方正安全隔离与信息交换系统白皮书.docx

Founder-GAP产品白皮书方正信息安全技术有限公司2013年11月版本：V目 录1产品概述22产品特色42.1品质卓越，稳定可靠42.2支持IPv6，最强兼容42.3万兆吞吐，性能卓越62.4普适业务，无缝接入73技术优势113.1“2+1”硬件架构113.2开放式软件架构123.3深度内容检测143.4TCP终结的数据摆渡模式164主要功能185产品型号与指标215.1产品图示215.2产品规格216解决方案236.1安全隔离解决方案236.2安全文件交换解决方案246.3数据库安全同步解决方案256.4安全邮件收发解决方案276.5安全网络访问解决方案287联系方式30产品概述方正安全隔离与信息交换系统，是方正信息安全技术有限公司自主研发的高性能安全隔离产品，具有完全自主知识产权。该系统可广泛应用于政府、企业、军队、电力等部门既需要对网络进行隔离又需要进行数据交换的场所，它部署在不同网络安全域之间，实现了不同网络安全域之间 “安全隔离、数据交换”的安全可靠的通信要求。国家强制规定“必须进行隔离”传统的网络安全产品不能解决网络间数据安全交换问题，为了保护重要内部系统的安全，国家相关部门都做了明确的规定：2000年，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。”2002年，中共中央办公厅第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。”必须使用安全隔离产品的环境国家保密局规定安全隔离与信息交换系统在以下四种网络环境下应用：不同的涉密网络之间；同一涉密网络的不同安全域之间；与Internet物理隔离的网络与秘密级涉密网络之间；未与涉密网络连接的网络与Internet之间。实际应用中各单位的主要应用包括：各单位对外提供各项便民服务的接口；各单位内部的不同安全域之间进行数据交换的接口；各单位与业务相关的其他单位之间进行数据交换的接口。产品特色品质卓越，稳定可靠方正安全隔离与信息交换系统，严格遵循相关行业质量认定体系进行研发，产品具有卓越品质，稳定可靠，装备量领先，得到了市场的高度赞誉。支持IPv6，最强兼容方正安全隔离与信息交换系统，对IPv6有良好的支持，可以支持如下环境：纯IPv4环境纯IPv6环境IPv4-IPv6互通环境IPv4-IPv6协议转换环境（也叫IPv4-IPv6隧道互通隔离环境）如下图2-1所示：图2-1 支持IPv4/IPv6网络环境IPv6和IPv4网络层协议功能相近，都基于相同的物理网络，加载于其上的传输层协议TCP和UDP又没有任何区别。协议栈结构可以看出，如果一台主机同时支持IPv6和IPv4两种协议，那么该主机既能与支持IPv4协议的主机通信，又能与支持IPv6协议的主机通信。如下图2-2所示：应用程序TCP/UDP协议IPv6IPv4物理网络图2-2 IPv4/IPv6双协议栈的协议结构基于IPv6协议安全隔离控制系统与基于IPv4协议安全隔离控制系统的不同之处在网络IP协议的分析解析，但是对上层应用协议的“摆渡”是一样的。为了使设备既能适应于IPv4环境，也能适应于IPv6环境，本系统采用了双协议栈分析。在IPv6网络建设的初期，其网络规模和业务量都较小，经常采用隧道方式来构造大规模的IPv6网络，是目前常用的一种过渡方法。本质上，隧道方式只是把IPv4网络作为一种传输介质。由于隧道技术的应用，如果隔离系统架设在基于IPv4的网络中，现有的隔离机制无法准确找到上层应用，不能摆渡上层应用数据。导致隔离系统在这样的环境中无法应用。方正安全隔离与信息交换系统，支持隧道的隔离，不但适应基于IPv4隧道技术的环境，而且还适应基于IPv6隧道技术的环境。本隔离系统采用隧道协议检测的方式，解析基于隧道技术的IPv4/IPv6的隔离，协议栈的协议解析架构。如下图2-3所示：图2-3 协议解析架构隔离系统通过协议解析→隧道协议检查→应用数据摆渡→隧道协议封装→协议封装，完成了协议的隔离应用数据的摆渡，通过上述机制本隔离系统不但适用于IPv4隧道的环境，也适应于基于IPv6隧道的环境。万兆吞吐，性能卓越方正安全隔离与信息交换系统，拥有非常好的性能，万兆产品吞吐量达到8Gbps，千兆产品达到950Mbps。这是因为方正信息对性能进行了良好的优化，通过综合高性能硬件设计和软件优化来解决，主要包括两个方面：在硬件设计方面，采用了高性能的网络处理单元硬件模块。千兆产品提供了高达64位 133M总共8Gbps以上的总线带宽，万兆产品提供了高达2.4Tbps的总线带宽，同时采用了低功耗高性能的计算单元。这样