智慧与效能的物联网时代 物联网大数据、智能制造、智慧用电、智慧城市
新闻资讯 News
万德物联平台|核心设备——WDK-1000/V1.0 安全隔离与信息交换系统

        万德安全隔离与信息交换系统WDK-1000/V1.0,又称安全隔离网闸(GAP),它是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。

 

网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。 

隔离网闸硬件结构示意图

 

 数据传输示意图

 

它由万德电气旗下——万德高科自主研发设计,获得了公安部认证的信息安全产品销售许可证,成为全国第三家持该证的企业

 

 

工作原理

 

内网控制单元和外网控制单元分别安装在内端机和外端机上,内端机和外端机是内网和外网的边界点,同时也是网络协议的终结点。所有通过网闸的应用层信息都从TCP/IP协议包中剥离,被还原为裸数据,然后再通过专用硬件和专用通信协议发送给数据通道控制系统。数据通道控制系统对这些数据进行解析、过滤和重组等处理后,发送给另一方,数据到达目的地后再还原为标准通讯协议(如TCP/IP包格式)。

在内网和外网之间只传递纯数据而不传递网络信息和控制信息等存在安全隐患的信息,过滤掉了所有基于网络协议漏洞的攻击,从而保证内外网之间交换信息的安全和可靠。

 

 

 

 

产品特点

 

高安全性:

网闸奉行“安全隔离、可控交换”的设计思想,采用最新数据通道控制技术,在保证内网系统和信息安全的前提下,实现了内外网之间数据的安全、快速交换。由于采用多重安全机制、综合防范策略,彻底避免了来自操作系统、命令、协议的已知和未知的攻击,所以,它是目前网关类安全产品中具有高安全性的网络产品之一。

低延时性:

网闸采用了专用硬件来控制内外端之间的数据交换,开关的转换速度在毫秒级之下。

高可用性:

网闸同时支持双机热备系统,并可预留VPN接口,提供了极高的可用性。另外系统支持链路备份、负载均衡功能。

高强度安全平台:

网闸对内外两个主机系统采取多个层次(操作系统层、网络层、应用层等)的高强度安全防护措施,保护其重要进程、文件、数据不受黑客侵袭。内置入侵检测防御系统。

 

 

 系统架构

 

 

产品采用“2+1”(即双主机系统+物理隔离数据通道控制系统)体系结构;具备物理隔离通道系统证书;通过嵌入式数据通道控制系统隔离外部网络,而不是采用DMA、SCSI、网卡等方式实现;采用特有控制逻辑和专用通讯协议完全控制数据的实时交换,确保可信网络(域)和非可信网络(域)之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议。

 

产品参数

 

产品功能 

主要功能模块:专用数据通道控制模块、专用通讯协议转换模块、多服务处理模块、信息审计模块、身份认证模块、数据加密模块、内容审查模块、病毒查杀模块、入侵检测模块。

 

同步功能:

同步是由网闸主动发起的同步,例如客户希望内网的A服务器一个目录的文件允许开放到外网,这时由网闸发起同步,把内网A服务器的目录文件同步到B服务器上,这样可以保证A服务器不会受到影响,而B服务器开放在外网,就算黑客入侵,也只是获取一些公开的内容,对内网没有威胁。

数据库同步支持相同数据库和不同数据库,应用于文件同步类似,数据某个表需要同步到B服务器。

同步功能可以给客户解决只对外共享允许的数据,保证内部数据不外泄

 

访问功能:

1.数据库访问:可以对数据的访问做精细的控制,比如A用户读取B服务器的数据库,正常数据库有增、删、改、查4个动作,可以在网闸限制,只能查不能做其他的,这是独立于数据库权限之外的,只要经过网闸就可以进行限制。

 

2.工业访问控制:在工业环境下,一般用OPC、MODBUS工控协议控制和检测设备,如果设备被黑客远程控制是非常危险的,使用网闸可以把生产网和其他网络隔离起来,可以根据客户需求限制从其他网络到生产网只允许查看,不允许下发控制指令,这样可以满足监视设备运行状态,又保证安全的目的。

 

3.Web代理:通常情况下我们访问一个网站很容易打开,但是确很少考虑怎么安全的打开,经过网闸时由于需要保证安全,所以访问过程是经过代理的,比如http最基本的get、post等操作,代理就隐藏了客户端真实的信息,这样可以保证网络安全。

 

防止木马/病毒攻击:

防止未知和已知木马攻击:通常见到的木马大部分是基于TCP的,木马的客户端和服务器端需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。

 

防病毒措施:

作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。

 

 

应用场景

可广泛应用于电子政务的“金税”、“金财”、“金关”、“金盾”、“金宏”等部门、银行证券等金融部门、电信、电力、煤炭、化工、钢铁、造船等大型企业。

 

 

网闸典型应用

银行网络:

  银行是安全水平要求极高的行业,需要确保网络信息的完整性和正确性,尤其要防范外部恶性行为入侵银行的网络环境。为确保网络数据的完整性,银行将内部网络系统与外部网络隔离,除特殊部门的工作人员可访问外部网资源之外,其他人员均不能访问。社保、证券、股票、信贷等通过核心交换机接入,实现了与银行网络的互联,能够和其他银行的数据业务网进行信息的交互。

 

医院网络:

  医院各个部门如门诊收费人员、药房管理人员、医生和行政管理人员通过中心交换机实现网络的互联和对医院内部服务器的访问。门诊收费处通过专线可以访问社保网。建立了多层安全体系,保证局域网信息和各应用系统的安全性、保密性。同时在保持内外网络物理隔离的同时,进行适度的、可控的内外网络的数据交换。保护医院收费服务器、药房管理服务器及病区管理服务器等重要服务器的安全,实现隔离,防止外网黑客的攻击。