FerryWay技术白皮书(4)

上海金电网安科技有限公司

? 协议通道所允许的最大并发用户数

? 协议通道可按照管理员设臵定时自动开启/关闭

4.4 工作模式

FerryWay提供两种工作模式：代理模式和转发模式。 在代理工作模式下，FerryWay的协议分析部件从用户发来的协议信息包中分析出实际的连接目标，并和这个连接目标进行信息交换。

FerryWay的转发工作模式应用于固定目的服务器地址和端口的

应用场合，管理员在设臵通道的时候配臵好相应的目的服务器地址和端口，FerryWay的某条通道在接受客户端连接并确认身份后即向固定目的服务器固定端口发起连接。

FerryWay支持的两种工作模式相辅相成，可以胜任更多的应用场合。

4.5 应用协议信息交换

除了受控协议通道的基本安全设臵之外，FerryWay的各种协议

分析模块分别提供相应的安全控制机制。 自定义协议信息交换：

FerryWay在基本的受控通道的基础上可以根据用户的需求进行

新的自定义通信协议的开发。新的通信协议具有多种扩展功能：

技术白皮书——安全隔离与信息交换系统FerryWay 2.0 16

上海金电网安科技有限公司

? 自定义协议通道可以采取代理工作模式或者转发工作模式； ? 自定义协议通道可以直接使用现有的全部通道基本设臵； ? 自定义协议通道可以直接引入已有的其它协议通道的安全功能；

? 自定义协议通道可以根据需求开发新的专用协议处理功能； 自定义协议通道得益于FerryWay设计上的强大的可扩展性，它使得FerryWay具有了很大的灵活性，能够适应多种应用领域。 HTTP协议信息交换：

FerryWay的HTTP信息交换有两种工作状态：客户端保护状态和

服务端保护状态。HTTP客户端保护状态的主要目的是保护内网的用户不受到外网Web站点上有害内容的攻击，本工作状态对应于受控通道的代理工作模式；服务端保护状态的主要目的是保护内网的Web服务器不受外来访问的攻击，本工作状态对应于受控通道的转发工作模式。除了基本的配臵之外，FerryWay在HTTP协议加入了多种安全策略供管理员配臵，包括：

? 本协议通道可以访问的URL清单。 ? 本协议通道是否过滤有害的脚本。 ? 本协议通道需要过滤的敏感关键字列表。 邮件相关协议信息交换：

FerryWay对邮件相关协议的处理可以看作是一个安全的邮件信息交换平台，用户可以使用常见的邮件客户端工具（如outlook和foxmail）并设臵在互联网上的公共邮箱实现邮件信息交换。FerryWay

技术白皮书——安全隔离与信息交换系统FerryWay 2.0

17

上海金电网安科技有限公司

在邮件相关协议的处理中加入了多种保护邮件的功能。

? 对邮件的主题及内容进行过滤，可以有效地防止内部机密信息的泄漏。

? 限制邮件的大小，可限制大附件的邮件。 ? 限制邮件中的执行脚本。

? 限制垃圾邮件，保护用户不受垃圾邮件的干扰。

? 检测管理员设臵的附件文件名的安全规则，阻断规则所禁止的邮件。

FTP协议信息交换：

FerryWay提供的FTP协议通道主要保护内网FTP服务器不受攻

击。除受控通道的基本安全支持外，FTP协议还可对使用FTP通道所传输的内容进行内容过滤和病毒查杀。 Telnet协议信息交换：

FerryWay提供的Telnet协议通道主要保护内网的Telnet服务

器不受攻击，Telnet协议处理模块对通过FerryWay的用户Telnet命令暂存并作分析以阻止有害的信息进入而造成危害，同时对用户登录后进行的动作做全面的审计记录。

4.6 入侵检测

FerryWay系统借鉴了开放源码软件snort的体系结构，构建了一个基于网络的入侵检测系统（NIDS）。它能够在网络上检测原始的

技术白皮书——安全隔离与信息交换系统FerryWay 2.0 18

上海金电网安科技有限公司

网络传输数据，分析捕获的数据包，通过匹配入侵行为的特征或者从网络活动的角度检测异常行为，对发现的不正常行为作相应的审计记录，供管理员随时查询。即使发生意外，管理员亦可以从入侵检测记录中找到事故的原因并找到线索，采取相应的措施。FerryWay系统预先设臵了完备的入侵行为特征规则库，无须系统管理员配臵。

4.7 查杀病毒

针对目前互联网上以病毒为主的信息攻击，FerryWay集成了强大的杀毒引擎。目前针对邮件病毒的危害，采用的杀毒引擎能够快速检测被病毒感染的文件。若能将邮件病毒先删除，则先删除病毒再发送邮件；若不能删除邮件中的病毒，则抛弃该邮件。无论能否删除邮件中的病毒，都向管理员和发信人发送告警邮件。

4.8 数字证书

FerryWay系统可以很好地和数字证书体系相结合。根据用户的

需求将数字证书引入应用协议通道中。数字证书作为原有用户身份鉴别系统的有力补充使得FerryWay的功能更为强大。

5、安全隔离与信息交换系统FerryWay 2.0性能

1) 带宽：

技术白皮书——安全隔离与信息交换系统FerryWay 2.0 19

上海金电网安科技有限公司

系统的物理传输速率达到400Mbps。用户访问外网的带宽通常由外网路由器的带宽所决定，不会因为本系统受到影响。 2) 时延：

通过浏览器访问Internet网站的时延，通常由外网产生的时延决定，本系统产生的时延小于0.1秒。 3) 最大受控通道数：

FerryWay上最大可以允许256个并发的受控协议通道，支持256种不同的协议同时处理。 4) 最大连接数：

系统中单个协议通道的最大并发连接数为32767； 系统中所有协议通道的最大并发连接数为65535。 5) 用户数：

本系统最大可支持1024个用户。

6、安全隔离与信息交换系统FerryWay 2.0应用

6.1 涉密单位FerryWay应用

FerryWay针对涉密系统采用了专用硬件进行数据交换，并由仲裁机负责完成安全保密检查。因此，FerryWay可以在安全隔离的基础上，实现内外网之间有效、安全、受控的数据交换。系统在涉密单位主要应用在以下场合：

技术白皮书——安全隔离与信息交换系统FerryWay 2.0 20

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库FerryWay技术白皮书(4)在线全文阅读。