天虹PSCU-1000病毒隔离墙技术白皮书.docVIP

天虹PSCU-1000病毒隔离墙 技术白皮书 安徽天虹数码技术有限公司 2.2 产品功能及性能指标 1、产品功能指标 PSCU-1000 病毒隔离墙的基本功能为数据交换及安全处理功能，以下是其主要功能特性： 功能类 功能项 功能说明 信息交换功能 定制应用数据交换功能 在安全受控的情况下完成外部存储设备和内部局域网中的计算机之间的数据传递，进行文件传输的功能。 安全控制功能 访问控制 提供基于IP地址、网络端口、协议、数据包状态等属性的过滤控制功能 身份认证 提供系统管理的安全身份鉴别功能，以及在网络应用访问时，对访问者身份的身份鉴别功能，如基于用户名/口令等身份鉴别功能 内容检查 提供传输数据内容的检查功能，检查机制基于关键字完成 文件深度检查 遵循“除非明确允许，否则就禁止”的白名单基本原则，以文件为单位对传输内容进行格式分析和过滤 病毒防护 特别优化得操作系统，有效得防止常规病毒数据的入侵 内部拓扑隐蔽功能 基于服务器地址转换功能（SAT）实现内部网络拓扑隐蔽 高可用性功能 传输效率高 支持千兆网络，高传输率，用户几乎感觉不到性能的损失，保证了传输的流畅性 专有的设备操作软件 设备的安装、配置简单，保证用户以简单快捷的操作来配置和使用设备 2、产品性能指标 PSCU-1000 病毒隔离墙的工作性能指标列示如下： 指标类型 指标项 指标值 PSCU-1000 性能指标 网络带宽 850Mbps 开关切换延迟 纳秒级 应用访问延迟 小于1秒 网络接口 网络接口 千兆网口：1个，可扩展 规格参数 平均无故障运行时间 70000小时 工作温度 －40℃~85℃ 存储温度 －55℃~125℃ 工作湿度 20~80％ 存储湿度 10~95％ 尺寸重量 重量：6 KG 长度：50.5cm 宽度：43cm　高度：9cm 工作电压 220 ±5V 功率 270W 第三部分、产品技术体系 网络安全防御体系是以防火墙为核心的防御体系，通过纵深部署、协同防御达到保障网络安全的目的。 防火墙作为一种核心的访问控制手段，在网络安全防护中起到了不可替代的作用，由此，天虹公司借助目前网络安全领域中先进的隔离交换思想，研制了PSCU-1000 病毒隔离墙。 基于白名单机制的数据分析和过滤 在限制来自USB存储设备的病毒向局域网中的计算机传播方面，PSCU-1000 病毒隔离墙在设计上面用严格遵循“除非明确允许，否则就禁止”的白名单基本原则，以文件为单位对传输内容进行格式分析和过滤。通过对传输内容进行严格分析和过滤，仅仅容许通过“认可的”和符合规范的文件通过，对无法识别的文件和格式错误的文件一律视为非法文件限制其向本地计算机传播。比如，我们允许Mpeg2格式的视频文件和Jpeg格式的图片文件通过。那么我们怎么判断一个文件是否是真正的Mpeg2格式的文件或者Jpeg格式的文件呢？如果，攻击者将非法文件的扩展名改成以上两种文件格式的扩展名，那么是不是就逃避安全规则的检查，而侵入局域网中的计算机呢？事实上我们的安全检测机制并不是这么简单，并非只是通过扩展名就确定一个文件是否是非法文件。除了对扩展名的分析以外，我们还会对文件内部结构做严格的检查。而文件内部结构往往是比较复杂的。比如，我们就以以上两种文件Mpeg2文件和Jpeg文件为例来说明一下文件的内部结构： MPEG-2: MPEG-2制定于1994年，设计目标是高级工业标准的图象质量以及更高的传输率。MPEG-2的编码码流分为六个层次。为更好地表示编码数据，MPEG-2用句法规定了一个层次性结构。它分为六层，自上到下分别是：图像序列层、图像组(GOP)、图像、宏块条、宏块、块。JPEG图像存储格式一个比较成熟的图像有损压缩格式，虽然一个图片经过转化为JPEG图像后，一些数据会丢失，但是，人眼是很不容易分辨出来这种差别的。也就是说，JPEG图像存储格式既满足了人眼对色彩和分辨率的要求，又适当的去除了图像中很难被人眼所分辨出的色彩，在图像的清晰与大小中JPEG找到了一个很好的平衡点。虽然图像转化为JPEG格式会减小很多，但是并不是文件就变得简单了，相反，JPEG文件的格式是比较复杂的。不经过认真地分析，是不容易弄懂它的。 第四部分、PSCU-1000病毒隔离墙功能介绍 4.1 文件深度检查 管理员可能需要对通过PSCU-1000病毒隔离墙传输的文件类型进行控制，比如，不允许外部存储设备上的非法文件传输到内部局域网中的计算机上。但是，攻击者可以将文件的后缀修改为被允许的后缀并传输，以逃避安全规则的检查。为此，PSCU-1000病毒隔离墙采用白名单机制，对文件实行了一致性检查，即一个声称的exe是否真是exe文件，一个声称的p