产品特点
SAN-NetGap100是一款面向大型网络的安全隔离系统,为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护,并在可控状态下实现内部网络或服务器与外界的实时(适度)信息交换。 采用独特的“2+1”安全体系架构,通过基于ASIC芯片技术设计的专用隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。 采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架构,拥有全线速隔离交换性能,满足大型网络应用所面对大用户量、低延时访问的需求。在核心的GAP电子开关隔离芯片上采用了含TRUE
LVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片,该芯片具有500万门电路以及多路Giga位的通道,支持内部高达1060个硬件I/Os通道,使得电子开关具有高速的数据传输能力和并发处理能力。 充分考虑关键应用对可靠性、可用性的要求,独家采用负载均衡技术以及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证
。 采用无协议的“GAP Reflective”,GAP隔离反射技术实现开放网络通讯协议的剥离与重组,有效阻断来自网络层及服务器OS层的各类已知/未知攻击,弥补其它安全技术对网络未知攻击的防御盲区。 广泛支持各类通用应用协议(HTTP、FTP、SMTP、DNS、SQL等),包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。 采用专利技术的应用层安全防御系统,SAN-NetGap100特别针对广泛应用的WEB、EMAIL和FTP等服务采用专利技术WebApplication,实现了全面应用层安全防护,可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、Cookie中毒、恶意JaveScript、ActiveX控件甚至CGI脚本等各类应用层安全风险。 智能化攻击识别与过滤,SAN-NetGap100采用先进的应用层协议分析技术智能识别并过滤大量基于应用层协议的攻击行为,SAN-NetGap100提供目前市场上丰富的协议分析模块,全面防护各类应用系统安全风险,包括:HTTP、FTP、SMTP、POP3、IMAP、DNS等数十种协议分析模块。
系统可靠性 双机热备功能
SAN-NetGap100系列产品针对大型网络的应用提供了双机热备份功能,实现系统的稳定可靠运行。通过内置的双机热备系统,连接在同一个网络内的多台SAN-NetGap100设备可以建立双机热备机制,并通过虚拟IP统一对外提供服务。从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设备将立即接管并继续提供服务。结合SAN-NetGap100独有的状态检测系统,管理员能够迅速发现设备故障并作出处理。 系统工作状态检测与报警
SAN-NetGap100系列采用基于工业控制系统的架构设计,具备良好的稳定性。并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进行检查,并将系统状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并作出响应。
同时,SAN-NetGap100系列软件系统采用了先进的自愈技术,当故障发生时可迅速命令系统重启恢复到正常工作状态。
系统可用性
SAN-NetGap100系列为满足高性能的网络处理而设计,因此,必须支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外,SAN-NetGap100系列还设计了最大支持32台设备的负载平衡系统来实现高可用性。
SAN-NetGap100系列的负载平衡系统通过仲裁网络流量方式实现流量在SAN-NetGap100集群中的平均分配,从而将处理性能大幅提升。
安全功能 网络隔离功能
SAN-NetGap100系列具有网络隔离功能,通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击。 定时服务功能
SAN-NetGap安全隔离系统内置定时功能,可设置多个时间点来控制(非断电,加电)网闸网络服务的启动和终止,在停机期间任何外部主机都无法访问网闸,网闸此时类似于已关机。该功能使得网闸在不需要进行数据交换的时间段处于不工作状态,内外网彻底与外网物理隔离,绝对安全,如果不对定时功能进行设置,在默认情况下网闸可正常使用。 IDS入侵检测功能
SAN-NetGap100系列在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与SAN-NetGap隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。 SAT(服务器地址映射)功能
SAN-NetGap100系列具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到SAN-NetGap100系列的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。 身份认证功能
不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。SAN-NetGap100系列除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。
