面對云計算、大數(shù)據(jù)時代的信息化發(fā)展需要，政府私有云計算中心及大型數(shù)據(jù)中心建設(shè)如火如荼，云計算平臺及大數(shù)據(jù)整合帶來的安全隔離需求給網(wǎng)閘產(chǎn)品的發(fā)展帶來新的挑戰(zhàn)。市場上現(xiàn)有的安全隔離與信息交換系統(tǒng)由于產(chǎn)品功能和性能所限，不能很好的解決云計算大數(shù)據(jù)環(huán)境下的安全隔離和信息交換需求。

 

　　天融信下一代安全隔離與信息交換系統(tǒng)是針對復(fù)雜云計算應(yīng)用和海量大數(shù)據(jù)存儲設(shè)計開發(fā)的，應(yīng)用功能更完善，處理性能更強大，安全性更高的網(wǎng)絡(luò)隔離產(chǎn)品。

 

　　IPV6/IPV4雙棧協(xié)議剝離與重構(gòu)

 

　　下一代互聯(lián)網(wǎng)技術(shù)IPV6有望解決當下IPV4地址資源耗盡的困局，然而全方位融合IPV6技術(shù)的下一代互聯(lián)網(wǎng)，也帶來了“下一代信息安全”的防護問題。 隨著IPV6技術(shù)推廣實施進程的加速，用戶在實際應(yīng)用過程中所面臨的IPV4向IPV6技術(shù)遷移的問題是很難解決的。

 

　　天融信下一代安全隔離與信息交換系統(tǒng)首先要能夠支持IPV6技術(shù)，即能夠在原有TCP/IP協(xié)議剝離的基礎(chǔ)之上增加基于IPV6格式封裝的協(xié)議剝離和協(xié)議重構(gòu)。其次由于技術(shù)遷移過程中存在的IPV6和IPV4長期共存的問題，天融信下一代安全隔離與信息交換系統(tǒng)必然要能夠兼容IPV6和IPV4兩種網(wǎng)絡(luò)技術(shù)，即設(shè)備能夠在一端對IPV6封裝數(shù)據(jù)進行協(xié)議剝離后在另一端能夠進行基于IPV4協(xié)議的重新封裝，或者設(shè)備一端對IPV4數(shù)據(jù)封裝進行協(xié)議剝離后在另一端能夠進行基于IPV6協(xié)議的重新封裝。

 

　　萬兆和超萬兆高處理性能

 

　　眾所周知，安全隔離與信息交換系統(tǒng)的性能瓶頸取決于專用隔離硬件，隔離硬件負責(zé)邏輯電子開關(guān)切換及應(yīng)用層數(shù)據(jù)擺渡，所謂數(shù)據(jù)擺渡指的是在網(wǎng)絡(luò)斷開的前提下基于私有協(xié)議進行裸數(shù)據(jù)傳輸。

 

　　由于數(shù)據(jù)擺渡過程中存在TCP/IP協(xié)議剝離、私有協(xié)議封裝、邏輯電子開關(guān)切換、私有協(xié)議解封裝、TCP/IP協(xié)議二次封裝的過程，所以安全隔離與信息交換系統(tǒng)的處理性能遠遠低于其它安全產(chǎn)品。隨著萬兆互聯(lián)網(wǎng)技術(shù)的發(fā)展，萬兆防火墻、萬兆IPS、萬兆WAF等產(chǎn)品相繼上市，網(wǎng)閘產(chǎn)品的數(shù)據(jù)處理能力相形見絀，目前市場上迫切需要更高性能的網(wǎng)閘產(chǎn)品。

 

　　面對復(fù)雜云計算應(yīng)用協(xié)議處理和海量大數(shù)據(jù)存儲傳輸需求，天融信下一代安全隔離與信息交換系統(tǒng)將提供萬兆以及超萬兆數(shù)據(jù)處理能力。首先ASIC專用隔離硬件的數(shù)據(jù)擺渡技術(shù)要脫離傳統(tǒng)的電信號傳輸技術(shù)，采用目前流行的光導(dǎo)信號傳輸技術(shù)。

 

　　其次，專用隔離硬件和主機系統(tǒng)主板之間接口采用PCI-E3.0以上標準，以提供更高的內(nèi)部交換速率。此外專用隔離硬件可以取消僅一對邏輯電子開關(guān)的限制，設(shè)置多路物理隔離通道，每路通道獨立電子開關(guān)，數(shù)據(jù)擺渡并行處理。

