网神SecSIS 3600安全隔离与信息交换系统G1500-E026P产品白皮书V7.0.13.1【V8.11.1】

网神SecSIS 3600系列安全隔离与信息交换系统一、 产品介绍随着技术的发展和I n t e r n e t的普及，不仅带来了信息共享，也带来了黑客、病毒等不安全因素。

一些行业和机构中，公网的连接安全依赖防火墙设定的策略，但在机构内部也存在进一步保密数据要求，所以应运而生了保护这部分数据的安全隔离与信息交换系统（简称网闸）。

为了保护涉密网络的安全性，依靠自身在安全领域的技术和理念优势，网御神州开发出了安全、高效、灵活的网闸，实现了在物理隔离网络下信息的安全流转。

网神S e c S I S3600系列网闸部署在涉密网和内网之间，不仅能实现涉密网和内网的完全物理隔离，而且可以实现二者间的信息交换。

网神S e c S I S3600系列网闸，可为政府、军队、网站和企业级用户提供方便、快速、灵活、稳定的网络安全解决方案，在保持原有的网络架构上轻松、快速地构建自己的安全网络或安全通道。

一、 产品亮点1.安全高效的数据传输体系结构网神S e c S I S3600系列网闸具有自主研发的内外主机系统间的安全检测与控制处理单元，采用专有电路设计的双通道高速数据交换卡，实现了独立的硬件交换控制逻辑，不仅保证了内外主机系统之间数据交换的机密性、完整性和可信性，而且在保证安全性的同时，提供更好的处理性能（延时<20s），能够适应各种复杂网络环境对隔离应用的需求。

网神S e c S I S3600系列网闸在内外主机系统间采用专有协议，阻断网络连接，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

2.可靠的冗余和均衡架构网神S e c S I S3600系列网闸基于可靠性的考虑，通过双击热备等技术保证了在网络或设备故障时，业务的不间断运行。

在网络流量较大时，也可能会造成业务不可用或和响应速度下降，网神S e c S I S3600系列网闸支持多台设备的负载均衡（最多支持32台），最大限度的提升了网络的可用性。

●版权声明Copyright © 2006-2011 网御神州科技（北京）有限公司（“网御神州”）版权所有，侵权必究。

未经网御神州书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (5)2产品功能说明 (7)2.1SSL 应用发布 (7)2.1.1B/S软件的应用 (7)2.1.2企业站点的应用 (7)2.1.3单点登录功能（SSO） (8)2.1.4C/S应用发布 (8)2.1.5TCP端口应用 (10)2.1.6SSL 隧道模式 (10)2.2LAN TO LAN 的解决方案 (11)2.3远程用户安全性检查 (11)2.4远程用户访问认证 (12)2.5用户访问策略 (12)2.6日志审计功能 (12)2.7防火墙功能 (13)2.8支持动态IP接入 (13)2.9完美的个性化定制 (14)3产品技术优势 (14)3.1将C/S应用转成B/S访问 (14)3.2Web应用功能 (15)3.3访问的安全性 (15)3.4稳定性及高可用性 (17)3.5低带宽运行特性 (17)3.6部署灵活，维护简单 (18)4典型应用 (18)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600 安全接入网关（简称：“网神SSL VPN”）产品。

该系列VPN安全网关采用国家密码管理局指定的加密算法，，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。

网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SSL VPN为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序，而不需要安装任何客户端软件，网神SSL VPN可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户使用不同的应用。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

网神SecIPS 3600入侵防御系统产品白皮书
1 产品概述
网神SecIPS 3600基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、DoS攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

2 产品特点
⏹灵活的部署方式。

网神SecIPS 3600支持IDS（旁路接入）、学习模式（串接，检测而
不防御）、连通优先、防御优先等四种工作模式，部署灵活方便，极大提高了产品的可用性。

⏹准确的攻击阻断。

网神SecIPS 3600融合了基于状态的模式匹配、基于协议的解码分
析、基于行为异常的检测、基于漏洞存在的检测、被动的操作系统及应用指纹识别、智能IP重组、蠕虫检测与隔离等新一代的检测分析技术，配合优秀的签名库，能够准确识别并实时阻断各种恶意攻击，确保网络安全可靠。

