邵阳市电子政务安全接入平台

的对象定义（例如用户、主机、网络和效劳等等），以便进行有效的策略创立和平安管理丰富的日志及审计ViGap300系列管理平台能够监控并记录ViGap300系列产品的系统状态全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息应用支持

3.

1.

3.5,平安上网ViGap300系列支持用户平安上网应用，可根据身份认证、IP+MAC绑定等多种平安策略实现用户平安上网应用，同时支持透明应用代理方式，客户端无需设置数据库应用ViGap300系列全面支持各种类型的数据库应用，支持Oracle、MS SQL、MySQL.SyBase等主流的数据库的SQL查询，支持全表复制、增量更新、全表更新等多种数据库同步方式，并支持自定义表和字段网络应用ViGap300系列支持各类TCP/IP以上的网络应用协议，无需二次开发包括HTTP、SMTP、POP

3、DNS、FTP、NFS、MMS、IM VOIP等等支持用户自定义开发的特殊应用协议同时，针对用户特殊需求ViGap300系列提供API应用开发接口系统性能参数

3.

1.

4.伟思ViGap300物理隔离系统性能指标如下•ViGap300网络吞吐量性能160Mbps—1760Mbps•ViGap300隔离硬件芯片数据交换速率1056Mbps•ViGap300系统时延＜二lms•ViGap300并发连接数＞=8000防火墙32技术实现

3.

2.

1.防火墙自诞生以来，在网络平安防御系统中就建立了不可替代的地位作为边界网络平安的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的平安随着Web

2.0的各种应用不断推陈出新，加上社交网络如类似Facebook效劳广受欢送，进而带来了截然不同于以往的平安管理问题，IT人员在面临新一代企业网络Ente:rprise

2.0的各种威胁，已经无法使用传统防火墙、入侵检测系统等设备，获得完整的平安控制管理和防御能力，其中最主要的原因在于Enterprise

2.0的各种应用效劳，大多数是通过Web提供，而传统防火墙由于无法辨识Web效劳中的应用程序，也因此让网络平安防护出现严重的漏洞与隐忧自2009年10月Gartner提出“Defining theNext-Generation Firewall”—「文,重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可针对上述平安风险、网络环境、应用系统的变化，传统网络平安设备的无能为力，市场咨询分析机构Gartner在2009年发布了一份名为《Defining theNext-GenerationFirewalD的文章，给出了真正能够满足用户当前平安需求的下一代防火墙NGFW定义在Gartner看来，NGFW应该是一个线速wire-speed网络平安处理平台，在功能上至少应当具备以下几个属性

1、联机ubump-in-1he-wire，z配置，不中断网络运行

2、发挥网络传输流检查和网络平安政策执行平台的作用，至少具有以下特性1标准的第一代防火墙能力包过滤、网络地址转换NAT、状态性协议检测、VPN等等2集成的而非仅仅共处一个位置的网络入侵检测支持面向平安漏洞的特征码和面向威胁的特征码IPS与防火墙的互动效果应当大于这两局部效果的总和例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流这个例子说明，在NGFW中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案集成具有高质量的IPS引擎和特征码，是NGFW的一个主要特征3应用意识和全栈可见性识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯效劳的网络平安政策例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC4额外的防火墙智能防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单Gartner认为，随着防火墙和IPS更新周期的自然到来，或者随着带宽需求的增加和随着成功的攻击，促使更新防火墙，大企业将用NGFW替换已有的防火墙不断变化的威胁环境，以及不断变化的业务和IT流程将促使网络平安经理在他们的下一个防火墙/IPS更新周期时寻找NGFWoGartner预计到2014年底，用户采购防火墙的比例将增加到占安装量的35%,60%新购置的防火墙将是NGFW产品介绍

3.

2.

2.任子行公司基于在互联网内容平安和行为管理领域多年的积累，以及对下一代防火墙技术的深入研究推出了SURF-NGSA防火墙系列产品NGSA是面向应用层设计，能够精确识别用户、应用和内容，具备完整平安防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络平安设备NGSA解决了传统平安设备在应用管控、应用可视化、应用内容防护等方面的巨大缺乏，同时开启所有功能后性能不会大幅下降NGSA不但可以提供基础网络平安功能，如状态检测、VPN、抗DDoS、NAT等；还实现了统一的应用平安防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等NGSA可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案任子行产品优势

3.

2.

3.NGSA份识别优势

3.

2.

3.

1.细致的用户与组的权限划分用户的权限分配划分细致，可为每个用户配置不同的网页过滤，应用程序过滤，浏览配额，访问时间，数据传输，带宽管理，SSL VPN,L2TP/PPTP,垃圾邮件摘要，同时登陆数量限制，登录限制（例如节点）全面兼容集成第三方认证及单点登录支持AD（活动目录）、LDAP、RADIUS等第三方认证效劳，可集成与防火墙、VPN、设备管理等，同时具备SS0功能,提升各种访问的平安性用户自助查询账户信息用户自助查询账户信息，更加详细的了解流量使用情况；登录时间查询，保证账户无盗用；随时更改密码，保证账户的平安性；查询被隔离的病毒与垃圾邮件，保证漏收重要邮件强大的与功能3232AV IPS多协议、应用的病毒与木马检测多协议的病毒、木马检测，包括HTTP、HTTPS、FTP、SMTP、POP

3、IMAP以及IM文件传输，VPN隧道内的检测，多方面保证网络终端及效劳器的健康与平安性检测做到多方面、更细致、更灵活灵活的扫描方式提供实时扫描与批量扫描；对音频图像的扫描，让功能更具实用性；拒绝未知协议、阻止非法证书让加密访问更具平安性设备自带病毒邮件隔离区先进的设备自带病毒邮件隔离区设计，保证邮件审计，用户可通过身份账户自行查看被隔离病毒邮件，并可发送病毒邮件通知信息，保证用户收发邮件没有遗漏攻击源、受害者快速定位基于身份用户、IP、协议的告警信息，帮助管理员快速定位封堵攻击源，检测受害终端，保证信息资源不受侵害灵活多样功能

3.

23.

3.VPNIPSec VPN完美向前保护PFS与对端状态检测DPD,具备L2TP、PPTP VPN,链路备份功能SSL VPN登录首页页面自定义，隧道，网页，应用程序接入模式，内置SSL VPN用户资源访问审计报表MPLS-VPN支持MPLS-VPN环境下的IPSec备份链路，满足用户节约专线租用费用，实现隔离及互访需求灵活的带宽管理策略

3.

23.

4.基于用户身份不同用户身份或不同工作职责，可细化分配所需带宽速率，提高工作效率，保证带宽资源的合理分配CEO Manager1mbps256kbps基于应用程序可对众多应用程序、网络协议进行带宽管理，包括应用程序类别以及指定应用程序的带宽限制灵活方便的为不同应用赋予不同的带宽速率8级优先级各种类型带宽管理策略，可设置不同级别的优先级，使关键数据流量能够第一时间的带宽速率保障Voip基于国家区域的流量访问管控

3.

23.

5.内置全球国家IP资源列表支持基于国家列表中选择源或目的国家区域对象防火墙规则，效拦截DDoS攻击、恶意扫描、恶意软件及垃圾邮件等平安威胁键技术

3.

