TR71166参数天融信安全隔离与信息交换系统TopRules应用交付产品部.docx

《TR71166参数天融信安全隔离与信息交换系统TopRules应用交付产品部.docx》由会员分享，可在线阅读，更多相关《TR71166参数天融信安全隔离与信息交换系统TopRules应用交付产品部.docx（8页珍藏版）》请在三一办公上搜索。

1、TR71166参数天融信安全隔离与信息交换系统TopRules应用交付产品部TR-71166参数 分类 特性/功能 详细描述 “2+1”系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协系统基本架构 议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接，不可编程。网闸以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。 控制台管理系统部署于内端机上，采用专有协议对设备进行管理，无法通过外端机直接连接到隔离系统。 安全体系结构 产品架构 只能通过内端机上的管理口对网闸进行配置，不允许使用任何数据通讯口进行管理包括ssh后台管理。可避免内外端机由于被黑客从通

2、讯口入侵，导致隔离网闸被黑客完全控制的现象。 采用TopOS安全操作系统、增强型内核，能够对两个主机系统提供多层次、高强度的安全防护，保护其重要进程、文件、数据不受黑客侵袭。 操作系统基于Linux内核设计开发，全面加固强化安全防护能力； 安全操作系统 采用对象互斥和线程守护技术，保护主要进程的安全性和稳定性； 不采用通用的指令库和函数库，只提供有限的内部调试用指令函数； 内置IDS特征库，集成抗DDOS和病毒查杀功能，可抵御各类黑客入侵、拒绝服务攻击和病毒木马威胁，保证网闸系统自身的安全。 公安部计算机信息系统安全专用产品销售许可证书 产品资质 资质 保密局涉密信息系统产品检测证书 信息安全

3、认证中心中国国家信息安全产品认证证书 中国人民解放军军用信息安全产品认证证书 硬件架构由内端机、外端机、专有隔离硬件三部分组成。内端机和外端机硬件架构 各自具有独立主板、独立总线、独立的存储和运算单元；内端机和外端机之间非网线、USB线、SCSI线等线缆直连，基于光隔离技术专有硬件进行隔离和数据交换。 内网6个10/100/1000M RJ45接口，1硬件要求 接口配置 个串口，2个USB口 外网6个10/100/1000M RJ45接口，1个串口，2个USB口 网络吞吐量：200Mbps 性能指标 电源 系统整体时延：5毫秒 所有协议通道并发连接数：35000 标配单电源，可扩展冗余电源 支

4、持WEB访问，支持HTTP协议应用的各种指令控制。 支持HTTPS网络传输，并且可在该加密通道中分解出正常HTTPS网络应用，保障传输。同时可以屏蔽自由门等各类加密翻墙软件的传输。 功能要求 安全上网功能 内容过滤：关键字过滤。 脚本过滤：javascript、Applet、ActiveX等。 其他过滤策略：文件类型、页面提交方式等。支持情景模式，能够控制用户上网以及服务器对外提供服务的具体时间。 代理、透明和路由工作模式下均支持HTTP和HTTPS协议内部命令及命令参数控制策略。 提供安全的邮件访问，支持POP3、SMTP协议。 支持邮件主机地址过滤、附件过滤。 支持发件地址、收件地址过滤。

5、 安全邮件功能 支持内容过滤包括URL和关键字。 支持情景模式，能够设置指定时间段允许进行邮件信息交换。 代理、透明和路由工作模式下均支持POP3和SMTP协议内部命令及命令参数控制策略。 支持FTP文件传输协议，支持主动被动两种模式。支持FTP命令参数控制支持对传输文件的类型过滤。 文件传输功能 支持内容过滤。 支持情景模式，能够设置时间段允许文件传输。 代理、透明和路由工作模式下均支持FTP协议内部命令及命令参数控制策略。 支持Samba、FTP、HTTP等多种通信协议。 提供专用文件同步客户端提供安全的文件同步功能。 支持手动文件同步和自动文件同步。 支持文件内容过滤包括URL和关键字。

6、 支持文件类型黑白名单传输控制。 支持windows平台和linux平台。 同步传输方向可控，双向或单向。 文件同步功能 支持一对多或多对一文件同步。 支持目录内子目录同步，至多支持32级目录。 支持中文文件名或目录同步。 支持文件变动实时同步、定时同步、系统资源空闲智能同步等多种同步方式。 支持同步删除和同步覆盖策略配置，并能将同步删除和同步覆盖的文件备份到指定文件夹。 支持文件同步容错策略和告警策略，同步出错能够自动重传并能够设置重传次数，出现异常同步状况能够终止同步弹出告警提示并记录日志。 提供对多种主流数据库,如：MYSQL、SQLSERVER、ORACLE、DB2、SYBASE等系统

