1、PAGE21科博安全隔離與信息交換系統(tǒng)（CopGap200）技術(shù)白皮書中鐵信安（北京）信息安全技術(shù)有限公司2011年4月目 錄 TOC o 1-3 h z HYPERLINK l _Toc4 1.產(chǎn)品研制背景 PAGEREF _Toc4 h 4 HYPERLINK l _Toc5 2.產(chǎn)品介紹 PAGEREF _Toc5 h 5 HYPERLINK l _Toc6 .概述 PAGEREF _Toc6 h 5 HYPERLINK l _Toc7 .體系結(jié)構(gòu) PAGEREF _Toc7 h 5 HYPERLINK l _Toc8 .功能性能指標(biāo) PAGEREF _Toc8 h 6 HYPERLIN

2、K l _Toc9 功能指標(biāo) PAGEREF _Toc9 h 6 HYPERLINK l _Toc0 性能指標(biāo) PAGEREF _Toc0 h 7 HYPERLINK l _Toc1 3.產(chǎn)品功能描述 PAGEREF _Toc1 h 9 HYPERLINK l _Toc2 .信息交換功能 PAGEREF _Toc2 h 9 HYPERLINK l _Toc3 文件交換功能 PAGEREF _Toc3 h 9 HYPERLINK l _Toc4 Web交換功能 PAGEREF _Toc4 h 9 HYPERLINK l _Toc5 數(shù)據(jù)庫交換功能 PAGEREF _Toc5 h 10 HYPER

3、LINK l _Toc6 郵件交換功能 PAGEREF _Toc6 h 10 HYPERLINK l _Toc7 定制應(yīng)用數(shù)據(jù)交換 PAGEREF _Toc7 h 11 HYPERLINK l _Toc8 .安全控制功能 PAGEREF _Toc8 h 11 HYPERLINK l _Toc9 訪問控制功能 PAGEREF _Toc9 h 11 HYPERLINK l _Toc0 數(shù)據(jù)內(nèi)容審查功能 PAGEREF _Toc0 h 12 HYPERLINK l _Toc1 病毒防護(hù)功能 PAGEREF _Toc1 h 12 HYPERLINK l _Toc2 文件深度檢查功能 PAGEREF _

4、Toc2 h 12 HYPERLINK l _Toc3 入侵檢測與防御功能 PAGEREF _Toc3 h 13 HYPERLINK l _Toc4 身份認(rèn)證功能 PAGEREF _Toc4 h 13 HYPERLINK l _Toc5 虛擬專網(wǎng)（VPN）功能 PAGEREF _Toc5 h 13 HYPERLINK l _Toc6 流量控制功能 PAGEREF _Toc6 h 14 HYPERLINK l _Toc7 .系統(tǒng)監(jiān)控與審計(jì)功能 PAGEREF _Toc7 h 14 HYPERLINK l _Toc8 系統(tǒng)監(jiān)控功能 PAGEREF _Toc8 h 14 HYPERLINK l _T

5、oc9 日志審計(jì)功能 PAGEREF _Toc9 h 14 HYPERLINK l _Toc0 報(bào)表管理功能 PAGEREF _Toc0 h 15 HYPERLINK l _Toc1 .高可用性功能 PAGEREF _Toc1 h 15 HYPERLINK l _Toc2 雙機(jī)熱備功能 PAGEREF _Toc2 h 15 HYPERLINK l _Toc3 負(fù)載均衡功能 PAGEREF _Toc3 h 16 HYPERLINK l _Toc4 4.產(chǎn)品使用方式 PAGEREF _Toc4 h 16 HYPERLINK l _Toc5 .部署方式 PAGEREF _Toc5 h 16 HYPE

6、RLINK l _Toc6 .管理方式 PAGEREF _Toc6 h 17 HYPERLINK l _Toc7 5.產(chǎn)品應(yīng)用范圍 PAGEREF _Toc7 h 18 HYPERLINK l _Toc8 .核心數(shù)據(jù)庫的訪問 PAGEREF _Toc8 h 18 HYPERLINK l _Toc9 .核心服務(wù)器保護(hù) PAGEREF _Toc9 h 19 HYPERLINK l _Toc0 .內(nèi)外網(wǎng)絡(luò)之間的數(shù)據(jù)同步 PAGEREF _Toc0 h 20產(chǎn)品研制背景傳統(tǒng)的安全防御體系是以防火墻為核心的防御體系，通過縱深防御、系統(tǒng)聯(lián)動(dòng)達(dá)到協(xié)同保護(hù)網(wǎng)絡(luò)安全的目的。盡管防火墻在安全防御中作為一種核心的訪

7、問控制手段，起到了不可替代的作用，但以防火墻為核心的防御體系已經(jīng)不能滿足網(wǎng)絡(luò)安全的真正需求。分析防火墻的發(fā)展歷程其實(shí)一直在追求安全性和系統(tǒng)性能的平衡點(diǎn)。防火墻工作層次愈低，其性能愈高，安全性就愈差；工作層次愈高，其性能愈差，但安全性愈高。就以安全性最高的應(yīng)用代理防火墻，其安全性也是有限的。這種局限性主要表現(xiàn)在如下幾個(gè)方面：安全決策模塊直接面對不可信連接，難以對安全決策模塊的完整性和安全策略實(shí)施過程的完整性進(jìn)行保護(hù)；防火墻始終保持了可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的物理連接，成為攻擊者攻擊受保護(hù)網(wǎng)絡(luò)的罪惡之手。防火墻安全局限性，催生了新一代的邊界防御技術(shù)安全隔離與信息交換技術(shù)。安全隔離與交換技術(shù)應(yīng)用于高