23.

6.用识别能力

3.

23.

6.1NGSA采用传输流量分类技术，可根据每种应用的执行特性，针对传输数据内容执行应用特征码比对，无论使用哪一种通讯协议及连接端口，都能正确地识别应用程序识别能力

1.

1.

1.1NGSA下一代平安防护网关，可以与各种用户数据库如Microsoft ActiveDirectory LDAP、RADIUS紧密整合，通过动态地将IP地址与用户及用户组信息进行结合，大幅提升对网络用户活动的可视性，IT部门更可以依据用户及用户组信息，规划制定各项平安策略及产生各种用户存取记录与管理报表识别能力

1.

1.

1.2结合「实时威胁防御引擎」、「丰富的URL数据库」及「应用识别」等核心组件，内容识别可以轻松做到限制未经授权的文件传输、检测并阻挡各种的网络平安威胁，以及控制和管理各种非工作相关的网络浏览根据整合应用识别所带来的应用程序识别与控管能力，以及内容识别所提供的传输内容检测与防御能力，IT部门将可完全掌握所有的网络使用行为及传输的内容一体化应用访问控制策略能力

3.

2.

4.4当前的网络环境，IP不等于用户，端口不等于应用而传统防火墙的基于IP/端口的控制策略就会失效，用户可以轻易绕过这些策略，不受控制的访问互联网资源及数据中心内容NGSA不仅具备了精确的用户和应用的识别能力，还可以针对每个数据包找出相对应的用户角色和应用的访问权限通过将用户信息、应用识别有机结合，提供角色为应用和用户的可视化界面，真正实现了由传统的“以设备为中心〃到“以用户为中心〃的应用管控模式转变帮助IT部门实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制，制定出2-7层一体化基于用户应用的访问控制策略，而不是仅仅看到IP地址和端口信息在这样的信息帮助下，IT部门可以真正把握平安态势，实现有效防御，恢复了对网络资源的有效管控单数据流并行处理体系结构

3.

2.

4.5NGSA采用了单数据流并行处理的体系结构，使用单数据流处理软件系统与并行处理硬件架构的完美整合,可以满足IT部门对超高处理性能与低网络传输延迟的需求，让平安防护设备从此不再成为网络传输的瓶颈位可视化能力

3.

2.

4.6任子行NGSA下一代防火墙在设计上秉承平安“可视化〃的理念，打造了一整套多维度、全方位的实时在线网络平安监测系统，从“应用可视化〃、“流量可视化〃、“威胁可视化〃、“内容可视化〃、“用户可视化〃五个角度实现了对网络平安状况的综合展示，包括对历史数据的精确复原以及对各种数据的智能统计分析通过对海量数据进行关联分析和数据挖掘，以形象的图表和数据展现了网络应用、平安威胁、流量分布、内容平安、人员网络使用情况等多方面的信息，帮助用户在使用过程中不断了解自己的网络平安状况，并在此基础上进行更好的策略和配置的优化，使管理者清晰的认知网络运行状态，从而实现对内部任一主机乃至全网络的网络应用情况及平安事件信息进行准确的定位与实时跟踪，实现更为有效的网络平安管理回答“网络带宽被谁占用”的掌握网络中病毒、攻击的掌握网络中传输数据的内问题，引导合理规划带宽，终来源、目标以及事件发展容，针对敏感数据进行过结网络带宽无限扩容的局面趋势，指导防御工作滤，保障数据安全内容可殖了解网络中应用情况，有针对性的进行策略配置，规范应用行为以人为核心展示应用、威胁、内容等信息，提修全管理工作依据%可视化的安全展示体系丰富的管理报表呈现能力

3.

2.

4.7报告查看器可以使用实时筛选和一般表达式，统计在网络上的所有数据流量以及平安事件报告查看器可以制作完全自己定制的报告，并能根据设定的时间表，自动发送相关报表给IT人员，提供网络上应用程序、使用者和平安威胁的详细信息定制报告建立定制报告，从任何记录数据库取出数据或修改一份预先定义的报告导出报告将任何预先定义或自定义的报告导出到XLS或PDFo任何PDF报告可以依照设定的时间用电子邮件传送记录查看器只要按一下表格单元的值和（或）使用表达式建立器定义筛选条件，就能通过动态过滤能力查看应用程序、威胁和使用者活动nS^SS.2S

5.2SS」192632sWsMtoOf^7£j2L155J2Su»40oiu显”1€815W152101QJOO1491121111122u1131^2IMiaau282U25j2X22gu1221ffiLULlMM7413153MIIFrom:JOO0♦-

0300.00*002200^09II23ss30SMMJAMJsrsMO

37.bn•・d导出记录将任何符合目前筛选的记录导出PDF或XLS,以供离线保存或其它分析电信级转发平台

3.

2.

4.8任子行NGSA下一代防火墙采用多核并行处理技术，实现在核内、核间任务的合理分工与调度来自网络层的数据包进

192.

148.1S.2SS入多核并行控制器后，多・核并行控制器将数据包均衡的分配到各个不同的，以便完成后续多颗的并行事务处理

10.11CPU CPU同时任子行NGSA下一代防火墙通过单次解析引擎系统架构，也放弃了UTM多引擎，屡次解析的架构，将漏

74.12S.U

3.t3•力他+MOsnssoss6•rsooinuousooT•3W洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配，大大提升了引擎处理效率及系统性能，实现了万兆级的应用平安防护能力，完全满足电信级网络环境要求•r寸网络层吞吐量（Mbps）应用层新建连接速率45,

000.0040,

000.0050000035,

000.0040000030,

000.0030000025,

000.00□新建连接速率x20,

000.0020000015,

000.00100000IPv610,

000.0005,

000.

000.009in00z回92198H2I98ZI9Adi大层级冗余的可靠性保障

3.

2.

4.9任子行NGSA下一代防火墙支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份由物理级冗余、系统级冗余、方案级冗余共同构成的多层级的冗余化架构体系，为用户提供电信级的高可靠性，确保用户的网络环境永续不断介幺

3.

2.