安全代理服务功能
SAN-NetGap100系列允许可信端用户以应用代理方式访问不可信网络,SAN-NetGap100系列作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。 AI安全过滤功能
应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP
等资源的访问。SAN-NetGap100系列产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和
ActiveX applet
的攻击。SAN-NetGap100系列在AI功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。 文件交换功能
支持基于NFS、SAMBA和FTP等多种文件交换协议;提供多种文件特征和文件类型的访问控制。在文件传输控制中,支持黑白名单功能,文件交换支持单向/双向传输控制。管理员可选择多种文件同步处理方式。 防病毒功能
系统内嵌防病毒引擎,可实现对内外网摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。 内容及格式检测功能
SAN-NetGap100系列具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵。
VPN通讯安全
SAN-NetGap100系列对受保护WEB服务器提供内置的SSL VPN加密通讯机制,建立客户端与虚拟服务端口间的SSL加密VPN链路,实现通讯安全。该加密方式无需修改客户端设置,透明实现客户端与服务器端的加密通讯。 安全访问控制功能
系统具备完善的安全访问控制功能,能够对:源IP(子网)/目的IP(子网)、服务端口、内容、时间、身份认证五个元素进行组合式访问控制。通过RFC规范检查,实现对HTTP、FTP协议的命令控制,不仅仅支持HTTP协议的GET、PUT等协议命令,还支持协议内其它特性的控制,如文件上传/下载大小、是否允许断点续传、是否允许WEBDAV扩展命令等。
WEB站点保护功能
目前大量应用基于B/S架构开发,WEB服务成为了越来越通用的服务,然而WEB服务器的大量漏洞也时时威胁着应用系统的安全。SAN-NetGap100系列全面分析了来自WEB服务的漏洞,建立了WEB站点保护系统WebAppliaction,全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Webservice函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。
系统管理 轻松管理
SAN-NetGap100系列安全管理架构允许管理员将多个隔离与信息交换系统设备部署到任何位置上并对其进行集中式管理。一旦创建或修改了策略,它就被自动分发到规则指定的所在位置。 良好的用户界面
SAN-NetGap100系列提供了一个良好的用户界面,以树型结构组织对象,可在所有规则中共享所有的对象定义(例如:用户、主机、网络和服务等等),以便进行有效的策略创建和安全管理。 丰富的日志及审计
SAN-NetGap100系列管理平台能够监控并记录
SAN-NetGap100系列产品的系统状态。全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息。
应用支持 安全上网
SAN-NetGap100系列支持用户安全上网应用,可根据身份认证、IP+MAC绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。 数据库应用
SAN-NetGap100系列全面支持各种类型的数据库应用,支持Oracle、MS SQL、MySQL、SyBase等主流的数据库的SQL查询,支持全表复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。 网络应用
广泛支持各类通用应用协议(HTTP、FTP、SMTP、DNS、SQL
、TELNET、SSH、各类数据库、MQ、MMS、NFS、网页浏览、数据库复制、文件交换、数据库访问、消息服务等),包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。支持用户自定义开发的特殊应用协议。同时,针对用户特殊需求SAN-NetGap100系列提供API应用开发接口。
产品规格 产品配置
网络接口:≥4个10/100/1000Mbps RJ45以太网自适应接口,千兆设备提供可选千兆GBIC光电自适应模块化接口,提供HA、管理接口;
内外网系统独立控制:DB9针RS232串行通讯接口;
百兆设备最大网络吞吐量(双向)≥180Mbps,单向≥95Mbps;千兆设备最大网络吞吐量(双向)≥1600Mbps,单向≥800Mbps;
内部数据总线交换最大带宽≥5Gbps;系统延时≤2ns,最大并发连接数≥20000,平均无故障时间≥60,000小时,无用户数限制;
系统状态显示:内置液晶显示面板、多个网络连接LED指示灯 硬件规格
尺寸规格:标准2U机架式
重量:15KG
电压:100-240V,47-63HZ
功率:300W
操作环境:-5℃-50℃
环境湿度:5%-95%
安全及电磁标准:
CB to IEC 60950:1999, 3rd edition
TUV GS mark toEN60950: 2000
TUV C-US to UL60950: 2000
CAN/CSA-C22.2;No 60950: 2000
FCC Class B, VCCI Class B, CE class B |
