【VIP专享】伟思网闸技术说明

伟思信安安全隔离与信息交换系统

系统可靠性

系统可用性

安全功能

系统管理

应用支持

产品规格

产品特点

ViGap是一款面向大型网络的安全隔离系统，为各类党政部门、军事单位、金

融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离

环境下的实时隔离保护，并在可控状态下实现内部网络或服务器与外界的实时

（适度）信息交换。

采用独特的“２＋1”安全体系架构，通过基于ASIC芯片技术设计的专用隔离电子开关系统，实现用户关键网络及服务系统与外界的物理隔断，实现链路层与

网络层的彻底断开。

采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架构，拥有全线速隔离交换性能，满足大型网络应用所面对大用户量、低延时访问的需

求。在核心的GAP电子开关隔离芯片上采用了含TRUE LVDS功能强大的APXII 系列EP2A70作为FPGA设计硬件基片，该芯片具有500万门电路以及多路Giga 位的通道，支持内部高达1060个硬件I/Os通道，使得电子开关具有高速的数

据传输能力和并发处理能力。

充分考虑关键应用对可靠性、可用性的要求，独家采用负载均衡技术以及基于

应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网

络服务的高可靠性及可用性保证

采用无协议的“GAP Reflective”，GAP隔离反射技术实现开放网络通讯协议

的剥离与重组，有效阻断来自网络层及服务器OS层的各类已知/未知攻击，弥补其它安全技术对网络未知攻击的防御盲区。

广泛支持各类通用应用协议（HTTP、FTP、SMTP、DNS、SQL等），包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议，无需再进行二次

开发或单独购买模块。

采用专利技术的应用层安全防御系统，ViGap300特别针对广泛应用的

WEB、EMAIL和FTP等服务采用专利技术WebApplication?，实现了全面应用层

安全防护，可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、Cookie中毒、恶意JaveScript、ActiveX控件甚至CGI脚本等各类应用层安全风险。

智能化攻击识别与过滤，ViGap300采用先进的应用层协议分析技术智能识别并

过滤大量基于应用层协议的攻击行为，ViGap300提供目前市场上丰富的协议分析模块，全面防护各类应用系统安全风险，包括：

HTTP、FTP、SMTP、POP3、IMAP、DNS等数十种协议分析模块。

产品功能介绍

系统可靠性

双机热备功能 ViGap300系列产品针对大型网络的应用提供了双机热备份功能，实现系统的稳定可靠运行。通过内置的双机热备系统，连接在同一个网络内的

多台ViGap300设备可以建立双机热备机制，并通过虚拟IP统一对外提供服务。从设备不断发出心跳信息侦测主设备状态，一旦主设备出现故障从设备将立即

接管并继续提供服务。结合ViGap300独有的状态检测系统，管理员能够迅速发现设备故障并作出处理。

系统工作状态检测与报警 ViGap300系列采用基于工业控制系统的架构设计，

具备良好的稳定性。并且建立了设备状态检测系统，在开机状态下持续对系统

各硬件板卡及软件模块进行检查，并将系统状态显示在液晶面板上，管理员可

针对故障信息迅速了解故障原因并作出响应。同时，ViGap300系列软件系统采用了先进的自愈技术，当故障发生时可迅速命令系统重启恢复到正常工作状

态。

系统可用性

ViGap300系列为满足高性能的网络处理而设计，因此，必须支持大规模的并发

访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外，ViGap300系列还设计了最大支持32台设备的负载平衡系统来实现高可用性。ViGap300系列的负载平衡系统通过仲裁网络流量方式实现流量在ViGap300集群中的平均分配，从而将处理性能大幅提升。

安全功能

网络隔离功能 ViGap300系列具有网络隔离功能，通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开，保护可信网络免遭黑客攻击。

IDS入侵检测功能 ViGap300系列在设备两端内置了IDS入侵检测引擎，该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分

析对受保护内网的访问请求，并与ViGAP隔离系统实现内部联动对可疑数据包

采取拒绝连接的方式防御攻击。

SAT（服务器地址映射）功能 ViGap300系列具备完善的SAT功能，可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap300系列的不可信端接口上，通过隔离系统的不可信端虚拟端口对外提供服务，访问者仅能访问虚拟端

口而无法直接连接服务器，从而对外屏蔽服务器，防止服务器遭到攻击。

身份认证功能不同于部门级网络，大型网络对身份认证的要求极高，且需要基

于第三方的统一身份认证服务。ViGap300系列除了提供基本的用户名/口令身

份认证功能以外，还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。

安全代理服务功能 ViGap300系列允许可信端用户以应用代理方式访问不可信

网络，ViGap300系列作为应用代理网关对内网访问请求进行检测，相对于传统

的基于网络层的NAT方式来说，由于代理服务在应用层对访问请求进行检测具

有更细的粒度和检查元素，因此，对访问具有更高的安全控制能力。

AI安全过滤功能应用智能能够使您根据来源、目的地、用户特权和时间来控

制对特定的 HTTP、SMTP 或 FTP 等资源的访问。ViGap300系列产品通过协议

分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和ActiveX applet 的攻击。ViGap300系列在AI功能中新增了安全功能，包括：

确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶

意数据的能力；对应用层操作进行控制，这些新功能对企业级网络环境中应用

层的安全控制起到了很重要的强化作用。

防病毒功能系统内嵌防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防

水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP 等方式向外泄漏信息。实现对病毒的高效查杀，支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。

内容及格式检测功能 ViGap300系列具备内容过滤及文件格式检查功能，对管

理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过

滤功能，能够阻止敏感的信息外泄或恶意程序的入侵。

VPN通讯安全 ViGap300系列对受保护WEB服务器提供内置的SSL VPN加密通讯机制，建立客户端与虚拟服务端口间的SSL加密VPN链路，实现通讯安全。该

加密方式无需修改客户端设置，透明实现客户端与服务器端的加密通讯。

WEB站点保护功能目前大量应用基于B/S架构开发，WEB服务成为了越来越通

用的服务，然而WEB服务器的大量漏洞也时时威胁着应用系统的安全。

ViGap300系列全面分析了来自WEB服务的漏洞，建立了WEB站点保护系统WebAppliaction?，全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括：Cookie安全签名、URL字段细粒度过滤、输入参数检测、

操作系统屏蔽、Webservice函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。

系统管理