北京力控华康——安全隔离网关:
为了满足“两化融合”的需要,某些工业控制网络原封闭的控制专网急需与其它相关外网或国际互联网实现实时数据交换。但网络外联可能导致工业控制网络发生病毒泛滥、入侵攻击、信息泄露等潜在的安全事故,因此网络管理者面对着推进应用和引入安全威胁的矛盾抉择。基于pSfetetyLink安全隔离网闸的网络外联安全隔离解决方案,可有效解决工业控制网络外联时面临的安全问题。
系统硬件平台由内网主机系统、外网主机系统、隔离交换系统三部分组成。内网/外网主机系统分别具有独立的运算单元和存储单元,隔离交换系统基于PSL技术及相应的隔离加密电路,不受主机系统控制,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。基于PSL的实时数据交换技术,分别解决了安全隔离网闸进行数据过滤和摆渡时性能低的业内难题,保证数据交换延迟时间低于1ms,从而满足了用户对高性能安全隔离网闸的需求
以统一安全引擎为基础,对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本信息、协议格式等实施全文深度检测,并支持特定应用层协议标签的检测控制,实现了对特定信息交换多重内容安全管理,为工业控制系统网络间数据交换提供了“绿色通道”。
基于高效的IO调度模型,多重冗余方案,支持自身端口冗余、链路聚合、双机热备、多台安全隔离网闸负载均衡,保障了用户网络和应用的高可靠性。
安全的物理隔离“2+1”系统架构
独立的运算单元和存储单元,各自运行独立的操作系统和应用系统
安全隔离区采用私有加密的数据交互技术,数据交换不依靠TCP/IP协议
私有的定制操作系统,
具备完善的身份认证管理与安全审计功能,保证了系统的机密性、完整性和不可否认性
强大的数据交换能力和多种工业通信协议支持
工业通信协议,OPC/MODBUS/IEC 60870-5-101、103、104/DLT645
断线缓存,续传
实时数据交换,数据吞吐量10,000点/秒
完整的安全策略部署
访问控制
身份认证
安全审计
数据完整性
可靠的冗余方案和故障自诊断技术
多重冗余协议,支持端口冗余、链路聚合、双机热备、负载均衡
●版权声明 Copyright ? 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。 未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (5) 2产品功能说明 (7) 2.1SSL 应用发布 (7) 2.1.1B/S软件的应用 (7) 2.1.2企业站点的应用 (7) 2.1.3单点登录功能(SSO) (8) 2.1.4C/S应用发布 (8) 2.1.5TCP端口应用 (10) 2.1.6SSL 隧道模式 (10) 2.2LAN TO LAN 的解决方案 (11) 2.3远程用户安全性检查 (11) 2.4远程用户访问认证 (12) 2.5用户访问策略 (12) 2.6日志审计功能 (12) 2.7防火墙功能 (13) 2.8支持动态IP接入 (13) 2.9完美的个性化定制 (14) 3产品技术优势 (14) 3.1将C/S应用转成B/S访问 (14)
3.2Web应用功能 (15) 3.3访问的安全性 (15) 3.4稳定性及高可用性 (17) 3.5低带宽运行特性 (17) 3.6部署灵活,维护简单 (18) 4典型应用 (18)
1产品概述 网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。 网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。 网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,
综合安全网关系统TopGate 产品概述 网络卫士安全网关TopGate(UTM)是天融信公司自主研发的新一代基于TOS平台研发推出的一款多功能综合应用网关产品。集合了防火墙、虚拟专用网(VPN)、入侵检测和防御(IPS)、网关防病毒、WEB 内容过滤、反垃圾邮件,流量整形,用户身份认证、审计及BT、IM控制等应用。TopGate不但能为用户提供全方位的安全威胁防护方案,还为用户提供全面的策略管理、服务质量(QoS)保证、负载均衡、高可用性(HA)以及网络带宽管理等功能。 TopGate安全网关(UTM)可灵活部署在大中型企业及其分支机构或中小企业网络的网关处,保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码以及未知的“零小时”(zero-hour)攻击等混合威胁的侵害;同时还为用户提供简便统一地管理各种安全特性及相关日志、报告,大大降低了设备部署、管理和维护的运营成本。除此之外,TopGate还为企业提供了CleanVPN服务,使得用户通过VPN远程访问企业内网时,确保VPN数据没有病毒等有害内容。在新攻击的防护上,TopGate对VoIP, IM/P2P, 间谍软件, 网络钓鱼, 混合攻击等都有出色的表现。 TopGate UTM 在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术,可通过简单的配置和管理,以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。它对经过网关的数据流量进行病毒、蠕虫、入侵等进行高效检测,而且能够阻挡来自垃圾邮件、恶意网页的威胁,所有的检测都是在实时状态下进行,具有很高的网络性能。
