- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath GAP3000系列安全隔离与信息单向导入系统
用户FAQ
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
GAP3000系列光闸与传统边界设备防火墙以及网闸区别是什么?
单向建立NFS文件同步时放置5G文件开启同步后有成功日志但文件并没成功落地怎么处理?
文件同步ftp移动模式下,未给予文件夹删除权限,会使该文件夹一直反复发送,内端反复接收;几次之后导致内端机接收文件不落地概率增大
备机存在ipv6的路由,主机只有ipv4的路由,使用ha-自动同步后,页面ipv6的路由虽然显示被覆盖,但实际库里该条路由仍存在。若需要在备机添加被覆盖的ipv6路由怎么办?
本文档介绍H3C SecPath GAP3000网络单向导入系统的用户常见问题及解答。
H3C SecPath GAP3000是为保证不同密级网络之间数据流向的安全,彻底解决数据在密级网络传输时信息泄露的问题,新华三依托自身多年的安全隔离研发经验,设计开发了一款适用于上述网络应用的物理纯单向导入系统。该系统能够保证物理信道的绝对单向,为信息网络提供了更高层次的安全防护能力。网络单向导入系统采用专用的硬件和模块化的工作组件设计,适合部署于不同安全等级的网络间,在保证多个网络安全隔离的同时,实现高效、可靠的数据单向传输。产品具有文件、数据库、消息单向传输和UDP单向代理等功能。
· UPET单向技术,绝对物理单向无数据反反馈
· 可靠的数据传传输
· 应用层的数据安全检测
H3C SecPath GAP3000安全隔离与信息单向导入系统功能丰富,梳理总结为以下几个核心特色功能:
· 支持流量控制。
· 支持专用客户端或FTP、SFTP、NFS、SMB、FTP_SERVER方式实现单向文件传输。
· FTP、SFTP传输方式:支持发送端为client,接收端为client模式;支持发送端为client,接收端为server模式;支持发送端为server,接收端为client模式;支持发送端为server,接收端为server模式。
· 支持文件内容过滤。
· 支持文件每秒文件传输限制。
· 支持UDP组播传输。
从网络单向导入系统的定位和项目中发现,产品主要使用和关注对象为:涉密领域的重要人员安全管理、IT建设维护或对应职能的相关人员。
网络单向导入系统目前在水利、法院、税务、化工等行业都有广泛应用。产品可对用户网络环境中单向业务传输保证物理信道的绝对单向,为信息网络提供了更高层次的安全防护能力。网络单向导入系统采用专用的硬件和模块化的工作组件设计,适合部署于不同安全等级的网络间,在保证多个网络安全隔离的同时,实现高效、可靠的数据单向传输。
光闸最大程度的解决了网络既要隔离,又要单向安全共享信息的两难矛盾,应用场景举例如下:
· 各政府部门的不同安全域之间单向进行数据交换的接口;
· 各政府部门与业务相关的其他政府部门之间单向进行数据交换的接口;
· 不同的涉密网络之间的单向业务;
· 同一涉密网络的不同安全域之间的单向业务;
· 与Internet物理隔离的网络与秘密级涉密网络之间的单向业务;
· 未与涉密网络连接的网络与Internet之间的单向业务;
· 有两个不同的网络,且需要进单向数据安全交换;
· 已经连接的网络,感觉不安全;
安全隔离与信息单向导入系统的工作原理,采用硬件架构设计使数据仅能从发送子系统传输至接收子系统,中间没有任何形式的反馈信号。新华三网络单向导入系统针对这种单向无反馈的环境,定义了私有通信协议对数据进行封装和传输,采用了先进的纠错编码技术,结合了多种速率和流量控制方法,使得模块化的底层通信接口能灵活、可靠的处理不同业务的需求。新华三通过这些关键技术保证了数据传输的完整性、可靠性和机密性。
