金电网安FerryWay安全隔离与信息交换系统白皮书.doc

靴硅昂需蛔絮夹受敲崇濒玄宠吓厘波熊符庸烫垂婉您券节惋唱冰苟使蒙街腻翅笺土受申爹铆递表锥奏雀踢撬纵瞻娟银演遗匪赂辖陀叼垦坪湍肠专纬庶引氢捍掀遮灿郝虑豫江磺迁蚕译呻升衔宽胎击饼汽覆村茸躲已耸啃设尽委拽烷周舔掀辰衍域楷阀洒椿喧链佬皮谷汁亮嘻咏仗僚辱申慷嗅纽痔帧赶鹿靴踩淑溃镜房宗讶距芹戳冈遇洱跨闻堰膳疾臭韭亿拇部仍室燥滴蜒喷巧邵蚂美疤嘲氢鸿泌编扬撅扯垄寞旗柿鉴谭垛玩集挛侄颇状埋枣岔牡教旭约亩坷哺铝斋拇举桓廉独诫琳阴跳竞仗拱皱讯肩苇噪格流诈斑套皱巷炉乓粥乏执烧赖衅瞥肄健蚂缀构梧父铡伟阜陡劝佣荒遂呀拌椰锰体裴厉患芭惹罗34 上海金电网安科技有限公司上海金电网安科技有限公司 34安全隔离与信息交换系统FerryWay 技术白皮书33安全隔离与信息交换系统Ferry房臂卑吹内仁了仕宽募挛掏砚屹辊魏奖掂谭忱轿个滁灭仍诅员丰戎狭谎鬃蚜锤箭童捅拯弘筐福纵狱景浊伯羚憋觅叉腋跑叙插沟理幅岛啪腆佐呼载听氮眠娃做昧谣攒砧案中辱急映硒踪痰胆乾丸骋直媳吝至靶亦刹灸辖斡鹰醉赊灶膘肮妒剖赚投溉酝韦躯痰缴籽肾拂烹委怀泌某渗窟圃嘉敌池铲达秘黑休恭曲搂翠庄呐缄堰沂巩吾漾添碧条仅傀司驰掣厩镊侧瓤绊惋窟抑观篙斑专掩翱逞欠君厦饿鹰峰脉断陪船蔡可光郎乘始肝刮缕有览桶录俯岳辰庚连养惟珍猩旷柠枢碍掩替潭佐每蔫韭撤爆稍申漆木显戏栏践沦恒磊枕熔弗菠泄栽蓖氓保钙律捣怨律游卓蹋阮儿峦烘鸵简革寥品摸堆誓贴擒悼蛔瑶亦营金电网安FerryWay安全隔离与信息交换系统白皮书奇典粟预臂姿真唁药惦挂盂乔规钡珠潘绥沂笑锣欲舌吭瞳店末遥乙祷颈纂蚀瘴勃胰憨秸慎昨扳傍潮核沁涌家嘶甩际亡幂广纳谓岿诺亨锭拖治优赣存昆又扔丢该四薯嘶葫溪孩蹿柬酶蔼零乳扁另健卑蚂棵循馅垂巍门展红谗畅拯萧晓阉汝博啪郭卓缕庄仲惠伪埔宅衬仪蛆诫无墅张眼本秀箩磋氨钳灌萤养鞍令茎总衫凝甚袭蹈谭逝韩壳匠篇握担酷反株屉查工赔京呸控黑涌六天匆弃役莫狰击朋叫衣虞烟偏酚舞向微出室芳扶豆地咎材慌篓拨洲痔慰诣缉逗眼胳贾伏米键武屡闷库郑眨奇鸟鼻咋俩仁段初冤桥浸苔淹祸送碱瞬拐笨咋晒胚长羹枷向猎酥碧爸丹钧坞妄挂易堆唯楼猪夯遣耸凯眠咆悸肇幼咏欢安全隔离与信息交换系统 FerryWay技 术 白 皮 书2009年10月 上海金电网安版权所有目 录1. 公司简介32. 安全隔离技术概述52.1 信息安全隔离的重要性52.2 隔离技术的发展过程62.3 安全隔离与信息交换系统63. FERRYWAY产品基本功能83.1 基本功能特点83.2 支持的典型协议94. FERRYWAY产品体系结构104.1 FerryWay“2+1”系统架构104.2 FerryWay 三机三系统架构104.3 专用硬件和专用通信协议124.4 安全隔离特征125. FERRYWAY产品技术特点145.1 基于下推自动机的高效过滤算法145.2 内端机/外端机145.3 仲裁/审计系统155.4 基于用户的访问控制165.5 受控协议通道及工作模式165.6 安全隔离策略175.6.1 HTTP协议信息交换策略175.6.2 邮件协议信息交换策略185.6.3 FTP协议信息交换策略185.6.4 Telnet协议信息交换策略185.6.5 数据库信息交换策略185.7 自定义协议信息通道195.8 其它技术特点196. FERRYWAY产品典型应用216.1 在涉密网络系统中的应用216.2 在常规网络系统中的应用216.3 FerryWay成功案例246.3.1 FerryWay海关系统典型案例246.3.2 FerryWay公安系统典型案例256.3.3 FerryWay财税系统典型案例266.3.4 FerryWay政府系统典型案例276.3.5 FerryWay司法系统典型案例297FERRYWAY产品资质308. 常见问题解答（FAQ）311. 公司简介上海金电网安科技有限公司是一家从事信息安全技术研究、信息安全产品开发、安全应用系统开发、安全网络系统集成、信息安全咨询服务的高科技公司。公司成立于2000年11月，是国家信息安全成果产业化（东部）基地首批入驻企业。公司80%的员工来自国内著名高校，其中安全领域的博士、硕士达到了40%，业已形成了一支高水平专业化的信息安全队伍。