利谱网闸设备介绍.ppt

第三代网闸（数据通道型）

----TIPTOP隔离网闸图示安全隔离系统非信任网络或Internet信任网络隔离装置连接系统连接系统结构示意图硬件结构原理图工作示意图外网单元A内网单元B专用硬件通道私有交换协议加密机制不可信网络可信网络病毒扫描入侵检测身份认证日志审计内容过滤病毒扫描入侵检测日志审计内容过滤网闸的数据交换流程********隔离技术概述怎样才算隔离？实体角度理解：在设备、线路、存储上是完全分离的。过程角度理解：网络间不存在任何形式的自动信息交换。隔离技术概述有哪些隔离方法？物理隔离：设备、线路、存储均独立网络隔离（协议隔离）：协议转换安全隔离：仅交换应用数据威胁类别风险等级典型攻击物理层次低超高电压、线路破坏等协议层次中地址伪装、碎片攻击等应用层次高恶意代码、垃圾邮件等网间安全层次网间安全威胁层次隔离技术总类物理隔离：线路、设备、存储逻辑隔离：交换机、路由器、防火墙、网闸应用角度技术角度部署位置：用户端产品形式：双机隔离、硬盘隔离、线路隔离桌面级隔离：部署位置：网关处产品形式：交换机、路由器、防火墙、网闸网络级隔离：隔离技术发展与产品沿革层次隔离内容产品应用层APPDATA网闸传输层PORT防火墙网络层IP路由器链路层MAC交换机物理层－集线器桌面级隔离技术双机隔离A硬盘隔离B线路隔离C完全的物理隔离Internet政府內部网络上不了网?收发不了邮件…双机隔离Internet政府內部网络每人2台电脑！太浪费了上外部网上内部网硬盘隔离（双硬盘）Windows…内网外网Internet硬盘隔离（单硬盘）Windows…外区内区InternetReboot…Win2000/xp…线路隔离开/关只是延时！共用同一系统、硬盘并不能达到物理隔离效果！！！Internet网络物理隔离的定义网络对应OSI模型的七层网络隔离，断开全部的七层在七层之外，以非网络方式交换数据交换的数据是非网络数据（可以是文件，但不会是IP包）物理隔离的网络间如何交换数据?人工拷盘方式：不方便、不及时、不安全采用隔离网闸：方便、及时、安全。终端之间拷盘交换信息Internet添加标题1接外部网添加标题2接内部网添加标题3A添加标题4B添加标题5软盘等存储设备C添加标题6隔离网络间拷盘交换信息第一代网闸（空气开关型）暂存区C外网单元A内网单元BK切换控制电路不可信网络可信网络病毒扫描入侵检测身份认证日志审计内容过滤隔离网闸技术第一代网闸的缺陷数据交换方式：利用单刀双掷开关使得内外处理单元分时存取共享存储设备，完成数据交换，实现了在空气缝隙隔离(AirGap)情况下的数据交换。延时大、传输慢！第二代网闸（拷盘技术）采用拷盘技术即存储/转发机制实现隔离交换，如SCSI读写控制、双端口RAM技术、DMA技术等。延时有很大提高，但是速度仍然不够快，延时依然偏大，满足不了高速数据如视频流传输的需要。第三代网闸（数据通道型）

---TIPTOP隔离网闸采用国际领先的DTP物理隔离通道控制系统，利用ASIC专用芯片技术，将网络通道开关功能在嵌入式系统内核中实现，系统延时可达纳秒级，极大地提高了网闸的速度和性能。TIPTOP隔离网闸的技术特点（1）专有硬件控制设备彻底阻断网络间的任何通路。DTP物理隔离通道控制系统采用专用大规模集成电路芯片（ASIC）对纯数据进行控制，不依赖任何网络硬件和软件，保证内网和外网之间不存在任何网络连接。特有控制逻辑和专用通讯协议完全控制数据的实时交换。TIPTOP隔离网闸按照自己的控制逻辑对内外网之间的通道进行控制，被剥离了常规协议和附加信息的纯数据（又称裸数据）通过专用的硬件通道，根据自定义的通讯协议重新构造成网络数据包，彻底抛弃不安全的连接控制信息。TIPTOP隔离网闸的技术特点（2）TIPTOP隔离网闸具有独特的多因素身份认证方式，提供用户名密码、ip地址、mac地址、指纹等的混合认证方式，而非单一认证方式。TIPTOP提供直观的用户分组管理功能，可以很方便的将不同部门的用户分成不同组，每个组用户具有相同的如上网浏览、文件交换等权限。TIPTOP隔离网闸配置管理：不仅要有网闸管理员的用户名和密码，还必须具备利谱公司网闸配备的硬件USB钥匙KEY才能