永达安全隔离和信息交换系统技术白皮书.docVIP

永达安全隔离与信息交换系统 技术白皮书V2.3.2 录 一、产品概述 4 1.1 概述 4 1.2 系统架构 4 二、产品规格(参数、性能特性) 6 三、功能介绍 7 3.1 丰富的应用模块 7 3.2 安全功能 9 3.3管理功能 11 3.4可靠性 12 3.5扩展功能 12 四、产品特点 13 4.1 用户态协议栈,避免内核协议栈实现本身漏洞 13 4.2 先进的数据库同步技术 13 4.3高速包捕获与转发 13 4.4双摆渡传输技术 14 4.5高强度自身防护 14 4.6 集安全隔离、防火墙、防毒特征于一身 14 4.7 强大的定制扩展能力 14 五、典型应用 15 5.1单向（策略控制）访问安全隔离解决方案 15 5.2双向（策略控制）访问安全隔离解决方案 15 5.3双机热备冗余安全隔离解决方案 16 六、销售许可证与资质 17 6.1销售许可证： 17 6.2资质证书： 18 一、产品概述 1.1 概述 随互联网应用越来越多样化，出于各种目的网络入侵和攻击也越来越频繁。人们在享受网络带来的丰富、便捷的信息同时，频繁的网络攻击、病毒泛滥、非授权访问、信息泄密数据篡改等问题也日益突显。为了解决不同安全等级的网络及系统之间信息的传递与交换，建立高速、安全的数据交换通道，从物理层、链路层、网络层和应用层逐层确保网络的安全和信息交互的安全，提供高安全级别与低安全级别之间的数据保护与信息交换的需求，而研制出永达ASG安全隔离与信息交换系统。 永达ASG1000系统采用独特的“2+1”安全体系架构,由信任网处理单元、专有隔离硬件和非信任网处理单元三部分组成。永达安全隔离与信息交换系统可以完全阻断可信网络与非可信网络间的TCP/IP连接，剥离通用协议，将数据信息格式转换成只有永达安全隔离与信息交换系统可以识别的专有数据格式，将信息从一边网络传送到另一边网络，同时采用多种安全技术对出入的数据进行安全检查，最大程度地保证数据信息交换的安全，充分满足了网络间边界防护和数据信息安全交换的需求。彻底实现不同安全等级网络间信息的隔离，保证了信息交换的安全。 永达ASG1000系统可广泛应用于各级政府机关、军队、科研院校、民航、电力、石油、金融证券和交通等企事业单位，实现不同安全等级的网络之间、同一网络的不同安全域之间的安全隔离和可控的、实时的数据信息交换。 1.2 系统架构 永达ASG1000安全隔离与信息交换系统，采用“2+1”模块结构设计，即包括外网主机模块、内网主机模块和永达专有隔离硬件。内、外网主机模块具有独立运算单元和存储单元，分别连接高安全级别网络及低安全级别网络，对访问请求进行预处理，以实现安全应用数据的剥离。 通过永达专有隔离硬件的开关控制子系统，加速隔离交换卡首先断开彼此之间的物理连接，分别通过ASIC芯片连接内外网主机系统，内（外）网主机系统通过ASIC芯片将数据块封装为自有协议格式写入交换芯片的交换子系统（或通过ASIC芯片读出交换子系统缓存将自有协议格式数据拆封为数据块），完成一次摆渡；然后加速隔离交换卡通过开关控制子系统断开与内（外）网主机系统的连接，彼此之间建立连接，自动进行协商，实现数据交换，完成二次摆渡。通过这种双摆渡技术，内外网络永远不会直接连接，由于采用专门设计的硬件加速隔离交换卡进行数据交换，剥离通用网络协议，因此，内外网主机系统之间无法进行基于网络协议的数据交换，从而从硬件层面保证了内外网主机系统之间的安全隔离。 隔离交换矩阵基于ASIC专用芯片技术及相应的时分多路隔离交换逻辑电路，不受主机系统控制，独立完成应用数据的封包、摆渡、拆包，从而实现内外网之间的数据隔离交换。基于ASIC芯片的多路固化数据通道技术，解决了安全隔离与信息交换系统进行数据过滤和摆渡时性能低的难题，从而满足了用户对高性能的需求。 二、产品规格(参数、性能特性) 型号 ASG1000-G-500 ASG1000-G-800 规格 2U 2U 吞吐量(MB/SEC) 800Mbps 1000Mbps 最大并发数 =8000 =20000 系统延时 =5us =5us 最大客户数目 4096 4096 最大TCP连接 200000 200000 最大规则数目 10240 10240 网口用途 外网口*1 内网口*1 管理口*2 外网口*1 内网口*1 管理口*2 安全操作系统 SECLinux SECLinux HTTPS支持 支持 支持 WEB入侵防护 支持 支持 SSL硬件加速 单硬件加速卡 双硬件加速卡 WEB应用加速 支持 支持 自定义规则库 支持 支持 电源 HP2-6400P HP2-6400P 输入电压 AC 220V/50~60Hz AC 220V/50~60Hz 最大功率 800W 800W