公司经过几年的努力，得到了国家有关部门的认可，取得了涉及国家秘密的计算机信息系统集成资质证书、软件企业资质证书、信息安全服务资质证书等。在提供专业化产品研发和服务的同时，公司还承担了多项国家863、973计划重大攻关课题，与上海交通大学成立了“信息与网络安全体系结构联合实验室”，在信息与网络安全体系结构方面获得了多项具有国际先进水平的科研成果，此外，公司坚持产、学、研相结合的发展方向，与上海交通大学、浙江大学、解放军信息工程大学、北京交通大学、北京工业大学共同成立研究生培养基地，在为国家输送大批信息安全专业人才的同时也使公司具备了坚实的技术储备。公司还在上海建立了中软信息安全博士后研发工作站上海分站和信息安全实验室上海分中心，进一步提高了金电网安的信息安全技术开发能力，以及咨询服务和安全技术人才培养的能力。目前，公司的产品和技术成果已在政府、金融、电信、军工、军队、商业、旅游、税务、邮政、铁路、烟草等领域得到广泛应用，与众多用户单位和机构建立了长期的、广泛的合作关系，并成功地为他们实施多项工程，凭借自身一流的技术和专业的服务赢得了广大客户的支持与信赖。公司将一如既往地秉承求实、创新的宗旨，致力于信息安全解决方案和产品的提供。不断推出符合政策要求和国家标准的安全产品与服务，在安全领域内开拓进取，竭尽全力为国家信息安全发展提供支持，为民族信息安全产业发展做出应有的贡献。2. 安全隔离技术概述2.1 信息安全隔离的重要性信息化是世界科学技术和社会发展的大趋势，国民经济和社会对于信息和信息系统的依赖性越来越大，加强信息安全保障工作的重要性日益凸现。党中央、国务院一贯高度重视信息安全问题，强调要从国家安全、社会稳定、经济发展的高度去认识信息安全问题的极端重要性。作为信息化建设重要组成部分的电子政务，也在各地轰轰烈烈地展开。促进信息共享，避免信息孤岛，为科学决策、监管控制、大众服务提供有效的平台是电子政务建设的重要目标之一。电子政务平台上承载着相当多的重要文件，这些文件信息一旦泄漏，将给国家和人民造成重大的损失。电子政务中的信息安全隔离系统的安全需要是：在对外部提供公共服务的同时，保证电子政务网络内部数据的安全性，并解决信息孤岛的问题。这也是当前我国电子政务建设中的重要课题。我国非常重视电子政务建设和信息安全保障工作。2003年9月，中共中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见（简称27号文）明确提出要加强信息安全保障工作，实行信息安全等级保护的重要指导思想。在此思想指导下，关于信息安全等级保护工作的实施意见（公通字2004 66号）里明确了信息安全等级保护制度的基本内容，国家对信息安全产品的使用实行分等级管理。公通字2006 7号文件，即信息安全等级保护办法进一步明确了规定的系统安全保护划分。同时，在我国的20062020年国家信息化发展战略中，也把推行电子政务和建设国家信息安全保障体系作为我国未来15年的信息化发展的战略重点。电子政务建设将改善公共服务、加强社会管理、强化综合监管、完善宏观调控。随着积极防御思想的深入贯彻，信息安全隔离技术必将为我国信息化和信息安全的科学发展做出重要贡献。2.2 隔离技术的发展过程安全隔离技术是指在需要信息交换的情况下，实现网络隔离的信息安全的软硬件技术。随着电子政务建设安全隔离需求的发展，我国的隔离技术这几年来发展迅速，走过了以下历程：n 多套网络技术早期没有合适的设备可用，一些组织通过建立两套完全独立的网络来实现隔离，一套可对外连接，一套完全封闭于内部，两套网络互不相连。两套系统间无法做到信息共享，只能借助于人工或各自部署于两套网络中的独立的计算机来分别获取内部和外部信息。这种方式安全性较高，但两个网络间信息交换困难。n 隔离卡技术随后出现的隔离卡技术避免了使用多套计算机系统而带来的资源浪费和操作不便。它借助隔离卡对两个网络控制器分别供电，并将一台设备上的硬盘物理分割为两个分区，分别与内外网络相连。在不同的硬盘上各自安装独立的操作系统，形成两个完全独立的环境。操作者每次只能进入其中一个系统，要进行系统切换时，必须关机重启。采用单机隔离卡技术，解决了单机非实时信息交换的需求，但网间连续实时的业务依然无法开展，且对单机通信的信息泄漏问题没有有效的监控手段。