南京科东隔离装置出售 专业从事隔离装置

设备特点
支持集中监视
华中电力调度(交易)中心在北京科东电力控制系统有限责任公司的协助下起草了《电力专用横向单向安全隔离装置日志标准》,基于此标准,网络安全产品集中监视管理系统可以集中展现各网络安全隔离设备运行工况、配置信息、日志信息、报警信息等并综合利用,以便于系统维护,保证系统安全稳定运行。通过测试验证,北京科东电力控制系统有限责任公司的StoneWall-2000系列网络安全隔离设备均支持此标准的各项接口,符合《电力专用横向单向安全隔离装置日志标准》要求。
该标准的技术原则为:遵从二次系统安全防护方案、不引入安全隐患、不增加设备成本、不增加应用难度。
安全可靠
StoneWall-2000建立在具有自主知识产权的硬件结构和安全操作系统基础上。通过对操作系统内核的大规模裁减,剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力,而且操作系统固化在隔离设备中,避免了因操作系统故障而导致设备工作异常。StoneWall-2000系列网络安全隔离设备(正向型)功能比较全面,具有单向数据传输、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等,而且由于StoneWall-2000系列网络安全隔离设备(正向型)使用透明接入方式,一般用户在正常操作时感觉不到设备的存在,这样既不影响网络的工作效率,又保证了更高的安全性。
硬件控制的单向数据传输
正向型网络安全隔离设备的数据流向控制通过特定硬件设备实现,在硬件上将外网到内网传递的应用数据大小限定为单比特,保证从低安全区到高安全区的TCP应答禁止携带应用数据,可以说全部的病毒都要超过这个长度限制,而即使黑客及病毒强行攻击了外网接口机,其数据也无法进入内网,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换,并提高了防止病毒和黑客非法访问的能力。
防止穿透性连接,连接方向控制
StoneWall-2000禁止内网、外网的两个应用网关之间直接建立TCP联接,将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输。网络安全隔离设备对连接进行严格的方向控制,保证TCP连接只能由内网主机(高安全区主机)建立连接,保证内网主机不提供网络服务,使内网主机无懈可击;StoneWall-2000做到了禁止通过穿越安全区的穿透性访问,同时也禁止穿越安全区的E-MAIL、WEB。
真正支持透明接入
StoneWall-2000网络安全隔离设备(正向型)真正做到了透明接入,即无论使用任何功能,对正常使用网络的合法用户来说,设备是不可感知的。网络隔离设备通过使用虚拟主机IP地址和隐藏MAC地址的方式保证了对网络隔离设备对用户的完全透明的工作方式,用户无需更改原有的网络拓扑结构,只需把网络隔离设备置于需要保护的网络或主机的网络即可。
高强度的抗攻击能力
处于内网和外网通信一通路上的网络安全隔离设备(正向型)无形中成为黑客攻击的首要目标,要保护内网的安全,首先要保证网络安全隔离设备(正向型)具有较强的抗攻击能力,网络安全隔离设备(正向型)采用非INTEL(及兼容)双微处理器,减少被病毒攻击的概率,采用自主版权的操作系统内核,取消所有网络功能,而且设备本身没有IP地址,使黑客无法攻击。并且,把规则设置和对数据报的细致检查都放在内网主机中,通过这样的设置保证即使网络隔离设备的外网侧被黑客攻占,也能保证非法的数据报文无法被传输到内网中去,保证网络物理隔离设备本身具有最高的抗攻击特性及系统安全性,保证了系统安全的大化。
支持双网传送数据
为了适应电力系统特殊要求,特别升级了网络安全隔离装置系统功能。StoneWall-2000网络安全隔离装置最新支持双网口同时工作,也就是在内网和外网分别都有两个网口,支持双网结构的数据传输。更进一步提高了网络安全隔离装置的可适用性。
双路电源供电
设备支持双电源供电模式,在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,当主电源失效时,备份电源自动接替主电源工作,同时蜂鸣报警,当主电源恢复时,自动切换回主电源工作,报警结束,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。
高速稳定
StoneWall-2000系列网络安全隔离设备(正向型)采用高速处理器,保证了硬件平台的高速运转,操作系统经过科学裁减和安全加固,保证了软件平台的稳定运行,再加上百兆以太网模块,这些条件保证了高速稳定的网络传输。
实时告警
设备提供实时的报警输出功能,当出现非法访问,设备重启动,通信中断、装置异常或丢失应用数据时,设备将相应的报警信息输出到专用的RS232串口,最简单的应用办法是:用户可以通过串口线将报警信息接入到监控主机,利用超级终端显示,即可获得设备的实时报警信息,也可以连接综合告警平台,实现报警的综合处理。设备的报警格式遵循SYSLOG规范,便于用户收集、分析及综合利用。
具有内外网络接口通信状态指示灯
正向型网络安全隔离设备在前面板上提供电源指示灯、10M/100M/100M自适应网卡连接状态,传输速率指示灯,便于用户监控及故障诊断。
m??