8、敏感網(wǎng)絡(luò)和低敏感網(wǎng)絡(luò)之間，攔截TCP/IP數(shù)據(jù)流，過濾丟棄TCP/IP協(xié)議格式，還原上層應(yīng)用數(shù)據(jù)，并經(jīng)過安全處理后，以數(shù)據(jù)擺渡的方式實(shí)現(xiàn)不同敏感級別網(wǎng)絡(luò)之間的應(yīng)用數(shù)據(jù)安全交換。數(shù)據(jù)擺渡的方式類似實(shí)際生活中的渡船載客，能保證內(nèi)外網(wǎng)絡(luò)在任何時(shí)候沒有聯(lián)通的電氣連接情況下，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的往返傳輸。這種數(shù)據(jù)處理方式保證了網(wǎng)絡(luò)邊界防護(hù)的高安全性，使其邊界安全防護(hù)強(qiáng)度遠(yuǎn)遠(yuǎn)大于防火墻系列產(chǎn)品。這種可以確保內(nèi)外網(wǎng)在發(fā)生數(shù)據(jù)交換時(shí)，內(nèi)網(wǎng)免受外網(wǎng)基于網(wǎng)絡(luò)協(xié)議的所有攻擊，即使是未知形式的攻擊。因此，這種技術(shù)可應(yīng)用于保護(hù)政務(wù)網(wǎng)絡(luò)、軍事網(wǎng)絡(luò)、銀行/電信等重大基礎(chǔ)網(wǎng)絡(luò)的核心網(wǎng)絡(luò)資源，如核心網(wǎng)絡(luò)或核心數(shù)據(jù)服務(wù)器。產(chǎn)品介紹概述

9、科博安全隔離與信息交換系統(tǒng)（CopGap200，下簡稱科博網(wǎng)閘）為中鐵信安（北京）信息安全技術(shù)有限公司自主研發(fā)生產(chǎn)的網(wǎng)絡(luò)邊界防護(hù)設(shè)備。這種設(shè)備可以放置在高敏感網(wǎng)絡(luò)和低敏感網(wǎng)絡(luò)之間，攔截TCP/IP數(shù)據(jù)流，過濾丟棄TCP/IP協(xié)議格式，還原上層應(yīng)用數(shù)據(jù)并經(jīng)過安全處理后，以數(shù)據(jù)擺渡的方式實(shí)現(xiàn)不同敏感級別網(wǎng)絡(luò)之間的應(yīng)用數(shù)據(jù)安全交換。數(shù)據(jù)擺渡的方式類似實(shí)際生活中的渡船載客，能保證內(nèi)外網(wǎng)絡(luò)在任何時(shí)候沒有聯(lián)通的電氣連接情況下，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的往返傳輸。科博網(wǎng)閘的數(shù)據(jù)處理方式保證了其網(wǎng)絡(luò)邊界防護(hù)的高安全性，使其邊界安全防護(hù)強(qiáng)度遠(yuǎn)遠(yuǎn)大于防火墻系列產(chǎn)品，即使是防護(hù)強(qiáng)度最高的應(yīng)用代理防火墻。科博網(wǎng)閘可以確保內(nèi)外網(wǎng)在

10、發(fā)生數(shù)據(jù)交換時(shí)，內(nèi)網(wǎng)免受外網(wǎng)基于網(wǎng)絡(luò)協(xié)議的所有攻擊，即使是未知形式的攻擊。因此，科博網(wǎng)閘可應(yīng)用于保護(hù)政務(wù)網(wǎng)絡(luò)、軍事網(wǎng)絡(luò)、銀行/電信等重大基礎(chǔ)網(wǎng)絡(luò)的核心網(wǎng)絡(luò)資源，如核心網(wǎng)絡(luò)或核心數(shù)據(jù)服務(wù)器。科博網(wǎng)閘按照設(shè)備性能，形成了涵蓋E600型、E800型、G3000型、G5000型、等不同型號(hào)的系列產(chǎn)品。用戶依據(jù)通信性能要求選擇采用不同型號(hào)的產(chǎn)品。其中，E600型為百兆低端產(chǎn)品；E800型為百兆高端產(chǎn)品；G3000型為千兆低端產(chǎn)品；G5000型為千兆線速高端產(chǎn)品。體系結(jié)構(gòu)科博網(wǎng)閘被設(shè)計(jì)為一個(gè)2+1結(jié)構(gòu)的設(shè)備：一個(gè)外端機(jī)、一個(gè)內(nèi)端機(jī)、一個(gè)中間數(shù)據(jù)硬件交換部件，即隔離交換開關(guān)。當(dāng)數(shù)據(jù)需要從內(nèi)向外傳遞時(shí)，內(nèi)端機(jī)