4.10功能功能说明效益应用识别技术.支持超过20大类1000种以上各类（商大幅降低IT人员面对各类新效劳、应务、网际/内部网络）常见应用用进行了解、分析与自行定义等工作所.每周定期发布5-10种新支持及消耗之大量时间，也提升了平安策略的精确度并减少日后维护负担（应用识20-50种版本更新的应用程序别、行为分析数据库具备自动更新能力）整合用户数据库.与常见用户数据库进行整合MS-AD,LDAP,RADIUS管理者直接以人类思维在平安策略上针对特定用户账号/用户组进行配置管理，也提升了平安网关的可视能力入侵防御、恶意程内置3000多种特征，提供各种协议的常各项检查机制均可在单一平安策略上序与病毒检测见攻击，以及后门程序、间谍软件等特征，进行设定与控制管理特征库增量更新，保证最新攻击特征的识搭配单数据流并行处理技术与高效多别与阻断核心硬件架构大幅提升处理性能关键信息过滤针对HTTP、HTTPS、FTP、POP

3、SMTP、IMAP降低资产外泄风险等主流协议提供主动的数据内容关键字过滤恶意网址过滤过滤恶意网址、钓鱼网站，阻断病毒、木降低客户端接触恶意网站所造成一系马等恶意程序的来源列的平安风险事件类别分析系统预设支持数据流、威胁事件、恶意网降低事件分类时间本钱，结合进一步查址过滤与关键信息过滤等事件类别询功能有利于快速查清核心问题流量地图图形化统计接口显示数据流方向地理位置清楚呈现内部网络对外存取数据目的地国家，从而调整平安策略报表系统提供多种流量及平安管理报表节省额外购置报表系统及维护人力本钱网页过滤全面覆盖国内外各类网站，协助用户有效净化内部上网环境过滤各种不良网站带宽、流量管理基于应用和用户的带宽、流量管理，提供真正做到网络带宽的精确控制和合理更为精细的控制粒度分配基础防火墙支持基于源地址、目的地址、源端口、目传统防火墙功能的端口、协议类型、用户ID、内容ID、应用程序ID的访问控制防御DD0S,端口扫描、畸形报文等多种攻击手段WEB防护支持效劳器隐藏，HTTP响应报文头和保护WEB效劳器免受攻击HTTP出错页面过滤VPN功能提供多种VPN,灵活部署提供IPSECVPN、SSLVPN、L2TP、PPTP等多种组网和接入支持工作模式同时支持透明、路由、地址转换等工作模突破传统平安设备布署的限制，进而大式幅提升设备整体效益及防御范围的广度与深度性能参数

3.

2.

4.11,上网行为管理

3.3产品介绍

3.

3.

1.任天行网络平安管理系统是任子行网络技术股份有限公司为各行业机构高效解决网络信息平安管理难题而研发的核心产品之一，提供了信息平安管理的全面解决方案产品通过各种业界领先的技术手段实现上网行为管理和合规细粒度审计，在加强上网机构内外部网络信息控制监管的同时，为防止相关信息外泄及事后的追溯取证提供了有效的技术支撑产品能够详实记录网络内的各种网络活动；灵活地对网络用户的行为进行多种方式的分组策略控制与审计，实现基于用户的细化和量化的审计与管理，过滤各类不良访问行为；对日志进行深度挖掘，形成丰富多样化的统计报表；安装便捷快速；界面美观易用；主动有效的保护了用户关注的信息，使管理者能更有针对性地加强网络管理，为其标准网络管理、制定正确的管理决策提供有效依据，使用户能够平安、高效、合规地利用网络，最终带来生产力的提升该产品是基于硬件的高性能、高稳定性的上网行为管理和内容平安审计设备，一般安装于各种局域网络边缘出口线路上，可以根据实际情况选择以旁路监听或者透明网桥的方式工作，可以根据实际环境的规模选择单机、分布式及其他多种部署方式产品在设计上采用了先进的模块化、层次化体系结构，集成了高性能数据捕获驱动、快速的并行协议分析引擎、实时内容分析引擎、基于状态的并行内容匹配技术、海量数据全文检索和数据挖掘等业界领先的自主核心技术，运行稳定、可靠，性能卓越该产品可广泛应用于政府、军工、教育、医疗、能源、制造、金融、运营商等各种行业单位，是目前国内上网行为管理及内容平安审计产品的首选产品经过国内权威专家检测，多项指标处于国际先进水平产品先后获得了公安部公共网络平安监察局签发的计算机信息系统平安专用产品销售许可证、中国人民解放军信息平安测评认证中心签发的军用信息平安产品认证证书、国家保密局涉密信息系统平安保密测评中心签发的涉密信息系统产品检测证书、中国信息平安认证中心签发的中国国家信息平安产品认证证书（3C认证）等多个国内权威检测机构颁发的认证证书关键技术

3.

3.

2.任天行是高性能的网络信息平安审计、控制与管理系统，在国内外处于领先水平为了到达稳定、高效的网络审计管理，系统采用先进的层次化、模块化结构，在各个模块中分别采用了多种业界领先的关键技术系统模块框架如下图查询、配置、显示、浏览流频戏量分B F策存日日和统网网类页上网B T站略储志志状计分音络S P点控管分检态报制理析索管表析视游库理远程连接捕包引擎过滤引擎内容匹配引擎升级引擎专用的网络设备驱动基于Linux内核的专用操作系统定制操作系统

3.321Linux操作系统是一个平安的，高效的操作系统任天行中的操作系统经过内核裁减，只保存了少数相关的效劳与功能，系统内核到达最小化，使操作系统的额外开销与不稳定因素减至最小化另外，采用特有的文件系统，使系统能抵御突然掉电等物理灾害造成的对系统的损害专用网络设备驱动

3.

3.

2.2网卡的性能对于网络平安审计系统非常重要，因为它直接关系到数据采集（捕包）的速度任天行通过硬件，软件两种方法来提高网卡的性能

一、任天行采用基于INTEL架构的网卡，速度快且稳定

二、开发专用的驱动程序，减少数据在网卡驱动不同模块间的传递环节，使数据通过DMA的方式直接传递给应用程序空间，减少CPU的参与，与及数据拷贝的次数，提高处理速度捕包引擎

3.

3.

2.3对于基于旁路监听的网络平安设备来说，系统捕包的效率对整个系统的性能至关重要如果系统产生丢包现象，则相应的网络访问将不会被审计监测，网络管理就会不全面当网络带宽向着千兆、万兆线速迈进时，完整地捕获并记录网络中流过的数据对系统是一个很大的考验传统上，Linux,FreeBSD等操作系统自带的TCPDUMP,ETHERREAL等捕包工具都是建立在Libpcap平台上由于Libpcap是通过原始套接字得到指定网卡接收到的全部数据包，所以Libpcap的性能受到传统驱动程序的限制，例如在核心态进行屡次内存操作，比方数据包校验，控制顺序等这些操作会占用大量的CPU运算资源，内存资源，并且导致时延而效率不高新的捕包引擎就是通过减少这一系列的中间环节而实现的一种高性能报文捕获平台通过实现网络接口设备直接将数据报文以DMA方式存储到应用程序可以访问的地址空间，防止数据报文在内核态里传输时的内存操作，缩短数据报文行走路径；通过环策略管理数据报文缓冲区，实现网卡和应用程序无冲突访问共享资源这两点有效地降低网络通信的延迟，极大地节省CPU开销通过性能分析比较标明，接收64Byte和1500Byte的报文时吞吐量分别到达90万pps439Mbps和

8.2万ppsPOP3938Mbps,与传统的报文传输机制相比，报文捕获能力有较为显著的提高为了进一步比较Libpcap和零拷贝的性能，搭建测试环境如下用Smartbits控制发包速率和数据包长，捕包机硬件配置CPU P

42.0GHz*2；内存4G；高速缓存512KB/CPU；网卡Intel RPro/1000o测试结果如下表IP包长传统捕包引擎最大速率新捕包引擎最大速率Byte*104pps Mbps*104pps Mbps64834395126259111500172938由上述分析可以看出，新捕包引擎无论对小报文还是大报文，其处理能力都得到极大的提高过滤引擎

3.