南京科东隔离装置出售
StoneWall-2000?网络安全隔离设备(正向型)


1.该产品可以适用于计算机网络与网络之间,主机与主机之间,主机与网络之间的物理隔离,是应用了安全岛技术的具有物理隔离能力的网络安全产品。在
硬件上,使用了双嵌入式计算机结构,通过“单向二极管式”的安全岛装置来实现通信上的物
理隔离,保证数据单向传递。在软件上,采用综合过滤、访问控制、应用代理等技术在保证网络透明的基础上实现对非法信息的隔离。国内第一家采用双主机结构安全岛技术,获得国家,第一个取得国调检测证明。采用国内最高速、最稳定的硬件平台POWER?PC?8245?350MHZ?内置硬件WatchDog。在为用户提供安全的物理隔离保障同时,平均数据传输
率可达到60-85Mbps。
2?StoneWall-2000网络安全隔离设备(反向型)
2.1?开发背景
调度自动化系统等与当地的MIS系统或因特网之间直接互联(或无缝连接),对电网安全运行构成严重隐患。
2000-10-13二滩电厂由于控制系统死机造成川渝电网大范围的停电事故,其中控制系统网络与办公自动化系统网络的直接互联就被认为是事故的一个可能因素;
国家电力公司科技环保部2000年科技攻关项目,是国家863项目—国家电网调度中心二次系统安全防护的子课题;
2001年在国调试运行,并对设备进行多次改型、功能与性能完善;
2002年6月,国家经贸委下发30号令;
2002年7月通过公安部检验,并获得“网络安全隔离设备”的销售许可;
2002年9月由国调、科技环保部在保密局组织了安全测试;
2002年9月通过国家网络安全积极防御实验室检测;
2002年9月通过解放军信息安全评测中心检测;
2002年9月底,国调、科技环保部组织了安全技术评审,受到何德全、曲延文、吴世忠、杨有权、袁文恭等院士专家的好评;
2003年10月22日?StoneWall-2000网络安全隔离设备获得?实用新型???号ZL?02?82484.7;
2003年11月15日?StoneWall-2000网络安全隔离设备(反向型)?全国第一个获得国家电力调度通信中心《关于电力专用安全防护设备的检测证明》;
2007年7月对StoneWall-2000网络安全隔离设备(反向型)进行全面的升级改造。
2.2?概述
????StoneWall-2000网络安全隔离设备(反向型)是由北京科东电力控制系统有限责任公司自主开发研制,具有物理隔离能力的网络安全设备,具有操作简便、高性能、高可靠性等特点。
StonewWall-2000网络安全隔离设备(反向型)采用软、硬结合的安全措施,在硬件上使用双机结构通过安全岛装置进行通信来实现物理上的隔离;在软件上,采用综合过滤、访问控制、应用代理、双字节检查技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法信息的隔离。
StoneWall-2000网络安全隔离设备(反向型)配套软件,实现可信数据根据计划自动或手动地从外网到内网的传输,传输过程中,发送端程序对外网数据进行双字节转换及数字签名,报文在通过网络安全隔离设备前,网络安全隔离设备根据规则进行综合过滤,并对签名进行验证,对验证通过的报文再进行双字节检查,这样检查通过的报文才可以进入内网,以保证内网系统的安全,并保证在网络隔离的情况下可信数据能够进入内网。
2.3?基本功能
完全满足《全国电力二次系统安全防护总体方案》标准要求,并通过公安部、国家电力调度通信中心、解放军信息安全评测中心的检测;
实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;
具有基于非对称加密算法数字签名和验证功能;
通过对文本数据进行全角检查,进一步防毒;
在配套软件的配合下,实现可信数据由外网到内网的自动或手动传输;