11、基于應(yīng)用代理服務(wù)的模式終止網(wǎng)絡(luò)協(xié)議，解析應(yīng)用數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行安全處理。安全處理后的數(shù)據(jù)被隔離開關(guān)以專用封裝格式擺渡到外端機(jī)。外端機(jī)采用應(yīng)用代理客戶端的方式將應(yīng)用數(shù)據(jù)封裝為TCP/IP格式，路由到目的地。當(dāng)數(shù)據(jù)需要從外向內(nèi)傳遞時(shí)，也遵從相似的過程，只是外端機(jī)啟用了應(yīng)用代理服務(wù)，而內(nèi)端機(jī)啟用了應(yīng)用代理客戶端。科博網(wǎng)閘的基本結(jié)構(gòu)如下圖所示：圖2-1 CopGap基本構(gòu)成功能性能指標(biāo)功能指標(biāo)科博網(wǎng)閘各型號(hào)的產(chǎn)品在功能上是完全一致的，都具有如下的數(shù)據(jù)交換及安全處理功能：功能類功能項(xiàng)功能說明信息交換功能文件交換提供文件服務(wù)安全代理訪問功能及文件單、雙向同步功能數(shù)據(jù)庫交換提供數(shù)據(jù)庫服務(wù)安全代理訪問功能及數(shù)

12、據(jù)庫的單、雙向同步功能郵件交換提供郵件服務(wù)的安全代理訪問功能及郵件單、雙向交換功能Web交換提供基于HTTP、HTTPS協(xié)議的網(wǎng)絡(luò)應(yīng)用訪問功能，同時(shí)提供訪問數(shù)據(jù)的安全控制能力定制應(yīng)用數(shù)據(jù)交換功能提供基于TCP/UDP協(xié)議的客戶定制應(yīng)用的代理訪問功能安全控制功能訪問控制提供基于IP地址、網(wǎng)絡(luò)端口、協(xié)議、數(shù)據(jù)包狀態(tài)等屬性的過濾控制功能身份認(rèn)證提供系統(tǒng)管理的安全身份鑒別功能，以及在網(wǎng)絡(luò)應(yīng)用訪問時(shí)，對訪問者身份的身份鑒別功能，如基于用戶名/口令、硬件令牌等身份鑒別功能內(nèi)容檢查提供傳輸數(shù)據(jù)內(nèi)容的檢查功能，檢查機(jī)制基于關(guān)鍵字完成文件深度檢查提供傳輸文件類型與文件后綴的一致性檢測功能病毒防護(hù)提供內(nèi)置的病毒防

13、護(hù)功能，支持自動(dòng)和手動(dòng)的病毒庫升級入侵檢測與防御提供對網(wǎng)絡(luò)攻擊的檢測及防御能力虛擬專用網(wǎng)（VPN）提供虛擬專用網(wǎng)通訊支持，保證數(shù)據(jù)包的真實(shí)性、完整性及機(jī)密性流量管理提供關(guān)鍵應(yīng)用及網(wǎng)絡(luò)接口的流量管理功能高可用性功能雙機(jī)熱備提供基于主從模式的雙機(jī)熱備功能負(fù)載均衡提供內(nèi)置的負(fù)載均衡模塊，保證兩臺(tái)設(shè)備共擔(dān)數(shù)據(jù)通信流量系統(tǒng)監(jiān)控與審計(jì)功能系統(tǒng)監(jiān)控提供對系統(tǒng)運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控功能日志審計(jì)提供對用戶訪問行為、安全事件信息、系統(tǒng)日志信息的記錄及審計(jì)功能報(bào)表管理提供豐富的報(bào)表統(tǒng)計(jì)及分析功能性能指標(biāo)科博網(wǎng)閘的工作性能指標(biāo)因型號(hào)不同具有差異，各型號(hào)產(chǎn)品的工作性能指標(biāo)列示如下：指標(biāo)類型指標(biāo)項(xiàng)指標(biāo)值E600型E800型G

14、3000型G5000型性能指標(biāo)網(wǎng)絡(luò)帶寬60Mbps130Mbps500Mbps850Mbps并發(fā)連接數(shù)50010003000050000開關(guān)切換延遲10ns10ns應(yīng)用訪問延遲小于1秒小于1秒小于1毫秒小于1毫秒支持用戶數(shù)160040003000050000網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口百兆電口：4個(gè)百兆電口：4個(gè)4個(gè)千兆電口8個(gè)千兆電口，可擴(kuò)展4個(gè)千兆光口串口2個(gè)2個(gè)2個(gè)2個(gè)規(guī)格參數(shù)平均無故障運(yùn)行時(shí)間50000小時(shí)50000小時(shí)70000小時(shí)70000小時(shí)工作溫度4085408540854085存儲(chǔ)溫度55125551255512555125工作濕度2080208020802080存儲(chǔ)濕度10951095