3.

2.4基于旁路监听的设备由于并非串接在网络中，所以在封堵许多网络应用时，不能如网关型串接设备一样，简单地判断巾包的应用类型后把包丢弃即可，而是通过过滤引擎发送伪造数据包以打断过滤真实的通讯在网络通信过程中，通讯双方都有各种的较验机制，对于任何不符合较验的伪造数据包，都会丢弃而不做处理，这要求发送的伪造数据包足够真实，到达乱真的效果，同时速度很快，远在真实的响应数据包返回前，即已欺骗成功，从而打断了原有的网络通讯任天行准确分析各种应用协议，解包，组包都在几毫秒以内，能有效地封堵现流行的各种TCP网络应用内容匹配引擎

3.

3.

2.5内容匹配技术在信息外泄的控制，网络行为分析等方面有重要的作用对于一个大型组织的网络来说,每时每刻外发的信息都浩如烟海，要依靠人工去从这些如山的数据中发现和匹配是否有敏感信息被外泄了无疑是不现实的，因此系统提供的内容匹配功能就必不可少了而根据每次扫描最多可以发现的关键字的数目，内容匹配算法可以分成单模匹配和多模匹配两种二者之间的区别在于前者每次扫描后最多可以发现一个关键字，后者则可以发现所有出现的关键字现今主要有三种单模匹配算法KMP、BM、KRo这三种算法的复杂度可以到达ONM,N是数据长度，M是关键字数量单模匹配算法虽然可以线性地发现数据出现的关键字，但因为其单模的特点，不满足内容审计系统的需要内容审计系统允许用户配置多个关键字，需要在数据中找到所有出现的关键字的位置，这也是多模匹配算法的长处因此我们采用了基于状态机的多模匹配算法，只需对数据扫描一遍，就可发现所有出现的关键字过滤时间与数据长度成正比，和设定的关键字数目无关，算法分析复杂度是0M+N,N是数据长度，M是关键字数量可见此算法对数据长度与及并键字数量具有线性复杂度，比起传统的单模匹配算法大大提高了效率并行协议栈

3.

3.

2.6对于网络信息平安审计产品来说，数据捕获、协议栈，协议分析等过程中的效率对系统的最后性能起着决定性的因素传统协议栈接收一个UDP数据包的流程是以太网设备驱动程序首先响应中断，假定该中断表示一个正常的接收已完成，数据从设备读到一个缓冲链表中这个链表除了记录数据内容、还保存一个指针指向接收数据的接口结构然后把链表传给一个通用以太网输入例程，它通过以太网帧中的类型字段来确定哪个协议层来接收此分组在这个例子中，类型字段标识一个IP数据报，从而该链表被参加到IP输入队列中接着产生一个软中断来执行IP输入例程接着IP输入例程响应软中断，它验证IP首部检验和，处理IP选项，验证数据报被传递到正确的主机（通过比较数据报的目标IP地址与主机IP地址），并当系统被配置为一个路由器，且数据报被表注为其他的IP地址时，转发此数据报如果IP数据报到达它的最终目标，调用IP首部中标识的协议的输入例程ICMP,IGMP,TCP或UDP在这个例子中，调用UDP输入例程去处理UDP数据报最后UDP输入例程验证UDP首部的各字段（长度和可选的校验和），然后确定是否一个进程应该接收此数据包很明显，传统协议栈采用类似函数链的串行处理方式，依次处理IP输入例程和UDP输入例程，这种软件结构不能充分利用现有SMP架构的性能，经常出现一个CPU的占用率到达100%,其他CPU还无事可作的情况因此我们用并行协议栈取代传统协议栈，充分发挥SMP架构的性能，给多路CPU、多内核CPU、超线程CPU足够的施展空间为了解决并行处理中不可防止的负载均衡的问题，选取硬件分流器中流行的IP+P0RT分流策略，保证在大流量的情况下处理线程之间工作量均等，有效防止过载线程的出现配合大流量数据捕获模块，取消传统协议栈软中断的开销，可以进一步地提高系统的性能协议分析

3.

3.

2.7TCP/IP协议族通常被认为是一个四层协议系统一链路层、网络层、传输层、应用层链路层通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡；网络层处理分组在网络中的活动，IP、ICMP和IGMP都属于这个层次；传输层主要为两台主机上的应用程序提供端到端的通信，TCP和UDP都属于这个层次；应用层负责处理特定的应用程序细节，比方说Foxmail中的一封Email,IE中的一个网页，QQ中的一句留言等任天行捕包引擎工作在链路层，负责高效完整地捕获原始数据帧；并行协议栈工作在网络层和传输层，负责将杂乱无序的原始数据帧组成符合网络层和传输层协议的数据报文，完成IP分片重组和TCP乱序重排等工作；协议分析模块工作在应用层，分析数据报文承载的应用类型，定位对用户有用的信息、，如果信息被压缩或编码，还需要完成解压缩或解码的工作任天行的协议分析模块支持的应用包括网页、在线音视频、网络游戏、BT、FTP、SMTP、POP

3、MSN、QQ、YAHOO Messenger.Telnet等这些应用的分析工作有的是基于RFC文档，有的是基于黑盒破解，需要网络、算法、密码学、逆向工程等多方面的综合知识网页访问控制

3.

3.

2.8在网络上，各种网站的内容浩如烟海，URL的数量每天都以数百万个的速度在增长，这些网站的内容良莠不齐如何能够尽最大限度地控制有害信息通过网站传播，是各级网络管理部门乃至社会根本单元一一每个家庭一直都想解决但没有解决好的难题纵观当今市场上的歌各种上网行为管理产品，有的根据人工预设URL列表、有的根据预设内容关键字、有的根据URL预分类进行网页URL的访问控制，但是这些方法都不能够全面、精确地解决网页内容访问控制的难题我们实事求是地认为，在目前资源有限、技术手段有限而URL站点却呈现爆炸性增长的强烈比照态势下，只有通过各种技术手段的有机、合理和高效结合,才有可能对网页内容访问控制实现尽可能合理的效果任何单一控制方法的夸大宣传实际上并不能解决用户的实际困难任天行拥有分类齐全，数量庞大的分类站点库站点库中包含有不良、娱乐休闲、行业网站、专业知识网站等共数十种分类站点，涉及URL总数超过数百万条我们专业的分类站点收集团队每天收集互联网上出现的新站点，对这些站点进行分类，并提供客户提供实时更新，方便客户更有效地管理网络的使用同时，任天行还支持用户自定义URL分类库，通过自己对网站内容的审查、分级和分类定义，实现对自己关注的网站进行针对性的个性化控制另外，任天行还利用先进、高效的内容匹配引擎实现了根据内容关键字进行网页内容过滤的功能通过基于状态机的多模匹配算法，系统在运行过程中对关键字匹配并实施封堵的响应时间仅为8毫秒以内可以说，这样的响应速度完全不会对用户的网络传输速度造成影响任天行产品通过上述各种技术手段的合理分配和利用，在网页内容访问控制上能够到达令人满意的效果海量数据全文检索

3.

3.

