1.StoneWall-2000网络安全隔离设备(反向型)的基本功能和特性
3.1基本功能
Ø 具有基于非对称加密算法(1024位RSA)数字签名和验证功能
Ø 通过自动调用杀毒软件查杀病毒
Ø 通过对文本数据进行全角检查、对二进制数据进行病毒粉碎,进一步防毒
Ø 在配套软件的配合下,实现可信数据由外网到内网的自动或手动传输
Ø 自动传递的文件任务可定制,支持更新检查、增量发送
Ø 任务发送情况有日志记录,可随时查阅
Ø 支持透明连接。网络安全隔离设备(反向型)接入网络,无需对网络的结构及设置做任何改动
Ø 支持状态检测功能
Ø 支持地址绑定功能,可以有效阻止非法用户盗用合法用户的IP地址
Ø 支持双向地址转换功能,可以在保障自身网络安全的前提下向外提供服务
Ø 支持双机热备功能
Ø 支持日志审计功能,方便管理员的工作,加强网络的安全性
Ø 优化、加固的系统内核
Ø 在操作简便和安全稳定之间达到了完美和平衡
3.2 StoneWall-2000网络安全隔离设备(反向型)特性
安全可靠
StoneWall-2000建立在具有自主知识产权的安全操作系统基础上。通过对操作系统内核的大规模裁减,剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力,而且操作系统固化在隔离设备中,避免了因操作系统故障而导致设备工作异常。
StoneWall-2000网络安全隔离设备(反向型)功能比较全面,具有任务定制、文件名模式匹配、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等,而且由于StoneWall-2000网络安全隔离设备(反向型)使用透明接入方式,是一般用户在正常操作时感觉不到设备的存在,这样既不影响网络的工作效率,又保证了更高的安全性。
高速稳定
StoneWall-2000网络安全隔离设备(反向型)采用高速处理器,保证了硬件平台的高速运转,操作系统经过适当裁减和安全加固,保证了软件平台的稳定运行,再加上百兆以太网模块,这些条件保证了高速稳定的网络传输。
硬件数据流向控制
经过网络安全隔离设备(反向型)的数据流向控制是通过特有的硬件实现的硬控制,数据只能有外网流向内网,保证内部系统的安全;
具有内外网络接口通信状态指示灯
高强度的抗攻击能力
处于内网和外网通信唯一通路上的网络安全隔离设备(反向型)无形中成为黑客攻击的首要目标,要保护内网的安全,首先要保证网络安全隔离设备(反向型)具有较强的抗攻击能力,网络安全隔离设备(反向型)采用非INTEL(及兼容)双微处理器,减少被病毒攻击的概率,采用自主版权的操作系统内核,取消所有网络功能,而且设备本身没有IP地址,使得黑客攻击无从下手。
嵌入式病毒查杀
在发送文件时,发送端软件调用本地安装的杀毒软件的杀毒引擎对文件进行扫描并查杀病毒。通过病毒检查后的文件,才会由发送端软件发送到内网,保证内网的安全。通过升级本地杀毒软件,保证病毒检查查杀病毒的能力。
数字签名验证技术
反向型隔离设备保留了正向隔离设备综合过滤功能,确保内网的安全。在此基础上,通过综合过滤的报文,需要通过StoneWall-2000反向型网络安全隔离设备的数字签名验证,才可以通过反向隔离设备进入内网,这种数字签名采用非对称数字加密技术(1024bit RSA算法),可以防止非法用户假冒合法用户向内网发送文件。
配套软件在发送数据时自动添加数字签名。
双字节转换及检查技术
通过数字签名验证的文本报文,需要通过StoneWall-2000网络安全隔离设备(反向型)的双字节检查,才能最终进入内网,通过双字节检查,可以保证进入内网的数据为纯文本数据,而且这种文本数据中的脚本数据也是不能运行的全角数据,可以防止病毒进入内网。
病毒粉碎技术
发送端软件在发送二进制文件数据时,自动在数据报的特定位置依据专门的算法插入破坏字节以破坏病毒的结构。在StoneWall-2000反向网络安全隔离设备上,通过数字签名验证的二进制数据报文,才能进入内网络。进入内网的报文将被以二进制文件格式存放,接收端的应用程序用专用的API函数读出读取二进制文件,去掉其中的破坏字节,并直接使用该数据进行运算,通过对相应字节的校验,可以检测出文件是否在内网侧被病毒感染过。病毒粉碎技术保证病毒进入内网时已经在结构上被破坏掉,无法工作。
配置简单
StoneWall-2000网络安全隔离设备(反向型)配置非常简便,对它的操作及设置都可以通过使用规则配置管理工具及配套文件传输程序实现。StoneWall-2000网络安全隔离设备(反向型)提供了两种不同的规则配置管理工具:GUI管理工具、CLI管理工具,配套文件传输程序包括:文件发送端程序、文件接收端程序。
规则管理工具(GUI)是本产品的专用配套程序。该管理器具有界面友好直观、功能齐全、通俗易懂等特点,可以运行于Microsoft Windows9X/Me/2000/XP环境下。管理工具如下图所示:
CLI命令行方式是指使用设备提供的Console接口进行本地管理。该管理工具具有最高的安全级别,但相应的对管理员的要求比较高。管理工具的界面如下:
使用方便