自动传递的文件任务可定制,支持更新检查、增量发送;
任务发送情况有日志记录,可随时查阅;
支持多种工作模式:无IP地址透明工作方式(虚拟主机IP地址、隐藏MAC地址)、支持网络地址转换(NAT)、混杂工作模式,保证标准应用的透明接入;
支持基于状态检测的MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
提供完备的日志审计功能,如时间、IP、MAC、PORT等日志信息。对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的纪录,已备事后审计;
具有报警功能,当发生非法入侵、装置异常、通信中断或丢失应用数据时,可输出报警信息;
安全、方便的维护管理方式:基于证书的管理人员认证,图形化的管理界面。方便地对装置进行设置,监视和控制系统运行;
支持地址绑定功能,可以有效阻止非法用户盗用合法用户的IP地址;
支持双向地址转换功能,可以在保障自身网络安全的前提下向外提供服务;
具有可定制的应用层解析功能,支持应用层特殊标记识别;
提供基于硬件WatchDog的系统监视功能,保证系统连续稳定可靠运行;
提供数据传输软件和API函数接口,方便用户进行二次系统安全隔离的改造。
南京科东隔离装置出售
网络安全隔离设备(正向千兆型)技术文件
按照要求,建议采用由北京科东电力控制系统有限责任公司研制开发的StoneWall-2000系列网络安全隔离产品实现分区隔离。StoneWall-2000系列网络安全隔离设备(正向千兆型)。
正向型物理隔离设备
StoneWall-2000网络安全隔离设备(正向型)是由北京科东电力控制系统有限责任公司自主开发研制,具有物理隔离能力的网络安全设备,具有操作简便、高性能、高可靠性等特点。网络安全隔离设备(正向型)采用软、硬结合的安全措施,在硬件上使用双嵌入式计算机结构,通过装置通信来实现物理上的隔离;在软件上,采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法信息的隔离。StoneWall-2000网络安全隔离设备(正向型)已经通过国调中心的测试,并获得了公安部计算机信息系统安全产品质量监督检验中心的检验报告和公安部颁发的销售许可证,销售许可证号:XKC30259,其采用的技术获得实用新型,号ZL?02?82484.7。
基本功能
采用非INTEL指令系统的(及兼容)的RISC微处理器、采用双嵌入式计算机及”安全岛技术”技术,减少受攻击的概率,实现两个安全区之间的非网络方式的单向数据传输;在”安全岛技术”硬件上将外网到内网传递的应用数据大小限定为1Bit数据,保证从低安全区到高安全区的TCP应答携带应用数据,提高了防止病毒和黑客非法访问的能力;同时,可以支持从安全区III到安全区I/II的应用数据无数据返回的UDP模式;内置硬件WATCHDOG,保证系统软件的可靠运行。支持双机热备,提供装置的持续运行能力,提供更高的可用性;装置必须具备内网网络端口2个、外网网络端口?2个,可以根据现场的安装情况,选择支持“单进单出”、“双进单出”、“双进双出”等接入模式运行,以节省用户投资;由于装置处于分区间的连接关键,对数据传输稳定性要求极高,装置可以选择双机网络热备份方式工作,以提高装置的可靠性及延长装置的平均无故障时间;精简的、安全的、固化的LINUX操作系统,在嵌入式LINUX内核的基础上行剪裁。内核中只包含用户管理;、进程管理、SOCKET编程接口,除去TCP/IP协议栈和其它不需要的所有系统服务。提高系统安全性和抗攻击能力,保证系统安全的大化;通过综合报文过滤与访问控制、非穿透性TCP联接,表示层与应用层数据完全单向传输、应用层解析、日志审计和报警功能,能够抵御除DoS以外的已知的网络攻击。