⏹丰富的管理和报表功能。

网神SecIPS 3600支持对多台探测器的集中管理（策略下发、
组件监控、事件收集等），提供多达40余种的统计报表模版，向导式的自定义报表，组建间加密通信，极大方便用户的使用，减少管理工作量。

3 主要功能
4 产品型号与技术指标
5 产品形态
6 产品资质
公安部销售许可证。

网神S e c I P S3600系列入侵防御系统一、 产品介绍网神S e c I P S3600系列入侵防御系统基于先进的体系架构和深度协议分析技术，结合协议异常检测、状态检测、关联分析等手段，针对蠕虫、间谍软件、病毒、垃圾邮件、D O S攻击、网络资源滥用等危害网络安全的行为，采取主动防御措施，实时阻断网络流量中的恶意攻击，确保信息网络的运行安全。

二、产品亮点1.深度检测，多种技术融合融合多种检测技术，有效检测并阻止多种已知的和未知的攻击；应用层上的数据包重组、检测分析，以阻挡越来越多的应用层攻击行为；S e c I P S3600的攻击检测模块与内置访问控制模块的完美集成使得产品具有更安全可靠的防护能力。

2.A S E引擎实现准确的检测与防护S e c I P S3600基于独有的应用检测引擎A S E,实现了的协议状态分析检测技术、流量和协议异常检测技术、基于漏洞存在的攻击检测技术，结合基于特征匹配的检测技术，极大地提高检测的准确性，降低误报率。

S e c I P S3600特有的协议识别技术能够识别近100种包括后门、木马、I M、网络游戏在内的应用层协议，不仅可以更有效的检测通过动态端口或者智能隧道等进行的恶意入侵，并且能更好的提高检测效率和准确率。

S e c I P S3600出色的协议异常检测针对检测未知的溢出攻击与拒绝服务攻击，达到接近100%的检测准确率和几乎为零的误报率。

3.优异的产品性能S e c I P S3600专门设计了安全、可靠、高效的硬件运行平台。

硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。

S e c I P S3600依赖先进的体系架构、高性能专用硬件，在实际网络环境部署中性能表现优异，具有线速的分析与处理能力。

4.高可靠、可扩展S e c I P S3600支持失效开放（F a i l b y p a s s）机制，当出现软件故障、硬件故障、电源故障时，系统自动切换到直通状态以保障网络可用性，避免单点故障。

技术白皮书网神SecGate 3600 NSG系列下一代安全网关（UTM）目录1产品概述 (3)2产品功能说明 (3)2.1自适应的网络接入模式 (3)2.2完善的状态包过滤 (4)2.3全面的NAT地址转换 (5)2.43G与Wi-Fi (5)2.5病毒过滤 (5)2.6反垃圾邮件 (6)2.7VPN功能 (7)2.8强大的抗攻击能力 (7)2.9应用程序控制 (7)2.10Web过滤 (8)2.11身份验证 (9)2.12即时通讯（IM） (9)2.13入侵防御IPS (9)2.14双机热备和高可用性HA (10)2.15智能分析报表 (10)2.16全面的系统监控 (11)2.17丰富安全的管理方式与灵活的权限设置 (11)2.18完善的系统升级与双系统保障 (11)2.19系统配置的导入导出 (12)3产品技术优势 (12)3.1领先的SecOSII安全协议栈 (12)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (13)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一：网络出口综合安全防范 (14)4.2拓扑二：透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600 NSG系列下一代安全网关（UTM）（简称:“网神NSG系列UTM产品”）是基于完全自主研发、经受市场检验的成熟稳定SecOSII操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、身份认证、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理等多项安全技术于一身并且内置完善的智能报表分析的主动防御综合UTM系统。

网神NSG系列UTM产品可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界，为用户同时提供多种、多层次安全防御，保护用户网络免受病毒、蠕虫、木马、垃圾邮件以及未知的攻击等混合威胁的侵害，同时为用户节省了购买多个设备的高昂费用，可简便地统一管理各种安全模块及相关日志、报告，大大降低了设备的部署、管理和维护成本。

