TopRules网闸产品说明

精品文档 。 1欢迎下载1欢迎下载1欢迎下载1欢迎下载1欢迎下载1欢迎下载1欢迎下载1欢迎下载1欢迎下载1欢迎下载1欢迎下载 网络卫士安全隔离与信息交换系统网络卫士安全隔离与信息交换系统 TopRulesTopRules 产品说明产品说明 天融信 TOPSEC 北京市海淀区上地东路 1 号华控大厦 100085 电话：+8610-82776666 传真：+8610-82776677 精品文档 。 2欢迎下载2欢迎下载2欢迎下载2欢迎下载2欢迎下载2欢迎下载2欢迎下载2欢迎下载2欢迎下载2欢迎下载2欢迎下载 服务热线：+8610-8008105119 精品文档 。 3欢迎下载3欢迎下载3欢迎下载3欢迎下载3欢迎下载3欢迎下载3欢迎下载3欢迎下载3欢迎下载3欢迎下载3欢迎下载 版权声明版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下 简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转 译或任意引用。 版权所有 不得翻印 1995-2008 天融信公司 商标声明商标声明 本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他 公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。 TOPSEC 天融信公司 信息反馈信息反馈 网络卫士安全隔离与信息交换系统 TopRules 产品说明 服务热线：8008105119 i 1 1前言前言.2 2 2 2产品概述产品概述.3 3 3 3产品特点产品特点.5 5 4 4产品功能产品功能.8 8 4.1WEB访问功能.8 4.2邮件访问功能.8 4.3文件访问和同步功能.8 4.4FTP 访问功能 .8 4.5数据库访问和同步功能.9 4.6自定义功能通道.9 5 5产品规格产品规格.1010 6 6运行环境和标准运行环境和标准.1111 7 7典型应用典型应用.1212 7.1涉密网络中的应用.12 7.2常规网络中的应用.13 目目 录录 网络卫士安全隔离与信息交换系统 TopRules 产品说明 服务热线：8008105119 2 1 1 前言前言 作为中国信息安全行业领导企业，北京天融信公司 1995 年成立于中国信息产业摇篮 的北京，十年来天融信人凭借勇于创新、积极进取、和谐发展的精神，成功打造中国信 息安全产业著名品牌TOPSEC。 从 1996 年天融信率先推出填补国内空白的中国自主知识产权防火墙产品，到能够提 供防火墙、VPN、入侵检测与防御、多功能安全网关(UTM)、过滤网关、安全审计、安全 管理等高品质全系列安全产品；再到以安全产品为基础、以打造信息安全保障体系为目 标、以等级保护为主线，天融信已经完成了从单一安全产品生产商向全线安全产品、解 决方案与服务综合提供商的飞跃。天融信作为民族信息安全产业的领航者肩负着国家信 息安全重任，秉承“完全你的安全（Seamless Security Network）”品牌宗旨，结合多 年网络安全技术，以“可信安全管理”为技术发展方向，全力保障客户网络与信息安全、 为客户创造更大价值。 网络卫士安全隔离与信息交换系统 TopRules 产品说明 服务热线：8008105119 3 2 2 产品概述产品概述 最早提出隔离概念是 70 年代美国、俄罗斯和以色列等国，并且都存在此方面的技术 应用和相关法规；国内隔离要求最早是由国家保密局提出的，并已严格在涉密网内执行； 随着电子政务的开展，我国相关部门已经陆续出台相关的政策和规章： 2000 年 1 月 1 日开始实施的计算机信息系统国际网保密管理规定：涉密网 络不得与公共信息网络连接，要实行物理隔离； 中共中央办公厅 2002 年第 17 号文件明确强调：“政务内网和政务外网之间物 理隔离，政务外网与互联网之间逻辑隔离”； 2007 年 3 月，电子政务保密管理指南：电子政务信息系统间的信息交换 “可采用国家保密工作部门批准的安全隔离与信息交换系统进行连接”。 在我国的20062020 年国家信息化发展战略中，把推行电子政务和建设国家信 息安全保障体系作为我国未来 15 年的信息化发展战略重点。电子政务力图在实现国家行 政决策的同时，信息得以广泛传播，服务能够随时面向社会公众；与此同时，关系国家 安全的重要信息也面临威胁；信息安全成为电子政务的头等大事，事关国家安全和社会 稳定，如何确保电子政务安全性就成了当务之急。 