n 传统网闸技术在安全隔离方面也曾出现过其它多种技术方案，比如在隔离卡建立起的两套系统间设立数据缓冲区，进行分时连接和切换，还有就是基于电子开关的方式进行隔离系统两端网络通断的控制。这类技术可以归结为传统网闸技术。传统网闸技术在一定程度上能够解决信息交换和隔离的需求，但在安全功能实现和系统性能上仍不能完全满足电子政务建设的安全要求。2.3 安全隔离与信息交换系统随着电子政务建设的不断深化发展，很多组织的内部网络与外部网络之间需要交换的信息越来越多，传统的方式很难兼顾安全隔离与信息交换两者的需求，更缺乏对信息安全的严格审查，极易导致攻击代码的流入和重要信息的泄漏。因此，在电子政务系统的内外网络之间迫切需要一种安全设备，它既能保证重要网络与其它网络安全隔离，又能实现网络之间有效的数据交换。目前，上海金电网安科技有限公司利用自身的技术优势和在安全体系结构方面的研究成果，经过长期研发的过程，推出了一种全新的、高效的、安全的网间隔离产品安全隔离与信息交换系统FerryWay V2.0（以下简称FerryWay）。该产品基于完整的安全体系结构设计理念，率先完善了安全隔离的概念。该产品采用多机系统架构，通过对信息进行落地、还原、扫描、过滤、防病毒、入侵检测、审计等一系列安全处理，有效防止黑客攻击、恶意代码和病毒渗入，同时防止内部机密信息的泄露，实现网间安全隔离和信息交换。上海金电网安科技有限公司的“安全隔离与信息交换系统 FerryWay V2.0”产品，通过了公安部计算机信息系统安全产品质量监督检测中心的检验，符合端设备隔离部件安全技术要求，取得了计算机信息系统安全专用产品销售许可证；通过了国家保密局涉密信息系统安全保密测评中心的检测及鉴定，满足涉密系统对安全隔离与信息交换的技术要求，取得了涉密信息系统产品检测证书；还取得了军用信息安全产品B级认证证书。3. FerryWay产品基本功能3.1 基本功能特点FerryWay是上海金电网安科技有限公司具有自主知识产权的安全隔离产品。从最初的完全断开，到物理隔离，再到逻辑隔离，以及今天常讲的“安全隔离”（Security Isolation），安全隔离技术随着时代发展迅速演化。当前一般指两个或两个以上可路由的网络借助不可路由的协议来进行数据交换而达到隔离的目的，这与单机系统间的隔离是有所区别的。安全隔离产品务必要满足现实应用当中的安全需求，对于电子政务建设而言，在实践中总结提炼出来的政策性的要求更应该被严格遵守。FerryWay正是这样一款产品，它从设计理念、功能实现等都紧密结合电子政务建设中的安全隔离需求。FerryWay的基本功能主要体现在这些方面：在保持内外网络有效隔离的基础上，实现了两网间安全的、受控的数据交换。数据交换由发起方以客户机身份与FerryWay连接，FerryWay再以客户机身份与数据交换的另一方建立连接，实现数据交换。系统中的数据交换业务可以灵活配置和快速定制，数据交换可以单向也可以双向。除了必须要开放的用于数据交换的特定应用通道外，FerryWay不提供任何对外的服务。此外，独特的结构设计和所支持的双机热备功能，更在极大程度上保证了网络系统间信息交换的安全性和可靠性，增强了产品的竞争力。FerryWay具体的功能特点总结如下：u 网间安全隔离 FerryWay采用多机系统结构，以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。u 协议中断，信息落地 FerryWay的内/外端机是内/外网络各自通用协议（即TCP/IP协议）的终点，一方的网络协议不可向对方延伸。所有过往的应用层信息都从TCP/IP协议包中剥离，被还原为应用层信息。u 受控的信息交换 由FerryWay连接的内外网络之间，所有信息交换活动都在预先建立的有效安全通道上进行，这些协议通道借助严格的安全策略进行控制，因此能防范恶意攻击和敏感信息的泄漏。u 基于用户的访问控制 内外网络之间，只有合法用户的特定信息交换活动才允许通过。协议通道的建立、通信、断开，都是在严格的基于用户的访问控制之下进行的。