大家都知道,一般没有接入Internet的网络,称为局域网,俗称内网。反之,接入Internet的网络,俗称为外网。随着信息与工作的联系越来越密切,现阶段各单位内部网络(简称内网)的电脑或单机电脑接入国际互联网(简称外网)越来越多,普及化相当迅速。但与此同时,我们也正受到日益严重的来自网络的安全威胁,Internet给人们带来了诸如网络的数据窃贼、黑客、病毒、特洛伊木马,甚至系统内部的泄密者等很多可怕的东西,数据被篡改和窃取、文件被破坏。所有这些不安全的因素,不但威胁到互联网的发展,更重要的是威胁到已建立起来的机关单位或企业的内部网运作,特别是银行、电信、部队、公安、电力等关键部门,直接威胁正常业务工作。
而几年前,国家已经明确规定,电子商务和电子政务等网络应用的内网和外网之间必须要物理隔离。物理隔离是指内部网不得直接或间接地连接外网,而物理隔离典型的安全产品就是物理隔离卡、物理隔离集线器、以及物理隔离网闸,其中以物理隔离网闸最为先进和安全。所以,今天来为大推荐几款优秀的产品,希望能够为电力、铁道、金融、银行、证券、保险、税务、海关、水利、交通、民航、社保、石化等行业部门的采购员提供有帮助的信息。
(1)联想网御SIS-3001安全隔离网闸 参考价格:14万元
产品分析:
联想网御SIS-3000系列安全隔离网闸是一套比较经典的网络链路层物理隔离设备,产品包括SIS-3001、SIS-3002、SIS-3003、SIS-3004以及SIS-3010等多个型号。这款网御SIS-3001安全隔离网闸是在两个相互物理隔离的网络间安全、高速、可靠地进行数据交换的网络安全设备,使用高速安全隔离电子开关,只支持单向网络连接,即外网连通则内网不通,内网连通则外网不通,保证内外网在物理链路层上是完全断开的。而且它的安全隔离与信息交换系统在技术实现上采用多主机隔离结构。交换模块采用专有硬件设计,通过专有安全芯片实现内外网数据的交换,使得系统具有高度安全性,同时也具有很高的交换性能。系统从硬件层面实现了内外网安全隔离,保证任意时刻内外网间没有链路层连接,数据只能以专用数据块方式静态的在内外网间进行“摆渡”,通过对连接和数据包的获取、阻断、分离、检测、重组、交换、恢复、连接等一系列安全操作完成数据的隔离与交换。
而在管理功能方面,网御SIS-3001采用嵌入式安全操作系统,通过对系统内核的安全增强,实现了强制性访问控制,取消超级用户的部分权限,保护重要进程和文件,有效保证了系统本身的安全;内外主机分别具有独立的网络和管理接口,实现了工作网络和管理网络的分离;而且系统管理和日志管理分别需要不同用户权限,而且在同一时间只支持一个管理员登录管理。
另外,网御SIS3001采用了模块化设计,包括文件交换模块、FTP访问模块、邮件交换模块、邮件访问模块、安全浏览模块、数据库访问模块、数据库同步模块和定制TCP/UDP模块等,可以较好地满足用户复杂应用和多种需求。而且接口也比较齐全,前面板和背板分别为内外网主机提供了外接接口: 3个10/100M自适应以太网接口、2个COM管理接口、2个USB接口和1个电源开关。
编辑点评:
在既要保证内部网的绝对安全,又与外部网络进行数据交换时,这款网御SIS3001安全隔离网闸是比较不错的解决方案,其功能细致、全面,管理控制简单,安全性高。而且用户可以根据自身的需求来购买相应的模块,实现“有用则买,无用则弃”,极大地为用户节约了购置开销,非常适合于政府、军队、金融、税务等对安全性要求很高的单位网间的非实时信息交换环境。
(2)伟思安全隔离网闸VIGAP300 参考价格:27万元
产品分析:
这款伟思安全隔离网闸VIGAP300采用独特的“2+1”安全体系架构,通过基于ASIC芯片技术设计的专用隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。针对大型网络的应用提供了双机热备份功能,VIGAP300实现系统的稳定可靠运行。而且除了采用更高端的处理系统、内存以及接口以外,VIGAP300还设计了最大支持32台设备的负载平衡系统来实现高可用性。
在安全方面,VIGAP300具有网络隔离功能,通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击。在设备两端内置了IDS入侵检测引擎,可有效保护系统自身及受保护网络免受攻击者的频繁攻击。具备完善的SAT功能,身份认证功能也很强大,除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。另外,VIGAP300还具有安全代理服务功能和AI安全过滤功能,能够根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。而且VIGAP300在AI功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。
再有的是,VIGAP300系统内嵌防病毒引擎,可实现对内外网摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。还具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,相当不错。