典型应用 产品特点 多功能与高性能的完美结合 TopGate网络卫士安全网关是高性能与多功能的完美结合,它通过提供全系列产品而为不同类型的用户提供多功能与高性能的UTM产品。真正实现了一机多用,管理简单,节省大量成本。 TopGate作为一款优秀的UTM产品,具备多种安全功能,既可以作为防火墙设备,也可以作为VPN设备、病毒网关或IPS设备,更重要的是这些功能融为一体,可同时任意组合使用,满足用户各种安全需求,为用户节省大量购置与维护成本。 完整的防火墙功能 防火墙是网关设备重要的基本功能,TopGate作为网关设备不但具有完整的3层协议以下的防火墙功能,而且还具有4~7层的防火墙防护功能。 VPN隧道内容过滤功能 企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。 TopGate同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。 完全内容检测CCI技术 CCI是指Complete Content Inspection,TopGate采用了最新的完全内容检测技术,可实时将网络层数据还原
DN-B12系列V5.0.a 上网行为管理和审计产品技术白皮书 上海深腾信息技术有限公司 2009年2月
版权说明 上海深腾信息技术有限公司? 2008版权所有,保留一切权力。 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深腾信息技术有限公司(以下简称深腾)所有,受到有关产权及版权法保护。任何个人、机构未经深腾信息的书面授权许可,不得以任何方式擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。 信息更新 本文档仅用于为最终用户提供信息,并且随时可由深腾信息更改或撤回。 免责条款 根据适用法律的许可范围,深腾信息按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,深腾信息都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使深腾信息明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。 商标信息
目录 1. 互联网概述 (4) 1.1 互联网访问带来的威胁 (4) 1.2.上网行为管理的必然性 (5) 1.3.深网DEEPNET帮助用户解决互联网访问带来的威胁 (5) 2. 产品优势特性 (6) 2.1 嵌入式的操作系统 (6) 2.2 网络数据处理芯片 (7) 2.3 硬件设计 (7) 2.4 分体式管理 (7) 2.5 继承式策略管理 (8) 2.6 版本智能管理 (8) 2.7 双线接入 (8) 2.8 内容墙技术 (9) 2.9 流控门技术 (9) 2.10 行为聚类技术 (9) 2.11 BY-PASS (10) 2.12 LCD液晶信息面板 (10) 3. 功能介绍 (10) 3.1 上网行为管理功能(DeepNet Manager System) (10) 3.2 上网行为审计功能(DeepNet Comptroller System) (15) 3.3 路由功能 (19) 3.4 防火墙功能 (20) 3.5 整体方案导入/导出 (20) 4. 产品规格 (20) 5. 部署方式 (21) 6. 关于深腾信息 (24)
安全隔离网闸疑难问题大全(40问) 1、网闸全称是什么?网闸的英文名称是什么? 网闸的全称是安全隔离网闸。网闸的英文名称是"GAP"。 2、安全隔离网闸是什么? 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 3、安全隔离网闸是硬件设备还是软件设备? 安全隔离网闸是由软件和硬件组成。 4、安全隔离网闸硬件设备是由几部分组成? 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 5、为什么要使用安全隔离网闸? 当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是最好的选择。 6、隔离了,怎么还可以交换数据? 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。 7、安全隔离网闸能够交换什么样的数据? 安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。 8、安全隔离网闸的主要性能指标有那些? 性能指标包括: 系统数据交换速率:120Mbps 硬件切换时间:5ms 9、安全隔离网闸通常具备的安全功能模块有那些? 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 10、为什么说安全隔离网闸能够防止未知和已知木马攻击? 通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
蓝盾信息攻防实验室 技术白皮书 蓝盾信息安全技术股份有限公司
目录 一.背景 (3) 1.1背景 (3) 1.2目的 (3) 二.信息安全攻防实验室概述 (4) 2.1概述 (4) 2.2系统组成 (4) 2.2.1系统软硬件 (4) 2.2.2系统模块构成 (5) 2.3课程设计 (5) 三.教学实验室管理平台系统功能 (7) 3.1用户管理 (7) 3.2设备管理 (8) 3.3系统管理 (8) 3.4课件管理 (9) 3.5考试管理 (9) 3.6控制台 (9) 3.7平台拓扑 (10) 3.8架构图和部署方式 (11) 四.攻防实验室平台特点 (12) 五.性能指标(默认装配设备) (13) 附录:基础课程安排 (14) 1.法律法规基础教育: (14) 2.网络攻击教学和实验: (14) 3.安全防御教学和实验: (14) 4.配套安全硬件: (15)