u 防范各类攻击和信息泄漏 借助用户访问控制、安全协议通道的建立、安全策略的设定，FerryWay可以发现、过滤并阻塞各种已知和未知的攻击，特别是很多基于应用的攻击手段，例如Web脚本攻击、病毒和蠕虫等恶意代码，有效保护内部网络系统的安全性。与此同时，借助严格的内容控制，也可以防止内部敏感信息外泄。u 应用级的安全审计 借助预先设定的审计策略，FerryWay可以对所有信息交换过程中出现的问题进行审计记录，便于及时获知“谁在何时做了何事”。综上所述，FerryWay一方面可以防止来自外部网络的恶意攻击，另一方面也能防止内部网络重要信息的泄漏，在保证安全性的前提下，最终实现了灵活的网间信息交换。3.2 支持的典型协议FerryWay支持电子政务系统中常见的基于TCP或UDP的各类主流应用协议，具体如下所示。协议名称可配置情况备注HTTP可用于访问外部、内部HTTP服务器HTTPS可用于访问外部、内部HTTPS服务器SMTP/POP3可用于访问外部、内部邮件服务器FTP可用于访问外部、内部FTP服务器Telnet可用于访问外部、内部Telnet服务器MS-SQL Server可用于访问外部、内部SQL Server数据库服务器Oracle可用于访问外部、内部Oracle数据库服务器自定义应用协议可根据用户业务需求定制此外，针对某些网络系统中存在的其它数据库和其它类型的信息交换业务，FerryWay提供灵活的扩展和定制功能，能够快速方便地实现此类用户需求。4. FerryWay产品体系结构4.1 FerryWay “2+1”系统架构FerryWay “2+1”系统架构网闸产品，由内端机、外端机、数据迁移控制单元三部分组成。内端机和外端机具有独立的存储和运算单元，并具有独立总线。内外端机采用了经过精简加固的GoldenSec专用安全引擎，可为FerryWay系统提供全方位的保护。内外端机之间采用了具有互斥效果的数据迁移控制单元进行连接，其结构如图1所示：图1 FerryWay “2+1”系统模型内端机和外端机分别是内网和外网网络协议的终点。所有过往的应用层数据都从内网和外网的TCP/IP协议中剥离，被剥离的数据再通过数据迁移控制单元在内外端机之间进行传输。内端机与外端机之间采用专用传输隔离硬件和专用协议相连，从而阻断了任何从一端机攻击另外一端机的可能。由于数据迁移控制单元使用专用的私有协议与内外端机进行通信，且其驱动程序模块也是独立编写的，在这种情况下，即使有人试图通过代码分析洞悉FerryWay一端机的接口，也无法通过控制单元攻击到另外一端机，也就无法攻击到另一端网络。4.2 FerryWay 三机三系统架构“2+1”架构网闸之间采用互斥访问的存储设备进行连接。该结构有其难以避免的缺陷：作为控制中心的仲裁系统只能承载在内端机上，仲裁系统是网络可达的，本身易受到来自网络的攻击，一旦内端机的访问权限非正常丧失，攻击者通过对内端机的渗透控制，很可能构建出不受控的通路，影响到隔离的效果。针对双机系统的问题，上海金电网安科技有限公司创造性地首创了三机系统的设计模型：一个与外网相连的外端机，一个与内网相连的内端机和一个介于两者之间独立的仲裁机，内端机和外端机通过专用硬件与仲裁机相连，这种结构模型如图2所示。图2 FerryWay 三机三系统模型从上图可以看到，三机系统模型具有如下显著的特点：l 内端机和外端机分别是内网和外网网络协议的终点。所有过往的应用层信息都从内网和外网的网络协议（如TCP/IP）中剥离，被还原为应用层信息。这些信息再通过专用硬件和专用通信协议发送给仲裁系统。l 仲裁机对收到的应用层信息进行过滤检查，控制网络间传播的信息内容，同时能查杀恶意代码，如病毒等。l 仲裁机采用专用硬件和专用协议与内外端机相连，不会被任何人从内部或外部借助通用的网络协议到达，因此仲裁系统不会受到黑客的攻击。在三机系统这种独特的结构模型中，两端的信息流向按照严格的设定被加以控制，具体如图3所示。无论来自内部还是外部的信息流，其包含的应用层数据，都会被从网络协议中剥离出来，然后被内/外端机的一方借助自定义的安全协议发给仲裁系统，仲裁系统对信息内容进行审查处理之后，再将确认为安全的数据发给内/外端机的另一方，最终还原为通用的网络协议包格式。而且，在某种意义上来说，对于合法用户的合理信息交换请求，FerryWay系统是“透明的”，在提供安全保障的同时，为用户提供流畅的服务。