2.9当系统用于管理千兆带宽网络时，每天将会产生数千兆的日志数据这些数据大致可分为两类结构化数据和非结构化数据，结构化数据主要包括行为日志和报警日志等，而非结构化数据则主要包括内容审计数据据统计，非结构化数据占有整个数据量的90%以上对于结构化数据，用RDBMS（关系数据库管理系统）技术来管理是目前最好的一种方式但是由于RDBMS自身底层结构的缘故使得它管理大量非结构化数据显得有些先天缺乏，特别是查询这些海量非结构化数据的速度较慢而通过全文检索技术就能高效地管理这些非结构化数据任天行通过对数据存储，数据检索与及业务挖掘进行全面优化，使用了先进的全文检索引擎，实现了高带宽下审计数据检索在保持高度鲁棒性的同时具备高效率产品的全文检索引擎具备以下技术优势•支持高速建立索引（最高可达10MB/秒）•高性能检索（在2-4GB的文本上检索，可到达平均

0.1秒内获得结果）•高扩展性（可对数百GB的文本建立索引，单一索引可包含上亿条记录）•支持分布式检索•支持基于短语和基于统计的复合结果排序机制•支持任意数量的文件字段（数值属性或全文检索属性）•支持不同的检索模式（“完全匹配〃，短语匹配〃和“任一匹配〃）识另

3.

3.

2.10HTTP POSTij对于HTTP POST应用，最常见的就是在网页上提交表单，在这次基础之上衍生出了许多应用，例如网页论坛、WEBMAIL、网页聊天等，如何准确的识别POST应用属于那种类型并记录其关键内容，已成为网络行为与内容审计产品的重点课题传统的方法采用的是对逐个网站的表单进行特征分析的方法，久而久之就形成一个逐渐累积的清单，对网站的支持也是随着逐个分析的工作量累计而逐渐增多这种方法的最大局限性在于无法及时响应网站的改版，往往会因为网站改版之后表单特征的改变而导致以前分析有效的网站变得不再有效，而技术人员要根据新改版的网站重新分析并在实际运行的系统上升级，耗时费力任天行采用了先进的特征匹配技术，通过这种特征匹配技术，使系统对POST应用的分析的广度得到了革命性的提高，彻底防止了传统逐个分析网站方法的弊端，并且在分析精度上到达了95%以上在需要进行特征扩展时，无需再次开发，具备持续、快速高效的扩展能力，能够防止传统逐个网站分析方法带来的扩展效率低下问题分类站点库

3.

3.

2.11通过分类站点库对网站进行分类控制，任天行的分类站点库在全面性、准确度、实效性、更新频率等方面，均处于业界领先地位任天行根据中国的法律法规以及人们的上网习惯等，将URL分为16个主类，51个子类，目前已经超过1000万条，且每次实时更新超过200万条记录，是全球规模最大、内容最全、分类最为合理的中文分类站点库之一真正的位系统

3.

3.

2.1264从32位到64位架构的改变是一个根本的改变，因为大多数操作系统必须进行全面性修改，以取得新架构的优点其它软件也必须进行移植，以使用新的性能；较旧的软件一般可借由硬件兼容模式（新的处理器支持较旧的32位版本指令集）或软件模拟进行支持或者直接在64位处理器里面实作32位处理器内核（如同Intel的Itanium处理器，其内含有x86处理器内核，用来执行32位x86应用程序）支持64位架构的操作系统，一般同时支持32位和64位的应用程序任天行产品高端型号不仅在操作系统层面转向了64位，同时在驱动层、协议层、业务层、界面层等所有层面的程序全部进行了针对64位系统的改造和优化，不同于那种仅仅使用64位操作系统但应用程序仍使用32位兼容运行的“伪64位模式〃，这种真正的64位运行，使产品的运行性能得到了整体的大幅提升的支持

3.

3.

2.13IPV6IPv6是Internet ProtocolVersion6的缩写，其中Internet Protocol译为“互联网协议”IPv6是IETF（互联网工程任务组，Internet EngineeringTask Force）设计的用于替代现行版本IP协议（IPv4）的下一代IP协议目前IP协议的版本号是4（简称为IPv4）,它的下一个版本就是IPv6o从计算机技术的开展、因特网的规律和网络的传输速率来看，IPV4都已经不适用了其中最主要的问题就是IPV4的32比特的IP地址空间已经无法满足迅速膨胀的因特网规模，IPv4地址已经于2011年春季彻底耗尽据了解,目前中国电信已经提出了向IPv6过渡的方案，方案共分三步走试商用阶段启动网络和平台支持IPv6的改造，确定网络及业务过渡方案、现网商业化试点，根本具备引入IPv6业务的网络条件；规模商用阶段IPv4/IPv6网络和业务共存，网络和平台规模改造，业务逐步迁移，新型应用和用户规模持续扩大；全面商用阶段新型应用占据主导，IPv4网络和业务平台逐步退出目前国内首先开展IPV6应用的是教育网和少数事业机构，目前仍处于试验性应用阶段随着IPV4资源的耗尽，IPV6的应用进程必将加快，在这个领域面临的上网审计与管理真空也正在逐渐显现任天行产品在国内率先实现了对IPV6的支持，并同时能够兼容IPV4,为目前已经应用IPV6的单位和即将应用IPV6的单位提供了及时的应对方案基于的专用网卡

3.

3.

2.14FPGA任天行产品在高端型号全部可使用基于FPGA硬件加速的专用网卡专用网卡实现的主要功能是两方面

（1）高效捕包；

（2）应用卸载采用专用网卡提升每台效劳器的处理能力，可以减少效劳器和网络设备，降低功耗，机房空间，散热，维护等本钱一般网卡从网络上捕获报文后，会通过中断告知主机CPU,CPU会把报文拷贝到操作系统的协议栈，协议栈经过层层分析，最后把报文提交给应用程序，这个过程会消耗大量的cpu资源，在小包情况下，一般千兆网卡很难实现线速捕包基于FPGA的专用网卡仍然采用零拷贝技术，网卡收到的报文不再经过操作系统协议栈的层层拷贝，而是直接DMA到应用的缓冲区中，防止了数据拷贝的开销一般网卡中只有一个报文缓冲区队列，多应用从网卡的缓冲区队列中取包时，必须有同步操作，这会降低系统性能专用网卡可以针对每个应用实现独立的缓冲区队列，从而防止同步，从而打通了普通网卡的带宽瓶颈，而且针对smp上不同cpu访问不同内存条的性能差异，把应用的报文缓冲区和应用运行的cpu相绑定，从而提升了应用访问内存的效率下列图是其原理说明多线程队列打通网卡带宽瓶颈专用网卡采用FPGA芯片，可以固化某些应用模块，通过软件硬化来降低主机负载，提高整个系统的性能，比方我们已经实现了五元组过滤，时间戳，硬件组包发包等应用模块的硬化，下列图是专用网卡和普通网卡的功能比照，在目前研发的10G网卡中，我们还会把checksum校验、ip分片重组、tcp流复原等功能在网卡硬件中实现高负荷的应用减负荷的应用应用层内容过滤应用层内容过油与协议分析与协议分析连接池过漉连接池过滤]五元组过浦出白名单，山加端口检测阻断五元组过谑至白名单，ip加端口检沏阻时报头分析报头分析[线程1）（线程2][线程n]普通网卡捕包专用网卡捕包分析过滤普通网卡和专用网卡的区别产品特点

3.

