科博安全隔离与信息交换系统（CopGap200）技术白皮书中铁信安（北京）信息安全技术有限公司2011年4月目录1.产品研制背景 (4)2.产品介绍 (5)2.1.概述 (5)2.2.体系结构 (5)2.3.功能性能指标 (6)2.3.1.功能指标 (6)2.3.2.性能指标 (7)3.产品功能描述 (9)3.1.信息交换功能 (9)3.1.1.文件交换功能 (9)3.1.2.Web交换功能 (9)3.1.3.数据库交换功能 (10)3.1.4.邮件交换功能 (10)3.1.5.定制应用数据交换 (11)3.2.安全控制功能 (11)3.2.1.访问控制功能 (11)3.2.2.数据内容审查功能 (12)3.2.3.病毒防护功能 (12)3.2.4.文件深度检查功能 (12)3.2.5.入侵检测与防御功能 (13)3.2.6.身份认证功能 (13)3.2.7.虚拟专网（VPN）功能 (13)3.2.8.流量控制功能 (14)3.3.系统监控与审计功能 (14)3.3.1.系统监控功能 (14)3.3.2.日志审计功能 (14)3.3.3.报表管理功能 (15)3.4.高可用性功能 (15)3.4.1.双机热备功能 (15)3.4.2.负载均衡功能 (16)4.产品使用方式 (16)4.1.部署方式 (16)4.2.管理方式 (17)5.产品应用范围 (18)5.1.核心数据库的访问 (18)5.2.核心服务器保护 (19)5.3.内外网络之间的数据同步 (20)1.产品研制背景传统的安全防御体系是以防火墙为核心的防御体系，通过纵深防御、系统联动达到协同保护网络安全的目的。

尽管防火墙在安全防御中作为一种核心的访问控制手段，起到了不可替代的作用，但以防火墙为核心的防御体系已经不能满足网络安全的真正需求。

分析防火墙的发展历程其实一直在追求安全性和系统性能的平衡点。

防火墙工作层次愈低，其性能愈高，安全性就愈差；工作层次愈高，其性能愈差，但安全性愈高。

就以安全性最高的应用代理防火墙，其安全性也是有限的。

这种局限性主要表现在如下几个方面：(1)安全决策模块直接面对不可信连接，难以对安全决策模块的完整性和安全策略实施过程的完整性进行保护；(2)防火墙始终保持了可信网络与不可信网络之间的物理连接，成为攻击者攻击受保护网络的罪恶之手。

防火墙安全局限性，催生了新一代的边界防御技术——安全隔离与信息交换技术。

安全隔离与交换技术应用于高敏感网络和低敏感网络之间，拦截TCP/IP数据流，过滤丢弃TCP/IP协议格式，还原上层应用数据，并经过安全处理后，以数据摆渡的方式实现不同敏感级别网络之间的应用数据安全交换。

数据摆渡的方式类似实际生活中的渡船载客，能保证内外网络在任何时候没有联通的电气连接情况下，实现应用数据的往返传输。

这种数据处理方式保证了网络边界防护的高安全性，使其边界安全防护强度远远大于防火墙系列产品。

这种可以确保内外网在发生数据交换时，内网免受外网基于网络协议的所有攻击，即使是未知形式的攻击。

因此，这种技术可应用于保护政务网络、军事网络、银行/电信等重大基础网络的核心网络资源，如核心网络或核心数据服务器。

2.产品介绍2.1. 概述科博安全隔离与信息交换系统（CopGap200，下简称科博网闸）为中铁信安（北京）信息安全技术有限公司自主研发生产的网络边界防护设备。

这种设备可以放置在高敏感网络和低敏感网络之间，拦截TCP/IP数据流，过滤丢弃TCP/IP 协议格式，还原上层应用数据并经过安全处理后，以数据摆渡的方式实现不同敏感级别网络之间的应用数据安全交换。

数据摆渡的方式类似实际生活中的渡船载客，能保证内外网络在任何时候没有联通的电气连接情况下，实现应用数据的往返传输。

科博网闸的数据处理方式保证了其网络边界防护的高安全性，使其边界安全防护强度远远大于防火墙系列产品，即使是防护强度最高的应用代理防火墙。

科博网闸可以确保内外网在发生数据交换时，内网免受外网基于网络协议的所有攻击，即使是未知形式的攻击。

因此，科博网闸可应用于保护政务网络、军事网络、银行/电信等重大基础网络的核心网络资源，如核心网络或核心数据服务器。

科博网闸按照设备性能，形成了涵盖E600型、E800型、G3000型、G5000型、等不同型号的系列产品。

用户依据通信性能要求选择采用不同型号的产品。

其中，E600型为百兆低端产品；E800型为百兆高端产品；G3000型为千兆低端产品；G5000型为千兆线速高端产品。

2.2. 体系结构科博网闸被设计为一个2+1结构的设备：一个外端机、一个内端机、一个中间数据硬件交换部件，即隔离交换开关。

当数据需要从内向外传递时，内端机基于应用代理服务的模式终止网络协议，解析应用数据，并对数据进行安全处理。

安全处理后的数据被隔离开关以专用封装格式摆渡到外端机。

外端机采用应用代理客户端的方式将应用数据封装为TCP/IP格式，路由到目的地。

当数据需要从外向内传递时，也遵从相似的过程，只是外端机启用了应用代理服务，而内端机启用了应用代理客户端。

科博网闸的基本结构如下图所示：图2-1 CopGap基本构成2.3. 功能性能指标2.3.1.功能指标科博网闸各型号的产品在功能上是完全一致的，都具有如下的数据交换及安全处理功能：2.3.2.性能指标科博网闸的工作性能指标因型号不同具有差异，各型号产品的工作性能指标列示如下：3.产品功能描述3.1. 信息交换功能3.1.1.文件交换功能文件交换是网络应用对数据交换的基本要求，在不同密级的网络之间、内外网之间、外网与专网之间都存在文件交换的实际需要，正是基于这一点，科博网闸实现了专业的文件交换模块，该模块实现文件的安全访问及文件的同步功能。