一.背景 1.1背景 随着信息技术不断发展,各行业用户对信息系统的依赖程度也越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。近年来,用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。 然而,种种安全措施并不能阻止来自各方各面的安全威胁,病毒、木马、黑客攻击、网络钓鱼、DDOS等妨害网络安全的行为手段层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。 也正因如此,国内市场对于网络安全人才的需求日趋迫切,网络安全行业的就业需求将以年均14%的速度递增,网络安全人才的薪资水平普遍较高,走俏职场成为必然。 于是,我们开始关注对于网络安全人才的教育培训。但目前对于大部分高校来说,安全教育培训仍是薄弱环节: 1.虽设有信息安全专业,但没有建设完整的有特色的安全实验室; 2.实验设备简陋、单一,大部分实验仍然依托虚拟机来进行,实验效果大打折扣; 3.教师信息安全教学经验不足,无法切合学生实际情况进行针对性的教学; 4.实验室千篇一律,配套多媒体教案不足,可开展的实验内容过于陈旧。 在这种背景之下,在高校内建设信息攻防实验室就成为势在必行。 1.2目的 1)提高学生理论水平 2)锻炼学生实际动手能力
北京力控华康——安全隔离网关: 为了满足“两化融合”的需要,某些工业控制网络原封闭的控制专网急需与其它相关外网或国际互联网实现实时数据交换。但网络外联可能导致工业控制网络发生病毒泛滥、入侵攻击、信息泄露等潜在的安全事故,因此网络管理者面对着推进应用和引入安全威胁的矛盾抉择。基于pSfetetyLink安全隔离网闸的网络外联安全隔离解决方案,可有效解决工业控制网络外联时面临的安全问题。 系统硬件平台由内网主机系统、外网主机系统、隔离交换系统三部分组成。内网/外网主机系统分别具有独立的运算单元和存储单元,隔离交换系统基于PSL技术及相应的隔离加密电路,不受主机系统控制,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。基于PSL的实时数据交换技术,分别解决了安全隔离网闸进行数据过滤和摆渡时性能低的业内难题,保证数据交换延迟时间低于1ms,从而满足了用户对高性能安全隔离网闸的需求 以统一安全引擎为基础,对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本信息、协议格式等实施全文深度检测,并支持特定应用层协议标签的检测控制,实现了对特定信息交换多重内容安全管理,为工业控制系统网络间数据交换提供了“绿色通道”。 基于高效的IO调度模型,多重冗余方案,支持自身端口冗余、链路聚合、双机热备、多台安全隔离网闸负载均衡,保障了用户网络和应用的高可靠性。 安全的物理隔离“2+1”系统架构 独立的运算单元和存储单元,各自运行独立的操作系统和应用系统 安全隔离区采用私有加密的数据交互技术,数据交换不依靠TCP/IP协议 私有的定制操作系统, 具备完善的身份认证管理与安全审计功能,保证了系统的机密性、完整性和不可否认性 强大的数据交换能力和多种工业通信协议支持 工业通信协议,OPC/MODBUS/IEC 60870-5-101、103、104/DLT645 断线缓存,续传 实时数据交换,数据吞吐量10,000点/秒 完整的安全策略部署 访问控制 身份认证 安全审计 数据完整性 可靠的冗余方案和故障自诊断技术
神州数码 DC-FW v3.1高性能防火墙 技术白皮书 北京神州数码有限公司 2007年8月
目录 一、序言 (2) 二、神码安全DC-FW v3.1高性能防火墙概述 (3) 三、神码安全DC-FW v3.1高性能防火墙技术特色 (3) 3.1 专用安全操作系统 (3) 3.2 纯硬件架构 (3) 3.3 状态检测技术、核检测技术以及入侵模式匹配监测 (3) 3.4 深度的内容检测、强大的P2P拦截功能 (3) 3.5 严格的访问控制策略 (4) 3.6 危险网站阻隔 (4) 3.7 敏感数据拦截 (5) 3.8 强大的QOS、丰富的日志报表功能 (5) 3.9 访问跟踪、审计 (5) 3.10 防止DOS攻击 (5) 3.11 强大的VPN功能 (6) 3.12 支持VOIP (6) 3.13 桥式防火墙 (7) 3.14 强大的审计功能 (7) 四、DC-FW v3.1 技术参数指标 (7)
一、序言 随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。回顾2004年,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。据统计,仅2004年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。 此时,传统的防火墙已经显得无能为力。例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。基于网络传播的病毒及间谍软件给互联网用户造成了巨大的损失,层出不穷的即时消息和P2P应用(例如MSN、QQ、BT等)给企业带来许多安全威胁并降低员工的工作效率。传统的防火墙设备在面对这些复合型的安全威胁时,已经不能满足客户的安全需求。 防火墙设备包括防火墙,VPN,IPS等多种功能。已经成为网络安全产品的一个发展方向。 面对着这些日益严重的复合型安全威胁时,企业往往为了完整的保护内部IT资源,需要投资购买大量的设备,包括VPN,防火墙,IDS,网络监控设备等多种设备。神码安全高性能防火墙集所有这些安全功能于一身,一台设备就能提供完整的安全解决方案,省去了购买众多冗余设备的成本与维护成本。 神码安全高性能防火墙内置神码安全的领先VPN技术,拥有神码安全高性能防火墙VPN的所有强大功能。除此之外,神码安全高性能防火墙防火墙拥有高效的IPS(入侵防御系统)功能,能有效识别和抵御多种攻击,更大范围的保护了企业连接到Internet的安全。 为保证企业合理使用Internet资源,防止企业信息资产泄漏,神码安全高性能防火墙提供了完善的访问控制功能。通过合理设置访问权限,杜绝了对不良网站和危险资源的访问,防止了P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术,能有效防止对Internet资源的滥用。神码安全高性能防火墙安全审计功能更为防止保密信息泄漏提供了最有效的保证。