⽹神Secgate3600安全⽹关产品功能使⽤⼿册声明服务修订：●本公司保留不预先通知客户⽽修改本⽂档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，⽆论明⽰或默⽰，不作其它任何担保，包括（但不限于）本⼿册中推荐使⽤产品的适⽤性和安全性、产品的适销性和适合某特定⽤途的担保。

●本公司对于您的使⽤或不能使⽤本产品⽽发⽣的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个⼈损害或商业损失或任何其它损失。

版权信息：●任何组织和个⼈对本公司产品的拥有、使⽤以及复制都必须经过本公司书⾯的有效授权。

⽹神信息技术（北京）股份有限公司⽬录⽬录 (2)导⾔ (12)1.本⼿册适⽤对象 (12)2.⼿册章节组织 (12)3.相关参考⼿册 (13)第⼀章系统配置 (14)1.1配置系统时钟 (14)1.2配置管理⽅式 (15)1.3配置管理主机 (16)1.4配置管理员 (17)1.5配置管理员证书 (21)1.6配置集中管理 (22)1.6.1集中管理概述 (22)1.6.2配置案例：集中管理 (24)1.7配置导⼊导出 (44)1.8配置升级许可 (46)1.9配置⽇志服务器 (50)1.9.1 ⽇志服务器概述 (50)1.9.2 配置案例：⽇志服务器 (51)1.10配置域名服务器 (54)1.11配置报警邮箱 (55)1.11.1 报警邮箱概述 (55)1.11.2 配置案例：报警邮箱 (56)第⼆章⽹络配置 (62)3.1 ⽹络接⼝ (62)3.1.1配置接⼝基本配置 (62)3.1.3 配置⼦接⼝ (67)3.1.4 配置桥接⼝ (69)3.1.5 配置channel⼝ (70)3.1.6 配置vlan (72)3.2 静态路由 (73)3.2.1 ⽬的路由 (73)3.2.2 策略路由 (74)3.3 动态路由 (78)3.3.1动态路由概述 (78)3.3.2 RIP设置 (79)3.3.3 OSPF设置 (81)3.3.4 BGP配置 (85)3.3.5 DEBUG信息 (86)3.11.5 配置案例：动态路由 (87)3.4 多播路由 + IGMPSNOOPING (88)3.4.1配置案例 (88)3.5 虚拟系统 (90)3.5.1 虚拟系统配置案例 (90)3.6 DNS中继 (93)3.6.1 DNS中继概述 (93)3.6.2 配置案例：DNS中继 (94)3.7链路探测................................................................................. 错误！未定义书签。

目录1产品概述 (3)2产品特点 (3)3产品功能 (5)4产品型号与指标 (9)5产品形态 (16)6产品资质 (24)1产品概述网神SecGate 3600 防火墙（简称：“网神防火墙”）是基于完全自主研发、经受市场检验的成熟稳定SecOS 操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队、教育、大中小型企业及各分支机构的互联网出口打造的专业防火墙系统。

网神防火墙可灵活部署在政府、教育、军队、运营商、大中小型企业及其分支机构的网络边界，完整实现了状态检测包过滤防火墙、IPSec VPN、SSL VPN、URL过滤、绿色上网、流量控制、用户认证等综合安全功能。

基于成熟可靠的多核处理器硬件平台，并可以扩展使用硬件加速，性能超强。

2产品特点●领先的SecOS 安全协议栈完全自主知识产权的SecOS 实现防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。

同时也减少了因为硬件平台的更换带来的重复开发问题。

由于采用先进的设计理念，使该SecOS 具有更高的安全性、开放性、扩展性和可移植性。

●高性能与高安全的多核架构多核硬件架构与新一代多核并行安全操作系统SecOS 相配合，多个核并行处理，分担数据流量，极大的提升系统性能。

多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。

保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。

●深度的网络行为关联分析采用独立的安全协议栈，可以自由处理通过协议栈的网络数据。

多核间相互分工协作，一部分核进行高速数据转发，并对常见HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另外一部分核实现快速重组数据包还原内容，进行深度安全检测。