 

　　通過提高ASIC專用隔離硬件的處理能力從而突破瓶頸提高設(shè)備整體網(wǎng)絡(luò)吞吐量至萬兆以及超萬兆級別，天融信下一代安全隔離與信息交換系統(tǒng)將特別適合應(yīng)用于萬兆以及超萬兆級網(wǎng)絡(luò)架構(gòu)。

 

　　基于特征綁定的自定義模塊

 

　　安全隔離與信息交換系統(tǒng)作為一款網(wǎng)絡(luò)隔離產(chǎn)品對應(yīng)用種類的支持一直受限，目前市場上的網(wǎng)閘產(chǎn)品大都支持上網(wǎng)瀏覽、郵件交換、文件傳輸和同步、數(shù)據(jù)庫訪問和同步等功能。但是這些簡單的功能模塊很難滿足日益復(fù)雜的網(wǎng)絡(luò)應(yīng)用，大部分網(wǎng)閘產(chǎn)品提供TCP/UDP自定義的功能模塊來解決這一問題。

 

　　依靠網(wǎng)閘產(chǎn)品自定義功能模塊來解決用戶的自定義應(yīng)用數(shù)據(jù)擺渡必然要開放大量的TCP/UDP端口，而這些開放端口沒有任何的安全防護措施。任何基于這些開放端口的網(wǎng)絡(luò)應(yīng)用都可以通過它們進行數(shù)據(jù)擺渡，這些開放端口降低了網(wǎng)絡(luò)隔離的安全性帶來巨大的安全隱患。

 

　　天融信下一代安全隔離與信息交換系統(tǒng)將更加重視應(yīng)用層數(shù)據(jù)控制，能夠?qū)崿F(xiàn)各類應(yīng)用層協(xié)議的完整解析、還原和控制。針對用戶自定義應(yīng)用開放的TCP/UDP端口能夠手動綁定應(yīng)用特征，即開發(fā)過程中保留相應(yīng)的用戶接口允許用戶手動將自己的應(yīng)用特征例如命令或者特殊字符串等綁定到開放的TCP/UDP端口上，以此實現(xiàn)基于TCP/UDP端口之上的應(yīng)用層數(shù)據(jù)特征過濾和控制。

 

　　基于動態(tài)端口的代理技術(shù)

 

　　當前越來越多的社會面監(jiān)控資源承載在公網(wǎng)平臺上，安全隔離將成為公安部門通過其專網(wǎng)視頻監(jiān)控系統(tǒng)進行監(jiān)控資源調(diào)用時的重要網(wǎng)絡(luò)安全需求。 然而大部分廠家的視頻監(jiān)控應(yīng)用都不是基于TCP/UDP的簡單固定端口，而是基于范圍端口或者隨機端口。

 

　　當前越來越多的工業(yè)控制網(wǎng)和互聯(lián)網(wǎng)絡(luò)連接到一起，暴露出工控網(wǎng)絡(luò)自身的很多安全漏洞直接影響了工業(yè)生產(chǎn)的穩(wěn)定和安全，帶來工業(yè)控制網(wǎng)和互聯(lián)網(wǎng)之間的安全隔離需求。然而工控網(wǎng)的應(yīng)用系統(tǒng)都是基于OPC或者Modbus TCP協(xié)議標準，這些協(xié)議標準也是基于隨機的TCP端口之上實現(xiàn)。目前市場上的安全隔離與信息交換系統(tǒng)大部分只支持靜態(tài)固定TCP/UDP端口的代理技術(shù)，無法滿足大范圍端口代理或者隨機端口代理的業(yè)務(wù)應(yīng)用需求。

 

　　天融信下一代安全隔離與信息交換系統(tǒng)將采用動態(tài)端口代理技術(shù)，能夠完美的代理基于大范圍端口或者隨機端口傳輸?shù)牧髅襟w視頻應(yīng)用，特別適合部署和應(yīng)用于公安行業(yè)的視頻監(jiān)控項目。此外下一代安全隔離與信息交換系統(tǒng)針對工控網(wǎng)OPC協(xié)議或者Modbus TCP協(xié)議會研發(fā)獨立的工控模塊，解決工控標準協(xié)議動態(tài)端口代理以及動態(tài)ip地址代理的問題。