中文English加入收藏设为首页客服电话:400-881-8480
 
#

伟思产品Product

您当前所在的位置:伟思信安>伟思产品 > ViGap安全隔离与信息交换系统

Loading...



伟思ViGap安全隔离与信息交换系统V6.5

 

 
 
 
● 产品概述 
随着国家电子政务与电子商务应用的高速发展,信息孤岛被打破,部门、跨行业的信息共享成为常态,建立高效、透明和安全的公众服务体系成为信息化的重要目标。
然而,伴随着信息化的高速发展,多年来在政府、企业和金融系统内部的重要核心数据和网络,不得不直接或间接的面对外部网络、互联网,面对日益严重的信息安全威胁。因此,如何确保内部网络和核心数据的安全,又不失与外部交换数据的高效便捷,成为当今安全隔离、可控信息共享与交换的重要课题。
 
● 传统网络安全产品的缺陷不足
目前市场上的主流网络安全产品以防火墙、IPS为主,因其自身的安全性不足,不能完全满足重要核心数据和网络目前高风险、高安全性的安全隔离与数据交换需求,主要体现在如下几点:
● 自身架构安全性不足
我们知道任何网络安全产品的防御前提是自身安全性,目前防火墙、IPS等安全产品均采用单一主机物理架构,其自身的操作系统、管理软件和管理配置策略均运行在一台直接面对互联网的主机上,而其上述任何一点的设计漏洞、管理风险,均会造成其自身安全性的失效,从而导致内部网络的门户大开。这在世界范围内的例证不胜枚举。
● 安全控制机制滞后
防火墙、IPS、防病毒等网络安全产品的安全性普遍通过特征库、制订静态访问规则等被动防御方式实现,针对现今网络攻击快速变种、传播的特征,陷入“后知后觉”、不断升级更新的怪圈,反应相对滞后,不但对安全管理人员提出了更高的技术要求和管理要求,而且往往危害已经发生却无能为力。
● 内网安全防御不足
传统网络安全产品的设计主要考虑外网对内网的攻击,而内网用户对外访问方面控制力度较弱,导致敏感信息及数据泄漏、木马后门程序驻留等安全问题。
 
● 伟思隔离网闸安全架构
与传统的安全隔离与数据交换隔离手段(如:前置机后置机串并口通信、IPX(私有)协议转换隔离、双防火墙和双VPN等)不同,伟思隔离网闸采用2+1架构,隔离部件采用双工双通道物理隔离安全板设计,安全板采用ASIC芯片为核心。
 

整个架构完全模拟实现了人工拷盘(Sneaker-net安全架构)的安全数据传输过程,实现了传统安全隔离防护产品所不具备的安全特性:

● 阻断网络的直接连接,ASIC芯片模拟开关分时连接内外网,即没有两个网络同时连在隔离设备上,杜绝了外网对内网的实时连接攻击;

● 阻断网络的互联网逻辑连接,采用协议剥离技术,将TCP/IP协议彻底剥离,外网的所有协议包在不可信端终止,不能传输到内部网络,协议包的已知或未知攻击被完全剔除,在内部主机根据标准的RFC协议组成安全全新的协议包。
● 数据仅能以静态的不可被执行的原始数据方式通过隔离部件交换池,以P2P的非TCP/IP连接协议的方式透过隔离设备传递到内部主机;
● 隔离部件的数据摆渡传输机制采用完全的硬件固化设计,具有不可编程的特性,具有不被外部感染、不被外部篡改的特性,极大的提高自身安全性;
● 所有的设备控制决策及规则策略在内部主机存储,受到系统架构的保护,不易受到外部网络的侵害和篡改;
● 安全决策和数据传输被严格固化,具备强大全面的管理和控制机制,不能被绕过,且可以进行全面的应用审计。
 