邮件安全网关产品白皮书 中企动力科技集团股份有限公司协同通讯事业部 2013年4月
目录 1.概述 (3) 2.产品特点 (3) 2.1.部署灵活 (3) 2.1.1.转发部署 (4) 2.1.2.透明部署 (4) 2.1.3.邮件服务器前端 (5) 2.1.4.网络出口部署 (5) 2.2.分布式结构,性能卓越 (6) 3.流处理技术 (7) 4.独特的存储技术 (7) 5.功能介绍 (8) 5.1.反垃圾引擎 (8) 5.2.反病毒引擎 (10) 5.3.防攻击 (11) 5.4.支持子策略的多级过滤 (12) 5.5.投递控制 (13) 5.6.黑名单和白名单 (14) 5.7.垃圾邮件摘要 (14) 5.8.高效的邮件备份审计功能 (15) 5.9.完备的报表统计功能 (16) 5.10.TOP排名统计 (16) 6.产品报价 (17)
1.概述 邮件安全网关产品是一款集成了反垃圾邮件、反病毒邮件、智能灵活的邮件过滤、高效的邮件备份等功能与一体的安全网关产品,为用户供强大的邮件安全保护和过滤功能。 部署邮件安全网关有以下重要意义: ?杜绝邮件服务器的非自身原因宕机,保证邮件服务的连续性 ?可以基本斩断病毒的邮件入侵渠道,保证内网安全 ?可以最大限度的减少垃圾邮件的干扰,提高邮件服务满意率 ?可以避免重要信息通过邮件违规外泄,避免潜在法律风险 ?可以提高邮件应用效率,提高邮件传递速度 ?部署在网络出口,可以过滤进出网络所有的SMTP/POP3邮件 2.产品特点 ?采用优化的LINUX平台,性能优异,稳定安全 ?灵活的部署,支持转发和透明模式,可部署在不同的网络位置 ?采用流处理技术,确保没有邮件队列积压,收发没有延迟 ?高达99%的垃圾抓获率,低于0.001%的误判率,特有的反钓鱼数据库 ?集群统一管理和输出的统计分析功能 ?管理员权限的多级控制 ?可集成的网页过滤功能,体现完整的内容安全管理方案 2.1.部署灵活 邮件安全网关支持通常的转发方式部署以及透明方式部署,可以根据客户的实际情况进行不同的部署。
工业防火墙-工业网闸-工业隔离网关 宇宙盾工业隔离网闸也称工控防火墙、工业隔离防火墙、工业控制防火墙或工业隔离网关是一种专门针对工业控制网与综合监控网之间进行网络隔离与数据传输而设计的硬件产品。该产品主要应用于包括数据采集与监控系统、能量管理系统、自动化系统、计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统等各种SCADA 和DCS网络与MIS网之间的安全数据交换。 工业防火墙也是一种被人们广泛使用的连接互联网的网络安全设备。然而,人们常常发现被工业防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络攻击都是发生在有工业防火墙的情况下。宇宙盾工业隔离防火墙与一般的工业防火墙的区别在于它不仅仅具有工业防火墙的所有功能,而且它还具有隔离功能,完全克服了普通工业防火墙的安全隐患,最大限度地保护了工业控制信息系统的安全。在宇宙盾工业隔离网闸(工业控制防火墙)的内部有两个采用国产CPU的嵌入式的主板(分别成为内网主板和外网主板)和一个隔离岛,任何时间隔离岛制和其中的一个主板相连,实现了类似于拷盘一样的信息复制功能,但是由于是在高速集成电路的操作下所以是完全自动的和非常高效的。这就有效地保证了工业控制网和管理网在任何时间多不会物理上连在一起,起到工业防火墙无法起到的安全隔离作用。有关工业防火墙的弊病以及与网络安全隔离网闸的区别请参阅第三章,与其它类安全产品的对比。 我公司研制的工业控制系统信息安全产品和网络安全隔离设备采用了一些全新的网络安全设计理念,是国内唯一种具有完全“自主安全可控”的网络安全产品,是全国唯一一家采用国产CPU、自主操作系统、自主通信协议栈的设计的信息安全产品,是真正可信赖的国产网络安全产品。产品所提供的“绝对安全保证”和高可靠性得到的国家电网中心的高度评价,已经广泛应用于对政府、军队、银行、电力、铁路、冶金、化工、石油、采矿、制造、交通、航空和通讯等几乎所有行业的网络安全防护。
金电网安安全隔离与信息交换系统FerryWay V2.0 配置实用手册 2012年3月
金电网安安全隔离与信息交换系统FerryWay V2.0配置实用手册 版权说明 本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于上海金电网安科技有限公司所有。未经上海金电网安科技有限公司许可,不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本手册中的信息受中国知识产权法和国际公约保护。 版权所有,翻版必究?