传统做法传统做法 独立网络形式，通过建立多套完全独立的网络来实现隔离信息孤岛问题严 重； 简单的介质拷贝效率低，数据缺乏安全审查，带来其他的安全隐患（病毒、 泄密），无法审核核心涉密网内部人员误用、滥用以及违规违法的行为； 用防火墙进行过滤通用协议，极易导致攻击代码的流入，应用层过滤深度 不够； 网络隔离卡，将一台设备上的硬盘物理分割为两个分区，形成两个完全独立的 环境采用单机隔离卡技术，解决了单机非实时信息交换的需求，但网间连 续实时的业务依然无法开展，且对单机通信的信息泄漏问题没有有效的监控手 段，而且人力、物力浪费，操作不便； 传统网闸技术在安全隔离方面也曾出现过其它多种技术方案，比如在隔离 卡建立起的两套系统间设立数据缓冲区，进行分时连接和切换，还有就是基于 电子开关的方式进行隔离系统两端网络通断的控制。这类技术可以归结为传统 网闸技术。传统网闸技术在一定程度上能够解决信息交换和隔离的需求，但在 安全功能实现和系统性能上仍不能完全满足电子政务建设的安全要求。 精品文档 。 4欢迎下载4欢迎下载4欢迎下载4欢迎下载4欢迎下载4欢迎下载4欢迎下载4欢迎下载4欢迎下载4欢迎下载4欢迎下载 传统做法，避免了安全责任，满足了形式上的隔离要求，技术上不够安全，很难兼 顾安全隔离与信息交换两者的需求，更缺乏对信息安全的严格审查。 由此，一种需要避免信息孤岛，需要进行重点积极防御，提高防御的广度和深度， 需要提高安全管理能力和服务响应能力，排除来自外网的攻击，同时避免内部人员的违 法和违规行为的需求摆在我们面前；一种能在保证重要网络与其他网络安全隔离同时， 还能实现高效、受控的数据交换的设备需求迫切。 因此，天融信结合自身多年的网络安全技术和可信安全体系架构，经过严密的产品 设计和研发推出了安全高效的网间隔离产品网络卫士安全隔离与信息交换系统 TopRules。该产品基于完整的安全体系架构设计理念，完善了安全隔离的概念，提出了 安全高效的隔离模型，将访问控制、身份签别、客体重用、审计和数据完整性等多种安 全技术完美结合，彻底切断了不同安全级别网络间的直接连接，通过对信息进行落地、 还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理，实现数据在应用层的 细粒度、深层次的完全内容过滤检测，并以自有专用协议在安全隔离网间交换，有效防 止黑客攻击、恶意代码和病毒渗入，同时防止内部机密信息的泄露，实现网间安全隔离 和信息交换。 网络卫士安全隔离与信息交换系统 TopRules 产品说明 服务热线：8008105119 5 3 3 产品特点产品特点 三机三系统架构 TopRules 采用独特的三机系统结构，以软硬件结合的方式，系统硬件平台由内网主 机系统、仲裁主机系统、外网主机系统、专用的隔离卡四部分组成；内网主机、仲裁主 机和外网主机系统分别具有独立的运算单元和存储单元，并以天融信自主知识产权的 TOS 通用安全平台作为系统支撑；仲裁主机独立于内/外网主机，不受内/外网主机系统 控制，独立完成协议的剥离和重建，达到对应用数据的封包、拆包、完全内容过滤监测 和摆渡，从而实现网间隔离和数据交换，如下图所示。 图表 3-1 三机系统模型 专用协议摆渡 TopRules 的内网主机和外网住机是内部网络和外部网络通用协议 TCP/IP 协议的终 点，各自的网络协议在仲裁主机实现剥离和重建，内部网络和外部网络不可向对方延伸。 所有过往的信息流都从 TCP/IP 协议包中剥离，被还原为应用层数据。应用层数据通过专 用硬件和专用通信协议发送给仲裁系统进行安全控制和审查，如下图所示。 精品文档 。 6欢迎下载6欢迎下载6欢迎下载6欢迎下载6欢迎下载6欢迎下载6欢迎下载6欢迎下载6欢迎下载6欢迎下载6欢迎下载 图表 3-2 安全隔离与信息交换系统的数据流 有效安全通道 TopRules 连接的网络之间，所有的数据交换活动都在预先建立的有效安全通道上进 行，这些安全通道借助基于用户的访问控制、安全的专用协议以及相关的安全策略，检 测、过滤并阻断各种已知、未知攻击，特别是很多基于应用的攻击手段，例如 Web 脚本 攻击、病毒和蠕虫等恶意代码，有效保护内部网络系统的安全性；与此同时，借助严格 的内容检测控制，防止内部敏感信息泄漏出去。 独特的客体重用机制 TopRules 在为所有内部或外部网络主机连接进行资源分配时，专用的隔离系统保证 了不提供以前连接的任何信息内容，充分保障了数据交换的安区性和可靠性。 