3.

3.识别上网应用

3.

3.

3.2■行为识别面对互联网高速开展而产生的各种不断更新的版本、全新的乃至加密的应用，任天行产品研发团队一直专注跟踪随时出现的各种网络流行应用，并不断在升级过程中实现协议和应用分析的更新产品在庞大的URL分类数据库和应用识别能力基础之上提供了全面的行为和内容平安审计功能■内容识别在对关键字的内容审计功能上，任天行系列产品采用基于状态机的多模匹配算法，极大地提高了匹配效率和关键字识别的准确性，为可靠的内容关键字审计功能提供了业界领先的技术保障其中基于多编码的智能关键字匹配技术，更是独家率先解决了对国内局部地区特有语种（如维文、藏文等）的关键字匹配和内容审计问题■对象识别•将上网人员与上网机器形成明确的对应关系，认清用户是谁，使用何种具体应用，采用独创的信息实名技术手段，对其实施准确、清晰的管理•任天行系列产品支持包括IP+MAC地址绑定认证、本地Web认证、AD域认证、LDAP认证、USB KEY身份认证、刷卡认证、三层交换环境MAC探测和白名单免监控管理等多种对象识别技术，可以实现对组织机构内部数量庞大的用户身份精准识别创新技术手段

3.

3.

3.2■先进的系统体系结构系统设计上采用了先进的模块化、层次化体系结构，基于面向对象的思想和插件化的并行协议栈，具有高度灵活扩展性，充分表达了资源的共享，提高了运行效率和稳定性■高效的捕包引擎技术使用Intel高性能网卡、独创零拷贝技术驱动、DMA直接内存存取技术，使得系统在高负载下捕包分析的不稳定性与不平安性减至最小，而性能和可靠性却得到了极大提升，处理效率比传统捕包引擎提高1倍以上■高性能海量数据检索独有的高性能海量数据检索引擎，在浩如烟海的审计数据查询与分析中表现出卓越的性能■核心技术领航平安任天行多项技术突破了内容信息平安领域的难点和重点，填补了国内空白，具有独立的知识产权作为国内信息平安领域的先行者，产品通过公安部检测中心、中国人民解放军信息平安认证测评中心及国家保密局评测中心的检测与认证,是国内网安市场的优秀推荐品牌有效管理网络

3.

3.

3.3■全面的上网行为管理•针对网络应用管理混乱所造成的不良影响，任天行产品提供了一系列贴近用户的4W1H五维智能化网络行为控管功能•产品支持包括对网页/各种在线娱乐软件/P2P下载工具/在线视音频/流媒体/炒股软件/各种文件传输工具/IM即时聊天软件/Telnet等多种方式的信息收发内容记录、关键字过滤、文件传档管控、报警■深度细粒审计管理•产品能够全面详实地记录网络内流经监听出口的各种网络行为，支持关于上网行为、内容、时间、用户等多种条件组合的信息审计谋略和日志分析，全面监测各种网络行为，进行深度细粒审计•内容审计既能进行无条件记录，又能通过策略指定访问者（IP地址/帐号/分组）、时间范围、内容关键字等有针对条件的记录管理用户需要的访问内容•不管是行为审计还是内容审计，都具备高度的灵活性、专业性和准确性，能够为管理机构进行事后追查、取证分析提供有力技术支撑■本地网络管理/异域分布统一管理任天行系统除了能够有效的管理本地网络外，也可以选择与任天行网络平安管理中心配合使用，实现异域分布统一管理，分散控制各地网络，到达DCS式的管控效果；总部可以统一配发策略，实现网络行为的多点集中控管和数据横向比照分析，从而形成集团全面网络状况报表通过设定特殊网络策略，可自动获取相关日志或远程主动调取更详细日志，让管理者一目了然，省力省心■别具匠心的管理者界面任天行系统为企业管理层专门定制了一个管理者界面，该界面展现了员工使用的网络的整体情况，管理者可以从这个界面了解到员工的工作效率、心情动态、言论焦点；企业的信息泄露风险、法律风险等能为企业开展决策提供参考的信息多层面自身平安防护

3.

3.

3.4■系统级平安防护在对操作系统内核进行充分剖析的基础上，在操作系统级对系统各支撑引擎进行了修改和全面优化定制，全面防止攻击与劫持，提升系统整体性能的同时保障自身系统级平安■操作级平安防护多权别离，针对各种不同性质的功能模块可灵活配置权限级别，并提供更强平安性的USBKEY自定义敏感权限控制，最大保障自身操作级平安■数据级平安防护采用自主的高效算法对关键审计数据的存储和传输进行加密防护，数据存储防篡改，数据传输防破解，多种加密防护措施保障自身数据级平安■网络级平安防护旁路部署保障对网络性能完全没有影响，保证网络无单点故障，优先保障用户网络级平安，是上网机构在内网和互联网平安监管和保密资格测评过程中最可信赖的平安工具多种灵活部署方案

3.

3.

3.5■丰富的线路部署方式根本的旁路部署，全面支持电口镜像与分路、光口的镜像与分光、电口桥接等多种线路部署方式，在复杂网络环境下的部署游刃有余，运用自如■领先的多路并行捕包业界领先的多路并行捕包技术，单台设备最多支持高达4路数据的并行捕获与分析，为在复杂环境下的灵活部署提供先进的技术保障■扩展的多台分布部署对于单台设备无法处理的超大流量环境，支持高扩展性的多台设备分布式部署方案，通过多台设备对超大的流量分而治之，又由统一的管理平台实现对整个网络的透明、统一的管理■可选的附加功能模块通过可拓展的附加功能模块，如桌面管理模块等与根本审计系统的结合部署，可轻松应对诸如终端设备控制、主机平安管理与准入控制等增强型需求，为用户提供灵活而全面的整体信息平安解决方案直观丰富的统计报表

1.

1.

2.6■支持合规细粒度审计系统提供符合公安部82号令、SOX法案、企业内控管理标准等多种合规审计报告，提供强大、多样化、面向用户需求的统计分析报表■全面准确的统计结果报表聚集流量统计与日志统计分析数据，支持统计排名分析，全面呈现全局运行状况；使管理者能够直观便捷的掌握网络使用情况，为其合理分配带宽资源，制定正确的管理决策提供有效依据■多维清晰的分析形式系统能够智能分析各种上网数据，得到能够客观的反映整个企业状态的报表■智能便捷的输出形式系统拥有数十种报表模板，支持报表自定义；报表可以以EXCEL、PDF.WORD.HTML等形式导出保存根据不同管理层人员，可提供不同报表类型，报表能够通过系统后台自动发送或Email自动订阅功能介绍

3.

3.

4.针对用户对网络内容平安管理的需求，任天行网络平安管理系统提供如下主要功能以实现对网络使用的高效管理网络行为审计

3.

3.