以外网用户访问内网文件服务器为例，文件安全访问功能通过代理模块将需要保护的内网文件服务器（采用FTP协议或SAMBA协议）映射到科博网闸的外网，外网用户访问文件资源时直接访问网闸外端机启用的代理服务。

网闸外端机代理服务交换应用层数据到内端，内端代理访问内网真正的文件服务获取文件，返回给外端代理服务。

在文件通过科博网闸的过程中将受到内容检查、病毒检查、文件深度检查、文件签名等安全保护（见安全控制部分功能描述）。

从内网访问外网文件服务器时过程类似。

文件同步模块能够实现科博网闸两端文件服务器中文件的同步功能。

事实上，科博网闸通过部署在两端的客户端代理模块，分别从各自的文件服务器中提取需要同步的文件，然后安全摆渡到对端，再由对端的代理模块发布到目标文件服务器上，文件的摆渡受到安全模块的检查。

文件同步支持各种不同的文件格式，支持对文件目录及相关子目录的同步，支持双向及单向的文件同步。

文件同步模块可以采用多种方式访问文件服务器，包括Windows共享方式、FTP服务方式及SAMBA共享方式等。

在文件同步过程中，可以实现基于策略的过程控制，如基于文件类型、文件大小、创建时间等属性对文件的同步过程进行控制。

3.1.2.Web交换功能Web应用是目前最为流行的网络应用。

因此，提供对Web应用的访问支持是科博网闸的基本功能之一。

科博网闸的内外端机都支持HTTP、HTTPS两种应用代理访问功能。

科博网闸通过服务地址映射（SAT）的方式将目标Web服务器映射到网闸的另一端机供用户访问。

Web应用数据在通过网闸的过程中，受到严格的安全控制，包括HTTP/HTTPS协议头的关键字过滤、完整性检查、URL长度检查、活动脚本的检测及控制、文件安全检查等内容。

3.1.3.数据库交换功能用户的实际应用系统中，往往具有不同的用户群及不同的网络应用。

但应用之间共享应用数据却往往是必要的。

因此，科博网闸将数据库同步功能作为其数据交换的基本功能之一。

科博网闸的数据库访问模块通过数据库应用代理的方式将数据库服务映射到网闸的一端，应用程序可以直接访问映射的数据库服务，由网闸完成数据库的数据内容安全传输。

科博网闸的数据库同步模块可以将一端网络中的数据库内容同步复制到网闸另一端网络的数据库中。

数据库复制支持单向复制及双向复制。

以及支持对表的全表复制及增量复制功能。

科博网闸支持的数据库同步，支持同构数据库之间的同步，也支持异构数据库之间的同步。

在同步过程中，数据库内容受到基于管理员定制的安全策略的控制，包括对字段类型、关键词、创建时间等属性的控制。

由于科博网闸的内外端机都实现了数据库代理功能，因此科博网闸也支持直接的数据库访问功能。

3.1.4.邮件交换功能邮件通讯主要使用POP3和SMTP协议，在安全隔离的环境中，往往需要进行内网邮件与外网邮箱中邮件的同步，或者需要内网用户能够访问外网邮箱中的邮件。

这些需求可通过科博网闸的邮件同步模块和邮件访问模块完成。

邮件同步模块起到邮件中继的作用，它能将网闸一端的邮件同步到另一端，即可以进行单向邮件中继，也可以进行双向邮件中继。

邮件访问模块通过配置邮件代理完成，科博网闸的邮件代理保证使用者能够通过网闸访问另一端的邮件服务器，使用邮件客户端进行邮件的正常收发。

在邮件中继及邮件访问过程中，科博网闸启用安全控制模块对邮件主题进行过滤控制，对邮件附件类型进行文件深度检查，对邮件附件进行病毒查杀等。

3.1.5.定制应用数据交换科博网闸支持应用协议定制功能。

很多用户都具有自己的业务系统，这些业务系统不是标准的应用，而是具有自己的应用封装格式、会话模式、命令集。

如果不加定制，任何标准的应用代理服务器都不能准确理解这种私有应用的格式，并最终加以控制。

但是，对用户而言，真正需要支持和控制的却往往正是这些私有的应用协议。

科博网闸提供了私有协议定制开发功能。

用户部门只要提供需要支持的应用的封装格式、协议状态机、命令集，科博网闸提供的私有代理服务器生成模板和私有代理客户端生成模板就可以快速生成满足私有应用的代理程序，用以终止私有应用的TCP连接、完成数据/命令提取和控制。

因此，科博网闸对于私有的应用协议，也可以保证应用数据落地控制。

3.2. 安全控制功能3.2.1.访问控制功能科博网闸可以对授权访问或进行交换的信息进行严格的访问控制，科博网闸的访问控制包括网络级的访问控制及应用层的访问控制功能。

科博网闸的访问控制功能实现对网闸代理应用的控制，访问控制与应用映射绑定，每一个应用的代理映射可以配置访问控制策略，访问控制策略通过对象的方式进行设置，使用非常灵活。

科博网闸网络访问控制功能主要进行应用映射的地址及时间的控制，地址控制可以授权允许的IP访问应用，也可以实现对MAC地址的绑定，时间控制保证授权用户在哪些时间允许访问应用，哪些时间不允许访问应用。

地址控制与时间控制可以综合设置，形成有效的网络访问控制策略。

应用层的访问控制功能实现对各种协议应用的安全控制。