而系统管理也非常轻松,VIGAP300提供了一个良好的用户界面,以树型结构组织对象,可在所有规则中共享所有的对象定义(例如:用户、主机、网络和服务等等),以便进行有效的策略创建和安全管理。而且能够监控并记录系统状态,全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息。
编辑点评:
伟思VIGAP300是一款面向大型网络的安全隔离系统,其集成了多种安全技术手段,采用强制安全策略,对数据内容进行安全检测,保障数据安全、可靠的交换,而且在提高和保障用户的网络安全时,最大限度的保证了用户应用的方便性,适合各类党政部门、军事单位、金融电信、科研院校及企事业单位的关键部门使用。
(3)中网物理隔离网闸X-GAP 8500 参考价格:45万元
产品分析:
中网的这款物理隔离网闸X-GAP 8500是基于X86架构的,使用开放源代码的FreeBSD平台,对其进行了嵌入式改造以及安全改造,并添加了自有的网闸功能模块。2U机架式产品,由两个1U单元堆叠而成,两个单元完全对等,采用了目前国际上主流的SCSI技术,各配有一对高速SCSI外置接口、一对RJ-45以太网接口、PS/2键盘、鼠标接口、15针VGA接口以及串口,电源插口也各设有一个。系统采用2+1架构,外部主机、内部主机和固态存储介质的隔离硬件。在100M以太网的环境下有80M的吞吐性能,在千兆环境下有800M的吞吐性能,支持同种数据库之间的数据同步,还支持异种数据库之间的数据同步。目前支持的数据库包括Oracle,Sybase,MsSQL,MySQL等。
在数据交换方面,X-GAP 8500采用了高速SCSI通道来连接两个单元,使用两个通道完成I/O操作。通过SCSI来模拟拷盘,确保断开OSI面向的全部七层,阻断网络的链路层、网络层、传输层和应用层的直接连接。即两个网络间不能直接转发IP包,两个网络之间不能建立TCP连接,可消除攻击和网络入侵的危害。而且X-GAP 8500还支持白名单黑名单、内容过滤、数字签名、病毒查杀、身份认证、访问控制和安全审计等多种安全技术,对传输数据的类型、内容等进行检查和过滤,支持禁止URL路径和文件名的高安全性机制,提供可信任的专用信息交换服务。对于自身的安全性,X-GAP 8500还提供了强有力的防护,它具有防扫描、防入侵和防攻击的功能,能够正确处理网络的恶意流量,使自身业务不受影响。
在管理方面,X-GAP 8500没有使用Web配置界面,而是使用了专有协议和客户端XGAP配置管理工具完成管理和配置。这种方式虽然损失了Web的通用性,但是具有更高的安全性,也可以在一定程度上避免由于运行Web服务器而造成的网闸设备性能降低。而且配置管理工具也提供了丰富的配置选项,在系统配置部分,用户除了能够设置内外端机的IP地址参数和管理员口令之外,还可以对内外两个单元的运行时间、系统资源利用率以及当前活动会话等主要状态信息进行监控。
编辑点评:
X-GAP 8500拥有较好的安全性、稳定性和应用灵活性,并具有丰富的功能和优秀的性能,既保持了多个网络间物理隔离的特性,同时又提供了一种安全、有效的数据交换途径,是既隔离、又交换的最佳安全产品,很好地满足用户高可用性的要求,遍适用于银行、保险、证券等不同金融领域。
(4)宇宙盾安全物理隔离网闸ND101-D 参考价格:18万元
产品分析:
ND101-D是宇宙盾一种专门用于内部网和外部网以及内部不同密级网络之间的隔离和安全防护而设计的双向网络安全物理隔离网闸,具有比较高的自身防护特性,可以阻止器来自从任何协议层发起的攻击、入侵和非法访问。独特的“整体网络安全防护的设计理念”和操作系统防病毒加载技术彻底消除了病毒和木马的生存基础,具有一般防火墙和安全隔离网闸无法比拟的自身防护能力。其安全隔离功能强大,它可以对每一台连网主机的传输方向的进行控制和管理。为用户网络连接和隔离提供了极大的人方便。用户可以根据不同的安全要求灵活的管理每台计算机和服务器的传输连接。
在网络安全技术方面,ND101-D具有先进的抗病毒内核以及最先进的认证技术和加密技术,可以有效地防止常见的对认证系统的“重放攻击”、“中间人攻击”和拒绝服务攻击。为保证传输加密的高度可靠,系统采用“一次一密钥”的加密方式。认证后,隔离装置将为每一次连接提供一个密钥,用于传输数据的加密和解密,密钥不断地变化,决不重复。而且独有的隐身技术使黑客根本无法发现设备的和受保护网络的存在。
而且ND101-D提供了丰富的网络连接功能和传输安全控制功能,可以适用于许多不同的应用领域的网络安全和信息安全的防护。还采用先进的线速处理技术,具有卓越的数据传输能力和极高的数据吞吐能力。拥有方便的用户使用接口和界面,极大地简化了用户的使用和维护的工作量,很不错。
编辑点评:
ND101-D提供了丰富的网络连接功能和传输安全控制功能,可以适用于许多不同的应用领域,能够广泛适用于政府、税务、银行、石化、铁路、冶金、公安、军队、电力、海关、保险、电讯和教育等各行业涉密网与外网或公网的隔离或者安全性级别高的内部网络与安全性级别较低的内部网络的隔离和关键服务器和设备的防护。
有效防止掉线,防ARP的优秀路由器选购
中小企业采购员必看,优秀的UTM安全设备推荐
大中型企业看过来,世界大牌中高端防火墙点名
