本书共分为五章,从下一代互联网的技术发展背景和传统威胁防护方法的局限性入手,结合IPv6特性对下一代安全隔离与信息交换产品的产生需求、发展历程、实现原理、技术标准、应用场景和典型产品等内容进行了全面、翔实的介绍。本书适合安全隔离与信息交换产品的使用者(系统集成商、系统管理员)、产品研发人员及测试评价人员作为技术参考,也可作为信息安全专业的学生及其他科研人员的参考读物。
随着我国信息化进程的快速推进和IPv6下一代互联网技术的迅速发展,面向IPv4网络的传统安全技术无论是在网络适应性方面、安全防护功能方面,还是在性能方面,都已无法满足下一代互联网的安全技术要求;同时,IPv6下一代互联网协议虽考虑到了IPv4的安全问题,但也带来了更多的安全风险。
与防火墙包过滤、状态检测等技术比较起来,物理断开、分时连接技术具有更强的逻辑隔离与访问控制能力,因此,安全隔离与信息交换产品作为安全域隔离的重要技术手段,逐步在行业内得到广泛应用。
在当前信息网络不断朝IPv6下一代互联网协议演进的趋势下,以及IPv6带来的新安全形势与威胁背景下,安全隔离与信息交换系统必须进行全新的设计以应对和适应下一代互联网的应用及安全需求。从硬件设计、协议栈处理等方面优化对IPv6报文的处理性能,充分发挥IPv6的性能优势,具备未来网络带宽高速增长情况下的数据转发能力。
本书作为信息安全产品技术丛书之一,在下一代互联网发展历程、技术特点、安全需求,以及下一代互联网安全隔离与信息交换系统产品的发展历程、关键技术、实现原理、技术标准、典型应用等几大方面均进行了翔实的描述。与此同时,本书突出了下一代互联网IPv6的特性,收集了许多实际数据与案例,期望能够给读者在对安全隔离与信息交换产品的安全防护技术和标准的了解上提供一定的帮助。
本书的主要编写成员均来自公安部计算机信息系统安全产品质量监督检验中心,他们常年从事安全隔离与信息交换产品等信息安全产品的测评工作,对安全隔离与信息交换产品有着深入的研究。本书作者组织和参与了下一代互联网安全隔离与信息交换产品标准从规范、行标到国标制修订的工作。因此,本书在标准介绍和描述方面具有一定的权威性。
顾健作为丛书主编,负责把握全书的技术方向,第1章由张艳撰写,第2章由沈亮、顾建新撰写,第3章由陆臻撰写,第4、5章由张艳、王志佳和李旋撰写。此外,俞优、邹春明等同志也参与了本书资料的收集和部分编写工作。由于编写人员水平有限和时间紧迫,不足之处在所难免,恳请各位专家和读者不吝批评指正。
本书的编写受到了国家发改委信息安全专项“下一代互联网信息安全专项标准研制”项目(发改高技【2012】1615号)及上海市科委2013年度技术标准专项“信息安全关键产品检测技术标准研究”(课题编号:13DZ0500501)的资金支持。
在本书的编写过程中,得到了珠海经济特区伟思有限公司、北京天融信网络安全技术有限公司和华为技术服务有限公司的大力协助,在此表示衷心的感谢!
编者
顾健:2001.12--公安部计算机信息系统安全产品质量监督检验中心主任。公安部信息安全标准化技术委员会委员。重点领域认证认可推进工程”子任务“安全隔离与信息交换产品认证方法研究”,25万,“十一五”国家科技支撑计划项目(项目编号:2008BAK42B06-04),2008-2010,子项负责人。
第1章 综述 1
1.1 下一代互联网背景 4
1.1.1 下一代互联网的发展 4
1.1.2 下一代互联网中的IPv6技术 7
1.1.3 下一代互联网面临的安全问题 17
1.2 传统威胁防护方法的优缺点 22
1.2.1 传统网络所面临的威胁 22
1.2.2传统的网络威胁防护方法的缺陷 51
1.2.3采用下一代互联网安全隔离与信息交换技术的必要性 56
第2章 一代互联网安全隔离与信息交换产品的实现 59
2.1 产品发展历史 60
2.1.1 安全隔离与信息交换技术的现状 60
2.1.2 安全隔离与信息交换技术的发展历程 61
2.2 产品技术简介 72
2.2.1 下一代互联网安全隔离与信息交换技术概述 72
2.2.2 下一代互联网安全隔离与信息交换技术基本技术框架 73
2.2.3 下一代互联网安全隔离与信息交换系统数据交换方式概述 79
2.3 产品原理概述 95
2.3.1 结构化和非结构化数据交换实现原理 95
2.3.2 定制协议数据交换实现原理 96
2.3.3 实时应用高强度安全交换实现原理 97
2.3.4 大气激光型数据单向中继工作原理 100
2.3.5 数据完整性 102
2.3.6 启发式病毒扫描 102
2.3.7 高性能IPSec报文处理 104
2.3.8 高性能内部隔离交换摆渡 106
2.3.9 协议转换 109
2.3.10 流量控制 111
2.4 关键技术实现 112
2.4.1 关键技术思路和原则 112
2.4.2 系统软/硬件设计实现 124
2.4.3 系统功能模块实现 140
2.4.4 系统高层设计子系统实现 143
2.5 下一代互联网安全隔离与信息交换产品展望 146
第3章 一代互联网安全隔离与信息交换产品标准
介绍 148
3.1 标准编制情况概述 148
3.1.1 标准的任务来源 148
3.1.2 标准调研内容 149
3.1.3 标准分级要求 155
3.1.4 与原标准内容差异 161
3.2 标准内容介绍 162
3.2.1 网络和终端隔离产品描述 162
3.2.2 安全功能要求与安全保证要求 164
第4章 一代互联网安全隔离与信息交换产品典型
应用 201
4.1 产品应用部署 201
4.1.1 单一内网环境部署策略 201
4.1.2 内外网安全交换平台部署策略 202
4.1.3 服务器区域防护 202
4.1.4 单向数据导入 204
4.2 产品应用场合 204
4.2.1 政府行业中安全隔离与信息交换系统应用介绍 205
4.2.2 气象行业中安全隔离与信息交换系统应用介绍 207
4.2.3 金融行业中安全隔离与信息交换系统应用介绍 208
4.2.4 能源行业中安全隔离与信息交换系统应用介绍 210
第5章 一代互联网安全隔离与信息交换产品介绍 213
5.1 伟思安全隔离与信息交换系统 213
5.1.1 产品简介 213
5.1.2 产品实现关键技术 214
5.1.3 产品特点 218
5.2 网神SecSIS 3600安全隔离与信息交换系统 220
5.2.1 产品简介 220
5.2.2 产品实现关键技术 222
5.2.3 产品特点 224
5.3 网御星云SIS3000系列 229
5.3.1 产品简介 229
5.3.2 产品实现关键技术 230
5.3.3 产品特点 233
5.4 合众安全隔离与信息交换系统 233
5.4.1 产品简介 233
5.4.2 产品实现关键技术 234
5.4.3 产品特点 236
5.5 安盟华御安全隔离与信息交换系统SU-GAP3000 238
5.5.1 产品简介 238
5.5.2 产品实现关键技术 239
5.5.3 产品特点 240
5.6 天行安全隔离网闸Topwalk-GAP V3.0 241
5.6.1 产品简介 241
5.6.2 产品实现关键技术 242
5.6.3 产品特点 243
参考文献 245
书单推荐