精简的、安全的、固化的操作系统;不存在设计与实现上的安全漏洞;能够抵御除DoS以外的已知的网络攻击;实现两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;表示层与应用层数据完全单向传输,即从安全区III到安全区I/II的TCP应答禁止携带应用数据;透明工作方式:虚拟主机IP地址、隐藏MAC地址;基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;支持NAT;防止穿透性TCP联接;具有可定制的应用层解析功能,支持应用层特殊标记识别;安全、方便的维护管理方式:基于证书的管理人员认证,图形化的管理界面;
产品特色
国内第一个取得国调检测证明。一获得国网公司科技进步奖。通过了华中网调《电力专用横向单向安全隔离装置日志标准》测试,是目前一通过此标准测试的专用安全隔离装置。采用国内最高速、最稳定的硬件平台POWER?PC?8245?400MHZ,内置硬件WatchDog。支持双机热备结构,不用心跳线通过在线检测即可将两套独立的隔离设备整合为一套高可用的物理隔离系统设备内外网两侧均提供两个网络接口、可以支持单进/单出或双进/双出等多种接线模式,能够适应各种需求,部署灵活方便,节省用户投资。提供双电源冗余,故障自动切换,声音报警,保证设备稳定可靠运行。支持图形界面和命令行两种管理模式、用户只需在内网侧进行配置,新配置在隔离设备两侧均能生效。提供实时报警接口,通过专用串口实时输出报警信息,格式遵循SYSLOG规范,便于用户收集、分析及综合利用。配套软件齐全,提供功能完善的跨平台的文件及数据传输软件,便于用户部署隔离设备
南京科东隔离装置出售
2.4?设备特点
2.4.1?安全可靠
StoneWall-2000建立在具有自主知识产权的安全操作系统基础上。通过对操作系统内核的大规模裁减,剔除不安全模块,大大加强了系统内核的安全性和抗攻击能力,而且操作系统固化在隔离设备中,避免了因操作系统故障而导致设备工作异常。
StoneWall-2000网络安全隔离设备(反向型)功能比较全面,具有任务定制、文件名模式匹配、状态检测功能、地址绑定功能、双向地址转换功能、双机热备功能、日志审计功能等,而且由于StoneWall-2000网络安全隔离设备(反向型)使用透明接入方式,是一般用户在正常操作时感觉不到设备的存在,这样既不影响网络的工作效率,又保证了更高的安全性。
2.4.2?数字签名验证技术?
签名应采用非对称加密算法,考虑加密强度的要求,统一要求采用RSA加密算法,然后用RSA公私钥对中的私钥对摘要数据进行加密,将密文做为签名附在数据后,反向型隔离设备在收到数据后,用相同公私钥对中的公钥对签名数据解密,对比计算出的摘要,完成对发送文件的验证。
2.4.3?双字节转换及检查技术
????通过数字签名验证的文本报文,需要通过StoneWall-2000网络安全隔离设备(反向型)的双字节检查,才能最终进入内网,通过双字节检查,可以保证进入内网的数据为纯文本数据,而且这种文本数据中的脚本数据也是不能运行的全角数据,可以防止病毒进入内网。
2.4.4?硬件的数据流向控制
经过网络安全隔离设备(反向型)的数据流向控制是通过特有的硬件实现的硬控制,数据只能有外网流向内网,防止在安装反向隔离设备后为正向数据流动提供后门。
2.4.5?高强度的抗攻击能力
处于内网和外网通信一通路上的网络安全隔离设备(反向型)无形中成为黑客攻击的首要目标,要保护内网的安全,首先要保证网络安全隔离设备(反向型)具有较强的抗攻击能力,网络安全隔离设备(反向型)采用非INTEL(及兼容)双微处理器,减少被病毒攻击的概率,采用自主版权的操作系统内核,取消所有网络功能,而且设备本身没有IP地址,使得黑客攻击无从下手。
2.4.6?高速稳定