应用级完全内容检测与审计 集成天融信独有的一站式内容安全模块，过滤所有交换数据，全面解析网络传输信 息，通过深层次细粒度的内容过滤，预先拦截内、外网用户禁止访问的内容，特别适合 对大批量的关键字同时进行过滤，还具有避免常见的掩饰手段（如拆分敏感关键词、加 入标点、换行等）干扰的特点，达到了完全内容检测（CCI，Complete Content Inspection）；同时仲裁系统对所有信息交换数据和行为进行审计记录，便于及时获知 网络使用情况。 独有的并发处理机制 采用基于虚电路的并发处理机制，解决了传统多进程处理的效率问题，大大提高了 现有硬件设备的数据吞吐能力。 安全性、可靠性 TopRules 设备本身的管理和维护，都在仲裁机上进行。仲裁机基于独立网络，与内 外网络没有任何关联，不但保证了设备本身的可靠性和安全性，而且做到了内、外皆防。 独特的仲裁机结构设计和所支持的双机热备功能，更在极大程度上保证了网络系统间信 息交换的安全性和可靠性。 精品文档 。 7欢迎下载7欢迎下载7欢迎下载7欢迎下载7欢迎下载7欢迎下载7欢迎下载7欢迎下载7欢迎下载7欢迎下载7欢迎下载 卓越的网络及应用环境适应能力 支持常见的基于 TCP 和 UDP 的各类主流应用协议，此外，针对某些网络系统中存在 的其它数据库和其它类型的信息交换业务，TopRules 提供灵活的扩展和定制功能，能够 快速方便地满足用户需求。 网络卫士安全隔离与信息交换系统 TopRules 产品说明 服务热线：8008105119 8 4 4 产品功能产品功能 4.14.1 WebWeb 访问功能访问功能 Web 访问功能有两种工作机制：客户端保护机制和服务端保护机制。Web 客户端保护 机制保护内网用户不受外网 Web 站点上有害内容的侵扰，服务端保护机制保护内网 Web 服务器不受外来访问的恶意攻击。 TopRules 在 HTTP 协议中加入了多种安全策略： 协议通道可以访问的 URL 清单； 协议通道允许使用的用户名但； 协议通道过滤有害脚本； 协议通道过滤的敏感关键字列表。 4.24.2 邮件访问功能邮件访问功能 TopRules 在处理邮件服务协议时，可将其看作一个安全的邮件信息交换平台，用户 可以使用常见的邮件客户端工具（如 outlook 和 foxmail）来设置在互联网上的公共邮 箱，以便实现邮件信息交换。 TopRules 在邮件相关协议的处理中加入了多种保护邮件的策略设置： 对邮件的主题及内容进行过滤，可以有效地防止内部机密信息的泄漏； 限制邮件的大小，可限制大附件的邮件； 限制邮件中的执行脚本； 限制垃圾邮件，保护用户不受垃圾邮件的干扰； 检测管理员设置的附件文件名的安全规则，阻断规则所禁止的邮件。 4.34.3 文件访问和同步功能文件访问和同步功能 TopRules 提供文件交换和同步通道，支持 SAMBA、NFS 等多种文件交换方式，同时 提供文件整体性、正确性校验机制和断点续传高可靠性技术保障。 4.44.4 FTPFTP 访问功能访问功能 TopRules 提供 FTP 协议通道主要保护内网 FTP 服务器不受攻击。除受控通道的基本 安全支持外，FTP 协议还可对使用 FTP 通道传输的内容进行过滤，包括病毒等恶意代码 的查杀。 精品文档 。 9欢迎下载9欢迎下载9欢迎下载9欢迎下载9欢迎下载9欢迎下载9欢迎下载9欢迎下载9欢迎下载9欢迎下载9欢迎下载 4.54.5 数据库访问和同步功能数据库访问和同步功能 TopRules 提供 MS SQL Server、Oracle、Sybase、DB2 等协议通道，保护数据库信 息交换的安全性、适时性和实时性。支持各种同构或异构的关系数据库之间的数据交换， 如 Oracle、Sybase、SQL Server、DB2 等，另外，还支持数据库到文件、文件到数据库、 文件到文件的数据交换；支持异构数据结构以及代码语义的转换规则定义，并实现源数 据到目标数据之间的实时数据交换，支持数据整合业务；支持数据一对一、一对多、多 对多的单向或双向交换和同步，支持实时交换或定时同步的策略定义；采用 XML 技术， 具有可配置性。可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据 交换策略定义。 4.64.6 自定义功能通道自定义功能通道 TopRules 在设计上具有强大的可扩展性，使得 TopRules 具有很大的灵活性，能够 适应多种应用领域并可以根据用户的需求定制功能通道。包括： 自定义功能通道可以采取代理工作模式或者转发工作模式； 自定义功能通道可以直接使用现有的全部通道基本设置； 自定义功能通道可以根据需求定制安全功能； 自定义功能通道可以根据需求开发新的专用协议处理功能； 除以上功能外，TopRules 还融合了天融信多年来在信息安全方面的其他安全技术， 提供了完整的安全保证；其中包括：内嵌的入侵检测和病毒防护机制，支持数字签名， 黑白名单，地址绑定、双机热备等。 