15、10951095尺寸重量重量：14 KG 長度：50.5cm 寬度：43cm高度：9cm重量：21 KG 長度：50.5cm 寬度：43cm高度：18cm工作電壓220 5V功率270W350W產(chǎn)品功能描述信息交換功能文件交換功能文件交換是網(wǎng)絡(luò)應(yīng)用對數(shù)據(jù)交換的基本要求，在不同密級的網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)之間、外網(wǎng)與專網(wǎng)之間都存在文件交換的實(shí)際需要，正是基于這一點(diǎn)，科博網(wǎng)閘實(shí)現(xiàn)了專業(yè)的文件交換模塊，該模塊實(shí)現(xiàn)文件的安全訪問及文件的同步功能。以外網(wǎng)用戶訪問內(nèi)網(wǎng)文件服務(wù)器為例，文件安全訪問功能通過代理模塊將需要保護(hù)的內(nèi)網(wǎng)文件服務(wù)器（采用FTP協(xié)議或SAMBA協(xié)議）映射到科博網(wǎng)閘的外網(wǎng)，外網(wǎng)用戶訪問文件資源

16、時(shí)直接訪問網(wǎng)閘外端機(jī)啟用的代理服務(wù)。網(wǎng)閘外端機(jī)代理服務(wù)交換應(yīng)用層數(shù)據(jù)到內(nèi)端，內(nèi)端代理訪問內(nèi)網(wǎng)真正的文件服務(wù)獲取文件，返回給外端代理服務(wù)。在文件通過科博網(wǎng)閘的過程中將受到內(nèi)容檢查、病毒檢查、文件深度檢查、文件簽名等安全保護(hù)（見安全控制部分功能描述）。從內(nèi)網(wǎng)訪問外網(wǎng)文件服務(wù)器時(shí)過程類似。文件同步模塊能夠?qū)崿F(xiàn)科博網(wǎng)閘兩端文件服務(wù)器中文件的同步功能。事實(shí)上，科博網(wǎng)閘通過部署在兩端的客戶端代理模塊，分別從各自的文件服務(wù)器中提取需要同步的文件，然后安全擺渡到對端，再由對端的代理模塊發(fā)布到目標(biāo)文件服務(wù)器上，文件的擺渡受到安全模塊的檢查。文件同步支持各種不同的文件格式，支持對文件目錄及相關(guān)子目錄的同步，支持雙

17、向及單向的文件同步。文件同步模塊可以采用多種方式訪問文件服務(wù)器，包括Windows共享方式、FTP服務(wù)方式及SAMBA共享方式等。在文件同步過程中，可以實(shí)現(xiàn)基于策略的過程控制，如基于文件類型、文件大小、創(chuàng)建時(shí)間等屬性對文件的同步過程進(jìn)行控制。Web交換功能Web應(yīng)用是目前最為流行的網(wǎng)絡(luò)應(yīng)用。因此，提供對Web應(yīng)用的訪問支持是科博網(wǎng)閘的基本功能之一。科博網(wǎng)閘的內(nèi)外端機(jī)都支持HTTP、HTTPS兩種應(yīng)用代理訪問功能。科博網(wǎng)閘通過服務(wù)地址映射（SAT）的方式將目標(biāo)Web服務(wù)器映射到網(wǎng)閘的另一端機(jī)供用戶訪問。Web應(yīng)用數(shù)據(jù)在通過網(wǎng)閘的過程中，受到嚴(yán)格的安全控制，包括HTTP/HTTPS協(xié)議頭的關(guān)鍵字過

18、濾、完整性檢查、URL長度檢查、活動(dòng)腳本的檢測及控制、文件安全檢查等內(nèi)容。數(shù)據(jù)庫交換功能用戶的實(shí)際應(yīng)用系統(tǒng)中，往往具有不同的用戶群及不同的網(wǎng)絡(luò)應(yīng)用。但應(yīng)用之間共享應(yīng)用數(shù)據(jù)卻往往是必要的。因此，科博網(wǎng)閘將數(shù)據(jù)庫同步功能作為其數(shù)據(jù)交換的基本功能之一。科博網(wǎng)閘的數(shù)據(jù)庫訪問模塊通過數(shù)據(jù)庫應(yīng)用代理的方式將數(shù)據(jù)庫服務(wù)映射到網(wǎng)閘的一端，應(yīng)用程序可以直接訪問映射的數(shù)據(jù)庫服務(wù)，由網(wǎng)閘完成數(shù)據(jù)庫的數(shù)據(jù)內(nèi)容安全傳輸。科博網(wǎng)閘的數(shù)據(jù)庫同步模塊可以將一端網(wǎng)絡(luò)中的數(shù)據(jù)庫內(nèi)容同步復(fù)制到網(wǎng)閘另一端網(wǎng)絡(luò)的數(shù)據(jù)庫中。數(shù)據(jù)庫復(fù)制支持單向復(fù)制及雙向復(fù)制。以及支持對表的全表復(fù)制及增量復(fù)制功能。科博網(wǎng)閘支持的數(shù)據(jù)庫同步，支持同構(gòu)數(shù)據(jù)庫之

19、間的同步，也支持異構(gòu)數(shù)據(jù)庫之間的同步。在同步過程中，數(shù)據(jù)庫內(nèi)容受到基于管理員定制的安全策略的控制，包括對字段類型、關(guān)鍵詞、創(chuàng)建時(shí)間等屬性的控制。由于科博網(wǎng)閘的內(nèi)外端機(jī)都實(shí)現(xiàn)了數(shù)據(jù)庫代理功能，因此科博網(wǎng)閘也支持直接的數(shù)據(jù)庫訪問功能。郵件交換功能郵件通訊主要使用POP3和SMTP協(xié)議，在安全隔離的環(huán)境中，往往需要進(jìn)行內(nèi)網(wǎng)郵件與外網(wǎng)郵箱中郵件的同步，或者需要內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)郵箱中的郵件。這些需求可通過科博網(wǎng)閘的郵件同步模塊和郵件訪問模塊完成。郵件同步模塊起到郵件中繼的作用，它能將網(wǎng)閘一端的郵件同步到另一端，即可以進(jìn)行單向郵件中繼，也可以進(jìn)行雙向郵件中繼。郵件訪問模塊通過配置郵件代理完成，科博網(wǎng)閘

