天琴数据安全交换系统
dota2比分网 > 安全产品 > 天琴数据安全交换系统
产品介绍

天琴数据安全交换系统在设计上采用了“2+1”架构,由内网主机系统、外网主机系统、双向隔离通道三个逻辑部件组成。内网主机系统与外网主机系统是两套独立的系统,各自都拥有自己的CPU、操作系统、存储器和总线,在两套系统之间除了双向隔离通道外并不存在任何直接或间接的联系。内外网主机系统分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。隔离交换模块是内外网主机模块间数据交换的唯一通道,本身没有操作系统和应用编程接口,所有的控制逻辑和传输逻辑固化在安全芯片中,自主实现内外网数据的交换和验证。

功能特性
  • 文件同步

    客户端软件需安装在用户的文件服务器上,不需要用户开放windows文件共享、FTP共享、NFS共享,防止用户受到勒索病毒影响。主要功能点:软件适应性(客户端软件支持windows、Linux、中标麒麟、银河麒麟等)、文件过滤(支持基于文件名称、大小、扩展名、关键字、最后修改时间过滤)、病毒检测(提供免费的病毒检测及病毒库升级服务,可付费定制商用病毒引擎和病毒库升级服务);

  • 应用层协议代理

    HTTP访问:支持POST、GET、HEAD、OPTIONS、PUT、DELETE、TRACE等七种请求方法的过滤;支持URL过滤、文件类型过滤、病毒检测;邮件访问:支持邮件发件人/收件人、附件的文件类型过滤;支持邮件主题/正文敏感关键字等过滤方式;病毒检测:提供免费的病毒检测及病毒库升级服务,可付费定制商用病毒引擎和病毒库升级服务;


  • TCP/UDP代理

    除支持HTTP、SMTP、POP3等几种常见应用协议外,根据用户应用的特点,提供通用TCP/UDP代理模块,通用代理模块不对应用层数据进行检测,支持源/目的地址、源/目的端口、协议类型设置。支持代理模式和地址透明模式;


  • 访问控制

    为了屏蔽恶意或未经授权的设备或用户,系统提供多种访问控制功能,如:IP/MAC地址绑定,源地址/目的地址控制,用户名/密码认证等访问控制功能;


  • 系统管理

    为了方便用户对设备进行配置管理,系统提供WEB方式的管理界面。通过管理界面提供多种系统管理功能,主要功能点:三权分立(系统按照等级保护三级的要求,采用三权分立原则进行用户设计,主要用户包括系统管理员、系统安全员、系统审计员)、调试工具(支持ping、arp、telnet、tcpdump、traceroute等)、状态显示(支持显示设备的CPU利用率、内存利用率、磁盘利用率等信息)、升级管理(支持通过页面升级软件大版本或者补丁包。页面显示补丁名称、说明、状态等信息);

  • 日志审计

    系统支持分类分级日志的查询及导出功能。支持主动推送日志到syslog服务器以及第三方安全管理系统,方便用户管理审计。支持设置日志存储空间警戒值,超过警戒值时采取相应告警措施;


  • 安全检测

    为了保障传输数据的安全性,系统提供多种安全检测功能,如:文件类型、大小、扩展名、关键字等过滤功能。系统提供免费的病毒检测及病毒库升级服务,可付费定制商用病毒引擎和病毒库升级服务;


技术优势
高性能多核并行处理技术 +-

产品在硬件设计方面采用了高性能的网络处理单元,同时在软件架构和算法上进行优化,使其具备高效网络协议处理能力以及安全处理能力。UDP协议不是面向连接的,没有会话建立连接过程,UDP只有监听句柄,不能像TCP协议那样区分监听句柄和新会话连接句柄。为保障UDP单任务内或者多任务间不同会话可以交给不同的CPU核进行处理,我们使用的机制是启动多个UDP进程,每个进程对于同一个任务都会启动针对该任务的socket监听句柄,每个监听句柄分别处理不同的会话。除此之外,我们还修改了内核句柄查询机制,在查询机制中添加了CPU分配机制。通过修改内核UDP协议栈,每个代理使用socket选项通知内核该socket的绑核属性,内核在获取socket属性后才能知道应该在该socket与CPU绑定关系,UDP协议栈根据绑定关系把不同会话分配给不同的UDP进程。并且socket中还添加了其他属性,用于UDP协议栈在分配CPU核时,根据相应策略选择。


私有协议检测 +-

在某些高等级网络安全用户处,用户的通讯协议可能是私有的,不能公开。安全隔离设备厂商无法预先针对这些协议进行协议分析,不能针对这些特定的协议进行过滤和控制。天琴数据安全交换系统在软件架构设计时,已经考虑此问题,从软件层次上分为四层,核心调度层、扩展机制层、外部接口层、协议插件层。核心调度层是处理引擎的核心,为扩展机制层提供了基础。扩展机制层为外部接口层提供了基本的功能模块。外部接口层,提供配置和协议插件两种层次的接口。协议插件层支持用户私有协议的扩展,方便了用户对应用协议插件的二次开发。采取协议插件和规则定制两种方式,分析协议数据和定制规则,降低定制开发难度和时间周期。


支持多端口任务 +-

通常,代理通过套接字来监听一个本地IP地址和一个本地端口,对外提供一种服务。在某些情况下,需要对外提供一段端口的服务,如果使用套接字对端口范围内所有端口进行监听,会造成系统资源浪费和系统资源不够问题。为了解决系统资源浪费和资源不够问题,使用地址和端口转换机制把一段目标端口转换到本地一个目标端口上,代理程序通过反查网络连接追踪表来获得转换前真实目标端口。系统内核并不默认支持UDP协议通过网络连接追踪表来反查获得真实目标端口,因此通过修改内核反查机制,使得网络连接追踪表同时支持TCP/UDP端口反查。通过使用地址和端口转换机制和网络连接追踪表反查机制解决了一段端口带来的资源浪费和资源不够问题。


典型部署
  • 典型部署


企业建设网站项目(外网)面向互联网开放访问,需要将高安全网络区域(内网)有关业务涉及的文档、图片及音视频等文件以及数据库记录同步到外网的文件和数据库服务器上,供业务人员(用户)通过WEB应用系统调取查看并了解有关业务的相关情况。使用天琴安全数据网关实现两个网络区域的安全隔离,实现两网络间的文件和数据库安全传输,确保网络间的安全隔离。





应用价值

天琴安全数据网关实现两个网络区域的安全隔离,实现两网络间的文件和数据库安全传输,确保网络间的安全隔离。严格的访问控制,根据发送方与接收方的IP、MAC属性提高明确的访问保障和拒绝能力。确保数据安全,支持对传输数据的格式检查、内容过滤、病毒检测功能。