专网与外网信息交互技术方案精选.doc

专网与外网 信息交互技术方案 目 录 一、 安全隔离与信息交换系统（网闸）解决方案 3 1.1 技术实现 3 1.2 功能描述 5 1.3 产品介绍 5 1.4 产品指标及技术参数 7 1.5 解决方案 10 1.6 所选产品认证情况 12 二、 外网防火墙解决方案 13 1.1支队需求说明 13 1.2安全解决方案 13 1.2.1网络拓扑图 13 1.2.2网络安全解决方案陈述 14 1.2.4 SonicWALL NSA 3500产品功能和技术 16 三、 整体方案简单说明 18 安全隔离与信息交换系统（网闸）解决方案 专网业务涉密网与办公业务非涉密网间，根据业务及应用特点，以需求为导向，以应用为核心，以方便群众为最终目的，利用先进理念和技术，以提高我机关工作效率，充分利用现有资源和技术力量，实现系统的计算机网络化处理和应用，根据实际存在数据双向交换的需求和国家相关主管部门的要求，在充分做到安全保证的前提下，允许非涉密数据在两个网络间交换。 技术实现 安全隔离与信息交换系统（网闸）的工作基于人工信息交换的操作模式，即由内外网主机模块分别负责接收来自所连接网络的访问请求，两模块间没有直接的物理连接，形成一个物理隔断，从而保证可信网和非可信网之间没有数据包的交换，没有网络连接的建立。在此前提下，通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发，而是应用层数据的静态读写操作，因此可信网的用户可以通过安全隔离与信息交换系统（网闸）放心的访问非可信网的资源，而不必担心可信网的安全受到影响。 信息通过网闸传递需经过多个安全模块的检查，以验证被交换信息的合法性。当访问请求到达内外网主机模块时，首先由网闸实现TCP连接的终结，确保TCP/IP协议不会直接或通过代理方式穿透网闸；然后，内外网主机模块会依据安全策略对访问请求进行预处理，判断是否符合访问控制策略，并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤，检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查，内外网主机模块会对数据包进行格式化，将每个合法数据包的传输信息和传输数据分别转换成专有格式数据，存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行，不依赖于任何通用协议，只能被网闸的内部处理机制识别及处理，因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如图所示： 一51安全隔离与信息交换系统（网闸）原理示意图 安全隔离与信息交换系统（网闸）通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能，将指定区域的数据复制到对端相应的区域，完成数据的交换。隔离交换卡内嵌安全芯片，采用高速全双工流水线设计，内部吞吐速率达2Gbps，完全可以满足高速数据交换的需要。 隔离交换模块固化控制逻辑，与内外网模块间只存在内存缓冲区的读写操作，没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制，在读写一端主机模块的数据前先中止对另一端的操作，确保隔离交换系统不会同时对内外网主机模块的数据进行处理，以保证在任意时刻可信网与非可信网间不存在链路层通路，实现网络的安全隔离。 当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据，可根据本端的安全策略进行进一步的应用层安全检查。经检验合格，则进行逆向转换，将格式化数据转换成符合RFC标准的TCP/IP数据包，将数据包发送到目的计算机，完成数据的安全交换。GAP技术的代表产品，它采用自主产权的专用隔离硬件和多个处理单元紧密集成的独特设计，集成各种安全模块为一体，布署于信任网络与非信任网络之间，能够防止并抵御各种网络攻击及病毒入侵，用户可以安全地浏览、收发邮件及文件传输与数据库交换。 天行安全隔离网闸(Topwalk-GAP)从硬件上来分主要包括三部分，分别是专用安全隔离切换装置（数据暂存区）、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元，这种独特设计保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内部或者外部处理单元，从而实现内外网的安全隔离。 首先，GAP硬件采用多主机架构。GAP设备需要对在网络间交换的数据进行预处理。预处理过程包括：将网络上传送的数据还原为应用层数据；对这些数据进行由用户所定义的检查；读取和发送这些应用数据。这些预处理操作在进行数据交换之前必须在独立的主机系统中进行，保证数据的隔离。另外，多台主机用专用硬件串联的架构形成纵深防御，既使外部主机被攻击，也可以保证内部主机的安全。 第二，GAP硬件架构中采用专用防篡改硬件隔断TCP/IP协议通信，保证数据传送和检查机制固化、防篡改，保证网络隔离的有效性。 第三，GAP的“白名单”策略面向应用数据，并对未知来源的主动请求一律拒绝。读取和发送这些数据时，GAP采用主动