同时基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，并能对P2P和即时通讯软件进行控制、支持URL库、支持Web内容过滤，支持FTP内容过滤，为细粒度的网络安全管理提供了有利的技术保障。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (12)4产品资质................................................................................ 错误!未定义书签。

1产品概述网神SecIPS 3600入侵防御系统（简称：“网神IPS”）将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。

配合实时更新的入侵攻击特征库，可检测防护3000种以上的网络攻击行为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁，并具有丰富的上网行为管理，可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。

从而，很好地提供了动态、主动、深度的安全防御。

2产品特点网神IPS的完善体系结构包括两大部分：强化安全的专用操作系统和模块化硬件系统。

以下分别介绍这两大部分。

高效的体系结构在平台优化的核心技术方面，主要有以下三个方面。

1）零拷贝技术数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝，有效地减少内存存取次数。

2）核心层优化所有报文的解析与比对都由核心层（Kernel）进行，完全不用通过核心层与应用层之多余的转换，因此不用进行内存拷贝，从而有效地减少内存存取次数。

3）硬件特征比对网神特征比对引擎是一款能直接比对特征码格式，引擎比对速度高达4Gbps。

相对于一般只对报文内容进行文字搜索的作法，引擎同时整合了第四层的特征内容，减少了处理器额外比对并且有效降低误判，且支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元，能高速进行对比并且不会有规则存储导致硬件满载的风险。

目录1.产品概述 (4)2.产品原理 (4)3.产品功能说明 (6)3.1信令与流媒体通道分离 (6)3.2控制命令监测黑白名单 (6)3.3流媒体通道配额策略 (6)3.4特权用户 (6)3.5编码格式识别技术 (6)3.6防抖动技术 (6)3.7访问控制 (7)3.8地址绑定 (7)3.9轻松的管理 (7)3.10完善的安全审计 (7)3.11强大的抗攻击能力 (7)4.技术优势 (8)4.1安全高效的硬件交换系统 (8)4.2高性能与高安全的多核架构 (9)4.3强大的编码识别技术 (9)4.4核心应用的安全最大化 (9)4.5强大的定制扩展能力 (10)5.典型应用 (10)5.1公安全球眼视频解决方案 (10)1.产品概述随着城市联网报警与监控系统的建设，以及社会上大量社会面视频监控系统的应用，如“全球眼”、“宽世界”等公共运营商集中运营的视频监控系统，以视频监控结合人为管理成为安防工作中重要手段之一。

各级政府机关将这些资源有机联网、整合共享，并且有效管理、灵活调用，与内网各信息系统进行挂接、联动，实现对紧急事件的快速反应、科学决策和集中处警。

如何保证整个系统在网络层面的安全性越来越成为大家关注的重点。

尤其是在面临专网视频监控系统（内部）与公网视频监控系统（外部）进行互通时，这个问题显得尤为突出。

就目前视频监控系统而言，存在着以下风险：●暴露在外的DVS、DVR、IP摄像机可被用于直接网络攻击●范围巨大的传输网络链路存在数据窃听、篡改风险●网络隔离。

避免在共享视频资源的同时，将安全风险引入内部网络而现有的网闸产品在应用到视频监控网络中时，无法满足视频传输的正常要求，传输速率低、无法处理多样化的视频协议等缺陷成为视频网络中的瓶颈设备。

网神SecSIS3600安全隔离视频交换系统（简称：视频网闸）是新一代网络安全隔离产品。

该产品采用专用硬件和模块化的工作组件设计，集成安全隔离、实时图像传递、视频协议及信令分析、通道配额管理、内容检测、访问控制、安全决策等多种安全功能为一体，适合部署于不同安全等级的网络间，在实现多个网络安全隔离的同时，实现高速的、安全的视频数据交换，提供可靠的视频应用服务。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术(北京)股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术(北京)股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术(北京)股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术(北京)股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦前言感谢您使用网神信息技术(北京)股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

目录1产品概述 (2)2产品特点 (2)3主要功能 (4)4产品形态............................................................................... 错误！未定义书签。