20、的郵件代理保證使用者能夠通過網(wǎng)閘訪問另一端的郵件服務(wù)器，使用郵件客戶端進(jìn)行郵件的正常收發(fā)。在郵件中繼及郵件訪問過程中，科博網(wǎng)閘啟用安全控制模塊對郵件主題進(jìn)行過濾控制，對郵件附件類型進(jìn)行文件深度檢查，對郵件附件進(jìn)行病毒查殺等。定制應(yīng)用數(shù)據(jù)交換科博網(wǎng)閘支持應(yīng)用協(xié)議定制功能。很多用戶都具有自己的業(yè)務(wù)系統(tǒng)，這些業(yè)務(wù)系統(tǒng)不是標(biāo)準(zhǔn)的應(yīng)用，而是具有自己的應(yīng)用封裝格式、會(huì)話模式、命令集。如果不加定制，任何標(biāo)準(zhǔn)的應(yīng)用代理服務(wù)器都不能準(zhǔn)確理解這種私有應(yīng)用的格式，并最終加以控制。但是，對用戶而言，真正需要支持和控制的卻往往正是這些私有的應(yīng)用協(xié)議。科博網(wǎng)閘提供了私有協(xié)議定制開發(fā)功能。用戶部門只要提供需要支持的應(yīng)用的封

21、裝格式、協(xié)議狀態(tài)機(jī)、命令集，科博網(wǎng)閘提供的私有代理服務(wù)器生成模板和私有代理客戶端生成模板就可以快速生成滿足私有應(yīng)用的代理程序，用以終止私有應(yīng)用的TCP連接、完成數(shù)據(jù)/命令提取和控制。因此，科博網(wǎng)閘對于私有的應(yīng)用協(xié)議，也可以保證應(yīng)用數(shù)據(jù)落地控制。安全控制功能訪問控制功能科博網(wǎng)閘可以對授權(quán)訪問或進(jìn)行交換的信息進(jìn)行嚴(yán)格的訪問控制，科博網(wǎng)閘的訪問控制包括網(wǎng)絡(luò)級的訪問控制及應(yīng)用層的訪問控制功能。科博網(wǎng)閘的訪問控制功能實(shí)現(xiàn)對網(wǎng)閘代理應(yīng)用的控制，訪問控制與應(yīng)用映射綁定，每一個(gè)應(yīng)用的代理映射可以配置訪問控制策略，訪問控制策略通過對象的方式進(jìn)行設(shè)置，使用非常靈活。科博網(wǎng)閘網(wǎng)絡(luò)訪問控制功能主要進(jìn)行應(yīng)用映射的地址及

22、時(shí)間的控制，地址控制可以授權(quán)允許的IP訪問應(yīng)用，也可以實(shí)現(xiàn)對MAC地址的綁定，時(shí)間控制保證授權(quán)用戶在哪些時(shí)間允許訪問應(yīng)用，哪些時(shí)間不允許訪問應(yīng)用。地址控制與時(shí)間控制可以綜合設(shè)置，形成有效的網(wǎng)絡(luò)訪問控制策略。應(yīng)用層的訪問控制功能實(shí)現(xiàn)對各種協(xié)議應(yīng)用的安全控制。科博網(wǎng)閘可以進(jìn)行控制的協(xié)議包括HTTP、FTP、SMTP、POP3、SQL等，控制內(nèi)容包括各種協(xié)議命令，對于HTTP協(xié)議，也可以控制URL的長度。通過應(yīng)用協(xié)議訪問控制可以有效的防止各種木馬攻擊及入侵。數(shù)據(jù)內(nèi)容審查功能科博網(wǎng)閘交換的數(shù)據(jù)是無協(xié)議格式的上層應(yīng)用數(shù)據(jù)，比如發(fā)送的郵件主體內(nèi)容，郵件的附件。科博網(wǎng)閘在交換這些數(shù)據(jù)時(shí)，實(shí)現(xiàn)了三方面的數(shù)據(jù)內(nèi)

23、容審查：（1）關(guān)鍵詞過濾：對含有黑名單中出現(xiàn)的關(guān)鍵詞的應(yīng)用數(shù)據(jù)進(jìn)行基于策略的安全處理，包括拒絕發(fā)送、日志審計(jì)、關(guān)鍵詞替換等三種處理方式。（2）模糊查詢：對于應(yīng)用數(shù)據(jù)中包含經(jīng)過處理、偽裝的敏感詞語進(jìn)行控制和處理，比如識(shí)別類似“法*輪*功”這樣的敏感詞匯。控制處理的方式包括：拒絕發(fā)送、日志審計(jì)和關(guān)鍵詞替換三種。（3）病毒掃描：科博網(wǎng)閘在擺渡每一個(gè)數(shù)據(jù)塊時(shí)，都進(jìn)行病毒掃描。詳見“病毒防護(hù)功能”描述。 科博網(wǎng)閘的數(shù)據(jù)內(nèi)容審查功能在內(nèi)外端機(jī)基于計(jì)算機(jī)CPU實(shí)現(xiàn)。病毒防護(hù)功能科博網(wǎng)閘集成了專業(yè)的第三方病毒查殺模塊，能在應(yīng)用層實(shí)現(xiàn)基于特征的病毒查殺。為此，科博網(wǎng)閘提供了病毒庫在線升級功能，以及病毒庫手工導(dǎo)入