4.1任天行系统能够全面详实地记录网络内流经监听出口的各种网络行为，并根据国家有关法规规定保存至少60天，以便进行事后的审计和分析日志以加密的方式存放，只有管理者才能调阅读取网络行为日志全面地记录了包括使用者、分组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址/标识等关键数据项支持在三层交换网络环境下获取用户计算机真实MAC地址功能；支持GRE（通用路由协议封装）和MPLS（Multi-ProtocolLabel Switching,多协议标签交换）两种协议及其应用环境下的网络数据审计复原产品支持的协议和应用数量到达260多种，为国内领先主要包括以下类型的协议和应用■标准协议及其衍生应用基于HTTP协议的网页浏览（GET）、网页提交（POST）,其中POST应用可细分为WEBMAIL、WEBBBS、WEBCHAT（聊天）、WEB登录等上网行为，对基于HTTPS加密协议的网页浏览行为也将记录其关键数据；基于TELNET协议的远程登录；基于FTP协议的文件传输；基于SMTP/POP3的电子邮件收发、基于Samba协议的文件共享传输、基于HTTP的搜索引擎访问等任天行系统将全面记录基于这些协议的行为日志和必要的帐号、文件名等关键信息■即时通讯（IM）/网络电话应用包括QQ、MSN、ICQ、雅虎通、新浪UC、网易泡泡、Google Talk,飞信、阿里旺旺、搜Q、E话通等10多种国内外流行的IM或网络电话应用软件，任天行系统将全面记录这些IM/网络电话应用的行为日志和必要的帐号信息■流媒体/网络视频直播标准的MMS、RTSP流媒体播放协议和主流视频网站和视频直播软件所使用的视频直播应用协议（QQLIVE.PPLIVE.PPStream,优酷、酷

六、六间房、新浪视频、搜狐视频、网易视频、央视高清等）■P2P下载应用包括BT、eMule等国内外流行的P2P下载应用协议■娱乐/游戏应用包括国内外流行的数种娱乐游戏平台和大型网络游戏，例如联众、浩方、边锋、QQ游戏、中国游戏中心、游戏茶苑、远航、CS、魔兽世界、武林外传、征服、跑跑卡丁车、劲舞团、大话西游、冒险岛等数十种网络游戏，任天行系统将全面记录这些娱乐/游戏应用的行为日志和必要的帐号信息■财经证券类能够对国内流行的证券软件所使用的协议记录行为日志，主要包括以大智慧、钱龙、核新同花顺、通达信、大福星、龙卷风等研发厂商为核心的国内各大证券商数十种OEM版本，如安信证券、广发证券、国联证券、银河证券、招商证券、方正泰阳证券、湘财证券、国信证券等■网上银行/网上支付能够识别通过客户端、网页登陆的网上银行、网上支付应用，支持的银行有工商银行、招商银行、建设银行、农业银行、光大银行、交通银行、中国银行、民生银行、中信银行、上海浦东开展银行、华夏银行、深圳开展银行、广东开展银行、邮政储蓄银行、兴业银行、平安银行、渤海银行、杭州银行、重庆银行、浙商银行、成都银行、大连银行、齐鲁银行、东莞银行、东莞农村商业银行、广州银行、汉口银行、台州银行、河北银行、长沙银行、重庆农村商业银行、天津银行、上海农村商业银行、青岛银行、深圳农村商业银行、上海银行、包商银行、北京农村商业银行、北京银行、哈尔滨银行、徽商银行、江苏银行、宁波银行、南京银行、吉林银行；支持的网上支持有支付宝、快钱、易宝支付、财付通、贝宝、我爱卡■远程控制协议支持识别主流远程控制协议，包括SSH、远程桌面、PCAnywhere、QQ远程控制（

2010、2011）■代理工具能够识别各种代理工具,如socks4/

5、HTTP-Tunnel、HTTP-Proxy、ISA（包括ISA

2000、ISA

2004、ISA

2006、ISA2010）等■数据库访问支持对MS-SQLSERVER.ORACLE等主流关系型数据库的远程访问和操作信息审计记录系统还提供了一系列的日志管理功能，包括存储管理、备份、恢复等，使用上具备高度的灵活性和专业性

5.信息交换的需要电子政务内网，必须满足各局的业务信息化需求当前要重点考虑政务外网网与政务内网之间的数据交换

6.平安性需要电子政务内网涉及到机密数据，与政务外网交换数据时，平安隔离交换平台的平安性尤其重要

7.标准标准的需要电子政务内网平安隔离交换平台建设要严格执行国家电子政务建设的有关标准应用需求13目前的网络的隔离造成业务系统共享困难，而政府间的分工与合作使得每个部门的业务系统彼此之间有着紧密的联系因而必须构建平安隔离交换平台，实现对于业务资源的整合和资源的共享工程概述

2.本工程为移动专线接入邵阳市电子政务网的边界接入平台，包括

1、网闸用于电子政务核心网和外网的信息隔离和平安交换

2、防火墙用于电子政务核心网和外网的隔离，防止外部对电子政务核心网的威胁和攻击

4、上网行为管理系统实现对带宽与流量的控制，同时对网络行为进行审核工程内容

3.网闸

3.L专网业务涉密网与办公业务非涉密网间，根据业务及应用特点，以需求为导向，以应用为核心,以方便群众为最终目的，利用先进理念和技术，以提高我机关工作效率，充分利用现有资源和技术力量，实现系统的计算机网络化处理和应用，根据实际存在数据双向交换的需求和国家相关主管部门的要求，在充分做到平安保证的前提下，允许非涉密数据在两个网络间交换本方案设计严格遵循公安部部《金盾工程总体方案设计》中要求专网与外界物理隔离的设计原则，同时为确保准确性和及时性，我们采用伟思ViGap300网闸作为我公司专线与邵阳市政府电子政务网平安物理隔离解决方案平安隔离与信息交换系统（网闸）的工作基于人工信息交换的操作模式，即由内外网主机模块分别负责接收来自所连接网络的访问请求，两模块间没有直接的物理连接，形成一个物理隔断，从而保证可信网和非可信网之间没有数据包的交换，没有网络连接的建立在此前提下，通过专有硬件实现网络间信息的实时交换这种交换并不是数据包的转发，而是应用层数据的静态读写操作,因此可信网的用户可以通过平安隔离与信息交换系统（网闸）放心的访问非可信网的资源，而不必担忧可信网的平安受到影响信息通过网闸传递需经过多个平安模块的检查，以验证被交换信息的合法性当访问请求到达内外网主机模块时，首先由网闸实现TCP连接的终结，确保TCP/IP协议不会直接或通过代理方式穿透网闸；然后，内外网主机模块会依据平安策略对访问请求进行预处理，判断是否符合访问控制策略，并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤，检验其有效载荷的合法性和平安性一旦数据包通过了平安检查，内外网主机模块会对数据包进行格式化，将每个合法数据包的传输信息和传输数据分别转换成专有格式数据，存放在缓冲区等待被隔离交换模块处理这种“静态〃的数据形态不可执行，不依赖于任何通用协议，只能被网闸的内部处理机制识别及处理,因此可防止遭受利用各种或未知网络层漏洞的威胁如图5-51所示/X可信网络不可信网络\J图示3-51平安隔离与信息交换系统（网闸）原理示意图平安隔离与信息交换系统（网闸）通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能，将指定区域的数据复制到对端相应的区域，完成数据的交换隔离交换卡内嵌平安芯片,采用高速全双工流水线设计，内部吞吐速率达2Gbps,完全可以满足高速数据交换的需要隔离交换模块固化控制逻辑，与内外网模块间只存在内存缓冲区的读写操作，没有任何网络协议和数据包的转发隔离交换子系统采用互斥机制，在读写一端主机模块的数据前先中止对另一端的操作，确保隔离交换系统不会同时对内外网主机模块的数据进行处理，以保证在任意时刻可信网与非可信网间不存在链路层通路，实现网络的平安隔离当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据，可根据本端的平安策略进行进一步的应用层平安检查经检验合格，则进行逆向转换，将格式化数据转换成符合RFC标准的TCP/IP数据包，将数据包发送到目的计算机，完成数据的平安交换产品概述

3.