5产品资质 (14)1产品概述针对互联网病毒、蠕虫，黑客攻击行为的增多，网神SecIDS 3600 入侵检测系统在监测网络流量的基础上，集成对这些信息的控制和实时响应功能，为用户提供安全检测、流量分析、修正分析、和及时准确的告警功能，帮助安全管理员更好地进行风险分析、全球风险信息预警、系统和网络脆弱性分析，构建安全可靠的信息网络。

2产品特点⏹强大的分析检测能力：采用了先进的入侵检测技术体系，结合了硬件加速信息包捕捉技术、基于状态的应用层协议分析技术和开放的行为描述代码描述技术来探测攻击，使系统能够准确快速地检测各种攻击行为，并显著地提高了系统的性能，能够适应日益复杂的网络环境。

⏹超低的误报率和漏报率：采用TCP/IP数据重组技术、目标SecOS和应用程序识别技术、完整的应用层有限状态追踪、应用层协议分析技术、先进的事件关联分析技术以及多项反IDS逃避技术，提供业界超低的误报率和漏报率。

⏹丰富的统计报表：能够给用户提供丰富的动态图形报表，有超过40种的分析报表模版和向导式的用户自定义报表功能。

⏹良好的可管理性：优化的三层分布式体系架构设计，分级部署，集中控制，全远程智能升级。

能够提供图形化的风险评估、事件显示和资产配置，以及图形化的网络流量状态的实时监控。

⏹基于工作域的管理模式:SecIDS 3600 v4.0采用基于工作域的全新管理模式，用户可以按照传感器部署的位置或组织结构的要求等条件，将整个入侵检测系统划分为不同工作域。

在不同的工作域里，可以根据需要部署不同的组件。

工作域之间可以是平行或上下级的关系，上一级的工作域拥有比下一级工作域更多的管理权限。

系统具有唯一的全局工作域，负责对整个系统进行管理。

1网神SecSIS 3600安全隔离与信息交换系统产品常用功能描述和使用说明网神SecSIS 3600安全隔离与信息交换系统根据不同的应用需求，量身定制功能模块，满足用户的不同应用需求，主要包括：网络配置：完成设备网络参数的基本配置以及高可用性（双机负载）的配置管理员配置：管理员源地址的访问控制，权限分配，新增管理员及参数设置。

文件交换：实现将网闸一侧的文件安全可控的摆渡到另外一侧数据库同步：实现将网闸一侧数据库中的数据摆渡到另一侧的数据库中安全浏览：在内外网隔离环境下保证内网用户安全浏览外网资源。

安全FTP：实现对FTP服务器的安全防护FTP 访问：在内外网隔离环境下实现安全的 FTP 访问。

数据库访问：在内外网隔离环境下实现安全的数据库访问。

邮件访问：在内外网隔离环境下实现安全的邮件访问。

视频模块：在内外网隔离环境下实现安全的视频服务器的访问。

定制模块：在内外网隔离环境下实现对所有的基于TCP/UDP服务的访问。

工具箱：系统许可证、配置管理、系统时间、修改口令，版本等信息的管理。

2网神SecSIS 3600安全隔离与信息交换系统产品常见应用场景说明网神SecSIS 3600安全隔离与信息交换系统适合部署在需要在不同安全等级的网络间实现信息共享的环境，可应用在不同的涉密网络之间；同一涉密网络的不同安全域之间；与互联网物理隔离的网络和秘密级涉密网络之间；未与涉密网络连接的网络和互联网络之间，通过网闸的安全控制，在保证信息安全的前提下更好地促进各个业务系统的互联互通、资源共享。

2.1数据库安全同步解决方案某政府部门开展电子政务，允许公众通过互联网提交服务申请并查询结果。

如果允许访问者通过Web服务器直接向核心数据库服务器发起数据访问请求，则黑客可能穿透防火墙的保护直接侵入后台数据库系统，严重威胁到业务的正常开展。

如上图所示，采用网神SecSIS 3600安全隔离与信息交换系统，在核心数据库服务器和外部不可信网络间实现安全隔离，则来自互联网的用户只能通过Web 服务器访问到前置数据库服务器。