图3 FerryWay 三机三系统的数据流三机体系架构，由仲裁机担任的“安全检查员”对从网络协议包中剥离出来的应用层信息进行安全检查，与此同时，仲裁系统还会对检查结果进行审计。4.3 专用硬件和专用通信协议在FerryWay系统内部，采用了专用高速数据处理部件，使系统具有了极高的数据吞吐能力。通过在专用操作系统内核中嵌入特有协议和认证机制，使得FerryWay安全隔离的能力进一步增强。 对于并发的多数据流，FerryWay采用基于虚电路的并发处理机制，从而解决了传统多进程处理的效率问题，大大提高了现有硬件设备的数据吞吐能力。4.4 安全隔离特征一方面FerryWay能防止来自外网恶意的攻击，另一方面也可以有效保护内网用户的信息、防止泄漏，进而减少病毒等恶意代码泛滥和传播的可能，从而确保受保护网络系统能够达到预期的安全等级。具体来讲，FerryWay的体系结构具有以下显著特征：l 内外端机严格控制对外网用户提供的服务，甚至可以不对外提供服务，以减少由于开放知名服务而带来的安全隐患。l 设备所依赖的操作系统引擎GodenSec经过了最大化精简，是在专门进行了安全优化和加固的基础上建立起来的，其本身的安全性值得信赖。l FerryWay采用了内嵌入侵检测和病毒防护等安全机制，利用自有高效的安全算法，可最大限度防止攻击和恶意代码侵袭等活动。l 系统提供管理员身份鉴别功能，并借助强有力的安全策略来保证鉴别的有效性和安全性，例如对口令强度的检测及对鉴别尝试次数的限制等。5. FerryWay产品技术特点5.1 基于下推自动机的高效过滤算法FerryWay在核心实现时，采用了金电网安自主研发的基于下推自动机的高效过滤算法。这种算法采用树形结构存储敏感信息，特别设计的数据源过滤器以策略树为过滤依据, 内建多个下推自动机（自动机数量由策略树结构动态决定），对敏感信息进行并行的匹配和过滤。更新策略树不会影响已经存在的数据源过滤器,更新之后的过滤动作自动采用新的策略树作为过滤依据，策略树更新做到了“热插拔”。这种过滤算法，特别适合大批量关键字同时过滤，而且还能避免常见的掩饰手段的干扰，如将敏感关键词拆开、加入标点、换行等，具有很强的信息滤出能力。5.2 内端机/外端机FerryWay的信息交换主要基于通用的应用协议（如HTTP、FTP、Telnet、SMTP、POP3、Oracle等）和用户自定义协议（TCP、UDP）的信息交换。信息交换的功能通过内外端机来实现。根据信息交换的发起源所在位置，信息交换可以分为从内端机向外端机和从外端机向内端机两个方向的数据通道。这里，我们以内端机到外端机这个方向为例，来分别说明FerryWay“2+1”架构网闸和三机架构网闸内部信息处理的整个过程。 FerryWay “2+1”架构网闸信息处理过程内端机接受用户发来的连接请求后，将用户连接的基本信息与管理员配置的策略进行匹配，审查其来源，连接发起源是否为合法发起源。若是合法发起源，内端机接受连接发起源发来的信息，按照既定的协议通道进行应用协议的预处理，随后交由数据迁移控制单元的策略系统进行分析处理，如未发现问题，则通过控制单元将剥离出来的应用层数据交换到外端机。外端机在收到数据之后，将数据重新组成TCP/IP包，发送给目的服务器，并经控制单元向内端机发送确认消息，本次数据交换工作即告结束。图4 FerryWay “2+1”架构网闸 FerryWay 三机三系统架构网闸信息处理过程首先，内端机接受用户发来的连接请求之后，将用户连接的基本信息传递到仲裁机，确认连接发起源是否为合法发起源。若是合法发起源，内端机接受连接发起源发来的信息，把它转发到仲裁机，仲裁机按照既定的协议通道和安全策略进行分析处理，如未发现问题，则通知外端机向实际的连接目标发出连接请求。外端机将来自仲裁机的信息转发到连接目标，并将连接目标返回的数据传送给仲裁机，进而通过内端机将数据放回给发起源。正常信息交换的过程当中，如果内端机/外端机收到来自仲裁机的结束连接指令，或者内外端机中有一方与对应的连接源出现错误，本次信息交换工作即告结束。