前言 文档范围 本文将以实例方式指导操作人员安装、实施金电网安安全隔离与信息交换系统FerryWay V2.0(俗称“网闸”)。 本文适用于硬件2+1架构、三机三系统架构,软件版本号20110308及20120202版本,两个版本主要功能基本相同,仅在部分细节处做简单修改,具体细节文档中将做提示。 期望读者 期望了解本产品主要技术特性和安装方法的系统管理员、网络管理员等。本文假设您对下面的知识有一定的了解: 可能需要的相关知识,如: ?LINUX系统基础知识 ?Windows系统软件安装 ?网络基本架构 内容总结 一、介绍金电网安安全隔离与信息交换系统FerryWay V2.0的硬件需求信息; 二、以实例方式采用图文并茂的方法对金电网安安全隔离与信息交换系统FerryWay V2.0部署、安装、实施做一简单介绍; 三、介绍金电网安安全隔离与信息交换系统FerryWay V2.0安装之前的准备工作和注意事项; 四、成功安装、配置、使用时的注意事项; 五、介绍金电网安安全隔离与信息交换系统FerryWay V2.0在实施中可能遇到的突发情况及问题。 格式约定 文本框使用粗体字
蓝盾入侵防御(BD-NIPS)系统技术白皮书 蓝盾信息安全技术股份有限公司
目录 一、产品需求背景 ............................................................................................................................... 二、蓝盾入侵防御系统 ....................................................................................................................... 2.1概述................................................................... 2.2主要功能............................................................... 2.3功能特点............................................................... 2.3.1固化、稳定、高效的检测引擎及稳定的运行性能 ............................................................... 2.3.2 检测模式支持和协议解码分析能力 ...................................................................................... 2.3.3 检测能力.................................................................................................................................. 2.3.4 策略设置和升级能力............................................................................ 错误!未指定书签。 2.3.5 响应能力.................................................................................................................................. 2.3.6管理能力................................................................................................................................... 2.3.7 审计、取证能力...................................................................................................................... 2.3.8 联动协作能力.......................................................................................................................... 三、产品优势 ....................................................................................................................................... 3.1强大的检测引擎 ......................................................... 3.2全面的系统规则库和自定义规则............................................ 3.3数据挖掘及关联分析功能.................................................. 3.4安全访问............................................................... 3.5日志管理及查询 ......................................................... 3.6图形化事件分析系统 ..................................................... 四、型号 ...............................................................................................................................................