产品白皮书网神SIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2013 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecSIS 3600安全隔离与信息交换系统产品白皮书文档版本号V7.0.13.1扩散范围销售/售前/客服/渠道商/用户作者黄熙日期2013/09初审人复审人●版本变更记录时间版本说明作者2012.11 V6.0.12.1 增加G1500-E026M、G9000-E046M、王起立G9000-E246M三个新型号2013.03 V6.0.12.2新增SSL通道、socks代理等功能黄熙2013.09 V7.0.13.1 新增IPV6功能黄熙目录1产品概述 (4)2产品特点 (4)3主要功能 (7)4 产品型号与指标 (14)5 产品资质 (16)5.1 产品资质 (16)5.2 产品荣誉 (16)1产品概述网神SecSIS 3600 安全隔离与信息交换系统能够有效实现内外网络的安全隔离，数据只能以专有数据块方式静态地在内外网络间进行“摆渡”，从而切断了内外网络之间的所有直接连接，保证内外网数据能够安全、可靠地交换。

该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。

2产品特点➢安全高效的体系架构：网神SecSIS 3600安全隔离与信息交换系统采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和隔离交换模块。

内、外网主机模块具有独立运算单元和存储单元，分别连接可信及不可信网络，对访问请求进行预处理，以实现安全应用数据的剥离。

隔离交换模块采用专用的双通道隔离交换卡实现，通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。

网神SecSSL 3600安全接入网关系统产品白皮书网御神州科技（北京）有限公司目录1 产品概述 (3)2 产品特点 (3)3 产品功能 (7)4 产品型号及指标 (12)4.1 SSLVPN主机系统介绍 (12)4.2 SSLVPN辅件介绍 (17)5 产品资质与荣誉 (18)1 产品概述网神SecSSL 3600系列安全接入网关系统是网御神州推出的基于SSL协议标准全新架构的SSL VPN产品，是为企/事业单位提供安全、方便及高效的远程及内网安全接入方案。

通过对接入受控网络的主机进行全面的安全状态检查和修复，再加上细粒度的动态授权机制，SecSSL 3600确保接入用户的主机环境符合企业的安全策略要求。

系统也能够在用户访问结束后，根据安全策略的设置清除遗留在远程主机本地的数据，真正做到了“零”痕迹。

利用创新的智能终端识别和链路质量侦测技术，SecSSL 3600允许用户利用各种不同的移动计算终端快速地接入受控网络。

SecSSL 3600确保用户可以利用任意平台，随时随地安全及快速的访问内部资源，是目前企/事业单位远程及内网安全网络接入的最佳选择。

网神SecSSL 3600系列安全接入网关系统针对的应用环境包括（但不局限于）下列描述：●电子商务交易平台●电子政务应用系统●ERP 、CRM、SCM、OA、财务、人力资源、物流管理等应用系统●MySQL、SQL Server、Oracle等各种数据库系统●网上银行●网络图书馆的远程安全接入和访问●电子邮件系统●协同设计系统●关键内部业务应用系统等2 产品特点●无客户端软件采用无客户端软件的解决方案，用户只需通过浏览器即可实现远程访问服务。

由于SSL VPN 使用了已嵌入于一般浏览器中的SSL协议，从而使管理员无需为终端用户提供软件安装、维护及策略定制的服务，仅需在VPN网关上设置用户访问权限即可。

●不改变用户使用习惯每个企业都根据自身的实际需要定制开发了一些应用系统，或者部署了一些服务来满足自己的需要，例如，使用Outlook的日历安排功能安排会议，为不同分支机构的IC设计工程师部署集中的Terminal Server以共享设计仿真资源等。

网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技（北京）有限公司网御神州科技（北京）有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技（北京）有限公司1 概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1 产品概述 (4)2 产品原理 (6)3 产品功能说明 (8)4 产品技术优势 (12)5 典型应用 (15)1产品概述随着网络应用范围的不断扩大和网络应用技术的不断深入，网络用户也更加意识到网络安全的重要性，同时各个网络安全厂商也不断发布新的产品以适应用户日益增长的网络安全需求。