StoneWall-2000网络安全隔离设备(反向型)采用高速处理器,保证了硬件平台的高速运转,操作系统经过适当裁减和安全加固,保证了软件平台的稳定运行,再加上百兆以太网模块,这些条件保证了高速稳定的网络传输。
2.4.7?具有内外网络接口通信状态指示灯
????StoneWall-2000网络安全隔离设备(反向型)在前面板上提供电源指示灯、10M/100M自适应网卡连接状态,传输速率指示灯,便于用户监控及故障诊断。
安全机理
具有的物理结构
StoneWall-2000使用双机结构,通过连接双机的非网络设备而实现的”安全岛技术”技术将受保护网络从物理上隔离开来。网络安全隔离设备(正向型)通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,而数据流经网络安全隔离设备(正向型)时TCP/IP协议被终止,防止了利用协议进行攻击,在某一时刻网络安全隔离设备(正向型)只能连接到一个网络。
网络安全隔离设备(正向型)作为代理从内网的网络数据包中抽取出数据然后通过数据缓冲设施转到外网,完成数据中转。在中转过程中,网络安全隔离设备(正向型)会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施综合过滤控制,只有满足要求的报文才可以通过网络安全隔离设备(正向型)。由于网络安全隔离设备(正向型)采用了独特的开关切换机制,因此,在进行检查时网络实际上处于断开状态,即使黑客强行攻击了网络安全隔离设备(正向型),由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。
网络安全隔离设备(正向型)在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。在硬件上将外网到内网传递的应用数据大小限定为单比特,保证从低安全区到高安全区的TCP应答禁止携带应用数据,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换,并提高了防止病毒和黑客非法访问的能力。
防止穿透性TCP连接
StoneWall-2000网络安全隔离设备(正向型)硬件上采用双主机结构及特有的总线型调度及控制开关电路,提供高速的安全摆渡功能,其特有的硬件结构可以保证数据的单向传递,同时为防止穿透性连接提供了可靠的硬件保障;在软件上隔离设备中外网侧接口机代理内网侧主机与外网主机建立虚拟连接,同样内网侧接口机代理外网侧主机与内网侧主机建立虚拟连接,在此基础上,禁止由外网到内网的协议应答报文携带应用数据,通过了综合过滤的报文,在由内网向外网摆渡的过程中,将被软件模块剥离所有的协议报文头,只保留纯应用数据,并对数据内容作必要检查,检查通过的了的报文才能最终通过。由此实现了禁止内网、外网的两个应用网关之间直接建立TCP联接,并将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内数据传递为非网络方式,且硬件保障只允许数据单向传输。
安全的硬件及操作系统
StoneWall-2000网络安全隔离设备(正向型)采用非INTEL指令系统(及兼容)的RISC微处理器、采用双嵌入式计算机及”安全岛技术”技术,减少受攻击的概率,实现两个安全区之间的非网络方式的单向数据传输;
设备固化了精简的、安全的linux操作系统,将嵌入式Linux内核进行了裁剪。内核中只包括用户管理﹑进程管理﹑和Socket编程接口,裁剪掉TCP/IP协议栈和其它不需要的所有系统服务,提高了系统安全性和抗攻击能力,保证了系统安全的大化;
jr
南京科东隔离装置出售
高强度的抗攻击能力