网络卫士安全隔离与信息交换系统 TopRules 产品说明 服务热线：8008105119 10 5 5 产品规格产品规格 产品规格如下表所示： 产品型号标准配置主要指标 TopRules8000 4U，1 个 100Base-T(RJ-45)接口， 2 个 10/100/1000M 自适应接口 （内外传输口数量可按需求扩展， 最多可扩到 4 个口）。 网络吞吐量：400Mbps；时 延：0.7ms；最大受控协 议通道：256 种；单个协 议通道并发连接数： 32767；所有协议通道并发 连接数：65535；最大用户 数：2048； TopRules7000 U，3 个 100Base-T(RJ-45)接口， （内外传输口数量可按需求扩展， 最多可扩到 5 个口。） 网络吞吐量：80Mbps；时 延：0.7s；最大受控协议 通道：256 种；单个协议 通道并发连接数：16382； 所有协议通道并发连接数： 32767；最大用户数： 1024； 网络卫士安全隔离与信息交换系统 TopRules 产品说明 服务热线：8008105119 11 6 6 运行环境和标准运行环境和标准 电源类型：AC 90-132/180-265V 电气性能 电源功率：300Wx2 辐射标准符合 FCC Part15，CLASSA，EN55022 温度(工作)：-2055；高度 10000 英尺/3000 米 温度(存储)：-1070；高度 30000 英尺/9000 米 相对湿度（工作）：1090%非冷凝 物理环境 相对湿度（存储）：595%非冷凝 网络卫士安全隔离与信息交换系统 TopRules 产品说明 服务热线：8008105119 12 7 7 典型应用典型应用 7.17.1 涉密网络中的应用涉密网络中的应用 针对涉密网络中的特殊要求，TopRules 能最大程度上提供安全隔离和信息交换的服 务，它通过专用硬件进行数据交换，由仲裁机负责完成安全保密检查，从而在安全隔离 的基础上，实现内外网之间有效、安全、受控的数据交换。 TopRules 在涉密网络中的典型应用，例如在存在手动拷盘传输数据的场合。基于自 身独特的设计，网络卫士安全隔离与信息交换系统 TopRules 能做到只允许单向的信息交 换，这样就防止了内网向外网的泄密，进一步保证了网间隔离的安全。而采用“安全隔 离与信息单向传输系统”将 Internet 信息导入涉密网的方案，将会比通过手动拷盘传输 数据方式更安全。 精品文档 。 13欢迎下载13欢迎下载13欢迎下载13欢迎下载13欢迎下载13欢迎下载13欢迎下载13欢迎下载13欢迎下载13欢迎下载13欢迎下载 7.27.2 常规网络中的应用常规网络中的应用 除了在涉密网络系统中应用之外，TopRules 也可以广泛使用在行业数据网之间的隔 离、行业内不同性质业务网间的隔离以及内部网络和外部网络之间的隔离。该平台上的 数据交换业务是可以灵活配置和快速定制的，数据交换可以单向也可以双向。 内部核心网与内部一般业务网的隔离 内部核心网与内部一般业务网由于业务性质不同，一般情况下，其数据库性质也是 不同的，但之间往往存在数据交流。直接向对方开放权限让其访问是很不安全的。即使 使用防火墙设备，为了让对方能够访问，也必须使其在开放的业务上网络可达。 TopRules 可以在网络安全隔离的基础上，与网络应用提供者共同制定应用通信协议，并 对该协议的数据流进行仲裁，从而实现安全的数据交换和隔离。 内部边缘网与总部综合网间的隔离 由地理因素隔开的一个组织的分部和总部之间的信息交换是常见的。分部和总部之 间一般通过开放的互联网络传输设施相互连接，其间任何一方直接向互联网络开放访问 权限都是不明智的行为，即使使用防火墙设备也必须为相应的业务开放相应的权限，从 而带来各种安全隐患。TopRules 在信息隔离的基础上，提供受控业务信息交换的通道， 可以避免向互联网络开放权限带来的弊病。 内部甲部门业务网与乙部门业务网间的隔离 单位内部的各个部门之间的信息一般情况下是隔离的，当然，出于单位统一的业务 需要，部门间常常会发生信息交换，甚至多个部门联合进行业务活动，在这种情况下， 在部门之间直接开放各种访问权限是简单直接的做法，但也是最不安全的行为。即使使 用了防火墙，由于防火墙的协议可达性，同样容易造成部门之间信息直接沟通的不安全 性。TopRules 避免了基于协议的攻击，经过审计的部门之间的