 
● 产品优势
 产品实现对网络层/OS层已知和未知攻击的全面防护能力。由于在该架构中内外网间实际上由ASIC芯片实现物理断开,所有访问被转化成应用层数据形式通过独立的存储介质在内外网移动,因此,移动的数据中并不包含相对低层的网络层/OS层控制信息,换句话说,隐藏在网络层/OS层的攻击行为根本没有进入受保护内网网络的可能,无论该攻击方式是已知的还是未知的。而目前其它安全技术基本上还是基于特征匹配的方式过滤这些攻击行为,遗漏和处理不当都在所难免,并且对未知攻击毫无办法,对受保护网络造成严重安全隐患。
● 不再依赖操作系统的安全性。目前所有安全技术的实现都必须依赖操作系统作为平台提供低层服务支持,操作系统的安全性实际上就影响到整个安全产品的安全性,目前主流的OS主要是微软和Uinx/Linux两大类,所有这些操作系统都具有一定数量的Bugs,这些漏洞也随之成为整个安全产品的漏洞。而伟思网闸架构很好地解决了这个问题,其内网处理服务器上的操作系统完全不对外暴露,暴露在外的仅仅是负责外网处理的服务器,即使该服务器因操作系统Bugs被攻击,实际上也无法进一步影响内网处理服务器,因为内外网是物理断开的。实际上,与防火墙等其它安全产品不同,黑客无法利用现有操作系统Bugs获得对伟思隔离网闸架构的控制权。
● 强化安全决策过程的安全性。安全决策是最重要和基础的安全防御手段之一,安全决策包括认证、访问控制列表(ACL)、内容过滤以及格式检查等一系列方式。 安全决策功能一旦失效,恶意访问将无阻碍地进入受保护网络(例如访问控制列表被更改,已禁止端口被开放等)。目前的网络安全产品对决策模块的防护能力相对较弱,而伟思隔离网闸架构模型则将所有安全决策过程置于中立的与内外网没有连接的隔离区内完成,且关键的策略库置于与被检查数据物理断开的受保护端(LAN)主机上,因此,策略库和决策过程都十分安全,未经严格检查的数据将始终被隔离在受保护网络(LAN)以外,确保决策过程的安全。
● 数据静态化。在伟思隔离网闸架构模型中,所有进入模型内的数据在人的传递过程中都是静态的,其内容不被任何程序执行,仅仅是对静态内容实施检查和决策,因此,这些数据本身携带的任何恶意代码都无法执行,也就无法危及系统的安全,整个网闸系统本身安全可靠。
● 数据和应用检查的优势。经过协议剥离的数据还原,在网闸摆渡过程中,可以进行深入的内容检测和深度数据分析,对应用协议的还原可以根据标准国际规范RFC严格控制,灵活控制安全风险。
● 采用FPGA硬件架构,内容过滤和控制策略硬件化,提供行业最高性能整体吞吐量。

 

 

 

● 产品详述
自2002年推出第一台ViGap产品以来,ViGap已经被数千家政府、军队、电信、金融、企事业等重要机构广泛使用。
伟思信安ViGap安全隔离与信息交换系统V6.5目前拥有四个系列的产品,几十款型号,可满足各个行业,不同用户对价格、性能、安全性、可靠性等多方面的要求,提供适合不同应用环境的全面解决方案:
 
