浅谈天融信下一代安全隔离与信息交换系统

安全隔离与信息交换系统(简称网闸)作为一种高安全级别但是应用功能受限的冷门安全产品，长期以来都是在国家相关政策的引导下应用于政府、军队、公安等特殊行业。面对云计算、大数据时代的信息化发展需要，政府私有云计算中心及大型数据中心建设如火如荼，云计算平台及大数据整合带来的安全隔离需求给网闸产品的发展带来新的挑战。市场上现有的安全隔离与信息交换系统由于产品功能和性能所限，不能很好的解决云计算大数据环境下的安全隔离和信息交换需求。天融信下一代安全隔离与信息交换系统是针对复杂云计算应用和海量大数据存储设计开发的，应用功能更完善，处理性能更强大，安全性更高的网络隔离产品。

IPV6/IPV4双栈协议剥离与重构

下一代互联网技术IPV6有望解决当下IPV4地址资源耗尽的困局，然而全方位融合IPV6技术的下一代互联网，也带来了“下一代信息安全”的防护问题。随着IPV6技术推广实施进程的加速，用户在实际应用过程中所面临的IPV4向IPV6技术迁移的问题是很难解决的。天融信下一代安全隔离与信息交换系统首先要能够支持IPV6技术，即能够在原有TCP/IP协议剥离的基础之上增加基于IPV6格式封装的协议剥离和协议重构。其次由于技术迁移过程中存在的IPV6和IPV4长期共存的问题，天融信下一代安全隔离与信息交换系统必然要能够兼容IPV6和IPV4两种网络技术，即设备能够在一端对IPV6封装数据进行协议剥离后在另一端能够进行基于IPV4协议的重新封装，或者设备一端对IPV4数据封装进行协议剥离后在另一端能够进行基于IPV6协议的重新封装。

万兆和超万兆高处理性能

众所周知，安全隔离与信息交换系统的性能瓶颈取决于专用隔离硬件，隔离硬件负责逻辑电子开关切换及应用层数据摆渡，所谓数据摆渡指的是在网络断开的前提下基于私有协议进行裸数据传输。由于数据摆渡过程中存在TCP/IP协议剥离、私有协议封装、逻辑电子开关切换、私有协议解封装、TCP/IP协议二次封装的过程，所以安全隔离与信息交换系统的处理性能远远低于其它安全产品。随着万兆互联网技术的发展，万兆防火墙、万兆IPS、万兆WAF等产品相继上市，网闸产品的数据处理能力相形见绌，目前市场上迫切需要更高性能的网闸产品。

面对复杂云计算应用协议处理和海量大数据存储传输需求，天融信下一代安全隔离与信息交换系统将提供万兆以及超万兆数据处理能力。首先ASIC专用隔离硬件的数据摆渡技术要脱离传统的电信号传输技术，采用目前流行的光导信号传输技术。其次专用隔离硬件和主机系统主板之间接口采用PCI-E3.0以上标准，以提供更高的内部交换速率。此外专用隔离硬件可以取消仅一对逻辑电子开关的限制，设置多路物理隔离通道，每路通道独立电子开关，数据摆渡并行处理。通过提高ASIC专用隔离硬件的处理能力从而突破瓶颈提高设备整体网络吞吐量至万兆以及超万兆级别，天融信下一代安全隔离与信息交换系统将特别适合应用于万兆以及超万兆级网络架构。

基于特征绑定的自定义模块

安全隔离与信息交换系统作为一款网络隔离产品对应用种类的支持一直受限，目前市场上的网闸产品大都支持上网浏览、邮件交换、文件传输和同步、数据库访问和同步等功能。但是这些简单的功能模块很难满足日益复杂的网络应用，大部分网闸产品提供TCP/UDP自定义的功能模块来解决这一问题。依靠网闸产品自定义功能模块来解决用户的自定义应用数据摆渡必然要开放大量的TCP/UDP端口，而这些开放端口没有任何的安全防护措施。任何基于这些开放端口的网络应用都可以通过它们进行数据摆渡，这些开放端口降低了网络隔离的安全性带来巨大的安全隐患。

天融信下一代安全隔离与信息交换系统将更加重视应用层数据控制，能够实现各类应用层协议的完整解析、还原和控制。针对用户自定义应用开放的TCP/UDP端口能够手动绑定应用特征，即开发过程中保留相应的用户接口允许用户手动将自己的应用特征例如命令或者特殊字符串等绑定到开放的TCP/UDP端口上，以此实现基于TCP/UDP端口之上的应用层数据特征过滤和控制。

基于动态端口的代理技术

当前越来越多的社会面监控资源承载在公网平台上，安全隔离将成为公安部门通过其专网视频监控系统进行监控资源调用时的重要网络安全需求。 然而大部分厂家的视频监控应用都不是基于TCP/UDP的简单固定端口，而是基于范围端口或者随机端口。当前越来越多的工业控制网和互联网络连接到一起，暴露出工控网络自身的很多安全漏洞直接影响了工业生产的稳定和安全，带来工业控制网和互联网之间的安全隔离需求。然而工控网的应用系统都是基于OPC或者Modbus TCP协议标准，这些协议标准也是基于随机的TCP端口之上实现。目前市场上的安全隔离与信息交换系统大部分只支持静态固定TCP/UDP端口的代理技术，无法满足大范围端口代理或者随机端口代理的业务应用需求。

天融信下一代安全隔离与信息交换系统将采用动态端口代理技术，能够完美的代理基于大范围端口或者随机端口传输的流媒体视频应用，特别适合部署和应用于公安行业的视频监控项目。此外下一代安全隔离与信息交换系统针对工控网OPC协议或者Modbus TCP协议会研发独立的工控模块，解决工控标准协议动态端口代理以及动态ip地址代理的问题。