7、的安全访问。 数据库访问功能 支持SQL语句控制。 支持情景模式，能够设定特定时间允许访问数据库。 代理、透明和路由工作模式下均支持数据库内部命令及命令参数控制策略。 基于专用客户端与网闸安全连接方式，提供多种主流数据库系统如：ORACLE、SQLSERVER、MYSQL、SYBASE、DB2等之间的同步。 支持同构、异构数据库之间的同步，同步可具体设置到字段级别。 数据库同步功能 支持全表复制，支持多种增量同步方式，可分别定义增加、删除、修改的传输方式。 支持二进制普通文件、图片、文本文件及BLOB大字段同步。 支持数据一对一、一对多、多对多的单向或双向交换和同步。 支持数据库实时同步或定时

8、同步的策略定义。 数据库同步传输不使用通用数据库服务端口例如1433、1521、3306等，保障数据库同步传输的安全性。 支持灵活的数据冲突检测机制，当同步的数据记录发成冲突时，可以灵活处理出现冲突的数据记录。 数据库同步高可靠性，即使发生网络故障，已变化数据也不会丢失。 无需修改数据库表结构，不涉及到代码修改及二次开发。 兼容主流视频传输及控制协议H.323、H.264、MMS、RSTP、SIP等，通过内置多媒体应用处理模块，提供高效率的视频信息交换。 能够支持基于动态端口传输的流媒体视频应用。 采用复杂对称多处理技术，成倍提升处理能力，使网闸能够满视频监控 足高并发、高质量、多路视频数据交

9、换要求。 根据策略配置可以控制视频数据的单向传输。 对接入点身份进行审查，对未通过审查的对象一律丢弃。保证视频数据交换的安全可控。 支持情景模式，能够设置视频监控允许传输的时间。 支持DCS/SCADA网络与办公网络之间的OPC应用数据的传输。 支持同步、异步监测数据的传输，只需要绑定固定的一个起始端口即可满OPC工控应用 足动态的数据端口的数据传输。 支持TRPROXY功能，可拦阻任何不符合OPC标准格式的DCE/RPC 访问，通过OPC基金会的测试套件OPC协议测试。 支持情景模式，能够设置OPC工控应用允许通信的时间。 支持自定义的TCP、UDP协议的数据隔离交换，以用户定制的命令、参数

10、等协议解析方式来解析自定义应用的通信内容，支持16进制数据格式的定制。 用户自定义应用无需对自定义协议软件进行二次修改开发。 自定义功能 提供二次开发，可以根据需求开发新的专用协议处理过滤功能。 支持情景模式，能够控制自定义应用的访问时间。 代理、透明和路由工作模式下均支持用户自定义应用的应用层数据控制功能。 管理采用C/S架构专有协议管理，网闸管理口无IP地址，管理主机也不必设置IP即可搜索到设备，管理设备，支持设备集中管理。 双重密码验证，用户需要同时输入管理密码设备密码才能登录到设备上并进行规则配置等操作。 采取系统策略配置管理员与日志管理员角色分立的权限分配模式，用户只管理配置 能维护

11、操作本类基础管理角色的功能与操作，权限各不交叉。支持多用户权限分配制度，确保合法用户只能做指定的操作。 管理端通过独立的管理口与网闸相连，不允许采用内外端机上的数据通讯口进行管理。 设备管理端提供系统状态查看，可以实时的了解到设备的CPU、内存以及系统网络数据吞吐量，管理者可设定状态监测的更新频率，支持策略规则模板的导入、导出。 日志审计 支持对所有访问进行日志记录，包括系统事件、成功事件、报警事件。提供对日志信息的浏览、查询、删除、下载等多种操作 支持本地日志存储，也可以将日志外发到单独的syslog日志服务器上，支持图形化日志统计可以生成html格式的日志报表文件。 支持代理模式、透明代理、路由模式三种工作模式，管理员可依据实际网络状况进行相应的部署，以满足各种网络环境状况。 支持SNMP协议，可与标准网管平台无缝兼容。 支持SYSLOG协议。 其他功能 支持OSPF动态路由穿透。内置IDS特征库，支持抗DDOS攻击功能。 所有功能模块均支持基于源地址、目的地址、源端口、目的端口、通讯协议的访问控制功能。 支持双机热备及多机热备功能，备机不需要二次配置支持配置自动学习功能。 支持IP/MAC地址绑定，可实现基于IP与MAC绑定的客户端访问控制。