24、功能。對于包含有病毒數(shù)據(jù)的應(yīng)用數(shù)據(jù)，科博網(wǎng)閘在清除病毒之外，還對其進(jìn)行日志記錄，供安全管理員使用。文件深度檢查功能管理員可能需要對通過隔離設(shè)備傳輸?shù)奈募愋瓦M(jìn)行控制，比如，不允許外部的exe或者bat文件傳輸?shù)絻?nèi)網(wǎng)。但是，攻擊者可以將文件的后綴修改為txt等被允許的后綴并傳輸，以逃避安全規(guī)則的檢查。為此，科博網(wǎng)閘實(shí)現(xiàn)了文件的一致性檢查，即一個(gè)聲稱的exe是否真是exe文件，一個(gè)聲稱的pdf文件是否真是pdf文件等。這種功能即為科博網(wǎng)閘的深度檢查功能。目前，科博網(wǎng)閘支持幾乎所有的文件類型的一致性檢查。入侵檢測與防御功能科博網(wǎng)閘的內(nèi)外端機(jī)分別實(shí)現(xiàn)了網(wǎng)絡(luò)入侵檢測功能，其通過網(wǎng)絡(luò)連接的行為模式、流量模

25、式、數(shù)據(jù)特征實(shí)現(xiàn)對網(wǎng)絡(luò)訪問基于特征的入侵檢測。科博網(wǎng)閘同時(shí)對一些常見的網(wǎng)絡(luò)攻擊進(jìn)行阻斷，如TCP SYN洪水、PING洪水等，防止DOS攻擊帶來的安全威脅。為了保證對入侵行為能有效檢測，科博網(wǎng)閘提供了入侵特征庫在線升級和手工導(dǎo)入的功能。身份認(rèn)證功能科博網(wǎng)閘實(shí)現(xiàn)了應(yīng)用級的身份確認(rèn)功能。即當(dāng)用戶通過網(wǎng)閘訪問特定應(yīng)用時(shí)，可以要求用戶出示對網(wǎng)閘的身份證明。只有通過身份確認(rèn)的用戶才能訪問受保護(hù)的應(yīng)用。應(yīng)用級身份認(rèn)證可以在用戶訪問具體應(yīng)用時(shí)，控制用戶可以訪問的應(yīng)用資源，比如可以執(zhí)行的命令，可以訪問的頁面等。科博網(wǎng)閘對用戶的認(rèn)證方式可配置為基于用戶名/口令的方式、基于數(shù)字證書的方式、支持硬件令牌的方式。虛擬

26、專網(wǎng)（VPN）功能科博網(wǎng)閘的內(nèi)外端機(jī)實(shí)現(xiàn)了標(biāo)準(zhǔn)的IPSec協(xié)議簇。任何的標(biāo)準(zhǔn)IP層密碼設(shè)備都可以和網(wǎng)閘的內(nèi)端機(jī)建立VPN通道。科博網(wǎng)閘的內(nèi)外端機(jī)支持基于IKE的自動(dòng)密鑰協(xié)商，以及手工的密鑰配置。內(nèi)外端機(jī)與密碼設(shè)備之間支持基于預(yù)享密鑰、公鑰簽名、增強(qiáng)型公鑰簽名的方式實(shí)現(xiàn)接入身份識(shí)別。科博網(wǎng)閘的內(nèi)外端機(jī)支持基于ESP、AH、ESP+AH三種安全隧道協(xié)議。管理者通過配置這些安全隧道，能夠?yàn)榫W(wǎng)絡(luò)通訊提供如下三種安全保護(hù)：（1）數(shù)據(jù)源的真實(shí)性：連接對方的身份是真實(shí)的，每一個(gè)分組是屬于真實(shí)的連接；（2）數(shù)據(jù)的完整性：連接中傳輸?shù)娜魏螖?shù)據(jù)都沒有受到惡意的破壞，信息內(nèi)容是完整的。（3）數(shù)據(jù)的機(jī)密性保護(hù)：敏感信