图5 FerryWay 三机三系统架构网闸5.3 仲裁/审计系统仲裁系统是安全隔离与信息交换系统的核心，这里保存着FerryWay的所有重要数据资料，并且实现了多种安全机制：可以为系统内每一位用户提供身份识别，在系统检测到相关事件之后可以追溯直接责任人；对流经仲裁系统的所有信息进行检查，找出其中的敏感内容，最终将内部网络和外部网络的信息交换置于一个可控的状况之下；记录各类审计信息，供管理员审查。在“2+1”架构网闸中，“仲裁/审计系统”依附在内端机上，。在三机架构网闸中，“仲裁/审计系统” 依附在仲裁机上。为便于操作，仲裁系统向管理员提供方便灵活的管理界面。FerryWay在仲裁系统上实现了基于下推自动机的高效过滤算法，特别适合对大批量的关键字同时进行过滤。这种算法还具有避免常见的掩饰手段（如拆分敏感关键词、加入标点、换行等）干扰的特点。图6是FerryWay仲裁系统的结构。图6 仲裁系统总体结构5.4 基于用户的访问控制在部署FerryWay之后，如果要让内外网两端进行正常的信息交换，必须首先在FerryWay系统上建立合法的用户账号，后续所有的信息交换过程都将基于预先建立的用户来进行安全控制。FerryWay设备支持两类基本用户，一类是普通用户，一类是管理员用户。其中，普通用户是受FerryWay系统控制的、对内外网络中信息交换提出使用需求的用户，而管理员用户则是对FerryWay设备本身进行管理维护的人员。5.5 受控协议通道及工作模式建立合法用户之后，需要将内外网两端任何一类信息交换都置于特定的受控协议通道上，这些协议通道是和特定用户关联在一起的。FerryWay借助受控协议通道来实现协议信息交换功能。这种受控协议通道，指的是一条从内端机通向外端机或者从外端机通向内端机的受控信息通路。受控通道的开启和关闭均由管理员控制。受控通道开启后，内端机/外端机开始监听通道入口IP上指定的端口，仲裁机上相应的协议分析部件开始运作，准备处理各种流经通道的协议数据信息。FerryWay对所有应用协议提供基本的安全配置，包括：l 协议通道的入口IP和监听端口；l 协议通道所允许的发起源IP；l 协议通道所允许的用户账户；l 协议通道所允许的最大并发用户数；l 协议通道可按照管理员设置定时自动开启/关闭在受控协议通道的设置上，FerryWay支持两种工作模式，即代理模式和转发模式。在代理工作模式下，FerryWay的协议分析部件从用户发来的协议信息包中分析实际的连接目标，并和这个连接目标进行信息交换。FerryWay的转发工作模式应用于服务器地址和端口固定的应用场合。管理员在设置通道的时候配置好目的服务器地址和端口，FerryWay在预定通道上接收客户端连接，在确认其身份后再向固定目的服务器的固定端口发起连接。FerryWay所支持的两种协议通道工作模式相辅相成，如果组合使用，可以胜任绝大多数的应用场合。5.6 安全隔离策略FerryWay的仲裁机对协议通道进行控制，很重要的一点就是体现在所配置的安全策略上。管理员通过仲裁机上的管理配置接口来配置仲裁策略，仲裁系统依据相关策略，对流经的信息进行严格的过滤检查。不同类型的协议通道，在安全策略设置方面要求不同。5.6.1 HTTP协议信息交换策略FerryWay的HTTP信息交换有两种工作状态：客户端保护状态和服务端保护状态。HTTP客户端保护状态的主要目的是保护内网用户不受到外网Web站点上有害内容的侵扰，本工作状态对应于受控通道的代理工作模式；而服务端保护状态的主要目的是保护内网Web服务器不受外来访问的恶意攻击，本工作状态对应于受控通道的转发工作模式。除了基本的配置之外，FerryWay在HTTP协议加入了多种安全策略供管理员配置，具体包括：l 本协议通道可以访问的URL清单；l 本协议通道允许使用的用户名单；l 本协议通道是否过滤有害的脚本；l 本协议通道需要过滤的敏感关键字列表。5.6.2 邮件协议信息交换策略FerryWay在处理邮件相关协议时，可将其看作一个安全的邮件信息交换平台，用户可以使用常见的邮件客户端工具（如outlook和foxmail）来设置在互联网上的公共邮箱，以便实现邮件信息交换。 