作为保证不同安全级别网络间的高安全隔离与实时数据交换的安全设备,安全隔离网闸已经在公安、税务等政府行业得到广泛应用,另外,在电力、煤炭、钢铁等能源行业和一些制造型企业也开始大量应用。
科学的体系架构
a) 科学的系统架构
联想网御安全隔离网闸的系统硬件平台由内网主机系统、外网主机系统、隔离交换矩阵三部分组成:内网/外网主机系统分别具有独立的运算单元和存储单元,并以联想网御自主知识产权的VSP (Versatile Security Platform,通用安全平台)作为操作系统;隔离交换矩阵基于LeadASIC专用芯片技术及相应的时分多路隔离交换逻辑电路,不受主机系统控制,能独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。主机系统对交换数据的检查流程如图一所示。安全隔离网闸在完成常规的IP地址、协议类型、协议分析等检查后,还能在数据通过隔离交换矩阵封包之前进行数据内容的检查。
图一 联想网御安全隔离网闸数据检查流程图
b) 检查框架
VSP操作系统中集成的USE(Uniform Security Engine,统一安全引擎)完成了协议终结、应用内容的还原和检查。联想网御安全隔离网闸以自定义的、开放的ACI(Application Checking Interface,应用检查接口)为基础,不但支持内置的、面向通用应用协议(如HTTP、FTP等)的多种检查模块,还支持内容检查模块的扩展。用户可以根据需要来自行开发内容检查模块,并通过安全隔离网闸的WEB管理界面上传至VSP操作系统,通过使用内容检查模块,用户可实现对基于私有协议的应用内容的数据格式、完整性、关键字、内容安全的检查。内容检查框架如图二所示。
图二 联想网御安全隔离网闸内容检查框架图
网友评论