StoneWall-2000反向型网络安全隔离装置技术白皮书(1)(3)

StoneWall-2000系列产品文档 网络安全隔离设备（反向型）技术白皮书

上，通过数字签名验证的二进制数据报文，才能进入内网络。进入内网的报文将被以二进制文件格式存放，接收端的应用程序用专用的API函数读出读取二进制文件，去掉其中的破坏字节，并直接使用该数据进行运算，通过对相应字节的校验，可以检测出文件是否在内网侧被病毒感染过。病毒粉碎技术保证病毒进入内网时已经在结构上被破坏掉，无法发作。

1.1.8 硬件控制的单向数据传输

经过网络安全隔离设备（反向型）的数据流向控制是通过特有的硬件实现的硬控制，数据只能有外网流向内网，防止在安装反向隔离设备后为正向数据流动提供后门。

1.1.9 防止穿透性连接，连接方向控制

StoneWall-2000禁止内网、外网的两个应用网关之间直接建立TCP联接，将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接，且只允许数据单向传输。

网络安全隔离设备对连接进行严格的方向控制，保证内网主机不提供网络服务，使内网主机无懈可击； StoneWall-2000做到了禁止通过穿越安全区的穿透性访问，同时也禁止穿越安全区的E-MAIL、WEB。

1.1.10 真正支持透明接入

StoneWall-2000网络安全隔离设备（反向型）真正做到了透明接入，即无论使用任何功能，对正常使用网络的合法用户来说，设备是不可感知的。网络隔离设备通过使用虚拟主机IP地址和隐藏MAC地址的方式保证了对网络隔离设备对用户的完全透明的工作方式，用户无需更改原有的网络拓扑结构，只需把网络隔离设备置于需要保护的网络或主机的网络即可。

北京科东电力控制系统有限责任公司 8

StoneWall-2000系列产品文档 网络安全隔离设备（反向型）技术白皮书

1.1.11 高强度的抗攻击能力

处于内网和外网通信唯一通路上的网络安全隔离设备（反向型）无形中成为黑客攻击的首要目标，要保护内网的安全，首先要保证网络安全隔离设备（反向型）具有较强的抗攻击能力，网络安全隔离设备（反向型）采用非INTEL（及兼容）双微处理器，减少被病毒攻击的概率，采用自主版权的操作系统内核，取消所有网络功能，而且设备本身没有IP地址，使得黑客攻击无从下手。

1.1.12 支持双网传送数据

为了适应电力系统特殊要求，特别升级了网络安全隔离装置系统功能。StoneWall-2000网络安全隔离设备最新支持双网口同时工作，也就是在内网和外网分别都有两个网口，支持双网结构的数据传输。更进一步提高了网络安全隔离装置的可适用性。

1.1.13 双路电源供电

设备支持双电源供电模式，在工作的时候,有一个电源作为主电源供电,一个作为辅电源作备份，当主电源失效时，备份电源自动接替主电源工作，同时蜂鸣报警，当主电源恢复时，自动切换回主电源工作，报警结束，实现了主备电源的在线无缝切换，有效地提高整个电源工作的可靠性及延长整个系统的平均无故障工作时间。

1.1.14 高速稳定

StoneWall-2000网络安全隔离设备（反向型）采用高速处理器POWERPC 8245 400MHZ，保证了硬件平台的高速运转，操作系统经过科学裁减和安全加固，保证了软件平台的稳定运行，再加上百兆以太网模块，这些条件保证了高速稳定的网络传输。目前该设备在国调等各级调度和变电站、电厂运行, 运行稳定。

北京科东电力控制系统有限责任公司 9

StoneWall-2000系列产品文档 网络安全隔离设备（反向型）技术白皮书

1.1.15 实时告警

设备提供实时的报警输出功能，当出现非法访问，设备重启动，通信中断、装置异常或丢失应用数据时，设备将相应的报警信息输出到专用的RS232串口，最简单的应用办法是：用户可以通过串口线将报警信息接入到监控主机，利用超级终端显示，即可获得设备的实时报警信息，也可以连接综合告警平台，实现报警的综合处理。设备的报警格式遵循SYSLOG规范，便于用户收集、分析及综合利用。