27、息不會(huì)在傳輸過程中被泄漏。流量控制功能為了保證核心應(yīng)用保持應(yīng)有的帶寬，防止網(wǎng)絡(luò)接口流量異常，科博網(wǎng)閘實(shí)現(xiàn)了流量監(jiān)視及控制模塊。通過該模塊能夠?qū)νㄟ^網(wǎng)閘的網(wǎng)絡(luò)流量進(jìn)行全面的控制。流量監(jiān)視及控制模塊能夠基于不同的應(yīng)用對流量設(shè)置上限，保證核心業(yè)務(wù)系統(tǒng)流量不會(huì)由于其它應(yīng)用（如點(diǎn)對點(diǎn)應(yīng)用）占用過多帶寬而不能正常使用。另外，流量監(jiān)視及控制模塊還可以對科博網(wǎng)閘的特定網(wǎng)絡(luò)端口進(jìn)行上行及下行的流量監(jiān)視及控制，使管理員能夠隨時(shí)掌握網(wǎng)絡(luò)流量的狀態(tài)，分析網(wǎng)絡(luò)的穩(wěn)定性。系統(tǒng)監(jiān)控與審計(jì)功能系統(tǒng)監(jiān)控功能科博網(wǎng)閘提供對系統(tǒng)運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控功能，包括網(wǎng)絡(luò)接口監(jiān)視、CPU利用率監(jiān)視、內(nèi)存使用率監(jiān)視、網(wǎng)絡(luò)狀況監(jiān)視、硬件系統(tǒng)監(jiān)視、

28、進(jìn)程監(jiān)視。科博網(wǎng)閘提供對監(jiān)控結(jié)果的多種圖表顯示方式，如動(dòng)態(tài)坐標(biāo)圖、餅狀圖和柱狀圖。日志審計(jì)功能科博網(wǎng)閘提供了強(qiáng)大的日志查詢、日志存儲(chǔ)和日志審計(jì)功能。系統(tǒng)支持welf、syslog等多種日志格式輸出，支持第三方軟件查看日志，支持日志分級，支持本機(jī)和遠(yuǎn)程存儲(chǔ)日志功能。提供對應(yīng)用交換信息、安全控制信息、系統(tǒng)日志信息的記錄及審計(jì)功能。報(bào)表管理功能科博網(wǎng)閘提供豐富的報(bào)表統(tǒng)計(jì)及分析功能。報(bào)表統(tǒng)計(jì)的內(nèi)容包括網(wǎng)絡(luò)流量、系統(tǒng)運(yùn)行狀態(tài)、過濾事件、文件傳輸量等。系統(tǒng)支持報(bào)表的多種圖表生成方式，支持報(bào)表的在線打印，支持報(bào)表的本地存儲(chǔ)功能。高可用性功能雙機(jī)熱備功能為了保證科博網(wǎng)閘系統(tǒng)能夠不間斷運(yùn)行，在系統(tǒng)服務(wù)出現(xiàn)故障（

29、受到攻擊、意外崩潰或其它原因造成）時(shí)，能夠迅速的回復(fù)到原有的運(yùn)行狀態(tài)。在這里，我們要求系統(tǒng)的這種功能是自動(dòng)完成的。我們通過部署科博網(wǎng)閘雙機(jī)熱備子系統(tǒng)實(shí)現(xiàn)這個(gè)功能，科博網(wǎng)閘雙機(jī)熱備子系統(tǒng)的體系結(jié)構(gòu)如下：圖3-1 科博網(wǎng)閘的雙機(jī)熱備示意為了實(shí)現(xiàn)雙機(jī)熱備，我們將先安裝兩套相同的通用科博網(wǎng)閘系統(tǒng)，然后在每臺(tái)服務(wù)器上另外安裝雙機(jī)熱備模塊，在安裝時(shí)我們將定義其中一臺(tái)為主服務(wù)器（及Active服務(wù)器），另一臺(tái)定義為從服務(wù)器（即Standby服務(wù)器），這些定義將通過熱備策略文件中的配置信息完成。另外，在主服務(wù)器上將加載實(shí)際使用的所有IP地址（包括熱備模塊專有通訊地址），在從服務(wù)器除加載熱備模塊專有地址外，不加

30、載其它任何地址。主服務(wù)器及從服務(wù)器中熱備模塊的通訊通過專有協(xié)議實(shí)現(xiàn)。一旦配置完成，網(wǎng)絡(luò)中只有一臺(tái)服務(wù)器在提供服務(wù)，它就是主服務(wù)器。當(dāng)主服務(wù)器崩潰時(shí)，從服務(wù)器熱備模塊將能迅速檢測到，并將自己設(shè)置為主服務(wù)器，同時(shí)加載主服務(wù)器的所有地址，并啟動(dòng)所有科博網(wǎng)閘的功能服務(wù)模塊，接管原來主服務(wù)器的所有功能，完成實(shí)時(shí)的服務(wù)器切換。當(dāng)崩潰的原有主服務(wù)器恢復(fù)（通過手工方式）后，它將自動(dòng)成為科博網(wǎng)閘系統(tǒng)的從服務(wù)器。此時(shí)，原有主從服務(wù)器的關(guān)系將顛倒過來。以后的主從服務(wù)器切換過程將遵循上述的原則。負(fù)載均衡功能科博網(wǎng)閘支持多機(jī)負(fù)載均衡的功能。該功能將多臺(tái)科博網(wǎng)閘組成一個(gè)設(shè)備群，通過負(fù)載均衡技術(shù)，采用高效的分配算法將客戶的