 
● 功能特点
● 系统可靠性
双机热备功能:ViGap6.5系列产品针对大型网络的应用提供了双机热备功能,实现系统的稳定可靠运行。 
系统工作状态检测与报警:ViGap6.5系列采用基于工业控制系统的架构设计,具备良好的稳定性。并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进行检查,并将系统状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并做出响应。同时,ViGap软件系统采用了先进的自愈技术,当故障发生时可迅速命令系统重启恢复到正常工作状态。 
系统可用性:ViGap6.5系列为满足高性能的网络处理而设计,支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外,ViGap6.5系列还设计了最大支持32台设备的负载平衡系统来实现高可用性。
ViGap6.5系列的负载平衡系统通过仲裁网络流量方式实现流量分配,从而将处理性能大幅提升。
● 安全功能
网络隔离功能:ViGap6.5系列具有网络隔离功能,通过基于ASIC设计的硬件芯片开关实现可信、不可信网络间的物理链路断开,保护可信网络免遭黑客攻击,支持多网隔离应用及多种安全接入模式。 
IDS入侵检测功能:ViGap6.5系列在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与ViGap隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。 
SAT(安全服务器地址映射)功能:ViGap6.5系列具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。 
身份认证功能:除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的PKI数字证书、SecureID等多种强身份认证功能。支持SSO(Single Sign-on)单点登录,支持Radius、LDAP、AD(Active Directory)等CAS认证模式。
安全上网、邮件收发高级认证功能:支持采用专用ViIE、ViMail认证客户端实现高安全性的上网、邮件应用安全认证控制功能,防止客户端涉密信息未经授权外发。没有经过客户端认证的用户即使用IE、OUTLOOK、FOXMAIL等软件也无法上网和收发邮件。
安全代理服务功能:许可信端用户以应用代理方式访问不可信网络,支持Socks代理,支持流媒体、视频应用代理,可作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。
AI安全过滤功能:应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击。支持关键字、网址、恶意代码、文件类型、黑白名单等过滤功能;在AI功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。
防病毒功能:系统防病毒引擎,可实现对内外网摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。
内容及格式检测功能:具备内容过滤及文件格式检查功能,支持黑白名单过滤,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,支持深层文件格式和编码检测,能够阻止敏感的信息外泄或恶意程序的入侵。
VPN通讯安全:对受保护WEB服务器提供内置的SSL VPN加密通讯机制,建立客户端与虚拟服务端口间的SSL加密VPN链路,实现通讯安全。该加密方式无需修改客户端设置,透明实现客户端与服务器端的加密通讯。
WEB站点保护功能:全面分析来自WEB服务的漏洞,建立了WEB站点保护系统WebAppliaction™,全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Web service函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。
● 系统管理
轻松管理
提供认证加密的管理系统进行统一管理,支持C/S、B/S等多种形式的设备管理,允许管理员将多个隔离与信息交换系统设备部署到任何位置上并对其进行集中式管理。一旦创建或修改了策略,它就被自动分发到规则指定的所在位置。 
良好的用户界面
提供了一个良好的全中文用户界面,以树型结构组织对象,可在所有规则中共享所有的对象定义(例如:用户、主机、时间、网络和服务等等),以便进行有效的策略创建和安全管理。 
定时服务功能
提供定时设备开关功能,可定时启动/终止网络服务(不是加电,断电),终止服务时网闸不接受任何网络请求,完全隔断网络,可设置多个时间点来控制网闸网络服务的启动、终止,如果不设置,默认网闸正常使用。 
丰富的日志及审计
管理平台能够监控并记录产品的系统状态。全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息,支持SYSLOG,SNMP等第三方日志输出与日志集中管理。 
丰富的报表功能
支持丰富的日志报表分析功能,提供接口、IP地址、用户分组和应用服务等分析报表,可直观显示流量带宽、应用、新建和活跃会话等信息,方便管理员直观掌握网络应用情况进行管理控制。
● 应用支持 
安全上网:支持用户安全上网应用,可根据身份认证、IP+MAC绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。
数据库应用:全面支持各种类型的数据库应用,支持Oracle、MS SQL、MySQL、Sybase等主流的数据库的SQL查询,支持全表复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。
文件交换功能:支持FTP、NFS、SMBFS等协议文件访问和同步交换,支持对用户、命令、文件类型等访问控制,支持单双向和定时控制功能。
网络应用:支持各类TCP/、UDP等网络应用协议,无需二次开发,包括:HTTP、SMTP、POP3、DNS、FTP、TNS、MMS、IM、VOIP等等。支持用户自定义开发的特殊应用协议。同时,针对用户特殊需求ViGap6.5系列提供API应用开发接口。 
带宽管理:系统可选内置流量带宽分析模块,采用ALG应用层网关技术深度识别各类应用,使管理员获得详细地网络应用活动审计信息,包括HTTP访问、邮件收发、FTP文件上传/下载、MSN聊天等,并能够对各类P2P应用、流媒体进行安全检查,实现网络应用协议流量排名及协议安全过滤,消除新应用类型带来的安全隐患,支持针对不同应用可限定协议流量进行带宽分配,支持网关级的终端带宽管理控制,同时支持带宽策略管理,可针对不同应用进行不同策略的带宽管理控制。 
带宽保障功能:可预留连接数及应用带宽给关键应用,限制非法的大流量协议应用,提高关键应用的可用性,保障关键应用在任何情况下都能安全高效的运行,从而提高用户整体网络应用的利用效率。
● 性能参数
硬件规格:
尺寸规格:标准2U机架式
重量:15KG-20KG
电压:100-240V,47-63HZ
功率:300W-500W
操作环境:-5-50
环境湿度:5%-95%
系统配置:
网络接口:至少4-12个RJ45自适应以太网接口,千兆设备可提供2个千兆光,模块接口,可提供HA、热备和管理接口;
底层系统控制:DB9针RS232串行通讯接口;
系统状态显示:内置液晶显示面板、2个网络连接LED指示灯提供180Mbps-7Gbps的系统吞吐量平均无故障时间≥60,000小时,支持冗余电源扩展,无用户数限制安全及电磁标准;
CB to IEC 60950:1999, 3rd edition
TUV GS mark toEN60950: 2000
TUV C-US to UL60950: 2000
 CAN/CSA-C22.2;No 60950: 2000CCC
FCC Class B, VCCI Class B, CE class B
  
● 公开报价
型号/版本 单位 零售市场价格 说明 并发性能
300D  ¥358,000.00  千兆电口 >80000
400A  ¥180,000.00  部门级百兆电口 >10000
400D  ¥280,000.00  部门级千兆电口 >50000
400M  ¥320,000.00  部门级千兆电口,多网接入 >100000
400V-1000B  ¥340,000.00  部门级千兆增强电口  >100000 
400V-1000S  ¥380,000.00   部门级千兆增强电口  >100000 
500A  ¥300,000.00  企业级百兆高性能电口 >20000
500D  ¥450,000.00  企业级千兆高性能电口 >100000
500M  ¥500,000.00  企业级千兆高性能、多网接入 >100000
500V-1000B  ¥540,000.00  企业级千兆高性能、多网接入 >100000
500V-1000S  ¥580,000.00  企业级千兆高性能、多网接入 >100000
800D  ¥600,000.00  千兆性能,单向导入 >20000
800H  ¥900,000.00  千兆高性能,单向导入 >30000