XX科技邮件安全网关IMSA5000 技术白皮书 XX科技(中国)有限公司
文档信息 版权声明 本文件所有内容受版权保护并且归XX科技(中国)有限公司所有。未经XX 科技(中国)有限公司公司明确书面许可,不得以任何形式复制、传播本文件(全部或部分)。 XX科技及Trend Micro是XX科技(中国)有限公司公司的注册商标,本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标。 XX科技(中国)有限公司公司不对本文件的内容、使用,或本文件中说明的产品负担任何责任或保证,特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。另外,XX科技(中国)有限公司公司保留修改本文件和本文件中所描述产品的权力。如有修改,恕不另行通知。 信息更新 本产品最新版本信息、升级信息以及相关技术文档将在XX科技(中国)有限公司公司https://www.doczj.com/doc/4b11640769.html, 网站上及时推出,敬请留意。 支持信息 如果希望得到关于XX科技(中国)有限公司公司产品的报价、产品信息以及技术支持,请查阅公司网站:https://www.doczj.com/doc/4b11640769.html, 。
目录 1技术特点 (5) 1.1 业界领先的云安全技术 (5) 1.2 优化的贝叶斯过滤器技术 (6) 1.3 优化的RBL+检测技术 (6) 1.4 智慧性扫描陷阱病毒检测技术 (7) 1.5 空中抓毒专利技术 (7) 1.6 Adversarial OCR专利技术 (8) 1.7 基于信誉的等级评分技术 (8) 1.8 自定义IP Profiler技术 (9) 2产品功能 (9) 2.1 病毒安全防护 (9) 2.2 间谍软件扫描 (10) 2.3 反钓鱼程序 (10) 2.4 邮件信誉(ERT) (10) 2.5 智慧型垃圾邮件扫描 (11) 2.6 内容安全管理 (11) 2.7 邮件完整性分析技术 (12) 2.8 内容过滤 (12) 2.9 黑名单和优先名单支持 (13) 2.10 DCC检测 (13) 2.11 内容还原 (13) 2.12 DNS MX 查询 (13) 2.13 反向DNS查找 (13) 3管理模式 (14)
安全隔离网闸 1、网闸全称是什么?网闸的英文名称是什么? 网闸的全称是安全隔离网闸。网闸的英文名称是"GAP"。 2、安全隔离网闸是什么? 安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 3、安全隔离网闸是硬件设备还是软件设备? 安全隔离网闸是由软件和硬件组成。 4、安全隔离网闸硬件设备是由几部分组成? 安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离硬件。 5、为什么要使用安全隔离网闸? 当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,如果采用物理隔离卡,信息交换的需求将无法满足;如果采用防火墙,则无法防止内部信息泄漏和外部病毒、黑客程序的渗入,安全性无法保证。在这种情况下,安全隔离网闸能够同时满足这两个要求,又避免了物理隔离卡和防火墙的不足之处,是最好的选择。 6、隔离了,怎么还可以交换数据? 对网络的隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,通过设计的隔离硬件在两个网络对应的上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。
7、安全隔离网闸能够交换什么样的数据? 安装了相应的应用模块之后,安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。 8、安全隔离网闸的主要性能指标有那些? 性能指标包括: 系统数据交换速率:120Mbps 硬件切换时间:5ms 9、安全隔离网闸通常具备的安全功能模块有那些? 安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证 10、为什么说安全隔离网闸能够防止未知和已知木马攻击? 通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸从原理实现上就切断所有的TCP连接,包括 UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。 从而可以防止未知和已知的木马攻击。 11、安全隔离网闸具有防病毒措施吗? 作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。 12、安全隔离网闸与物理隔离卡的主要区别是什么?