新华三网络单向导入系统工作流程是:系统从数据发送端网络抓取事先定义的要传输数据,发送子系统经过协议还原、格式检查、内容过滤等动作,将安全数据重新封装成私有格式,传输至接收子系统,为了控制数据能够正确发送至目标系统,接收子系统接收到数据包后进行校验还原,最后根据预定义将可靠数据发送至网络的目标系统。流程图如下所示:
|
对比项目 |
传统防火墙 |
网闸 |
光闸 |
|
隔离本质 |
通过ACL做访问控制,包转发 |
数据摆渡,协议隔离,代理访问 |
单向数据摆渡,协议隔离,代理访问 |
|
硬件结构 |
单主机 |
“2+1”结构,避免一主机提权后绕开攻击内网 |
“2+1”结构,隔离卡采用专用单向传输卡,利用光的不可逆,实现完全单向传输 |
|
操作系统 |
单一OS |
两主机系统独立OS ,尽可能避免OS带来的隐患 |
两主机系统独立OS ,尽可能避免OS带来的隐患 |
|
协议处理 |
采用在OSI协议栈的网络层进行包过滤 |
主机系统终止所有协议,隔离模块采用自有协议进行数据“摆渡” |
主机系统终止所有协议,隔离模块采用自有协议进行数据“单向导入” |
|
安全机制 |
简单的进行包头检查 |
综合了硬件隔离、访问控制、内容过滤、抗攻击、防病毒等安全防护技术 |
综合了硬件隔离、访问控制、内容过滤、抗攻击、防病毒等安全防护技术,利用光的不可逆技术,实现完全单向传输 |
|
通讯协议 |
公有协议 |
内、外网主机系统通过私有协议通信,避免因公有协议漏洞造成的攻击 |
内、外网主机系统通过私有协议通信,避免因公有协议漏洞造成的攻击 |
隔离网闸和单向光闸首先在政策归类上不同,隔离网闸属于隔离类产品,单向光闸属于单向导入类产品,他们隔离本质也不同,网闸可以是先TCP/IP双向的数据传输,光闸安全级别更高,只能做到单向的文件、数据、UDP的传输,从硬件角度来看,网闸内传输卡用的是双向的隔离卡,光闸用的是单向专门隔离卡,利用光的不可逆技术,实现完全单向传输。
光闸不能实现TCP双向业务,光闸只可以通过策略实现单向文本和数据库的交换以及UDP单向传输,但部分应用如HTTP等TCP链接的协议不能做到完全0回包。光闸实际中间摆渡通过单向光纤(故常宣称物理单向)完成,其主要功能为文本单向与数据库的单向交换和UDP单向,涉及TCP的链接也无法使用。
5G的文件没有成功落地
从日志查看,内端机通道被修改了
配置通道启用时,先配置内端机启用,再配置外端机启用;修改内端机通道时,要先停止外端机通道,在停止内端机通道;停止外端机通道后,通过日志和文件传输状态判断内端机没有文件传输时,再停止内端机通道
一个有关联的节点删除,第一次提示已被关联,解除后再删除,第二次删除就变成这个已经有删除任务存在,数据库无法删除但是测试连接是通的
先检查是否有关联,有关联先删除关联再删节点就能正常删除。
(1) 环境:192.168.50.18 库名:www1
(2) mysql服务不可达后( 情况:放置了一晚,上午发现192.168.50.18数据库不通转准备删除配置)
(3) 内端机直接删除失败,强制删除成功
(4) 外端机先删除同步表提示数据关联未关联成功,再删除关联提示同步表未删除,选择删除数据库配置提示删除任务已存在,直接选择强制删除提示删除任务已存在
先删除同步表配置,再删除关联,最后再删除节点
修改HA正在使用的IP-A,需在网络管理-IP地址管理-HA网卡上添加修改的IP-B地址,并在设备管理-HA设置中更换本机IP地址为IP-B后才能对之前的IP-A进行修改或者删除操作。
给予文件夹删除权限,给予权限后,需要重启通道使新权限生效。
需联系技术人员介入。
支持