StoneWall-2000网络安全隔离设备采用两个嵌入式计算机及”安全岛技术”装置组成。操作系统采用专门裁剪的嵌入式LINUX内核,删除了TCP/IP协议栈及其它不需要的所有系统服务,内核中只保留用户管理、进程管理、Socket编程接口模块,程序模块采用最高优先级实时调度运行,操作系统及程序模块固化在接口机内。此外,网络安全隔离设备本身没有任何的IP地址,使黑客无法攻击。并且,把规则设置和对数据报的细致检查都放在内网主机中,通过这样的设置保证即使网络隔离设备的外网侧被黑客攻占,也能保证非法的数据报文无法被传输到内网中去,保证网络物理隔离设备本身具有最高的抗攻击特性及系统安全性,保证了系统安全的大化。
性能优化技术
隔离设备性能的优劣影响到用户的使用也同时影响了系统的安全和稳定性,我们采用了多种性能优化技术,包括裁减内核,保证程序序模块采用最高优先级实时调度运行,优化函数代码,优化编译,大大改善了隔离设备的性能,进一步保证系统安全高效运行。
用户受益
高安全性
物理隔离设备被誉为所有安全产品中具有最高安全性的产品。其哲学思想是不安全就断开。在保证安全的情况下,才考虑使用网络。避免了来自操作系统、命令、协议的已知和未知攻击,达到了物理断开和信息交换的目的,强于手动拷贝数据的安全效果。
高可用性
StoneWall-2000网络安全隔离设备支持相互备份的双路通信功能,提供高可用性。网络隔离设备本身可选支持采用双电源,确保网络关键设备稳定和可靠的运行。另外,网络隔离设备断开两个网络,对网络结构和IP地址没有特别要求,对用户完全透明,具有很高的网络适应能力。
为我国电力专用网络量身定做
StoneWall-2000网络安全隔离设备是国内一家取得的网络隔离设备,并率先取得了国家电力调度中心的检测证明,得到了电力二次系统安全专家组的好评。StoneWall-2000网络安全隔离设备是根据我国电力网络中数据通讯主要存在于特定的网络与网络之间、主机与主机之间的特性,提供的一种具有高安全性和高可用性的廉价的网络安全解决方案,处于国内优秀,国际先进的地位。
型号
StoneWall-2000网络安全隔离设备(正向千兆型)。
性能指标
StoneWall-2000G网络安全隔离设备(正向千兆型)
序号
名称
卖方提供值
1
产品证书
计算机信息系统安全专用产品销售许可证
国家电力调度中心关于电力专用安全防护设备的检测证明
公安部检测认证、ISO9001认证。
2
方向
正向
3
应答返回
单比特
4
数据传输速率
网络吞吐率≥500M?Mbps;
网络有效吞吐率≥389?Mbps
5
并发联接数
≥3000
6
配置管理工具
图像界面,配置工具
7
供电双电源
220V/50HZ?双电源
8
支持双机热备
内置硬件WATCHDOG,保证系统软件的可靠运行,持双机热备份。
9
支持双进双出
支持双进双出,单进单出,单进双出,双进单出等组合传输模式。
10
网络端口
100/1000M接口?2(内网)
100/1000M接口?2(外网)
SFP模块接口2个
11
配置口
终端管理接口(RS-232)?2个
12
隔离技术
安全岛技术
13
网络隔离模式
TCP层应答数据段禁止携带应用数据工作模式。
14
物理尺寸
19寸,标准2U高度机箱,标准机架设备
典型应用
StoneWall-2000网络安全隔离设备(正向型)的应用可分为比较典型的三种:
计算机和计算机主机之间


计算机网络和计算机主机之间


计算机网络和计算机网络之间
南京科东隔离装置出售
2.13?安全机理
2.13.1?具有的物理结构和安全岛技术
StoneWall-2000使用双机结构,通过连接双机的非网络设备而实现的安全岛技术将受保护网络从物理上隔离开来。
网络安全隔离设备(正向型)通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,而数据流经网络安全隔离设备(正向型)时TCP/IP协议被终止,防止了利用协议进行攻击,在某一时刻网络安全隔离设备(正向型)只能连接到一个网络。?