1.1.16 具有内外网络接口通信状态指示灯

反向型网络安全隔离设备在前面板上提供电源指示灯、10M/100M自适应网卡连接状态，传输速率指示灯，便于用户监控及故障诊断。

1.1.17 配置简单

StoneWall-2000配置非常简便，对它的操作及设置基本上只需使用规则配置管理工具就可以实现。StoneWall-2000网络安全隔离设备（反向型）提供了两种不同的规则配置管理工具：GUI管理工具、CLI管理工具。

规则管理工具（GUI）是本产品的专用配套程序。该管理器具有界面友好直观、功能齐全、通俗易懂等特点，可以运行于Microsoft Windows9X/Me/2000/XP环境下。管理工具如下图所示：

北京科东电力控制系统有限责任公司 10

StoneWall-2000系列产品文档 网络安全隔离设备（反向型）技术白皮书

CLI命令行方式是指使用设备提供的Console接口进行本地管理。该管理工具具有最高的安全级别，但相应的对管理员的要求比较高。管理工具的界面如下：

1.2 安全机理

1.2.1 具有专利的物理结构和安全岛技术

StoneWall-2000使用双机结构，通过连接双机的非网络设备而实现的安全岛技术将受保护网络从物理上隔离开来。

网络安全隔离设备（反向型）通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通，而数据流经网络安全隔

北京科东电力控制系统有限责任公司 11

StoneWall-2000系列产品文档 网络安全隔离设备（反向型）技术白皮书

离设备（反向型）时TCP/IP协议被终止，防止了利用协议进行攻击，在某一时刻网络安全隔离设备（反向型）只能连接到一个网络。

网络安全隔离设备（反向型）作为代理从外网的网络访问包中抽取出数据然后通过数据缓冲设施转入内网，完成数据中转。在中转过程中，网络安全隔离设备（反向型）会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施综合过滤控制，然后对通过上述过滤的报文进行签名验证，对验证通过得报文进行双字节检查或二进制校验，只有满足上述所有要求的报文才可以通过网络安全隔离设备（反向型）。由于网络安全隔离设备（反向型）采用了独特的开关切换机制，因此，在进行检查时网络实际上处于断开状态，只有通过严格检查的数据才有可能进入内网，即使黑客强行攻击了网络安全隔离设备（反向型），由于攻击发生时内外网始终处于物理断开状态，黑客也无法进入内网。

网络安全隔离设备（反向型）在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。由于网络安全隔离设备（反向型）仅抽取合法数据交换进内网，因此，内网不会受到网络层的攻击，这就在物理隔离的同时实现了数据的安全交换。

1.2.2 安全的硬件及操作系统

StoneWall-2000网络安全隔离设备（反向型）采用非INTEL指令系统（及兼容）的RISC微处理器、采用双嵌入式计算机及安全岛技术，减少受攻击的概率，实现两个安全区之间的非网络方式的单向数据传输；设备固化了精简的、安全的linux操作系统，将嵌入式Linux内核进行了裁剪。内核中只包括用户管理﹑进程管理﹑和Socket编程接口，裁剪掉TCP/IP协议栈和其它不需要的所有系统服务，提高了系统安全性和抗攻击能力，保证了系统安全的最大化。

1.2.3 数据包的综合过滤技术

StoneWall-2000网络安全隔离设备（反向型）对于数据包要进行

IP/MAC/PORT的综合过滤，只有满足条件的数据包才可以通过隔离设备；通过综合报文过滤与访问控制、非穿透性TCP联接、表示层与应用层数据完全单向

北京科东电力控制系统有限责任公司 12

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库StoneWall-2000反向型网络安全隔离装置技术白皮书(1)(3)在线全文阅读。