)》请在冰点文库上搜索。
安全隔离与信息交换系统,FerryWay,V2.0,上海金电网安科技有限公司,一、金电网安公司简介公司背景资质与合作伙伴公司承担项目二、网络安全与隔离技术网络隔离现状网络安全分析隔离技术的原理及其优势网闸产品分类三、FerryWay产品介绍FerryWay原理FerryWay功能和性能,一、金电网安公司介绍,公司背景,成立于2000年11月是专业从事信息安全的高科技公司集科研、产品开发与生产、安全集成、专业服务为一体国家信息安全成果产业化(东部)基地首批入驻企业公司研发骨干力量由著名高校博士、硕士组成,资质与合作伙伴,是国家认定的软件企业和高新技术企业与清华、交大、浙大、解放军信息工程大学等著名高校和科研院所紧密合作中软博士后流动工作站上海分站与上海交大成立了信息与网络安全体系结构实验室,资质证书,公司承担项目,承担了国家863、973计划重点项目科技部科技型中小企业创新基金项目国务院信息办软课题研究项目上海高新技术成果转化项目上海市科学技术委员会科研计划项目课题上海市信息化专项资金项目,二、网络安全与隔离技术,网络隔离现状,效率低实时性差数据缺乏安全审计,物理隔离人工拷贝,网络隔离现状,一人多个终端增加工作量和资源的占用浪费应用系统无法统一规划、统一管理容易造成“信息孤岛”、“网络孤岛”的现象影响工作人员工作效率增加了管理维护的难度和工作量,网络隔离现状,是国家保密局认定的一类专门的隔离产品是在吸取了以前多种隔离技术的优点并解决了各自存在的问题的基础上开发的采用多机系统结构,对内外部网络进行有效安全隔离,阻断网络直接连接,阻断通用协议贯通安全隔离与信息交换系统通常都采用基于用户的访问控制只对合法用户开放信息交换的受控通道用户要使用受控通道时,需提交并验证自己的真实身份支持多种身份验证方式,网闸隔离示意图,内部网络,外部网络,需要资源共享的服务器可以被内外网访问保证其他非资源共享主机被安全隔离使两网在安全隔离的前提下进行信息交换和信息共享,隔离网闸技术原理,IP包,3层,IP包,3层,5至7层TCP4层,5至7层TCP4层,数据摆渡,OSI第七层外,隔离网闸,私有协议摆渡,内部网络,外部网络,物理、数据链路1至2层,物理、数据链路1至2层,隔离网闸需具备的安全要点,要具有高度的自身安全性要确保网络之间是隔离的要保证数据剥离到应用层才交换要对网间的访问进行严格的控制和检查,与防火墙的主要区别,网闸的分类,网闸主要分为两类:
“2+1”结构为基础的网闸三机架构的网闸,三、FerryWay产品介绍,2+1系统结构,内网单元、外网单元独立主板、总线及CPU控制精简加固的安全操作系统数据剥离到应用层,彻底落地,内网单元,外网单元,数据迁移控制单元,2+1系统结构,数据迁移控制单元独立硬件数据迁移逻辑,无操作系统结合专用隔离硬件,完成内外单元的数据摆渡高安全性,无法通过外部接口对隔离硬件进行驱动控制,内网单元,外网单元,数据迁移控制单元专用隔离硬件,2+1系统结构,专用隔离硬件结合专用通信协议完成应用数据迁移TCP/IP协议彻底阻断私有协议采用高强度加密传输算法,数据迁移控制单元私有协议,内网单元,外网单元,数据迁移,数据迁移,2+1系统结构,内网单元,外网单元,数据迁移控制单元管理审管理配置计端内网单元独有的控制管理中心,可杜绝黑客通过外网单元获得非法控制权限独立的、非数据传输口的管理监控接口进行配置多种管理员登陆认证保密机制,确保登陆操作的安全,2+1系统结构,内/外网单元通过数据传输口接收应用数据拆封TCP/IP协议,剥离应用层协议,将数据还原为文件,数据迁移控制单元,应用数据,内网单元应用预处理器,外网单元应用应用数据预处理器,2+1系统结构,内网单元,数据迁移控制单元专用隔离硬件,数据迁移,数据迁移,控制管理中心管理配置应用控制:
支持Http、Smtp、Pop3、FTP等多种主流应用协议的应用层过滤多种安全机制:
数据包各层面的控制、用户名/密码认证、IP/MAC绑定等会话层控制:
断开网络两端会话层连接,会话层以下攻击可直接免疫,应用数据,应用数据,应用预处理器,外网单元应用预,处理器,策略控制,策略控制,三机系统模型,基于三机系统的安全隔离与信息交换模型,内部网络,应用层数据,仲裁,外部网络,TCP/IP,应用层TCP/IP数据,TCP/IP协议终点,TCP/IP协议终点,内端机,仲裁机,外端机,专用硬件,专用硬件,专用协议,专用协议,安全隔离与信息交换系统三机架构系统模型,2+1架构与三机架构比较,产品特点,专用硬件和专用通信协议在金电网安公司专用安全操作系统中嵌入专用协议和认证机制,使得设备的安全隔离;内网主机和外网主机是内部网络和外部能力大大增强;网络通用TCP/IP协议的终点,各自的网络协议在仲裁主机实现剥离和重建。
产品特点,应用级完全内容检测与审计采用金电网安公司专有完全内容检测模块,过滤所有交换数据,全面解析网络传输信息,通过深层次细粒度的内容过滤,预先拦截内、外网用户禁止访问的内容Ferryway完全内容检测模块,HTTP协议-对流过的WEB访问进行内容检查,邮件协议-对SMTP和POP3协议进行数据内容检查,FTP协议-对文件访问同步进行数据检查,提供审计日志,产品特点,强大的数据库访问和同步功能专用的入侵检测引擎、杀毒引擎、安全协议通道等技术的使用,可以使设备发现、过滤并阻塞各种已知、未知的攻击,病毒和蠕虫等恶意代码,有效保护内部网络系统的安全性。
DEP产品A,DEP产品C,DEP产品B,数据库A,数据库B,数据库C,数据库E,数据库D,隔离器,日志审计功能,06,功能模块,安全上网模块,05,数据库同步模块,04,文件同步模块,03,安全邮件模块,02,受控通道,01,功能模块-受控通道,内外网间的信息交换全部要通过预先建立的受控安全通道来进行该安全通道完全置于仲裁机的控制之下在建立的安全通道上可以设定各种安全策略,以规定具体控制方式受控安全通道可支持多种工作模式,适应于不同的场合,功能模块-安全上网模块,支持HTTP协议及代理等;支持访问控制对象:
源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等支持关键字过滤、脚本过滤:
支持其他过滤策略:
文件类型、页面提交方式等;支持用户名/密码认证方式,功能模块-安全邮件模块,功能模块-文件同步模块,基于专用客户端提供安全的文件同步功能,占用系统资源少,文件交换效率高,不会频繁的进行磁盘扫描支持windows平台和linux平台,同步传输方向可控,双向或单向支持实时扫描传输支持一对多或多对一传输支持目录内子目录同步,至多支持32级目录支持中文文件名或目录同步,功能模块-文件访问模块,提供安全的文件传输功能,支持FTP等文件传输协议支持用户名/密码认证支持用户名/IP-MAC绑定,功能模块-数据库同步模块,基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQLS、ORACLE、DB2、SYBASE等)的单、双向数据交换支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务支持各种数据库操作以及对数据库的操作时间等限制采用XML技术,具有可配置性。
可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义,功能模块-数据库同步模块,功能模块-日志审计功能,日志审计功能可以完成系统活动、网络连接的记录;并且对得到的日志进行分析、统计和导出。
网闸所适合的网络,整体网络与Internet之间的安全隔离分支机构与总部网络之间的安全隔离内部核心网与一般业务网之间的隔离核心网络不同网段之间的安全隔离重要服务器的隔离,FerryWay综合部署图,办公外网,对外信息发布,办公内网2,办公内网1,其他分支机构,重要服务器,电话:
(021)38953438传真:
(021)50807080网址:
谢谢!
共筑安全成就你我,
升级会员 