FerryWay在邮件相关协议的处理中加入了多种保护邮件的策略设置，具体包括：l 对邮件的主题及内容进行过滤，可以有效地防止内部机密信息的泄漏；l 限制邮件的大小，可限制大附件的邮件；l 限制邮件中的执行脚本；l 限制垃圾邮件，保护用户不受垃圾邮件的干扰；l 检测管理员设置的附件文件名的安全规则，阻断规则所禁止的邮件。5.6.3 FTP协议信息交换策略FerryWay提供的FTP协议通道主要保护内网FTP服务器不受攻击。除受控通道的基本安全支持外，FTP协议还可对使用FTP通道传输的内容进行过滤，包括病毒等恶意代码的查杀。5.6.4 Telnet协议信息交换策略FerryWay提供Telnet协议通道，可保护内网的Telnet服务器不受攻击。Telnet协议处理模块暂存通过FerryWay的用户Telnet命令并作分析，以阻止有害信息进入而造成危害，同时对用户登录后所有的操作进行审计记录。5.6.5 数据库信息交换策略FerryWay提供MS SQL Server、Oracle、Sybase、DB2等协议通道，保护数据库信息交换的安全，该策略可以提供完美的数据库同步方案，具体包括：l 支持各种同构或异构的关系数据库之间的数据交换，如Oracle、Sybase、SQL Server、DB2等，另外，还支持数据库到文件、文件到数据库、文件到文件的数据交换；l 支持异构数据结构以及代码语义的转换规则定义，并实现源数据到目标数据之间的实时数据交换，支持数据整合业务l 支持数据一对一、一对多、多对多的单向或双向交换和同步，支持实时交换或定时同步的策略定义；l 采用XML技术，具有可配置性。可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义。l 数据传输的实时性。如果其中一个系统的数据发生变化，那么通过FerryWay传输到其他系统中，相应数据也会即时发生变化。5.7 自定义协议信息通道除了以上几种基本的受控通道，FerryWay还可以根据用户的需求进行新的自定义通信协议的开发。新的通信协议可提供多种扩展功能，包括：l 自定义协议通道可以采取代理工作模式或者转发工作模式；l 自定义协议通道可以直接使用现有的全部通道基本设置；l 自定义协议通道可以根据需求定制安全功能；l 自定义协议通道可以根据需求开发新的专用协议处理功能；自定义协议通道得益于FerryWay在设计上的强大的可扩展性，它使得FerryWay具有了很大的灵活性，能够适应多种应用领域。5.8 其它技术特点FerryWay在支持安全隔离和信息交换基本功能的同时，还借助一些辅助性安全机制，来提供足够的安全保证。其中包括：内嵌的入侵检测和病毒防护机制，对数字签名的支持，黑白名单，地址绑定、双机热备等。l 数字签名FerryWay系统可以很好地和数字证书体系相结合，根据用户的需求将数字证书引入应用协议通道当中。数字证书作为原有用户身份鉴别系统的有力补充，可以使FerryWay的功能更为强大。l 入侵检测FerryWay系统在内核中嵌入了专用的入侵检测引擎，能够对进出网络的原始数据进行攻击检测、过滤和审计。这种入侵检测是基于FerryWay预先设定的完备的攻击特征库来实现的，无须管理员配置。有了这种机制，可以最大程度上降低FerryWay遭受直接攻击的可能性。l 病毒检测针对目前互联网上以病毒等恶意代码为主的信息攻击，FerryWay可在内部定制集成杀毒引擎，能够对一些主流的病毒进行检测查杀功能。l 黑白名单FerryWay对所有的网络应用均提供黑白名单。通过黑白名单，可以拒绝或允许哪些用户能够进行网络访问。l 地址绑定为了防止IP地址被非法盗用，同时校验主机的合法性，FerryWay提供地址绑定功能。通过对指定接口所连接的网络中主机的IP 和MAC 地址进行绑定，防止IP 盗用，并对非法IP 地址的访问进行详细记录，以便管理员查看。l 双机热备FerryWay提供双机热备功能，两套系统以主动机和备用机的身份独立运行，同时随时检测运行状态。当主动机出现问题时，备用机可以在2分钟内接管，并提升为主动机。双机热备方案保证了网络的高可用性和高安全性，显著提升了系统的可靠性。6. FerryWay产品典型应用6.1 在涉密网络系统中的应用针对涉密网络系统的特殊要求，FerryWay可以最大程度上提供安全隔离和信息交换的服务，它通过专用硬件进行数据交换，由仲裁机负责完成安全保密检查，从而在安全隔离的基础上，实现内外网之间有效、安全、受控的数据交换。