SecGateway文档安全网关产品解决方案服务器是企业核心数据信息的处理中心,与企业的办公网络有效隔离至关重要。华途安全网关是一款专用于企业数据中心与办公网络有效隔离的嵌入式专用设备,为企业部署的OA、PDM等应用系统提供有效的安全保障。 I. 需求分析 1. 企业应用需求 为了便于管理,企业都相继采用了OA、CRM、ERP等业务管理系统来支撑企业业务的运转,应用系统的服务器上存放企业多年来积累的核心数据(可能有订单、用户信息、CAD图纸、源代码等内容),为了应用方便,服务器可以从公网直接(或拨VPN进入公司)访问,访问时可获取有权限阅读的全部资料。 安全防护存在的问题: 1) 非授权用户如果获取了密码,也能访问到服务器里的敏感内容? 2) 合法用户用家里的电脑或笔记本访问服务器、下载资料后,这些资料会不会泄露? 企业先行对应策略: 对问题1,目前较常见的解决方案是“动态口令”,即用硬件的动态口令卡或手机短信/应用程序,产生一组随机密钥。配合系统口令,才能访问。但这无法解决问题2。 华途网关可以完美地解决上面的问题。 2. 预期目标 对应用系统的访问精确控制,非内部员工无法访问,非授权用户无法访问;通过非法途径从服务器上下载的资料无效。 II. 解决方案 华途安全网关是一款专用于企业数据中心与办公网络有效隔离的嵌入式专用设备。采用链路加密的方式,实现客户端的准入,应用程序的客户端可以是浏览器,也可以是其他应用程序。如果是浏览器,这个浏览器不仅可以访问对应的WEB服务器,而且可以访问其他的Web站点。 1. 工作原理
通过客户端实现准入控制。加密客户端上的应用程序通过SecGateway访问OA/PDM等服务器。非涉密客户端计算机,在通过安全网关时,会被安全网关筛选和拒绝,无法通过SecGateway访问OA/PDM服务器。 自动完成对经过网关的数据进行强制加解密——上传解密,下载加密。保证服务器上的数据是明文,脱离服务器的数据是密文,确保内部网络环境的流通性。 2. 系统部署图 B/S网关和C/S网关合二为一。B/S架构的应用和C/S架构应用的本质区别在于,C/S架构的客户端是特定的,并且是和服务器配套的。而B/S应用的客户端可以是任意的浏览器,这个浏览器客户端不仅可以访问对应的应用服务器,而且可以访问其他的Web站点。 3. 方案效果 1) 企业部署华途安全网关后,根据用户配置策略,对通过网关的文档数据进行透明加密,在不知不觉中完成文件的加解密工作,不会影响应用程序的工作
云边界防护网关产品方案
目录 1.网络安全威胁现况概述 (5) 1.1.全球网络威胁概述 (5) 1.2.中国网络威胁概述 (5) 2.深度威胁安全网关需求 (8) 2.1.高级内容防护功能 (8) 2.1.1.APT侦测及防护 (8) 2.1.2.恶意软件防护 (9) 2.1.3.零日漏洞及虚拟补丁防护 (10) 2.1.4.VPN 内容过滤 (10) 2.1.5.邮件病毒过滤 (10) 2.1.6.间谍软件/灰色软件 (10) 2.1.7.网络钓鱼 (11) 2.2.所有防护功能随时全开的性能 (12) 2.3.中国威胁与应用支持 (12) 2.4.高效率的终端与服务器防护 (12) 2.5.完全自主可控的安全技术 (12) 3.深度威胁安全网关防护方案 (13) 3.1.深度威胁安全网关防护规划 (13) 3.2.D EEP E DGE产品介绍 (15) 3.3.D EEP E DGE 部署结构图与案例 (17)
3.3.2.路由模式 (17) 3.3.3.监控模式 (18) 3.3.4.多ISP/WAN模式 (20) 3.3.5.多网桥模式 (20) 3.4.D EEP E DGE产品技术特征与优势 (21) 3.4.1.全新的系统架构,功能和性能的全面提升 (21) 3.4.2.全面集成业界领先SPN云端安全方案 (21) 3.4.3.更全面更深入的内容安全防护技术 (22) 3.4.4.确保所有防护功能随时全开的尖端性能 (22) 3.4.5.跨物理架构、虚拟化架构及云架构的全方位部署能力 (22) 3.4.6.业界No.1的APT侦测及防护技术 (22) 3.4.7.业界首创并广泛使用的服务器与终端防护利器——虚拟补丁技术 (22) 3.4.8.全球IPS核心技术的提供商 (23) 4.1.1.高性能扫描引擎 (23) 4.1.2.更先进的基于内容的防火墙策略 (23) 4.1.3.业内领先技术提供双向的,深度的,全面的内容安全防护 (24) 4.1.4.全球领先的防病毒技术 (24) 4.1.5.领先的web信誉防护技术 (24) 4.1.6.领先的URL过滤技术 (25) 4.1.7.综合的邮件信誉防护及邮件隔离解决方案 (25) 4.1.8.业界领先的僵尸网络防护技术 (25)