网络安全隔离设备(正向型)作为代理从内网的网络数据包中抽取出数据然后通过数据缓冲设施转到外网,完成数据中转。在中转过程中,网络安全隔离设备(正向型)会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施综合过滤控制,只有满足要求的报文才可以通过网络安全隔离设备(正向型)。由于网络安全隔离设备(正向型)采用了独特的开关切换机制,因此,在进行检查时网络实际上处于断开状态,即使黑客强行攻击了网络安全隔离设备(正向型),由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。
网络安全隔离设备(正向型)在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。在安全岛硬件上将外网到内网传递的应用数据大小限定为1个bit,保证从低安全区到高安全区的TCP应答禁止携带应用数据,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换,并提高了防止病毒和黑客非法访问的能力。
2.13.2?安全的硬件及操作系统
StoneWall-2000网络安全隔离设备(正向型)采用非INTEL指令系统(及兼容)的RISC微处理器、采用双嵌入式计算机及安全岛技术,减少受攻击的概率,实现两个安全区之间的非网络方式的单向数据传输;
设备固化了精简的、安全的linux操作系统,将嵌入式Linux内核进行了裁剪。内核中只包括用户管理﹑进程管理﹑和Socket编程接口,裁剪掉TCP/IP协议栈和其它不需要的所有系统服务,提高了系统安全性和抗攻击能力,保证了系统安全的大化;


2.13.3?数据包的综合过滤技术
StoneWall-2000网络安全隔离设备(正向型)对于数据包要进行IP/MAC/PORT的综合过滤,只有满足条件的数据包才可以通过隔离设备;
通过综合报文过滤与访问控制、非穿透性TCP联接、表示层与应用层数据完全单向传输、应用层解析、日志审计和报警功能,能够抵御除DoS以外的已知的网络攻击。
2.13.4?状态检测技术
状态检测技术:基于隔离设备所维护的状态表的内容转发或拒绝数据包的传送,比普通的包过滤有着更好的网络性能和安全性。普通包过滤使用的过滤规则是静态的。而采用状态检测技术的隔离设备在运行过程中一直维护着一张状态表,这张表记录了从受保护网络发出的数据包的状态信息,然后隔离设备根据状态表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
2.13.5?高可用技术
StoneWall-2000网络安全隔离设备(正向型)内置硬件Watchdog,保证系统软件的可靠运行。支持双机热备,互为备用的两台设备中任何一台出现故障,另一台设备自动接替其工作,保证提供不间断的网络服务;支持双电源,在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份,实现了主备电源的在线无缝切换,有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间,通过采用以上技术,提高设备的持续运行能力,提供更高的可用性;
2.13.6?地址绑定技术
隔离设备具有地址绑定技术,可以通过建立起来的合法IP地址和MAC地址的对应关系识破非法用户盗用合法IP的阴谋,并拒绝该连接请求。
2.13.7?双向网络地址转换技术
为了达到可以让不同网段两个网络通过隔离设备通信的目的,在隔离设备上采用网络地址转换功能模块,当NAT代表内部网络与外部网络建立连接时,它使用自定义的IP地址。在受保护的内部网络里,当一个TCP/IP请求被送往隔离设备时,NAT模块将源IP地址替换为自定义的IP地址。当外部网络的应答返回到隔离设备时,NAT将应答的目标地址字段替换为最初建立TCP/IP请求的的内部网络计算机结点的IP地址。
因为外部网络的计算机结点也有可能主动发送TCP/IP连接请求给内部网络,所以外部网络的计算机必须知道内部网络的计算机的IP地址,因此,对于NAT的设计采用的是静态地址分配机制,就是说NAT为内部网络的计算机结点绑定了一个固定的IP地址(虚拟的IP地址)。
2.13.8?日志审计及实时报警
可以实时监控数据通信状况,对非法的数据包进行信息记录和浏览,方便管理员及早发现问题。支持日志集中存储和管理的SYSLOG机制。
StoneWall-2000网络安全隔离设备(正向型)提供实时的报警输出功能,用户可以通过串口,获得系统的实时报警信息,报警格式遵循SYSLOG规范,便于用户收集、分析及综合利用。
2.13.9?高强度的抗攻击能力
通过特殊的硬件结构和加固的操作系统的内核以及隔离设备本身没有IP地址,使得隔离设备本身的抗攻击能力的强度极高,黑客对设备的攻击无从下手。
2.13.10?性能优化技术
隔离设备性能的优劣影响到用户的使用也同时影响了系统的安全和稳定性,我们采用了多种性能优化技术,大大改善了隔离设备的性能。
2.15?典型应用
StoneWall-2000网络安全隔离设备(正向型)的应用可分为比较典型的三种:
2.15.1?计算机和计算机主机之间









2.15.2?计算机网络和计算机主机之间










2.15.3?计算机网络和计算机网络之间
爱乐彩票平台 百盈彩票平台 宝赢彩票平台 博亿彩票APP下载 宝马彩票APP下载 博亿彩票APP下载 伯爵彩票APP下载 河北快3开奖直播 河北快3走势图 河北快3走势图