我们为用户提供配套软件,实现可信数据以文件形式由外网到内网的自动或手动传递,该软件充分考虑用户的需要,提供尽可能简便的操作,通过该软件用户可以定制自动发送文件的任务,定义任务文件名的模式匹配,实现文件的自动发送,并对文件的发送情况进行日志记录,用户可以通过查阅日志记录,了解定制的任务的执行情况,同时,又为用户提供手动发送文件的功能,保证用户发送文件的需要能够及时,可靠的完成。
配套软件如下图所示:
接收端软件:
发送端软件
试用防止穿透性连接
StoneWall-2000做到了禁止通过穿越安全区的穿透性访问,同时也禁止穿越安全区的E-MAIL、WEB。
真正支持透明接入
StoneWall-2000网络安全隔离设备(反向型)真正做到了透明接入,即无论使用任何功能,对正常使用网络的合法用户来说设备是不可感知的。
2.StoneWall-2000网络安全隔离设备(反向型)接口设计说明
4.1型号
StoneWall-2000网络安全隔离设备(反向型)
4.2系统组成
设备(硬件):是一个高速稳定的硬件平台和安全加固的操作系统的完美结合体
配置管理工具(软件):StoneWall-2000提供了两种管理工具:GUI和CLI。用于对隔离设备的配置和管理。
配套应用程序(软件):文件发送端程序,文件接收端程序。
4.3接口配置
两个CONSOLE口
两个10/100Base-TX
一个220V/50HZ电源插座
一个电源开关
4.4接口规范
网络接口:10/100BaseTX
CONSOLE接口:RS232C,19200-8-N-1
4.5电气性能
a) 电源
220V/50HZ
b) 环境规范
运行温度:0℃ -- 40℃
操作湿度:10% -- 90%@40摄氏度,非冷凝
4.6参考的安全规范和标准
UL 1950
EN 41003
AS/NZS 3260
AS/NZS 3548 Class A
CSA Class A
FCC Class A
EN 60552-2
VCCI(ClassII)
4.7抗干扰性
IEC-1000-4-2 (ESD)
IEC-1000-4-3 (辐射敏感性)
IEC-1000-4-4 (电快速瞬变)
IEC-1000-4-5 (电涌)
IEC-1000-4-6 (谐波)
4.8几何尺寸
尺寸:标准1U机箱
重量:3kg
3.StoneWall-2000网络安全隔离设备(反向型)的性能指标
MTBF:30000小时
安全规则效率:网络安全隔离设备(反向型)可支持多达1000条规则的定义。在网络安全隔离设备(反向型)加载200条规则的情况下,对网络的速率无明显影响。但应指出,在规则大数量增加的情况下,设备的效率会有所降低。
定制任务数量:配套程序最多可支持1024项任务。
有效数据传输效率:20Mbps
吞吐量:30Mbps
6. StoneWall-2000网络安全隔离设备(反向型)的安全机制
6.1特殊的物理结构和安全岛技术
StoneWall-2000使用双机结构,通过连接双机的非网络设备而实现的安全岛技术将受保护网络从物理上隔离开来。
网络安全隔离设备(反向型)通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,而数据流经网络安全隔离设备(反向型)时TCP/IP协议被终止,防止了利用协议进行攻击,在某一时刻网络安全隔离设备(反向型)只能连接到一个网络。
网络安全隔离设备(反向型)作为代理从外网的网络访问包中抽取出数据然后通过数据缓冲设施转入内网,完成数据中转。在中转过程中,网络安全隔离设备(反向型)会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施综合过滤控制,然后对通过上述过滤的报文进行签名验证,对验证通过得报文进行双字节检查,只有满足上述所有要求的报文才可以通过网络安全隔离设备(反向型)。由于网络安全隔离设备(反向型)采用了独特的开关切换机制,因此,在进行检查时网络实际上处于断开状态,只有通过严格检查的数据才有可能进入内网,即使黑客强行攻击了网络安全隔离设备(反向型),由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。
网络安全隔离设备(反向型)在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。由于网络安全隔离设备(反向型)仅抽取合法数据交换进内网,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换。
6.2数据包的综合过滤技术
StoneWall-2000网络安全隔离设备(反向型)对于数据包要进行IP/MAC/PORT的综合过滤,只有满足条件的数据包才有可能可以通过隔离设备。
6.3数字签名验证技术
通过综合过滤的报文,需要通过StoneWall-2000网络安全隔离设备(反向型)的数字签名验证,才有可能可以通过隔离设备进入内网,这种数字签名采用非对称数字加密技术,可以防止非法用户假冒合法用户向内网发送文件。
6.4双字节检查技术
通过数字签名验证的报文,需要通过StoneWall-2000网络安全隔离设备(反向型)的双字节检查,才能最终进入内网,通过双字节检查,可以保证进入内网的数据为纯文本数据,而且这种文本数据中的脚本数据也是不能运行的全角数据,可以防止病毒进入内网。