31、請求合理分配到設(shè)備群的某一個(gè)節(jié)點(diǎn)上，以此可提高獲取數(shù)據(jù)的速度，解決高并發(fā)訪問問題，提高系統(tǒng)的穩(wěn)定性、可靠性和災(zāi)害承受能力。科博網(wǎng)閘提供負(fù)載均衡功能的配置和動(dòng)態(tài)維護(hù)，無需額外第三方軟硬件支持，當(dāng)系統(tǒng)壓力過大時(shí)，只需要增加設(shè)備的數(shù)量，作簡單的配置即可進(jìn)行平滑升級。產(chǎn)品使用方式部署方式CopGap是一個(gè)硬件設(shè)備，主要解決不同網(wǎng)絡(luò)之間信息的安全交換及控制問題。因此，CopGap產(chǎn)品主要部署在兩個(gè)網(wǎng)絡(luò)之間。CopGap部署時(shí)對網(wǎng)絡(luò)的要求如下：使用網(wǎng)絡(luò)為基于TCP/IP協(xié)議標(biāo)準(zhǔn)的網(wǎng)絡(luò)；對于百兆網(wǎng)絡(luò)，適用CopGap百兆系列產(chǎn)品，對于千兆網(wǎng)絡(luò)，適用CopGap千兆系列產(chǎn)品；對于需要光纖通信的網(wǎng)絡(luò)，使用Cop

32、Gap千兆系列具有光纖接口的版本，根據(jù)需要可以選擇自帶光接口模塊或外接光接口模塊。按照國家相關(guān)政策及安全要求，CopGap產(chǎn)品適合的部署位置包括：不同的涉密網(wǎng)絡(luò)之間。也就是在秘密網(wǎng)絡(luò)與機(jī)密網(wǎng)絡(luò)之間，機(jī)密網(wǎng)絡(luò)與絕密網(wǎng)絡(luò)之間等；同一涉密網(wǎng)絡(luò)的不同安全域之間；與互聯(lián)網(wǎng)物理隔離的網(wǎng)絡(luò)和涉密網(wǎng)絡(luò)之間。也就是允許CopGap在非涉密網(wǎng)絡(luò)與涉密網(wǎng)絡(luò)之間進(jìn)行信息交換，前提是要求非涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離。同時(shí)要求非涉密網(wǎng)絡(luò)達(dá)到等級保護(hù)第三級，涉密網(wǎng)絡(luò)為秘密級網(wǎng)絡(luò)；未與涉密網(wǎng)絡(luò)連接的網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間。也就是非涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間可以使用CopGap進(jìn)行信息交換；非涉密網(wǎng)絡(luò)的不同安全等級網(wǎng)絡(luò)，或者統(tǒng)一安全等級網(wǎng)絡(luò)

33、中的不同安全域之間。管理方式為了方便產(chǎn)品的使用，CopGap具有多種形式的管理維護(hù)方式，保證在出現(xiàn)任何情況時(shí)均能進(jìn)行現(xiàn)場維護(hù)管理。CopGap的基本管理方式是基于Web的管理模塊，通過該模塊可以進(jìn)行系統(tǒng)的所有功能配置、查詢分戶析及日常維護(hù)。Web管理模塊是CopGap最主要的管理模塊，提供給現(xiàn)場技術(shù)支持人員維護(hù)使用，也可以做為用戶單位的維護(hù)人員日常維護(hù)使用。CopGap的第二種管理方式是基于串口的命令行管理。這種管理方式主要是在系統(tǒng)出現(xiàn)故障，Web管理方式不能正常使用，或者網(wǎng)絡(luò)出現(xiàn)故障，導(dǎo)致不能連接CopGap設(shè)備時(shí)使用。基于串口的管理方式使用時(shí)需要連接維護(hù)計(jì)算機(jī)與CopGap之間的串口線，基

34、于Windows的串口終端進(jìn)行連接管理。CopGap提供的第三種管理方式是使用遠(yuǎn)程命令SSH進(jìn)行管理。該方式提供了維護(hù)計(jì)算機(jī)與CopGap之間的安全連接通道。通過系統(tǒng)提供的用戶名/口令登錄后進(jìn)行遠(yuǎn)程操作管理。這種管理方式主要提供給產(chǎn)品廠家的技術(shù)支持人員進(jìn)行故障排除時(shí)使用。對于用戶管理人員，在必要時(shí)可以使用該方式進(jìn)行管理。由于該方式對系統(tǒng)管理權(quán)限非常高，如果使用不當(dāng)可能造成系統(tǒng)數(shù)據(jù)丟失，因此該方式要慎用。產(chǎn)品應(yīng)用范圍科博網(wǎng)閘主要應(yīng)用場景有三種：核心數(shù)據(jù)庫的保護(hù)；核心服務(wù)器區(qū)的保護(hù)，以及內(nèi)外網(wǎng)絡(luò)之間的數(shù)據(jù)同步。核心數(shù)據(jù)庫的訪問數(shù)據(jù)庫是應(yīng)用系統(tǒng)的核心，是系統(tǒng)業(yè)務(wù)運(yùn)行的基礎(chǔ)。如果業(yè)務(wù)系統(tǒng)受到破壞，只要數(shù)據(jù)資源是完整的，往往容易恢復(fù)業(yè)務(wù)的正常運(yùn)行。因此，對于核心數(shù)據(jù)庫的保護(hù)具有重要的意義，是確保用戶的業(yè)務(wù)系統(tǒng)安全的最后一個(gè)堡壘。科博網(wǎng)閘因