《网闸交流》课件.pptVIP

传统物理隔离的应用解决方案 传统物理隔离的应用解决方案分析 优点 保持了网络间物理隔离的特性，有效防止了对涉密网络的直接网络攻击 缺点 延时长 速度慢 能够满足的应用过于单一 可靠性低 在防病毒、内容过滤等方面效果较差 人工操作风险高 安全隔离网闸文件交换过程 “2+1”系统架构 数据隔离交换过程 数据隔离交换过程 数据隔离交换过程 数据隔离交换过程（详细描述） 安全隔离网闸产品定位 安全隔离网闸的指导思想与防火墙有很大的不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而安全隔离网闸的思路是在保证必须安全的前提下，尽可能互联互通。 安全隔离网闸的优势在于它通过在不可信网络牺牲自己来积极有效地应对攻击，以充分保护可信网络避免受到基于操作系统和网络的各种攻击 。 国家必威体育官网网址局限定的安全隔离网闸使用环境 需要使用网闸的环境 由于实时性数据传输应用要求，网络之间必须连续 她们的魅力——多网接入平台 内/外网主机系统分别提供多个网络接口，可实现同时连接多个相同安全级别的网络，并且每个主机系统的网络接口之间在系统内部固化实现无法互访 。 集成多种安全技术 系统本身集成防病毒（需要另外购买许可）、入侵检测、身份认证、访问控制、强审计等多种安全技术和安全策略。构筑完整的安全体系。 实现应用层检测 系统不但做到网络层的安全检测，更针对具体应用进行应用层检测。包括采用协议过滤、内容过滤、脚本控件等过滤以及类性控制等多种技术手段，并提供二次开发接口针对用户需求进行定制，实现安全和应用的完美结合。 采用高可靠设计 作为重要的安全设备，系统采用了高可靠设计，支持HA双机热备，不需要第三方软硬件支持，即可支持负载均衡，同时系统采用冗余电源设计等多种方法保障系统的高可靠性。 谢谢,请指正 ! * * 网闸技术简介 网闸技术简介 中共中央办公厅第十七号文件规定 “电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。” 国家必威体育官网网址局制定的《计算机信息系统国际联网必威体育官网网址管理规定》中第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息相连接，必须实行物理隔离”。 一些组织根据自身业务的特点，在有不同安全需求的网络之间也采取了物理隔离的措施。 应对网络安全漏洞传统解决方案 物理隔离使得正常的信息交流被阻断了。 部分重要的与业务相关的数据需要在涉密网络和非涉密网络间交换，但由于物理隔离无法实现。 物理隔离也成为电子政务、电子商务的数据传输应用的瓶颈。 物理隔离带来的问题 A网 B网 人工拷盘 NFS SAMBA FTP NFS SAMBA FTP 外网主机 内网主机 内容 病毒 格式 内容 病毒 格式 隔离交换模块 自有协议 数据包 数据块 数据块 通用协议 数据包 自有协议 数据包 自有协议 数据包 数据块 数据块 通用协议 数据包 1 2 3 5 6 7 9 10 4 8 内网主机系统获取数据，进行协议分离，安全检测，形成任务队列，供通讯交换 隔离交换模块断开彼此连接，连接内外网主机系统，内网主机系统写数据到交换缓冲区 隔离交换模块断开内外网主机系统，彼此连接，进行通讯协商，完成数据交换 隔离交换模块断开彼此连接，连接内外网主机系统，外网主机系统从交换缓存读取数据 外网主机系统获取数据，进行数据重组，安全检测，与外网主机建立连接 6~10从外网往内网交换数据，工作流程相同1~5 必须连！ 谁帮我！ 使用防火墙/UTM等安全网关设备无法满足安全隔离需求 两个要连接的网络原本不连接 客户价值：节省投资，方便管理。 三大特点 1、即内网主机系统模块、外网主机系统模块加上安全检测与控制处理单元模块（隔离交换模块）。 2、隔离交换卡基于安全芯片实现专用、高速的数据交换。隔离交换卡是内外网主机系统唯一的连接部件，因此，内外主机系统之间不存在任何网络设备连接。 3、同时，由于采用专门设计的硬件交换模块进行数据交换，没有任何网络接口，因此，内外网主机之间也不可能进行基于网络协议的数据交换和访问，从而从硬件层面保证了内外主机系统之间的安全隔离。 4、隔离交换卡具有独立的硬件交换控制逻辑，无OS及任何“软”控制，自主完成数据的交换，系统只负责把数据写到数据交换卡中的缓冲区，由数据交换卡根据硬件控制逻辑自动完成数据交换，自动同步两侧控制逻辑，进行互斥的读写操作，同时还具有自动数据完成性校验，当发现数据错误时，自动重传，保证数据的完全正确。从而实现内外网主机系统真正的物理隔离交换。 5、系统通过基本模块实现关键的数据交换功能，它是内外网主机系统进行信息交换的唯一接口，其他任何功能模块都建立在基本模块之上，通过核心层驱动程序的设计和