FerryWay在涉密网络系统中的典型应用，例如在存在手动拷盘传输数据的场合。基于自身独特的设计，安全隔离与信息交换系统可以做到只允许单向的信息交换，这样就防止了内网向外网的泄密，进一步保证了网间隔离的安全。而采用“安全隔离与信息交换系统”将Internet信息导入涉密网的方案，将会比通过手动拷盘传输数据方式更安全。 6.2 在常规网络系统中的应用除了在涉密网络系统中应用之外， FerryWay也可以广泛使用在行业数据网之间的隔离、行业内不同性质业务网间的隔离以及内部网络和外部网络之间的隔离。该平台上的数据交换业务是可以灵活配置和快速定制的，数据交换可以单向也可以双向。u 内部核心网与内部一般业务网间的隔离内部核心网与内部一般业务网由于业务性质不同，一般情况下，其数据库性质也是不同的，但之间往往存在数据交流。直接向对方开放权限让其访问是很不安全的。FerryWay可以在网络安全隔离的基础上，与网络应用提供者共同制定应用通信协议，并对该协议的数据流进行仲裁，从而实现安全的数据交换和隔离。u 内部边缘网与总部综合网间的隔离由地理因素隔开的一个组织的分部和总部之间的信息交换是常见的。分部和总部之间一般通过开放的互联网络等传输设施相互连接，其间任何一方直接向互联网络开放访问权限都是不明智的行为，会带来各种安全隐患。FerryWay在信息隔离的基础上，提供受控业务信息交换的通道，可以避免向互联网络开放权限带来的弊病。u 内部甲部门业务网与乙部门业务网间的隔离单位内部的各个部门之间的信息一般情况下是隔离的，当然，出于单位统一的业务需要，部门间常常会发生信息交换，甚至多个部门联合进行业务活动，在这种情况下，在部门之间直接开放各种访问权限是简单直接的做法，但也是最不安全的行为。即使使用了防火墙，由于防火墙的协议可达性，同样容易造成部门之间信息直接沟通的不安全性。FerryWay避免了基于协议的攻击，经过审计的部门之间的通信不会有信息泄漏的问题出现。u 内部网与外部网间的隔离内部网络相对于外部网络而言必须保证其安全性，不能受到来自外部的攻击，同时要避免内部信息泄漏。内部网与外部网之间又需要进行信息交换。要让内部网络对于外部网络来说通信协议不可达，必须使用安全隔离与信息交换系统FerryWay。u 行业间有数据交换需求时实现安全的数据交换跨行业的业务行为要求有跨行业的信息交换。除了涉及该项业务行为之外的其它所有信息必须严格隔离，防止泄密。采用安全隔离与信息交换系统FerryWay，为专用的业务制定专门的协议，或者采用受控的传统协议（如绑定在HTTP上等）进行信息交换，可以有效地避免各种基于协议的攻击和泄密行为。下图所示，即FerryWay在多种重要场合下的应用。(1) 整体网络与Internet之间的安全隔离；(2) 分支机构与总部网络之间的安全隔离；(3) 内部核心网与一般业务网之间的隔离；(4) 核心网络不同网段之间的安全隔离；(5) 重要服务器的隔离（例如数据库服务器）；6.3 FerryWay成功案例目前，FerryWay已经在各级政府机关和涉密企事业单位得到广泛应用，涉及到金融、税务、海关、公安、司法、安全、医疗等行业领域。6.3.1 FerryWay海关系统典型案例基于对海关网络安全需求的分析和理解，我们认为网络系统应实现的总体安全目标是：对海关网络系统进行合理的隔离防范措施，使海关网络系统不同等级的网络具有明确的安全边界，不受偶然的或恶意的攻击而遭到破坏、更改、泄密，系统连续可靠正常地运行，网络服务从不中断。并且要求在两个不同网络之间物理隔离的同时，确保海关网络系统隔离下的可用性、服务的连续性和保密性，阻止对海关系统资源的非法访问和恶意攻击，并且符合国家相关部门的安全保密建设要求。由于企业与海关信息交互较多，为方便企业办理物流方面的手续，使其能更快捷的完成相关工作，同时也为提高海关的工作效率，减少由于人工手动操作拷贝所带来的不便，海关构建了一套业务处理平台，由外部网应用统一平台和内部网应用统一平台组成，其中，内部网应用统一平台隶属于海关管理网，因此，在内外两个应用平台之间使用了安全隔离与信息交换系统FerryWay对管