1.

2.伟思信安隔离网闸ViGap300是珠海伟思有限公司采用先进GAP技术独立研制生产的新一代网络平安产品它放置在可信网络和不可信网络之间，连接两个网络并控制网络间的信息交换ViGap300通过专用硬件在可信网络与不可信网络间实现物理隔断，可以防止各种基于网络层和操作系统层的攻击，并通过基于硬件设计的反射GAP系统，实现在线高速实时的数据传输其设计原理如下图在图中，有一个人来操作内外网间的数据交换，另外包括两个网络不可信网络和可信网络,这两个网络物理隔断IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII网络信息流如下I1）该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带2）该人将磁盘或磁带拿到一个独立的计算机上进行内容检测检测包括检验文件来源、该文件格式是否和预先定义的文件格式相符等3）如果内容检测为不平安或非法，它们将被丢弃；如果内容是平安和合法的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上信息从可信网络传输到不可信网络将也用相似的流程在ViGap300技术中，没有人可以从不可信的网络访问和操作控制可信网络上的计算机，所有允许到可信网络的数据都在一个平安的环境中经过详细的审查，这是一种从不平安环境到平安环境进行平安信息传输的方法伟思ViGap300的平安隔离结构具有以下平安优点:平安优点描述可信网和不可信网物理隔断，可信网络上的计算机不能访问不可信物理隔断网络两个网络能够有选择的交换数据，好似它们直接相连一样可选择数据交换数据是静态的在父换数据过程中，数据是静态的（被动的），不能被执行独立决策所有决策在一个平安的环境中处理，与不可信网络隔断交换数据可以包含文件和命令支持文件和命令上述所有工作实时进行，实现最大吞吐量和最小延时高性能功能介绍

3.

1.

3.系统可靠性

3.

1.

3.

1.双机热备功能ViGap300系列产品针对大型网络的应用提供了双机热备份功能，实现系统的稳定可靠运行通过内置的双机热备系统，连接在同一个网络内的多台ViGap300设备可以建立双机热备机制，并通过虚拟IP统一对外提供效劳从设备不断发出心跳信息侦测主设备状态，一旦主设备出现故障从设备将立即接管并继续提供效劳结合ViGap300独有的状态检测系统，管理员能够迅速发现设备故障并作出处理系统工作状态检测与报警ViGap300系列采用基于工业控制系统的架构设计，具备良好的稳定性并且建立了设备状态检测系统，在开机状态下持续对系统各硬件板卡及软件模块进行检查，并将系统状态显示在液晶面板上，管理员可针对故障信息迅速了解故障原因并作出响应同时，ViGap300系列软件系统采用了先进的自愈技术，当故障发生时可迅速命令系统重启恢复到正常工作状态系统可用性

3.

1.

3.

2.ViGap300系列为满足高性能的网络处理而设计，因此，必须支持大规模的并发访问和高带宽的数据吞吐除了采用更高端的处理系统、内存以及接口以外，ViGap300系列还设计了最大支持32台设备的负载平衡系统来实现高可用性ViGap300系列的负载平衡系统通过仲裁网络流量方式实现流量在ViGap300集群中的平均分配，从而将处理性能大幅提升平安功能

3.

1.

3.

3.网络隔离功能ViGap300系列具有网络隔离功能，通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开，保护可信网络免遭黑客攻击IDS入侵检测功能ViGap300系列在设备两端内置了IDS入侵检测引擎，该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击该系统将自动分析对受保护内网的访问请求，并与ViGap300隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击SAT（效劳器地址映射）功能ViGap300系列具备完善的SAT功能，可信端效劳器可通过SAT功能将自身的特定效劳虚拟映射到ViGap300系列的不可信端接口上，通过隔离系统的不可信端虚拟端口对外提供效劳，访问者仅能访问虚拟端口而无法直接连接效劳器，从而对外屏蔽效劳器，防止效劳器遭到攻击身份认证功能不同于部门级网络，大型网络对身份认证的要求极高，且需要基于第三方的统一身份认证效劳ViGap300系列除了提供根本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecurelD等多种强身份认证功能平安代理效劳功能ViGap300系列允许可信端用户以应用代理方式访问不可信网络,ViGap300系列作为应用代理网关对内网访问请求进行检测，相对于传统的基于网络层的NAT方式来说，由于代理效劳在应用层对访问请求进行检测具有更细的粒度和检查元素，因此，对访问具有更高的平安控制能力AI平安过滤功能应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的HTTP.SMTP或FTP等资源的访问ViGap300系列产品通过协议分析技术提供给用级的平安过滤以保护数据和应用效劳器免受恶意Java和ActiveX applet的攻击ViGap300系列在AI功能中新增了平安功能,包括:确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶意数据的能力；对应用层操作进行控制，这些新功能对企业级网络环境中应用层的平安控制起到了很重要的强化作用防病毒功能系统内嵌防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤内容及格式检测功能ViGap300系列具备内容过滤及文件格式检查功能，对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有平安过滤功能，能够阻止敏感的信息外泄或恶意程序的入侵VPN通讯平安ViGap300系列对受保护WEB效劳器提供内置的SSL VPN加密通讯机制，建立客户端与虚拟效劳端口间的SSL加密VPN链路，实现通讯平安该加密方式无需修改客户端设置，透明实现客户端与效劳器端的加密通讯WEB站点保护功能目前大量应用基于B/S架构开发，WEB效劳成为了越来越通用的效劳，然而WEB效劳器的大量漏洞也时时威胁着应用系统的平安ViGap300系列全面分析了来自WEB效劳的漏洞，建立了WEB站点保护系统WebAppliactiodM,全面抵御黑客对用户对外WEB、MAIL以及FTP系统效劳系统发动的攻击包括Cookie平安签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Webservice函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能系统管理

3.

1.

3.

4.轻松管理ViGap300系列平安管理架构能够让使用单位将单个隔离与信息交换系统设备部署到任何其它位置上并对其进行集中式管理一旦创立或修改了策略，它就被自动分发到规则指定的所在位置良好的用户界面ViGap300系列提供了一个良好的用户界面，以树型结构组织对象，可在所有规则中共享所有。