但无论网络安全技术如何发展，网络及网络上的信息资源依然存在着相当的安全风险，网络攻击技术和网络安全技术正如中国古代矛与盾的比喻，攻防永无止境，发展永无止境。

防火墙、防病毒、漏洞扫描和系统风险评估、入侵检测等技术都可以在一定程度上提供安全防护，但这些安全手段还不足以保障用户网络系统、信息资源的安全。

据美国《金融时报》报道，现在平均每10秒就发生一次入侵计算机网络的事件，超过1/3的互联网防火墙被攻破。

目前政府机关内部网络可能所受到的攻击包括黑客入侵，内部信息泄漏，不良信息的进入内网等方式。

因此，对于高速发展的电子政务系统来说，最迫切要解决的安全问题应该是政府内部机密信息的数据安全，如果使内外网物理上的通路断开，不失为一个最有效的解决办法。

2007年3月份，国家保密局和国务院信息化工作办公室联合发布了《电子政务保密管理指南》。

《指南》中规定：按照信息保密的技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，若非涉密网络与互联网物理隔离，则采用双向网闸隔离涉密网络与非涉密网络；若非涉密网络与互联网是逻辑隔离的，则采用单向网闸隔离涉密网络与非涉密网络，保证涉密数据不从高密级网络流向低密级网络。

如下图所示：政府涉密网络、军工、电力等行业中含有大量的敏感信息及涉密数据（可能定级为涉密网或含有敏感数据的非涉密网），这些涉密数据是绝对不能流入比它密级低的网络中的，但这些网络通常又需要能从密级低的网络中获取数据。

网神SecSIS 3600安全隔离与信息交换系统管理员手册声明本手册所含内容如有任何变动，恕不另行通知。

在法律法规允许的最大范围内，网神信息技术（北京）股份有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

在法律法规的最大允许范围内，网神信息技术（北京）股份有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其他损失），不负任何赔偿责任。

本手册的信息受到版权保护，本手册的任何部分未经网神信息技术（北京）股份有限公司的事先书面许可，任何单位与个人不得以任何方式影印或复印。

网神信息技术（北京）股份有限公司北京市海淀区上地开发区开拓路7号先锋大厦、八、亠刖言感谢您使用网神信息技术（北京）股份有限公司的网神SecSIS 3600安全隔离与信息交换系统，您能成为我们的用户，是我们莫大的荣幸。

为了使您尽快熟练地使用网神SecSIS 3600安全隔离与信息交换系统，我们随机配备了内容详细的管理员手册。

网神SecSIS 3600安全隔离与信息交换系统必须通过管理主机对安全隔离与信息交换系统进行设置管理。

这本手册能帮助您更好地管理设置。

希望用户在遇到设置问题的时候能在手册里得到帮助。

我们对管理员手册的编排力求内容全面而又简单易懂，从中您可以获取有关安装步骤、系统设置、基本操作、软硬件使用方法以及安全注意事项等各方面的知识。

在第一次安装和使用之前，请务必仔细阅读所有资料，这会有助于您更好地使用本产品。

这本手册的读者对象是网神SecSIS 3600安全隔离与信息交换系统的管理员。

在安装安全隔离与信息交换系统之前及过程中，为更好地应用与配置，同时避免可能出现的各类问题，请仔细阅读本手册。

我们认为手册中所提供的信息是正确可靠的，请尽量避免人为的失误。

2网神SECSIS 3600安全隔离与信息交换系统产品常见应用场景说明错误!未定义书签。

数据库安全同步解决方案................................................ 错误!未定义书签。

安全邮件收发解决方案.................................................. 错误!未定义书签。

安全文件交换解决方案.................................................. 错误!未定义书签。

安全FTP访问解决方案.................................................. 错误!未定义书签。

安全浏览解决方案...................................................... 错误!未定义书签。

3准备工作................................................. 错误!未定义书签。

了解实际用户网络环境或主机环境 ........................................ 错误!未定义书签。

网络环境............................................................. 错误!未定义书签。

主机环境............................................................. 错误!未定义书签。

了解实际用户应用及安全需求............................................ 错误!未定义书签。

业务模式............................................................. 错误!未定义书签。