专网与外网信息交互技术方案

专网与外网信息交互技术方案

ID:18667135

大小:3.78 MB

页数:18页

时间:2018-09-20

专网与外网信息交互技术方案_第1页
专网与外网信息交互技术方案_第2页
专网与外网信息交互技术方案_第3页
专网与外网信息交互技术方案_第4页
专网与外网信息交互技术方案_第5页
资源描述:

《专网与外网信息交互技术方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、专网与外网信息交互技术方案2目录一、安全隔离与信息交换系统(网闸)解决方案31.1技术实现31.2功能描述51.3产品介绍51.4产品指标及技术参数71.5解决方案101.6所选产品认证情况12二、外网防火墙解决方案131.1支队需求说明131.2安全解决方案131.2.1网络拓扑图131.2.2网络安全解决方案陈述141.2.4SonicWALLNSA3500产品功能和技术16三、整体方案简单说明182一、安全隔离与信息交换系统(网闸)解决方案专网业务涉密网与办公业务非涉密网间,根据业务及应用特点,以需求为导向,以应用为核心,以方便

2、群众为最终目的,利用先进理念和技术,以提高我机关工作效率,充分利用现有资源和技术力量,实现系统的计算机网络化处理和应用,根据实际存在数据双向交换的需求和国家相关主管部门的要求,在充分做到安全保证的前提下,允许非涉密数据在两个网络间交换。1.1技术实现安全隔离与信息交换系统(网闸)的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。在此前提下,通过专有硬件实现网络间信息的实时交换。这种交换

3、并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统(网闸)放心的访问非可信网的资源,而不必担心可信网的安全受到影响。信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内外网主机模块时,首先由网闸实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网闸;然后,内外网主机模块会依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全

4、检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行,不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如图5-51所示:18____________________________________________________________________________________________图示一51安全隔离与信息交换系统(网闸)原理示意图安全

5、隔离与信息交换系统(网闸)通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能,将指定区域的数据复制到对端相应的区域,完成数据的交换。隔离交换卡内嵌安全芯片,采用高速全双工流水线设计,内部吞吐速率达2Gbps,完全可以满足高速数据交换的需要。隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络

6、的安全隔离。当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查。经检验合格,则进行逆向转换,将格式化数据转换成符合RFC标准的TCP/IP数据包,将数据包发送到目的计算机,完成数据的安全交换。18____________________________________________________________________________________________1.1功能描述本方案设计严格遵循XX部《金盾工程总体方案设计》中要求XX专网与外界物理隔离的设计原则,

7、同时为确保准确性和及时性,我们采用天行安全隔离网闸作为我支队互联网驾驶人科目预约考试系统的安全物理隔离解决方案。1.2产品介绍天行安全隔离网闸(Topwalk-GAP)是天行网安信息技术有限公司与XX部信息通信局联合研制的新一代安全隔离产品。该产品是中国特色的GAP技术的代表产品,它采用自主产权的专用隔离硬件和多个处理单元紧密集成的独特设计,集成各种安全模块为一体,布署于信任网络与非信任网络之间,能够防止并抵御各种网络攻击及病毒入侵,用户可以安全地浏览、收发邮件及文件传输与数据库交换。天行安全隔离网闸(Topwalk-GAP)从硬件上

8、来分主要包括三部分,分别是专用安全隔离切换装置(数据暂存区)、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元,这种独特设计保证了安全隔离切换装置中的数据暂存区在任一时刻仅连通内

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。