邮件存储网关白皮书 应用背景 随着公司逐步成为公众公司,在运营管理、内部控制和法规遵从方面的要求也越来越高。按照SOX的要求,所有可能最终涉及财务报告的内部资料均需存档以备核查,因此,公司的邮件消息需要有完整、可靠的存档,并在需要时可迅速查询。 SOX和SEC都详细制定了关于邮件保存的规定,所有记录包括电子邮件以及其他电子记录,必须保留5年或7年以上,同时要求在规定时间内完成高速检索。利用邮件作为法庭证据的趋势日益增强,意味着企业必须很好地管理和保留电子邮件数据,否则对于电子数据的查询需求很可能使企业的业务处于风险中。无法提供所需的电子邮件记录(或由竞争对手来提供这些记录)会带来严重处罚。即使不被法规限定要求的公司,也应该持续保留电子邮件记录,可协助用于证明无罪或证明涉案,甚至是商业合同纠纷这样的一般诉讼也可由此取证。因此,必须尽快确定邮件存档和调阅的技术方案和管理制度。 针对此种现状,梭子鱼积极响应,推出了梭子鱼邮件存储网关来帮助企业实现对合规性的高要求。梭子鱼邮件存储网关是一款硬件和软件集成的解决方案,它可以帮助企业用户存档发送和接收到的所有邮件。梭子鱼邮件存储网关自动存储并且实时索引所有邮件,使授权用户可以进行快速地查找和取回邮件。 梭子鱼邮件存储网关概述 梭子鱼邮件存储网关是一个即插即用型的软硬合一的邮件存储解决方案,安装简单、管理方便,能帮助企业建立符合政府法规或企业标准的邮件存储方案。梭子鱼邮件存储网关能帮助企业实现: 综合的邮件管理:支持多种邮件导入方式(MAPI和.pst文件),完善、高效的搜索和修复功能,邮件索引,邮件导出。 集中式存储管理:通过智能存储管理接口来管理内部或外部存储的邮件。 集中式管理:提供经济实惠的对于公司存储设臵和相关规则的管理 内建的病毒检测:为邮件存储的内容提供特别的保护
数据适配器 产品功能介绍V0.06
目录 1.1简介 (4) 1.2体系结构 (6) 1.3系统组成 (8) 1.4数据适配器种类 (8) 1.4.1简单适配器 (9) 1.4.2复杂适配器 (9) 1.5系统功能 (9) 1.5.1配置管理 (10) 1.5.2数据收集 (10) 1.5.3数据清洗 (11) 1.5.4数据填充 (11) 1.5.5数据格式翻译 (11) 1.5.6数据压缩 (12) 1.5.7数据加密和签名 (12) 1.5.8监控管理 (12) 1.5.9通知管理 (13) 1.5.10权限管理 (13) 1.5.11日志管理 (14) 1.5.12节点管理 (14) 1.5.13数据查询 (14) 1.6系统特点 (14) 1.6.1应用集成框架 (14) 1.6.2集中化管理 (14) 1.6.3多种数据格式 (14) 1.6.4灵活的数据加工处理 (15) 1.6.5支持事务功能 (15) 1.6.6可靠的故障恢复 (15) 1.6.7XML的支持 (15)
1.7操作环境 (15) 1.7.1硬件 (15) 1.7.2软件 (16)
1.1 简介 随着大型企业及政府机关机构实现业务集中处理后,各个数据中心产生的大量数据信息,以及各种文件、图像、数据及多媒体数据等需要及时快速地从市、区、县一级的服务器或终端传输到省或全国中心,或者从全国中心往省、市、县级中心下发。由于数据的复杂性,收集的突发性,同时由于数据来源各式各样,因此对数据收集的效率、可靠性、灵活性、安全等方面提出了诸多要求,手工收集明显无法胜任企业级应用环境的需求。 数据适配器是面向分布式的数据收集管理服务。针对上述需求,提供满足企业级应用需要的灵活通用的数据收集管理功能,使用户能够方便地、随时随地地挖掘、提取、转换和管理数据。数据适配器能够为需要数据集成的应用提供数据流服务,即需要解决数据从何而来,哪个应用对其感兴趣,以及如何被每个系统使用。数据适配器通过把信息提供者和消费者隔离,来构建灵活的系统,使得这些系统不会受到数据的物理位置的影响,也不会受到需要存取数据信息的应用个数的影响。这样,对于每一个系统,在一般情况下不需要进行特别的定制处理,可以在系统之间实现信息的集成了。许多企业需要将许多不同的系统连接在一起,使得它们之间能够进行信息交互。原来的典型处理方法是需要一个直接的“点对点”的数据链接,并且需要定制编程以实现系统之间的“会话”。随着新系统的不断增加,直接的定向连接和定制编程的情况会急剧增加,这最终会成为信息流动的瓶颈。数据适配器通过一个集成框架的方案来解决这个问题,即自动定制系统集成需要的大部分编码。数据适配器通过为开发人员提供一组标准接口来实现这个方案,数据适配器可以实现系统和系统间的连接,也可以实现系统和中间件之间的连接。 数据适配器提供解决数据集成问题的标准适配器,比如数据转换,过滤和填充,同时也支持数据交换标准,比如XML等。数据适配器还具有例外处理能力。所有这些类型的适配器都可以非常容易无缝集成到异步消息系统和订阅/发布系统中。数据适配器可以为不同的专用中间件系统提供适配器,通过对接口协议需求进行抽象,使用数据适配器框架,就可以完成某个中间件产品的特定接口。使用数据适配器,可以很容易和快速的实现新的适配器。