TP209/V2.0 TIPTOP V2.0 视频交换专用网闸
隔离网闸 负责人:曹经理 13522191905 (微信同步)
产品概述
TIPTOP视频交换专用网闸是利谱公司根据国内广电、公安等计算机网络结构的特点,依靠自身的技术优势和安全体系结构方面的研究成果,开发的专用视频交换网闸。该产品融入了完整的安全体系设计理念,采用DTP物理隔离通道控制系统和嵌入式内核控制技术,以及多重安全措施,专门针对广电业务的应用特点,全面解决影响广电视频等数据安全交换的病毒、木马感染风险、媒资数据外泄风险以及媒资数据遭篡改风险。
根据公安部有关技术要求,本产品内嵌了一套符合公安安全接入规范的系统,实现了视频应用的专用安全功能。视频交换设备经过身份认证后,通过专线方式接入到视频交换链路,在视频交换链路中,视频控制信令和数据的会话终止于应用服务区,在应用服务区对视频信令格式进行检查及内容过滤,允许合法的协议和数据通过。视频交换专用网闸将视频控制信令和数据进行分别处理和传输,能够与公安部平台厂商的边界接入管理平台进行集成,满足视频交换链路的安全要求。
技术参数
系统架构 |
产品采用“2+1”(即双主机系统+物理隔离数据通道控制系统)体系结构;采用特有控制逻辑和专用通讯协议完全控制数据的实时交换,确保可信网络(域)和非可信网络(域)之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议; |
系统要求 |
★采用经过安全加固的基于linux内核的并行安全操作系统,提供数据通道控制系统软件著作权登记证书; |
物理参数 |
1U机架式EIA RS-310C标准机箱,(尺寸:45(高)x430(宽)x450(深)mm);高强度钢结构机箱; |
接口配置 |
内网机:4个10/100/1000BASE-T接口,1个HA口(10/100/1000BASE-T),1个console接口;最大可扩展至4个SFP插槽或9个10/100/1000BASE-T接口; |
外网机:4个10/100/1000BASE-T接口,1个HA口(10/100/1000BASE-T),1个console接口;最大可扩展至4个SFP插槽或9个10/100/1000BASE-T接口; |
|
系统监控 |
★带液晶屏,液晶菜单可显示内外网机IP地址、CPU使用率和内存使用率等整机信息,可检测上网代理、邮件代理、FTP代理、数据库代理等模块是否正常。显示面板可操控整机复位、关机,具有设备异常(如网络IP冲突、通讯异常等)监测报警功能;(投标时必须提供物理结构图和功能截图) |
文件交换 |
★文件交换包括客户端方式和Samba、NFS文件共享同步方式,可以实现内网到外网、外网到内网、双向的文件传送; 支持文件传输方向可控,实现单向或双向传输; |
支持病毒检测;(投标时提供功能截图) |
|
支持对传输文件的文件名控制机制; 支持对文件类型的黑白名单控制,根据文件格式特征进行过滤,并且不依赖于文件扩展名; 支持文件内容深度检测,对包含关键字内容的文件进行过滤;(投标时提供功能截图) |
|
支持文件自动收发功能,文件交换服务能够控制单个用户和分组用户的文件收发权限;文件交换可提供客户端和无客户端的操作; |
|
支持时间策略,实时或定时文件摆渡; |
|
支持按任务进行策略过滤;支持一源多目的及多源一目的文件交换; |
|
支持文件传输时的身份认证及加密传输功能; |
|
支持增量传输、传输后删除、改名传输、删除同步等传输策略; 支持目录内子目录同步,子目录级别不受限制; 支持对重名文件的控制策略,提供“覆盖”、“丢弃”、“重命名”等重名策略; |
|
支持文件交换容错和告警功能,交换出错能够自动重传,出现异常能够弹出告警提示并记录日志; |
|
支持客户端登录,用户列表支持十级以上在组织结构 |
|
支持发送文件功能支持一对一用户、一对多用户和多对一用户, |
|
支持日志审计功能,可以记录交换文件全功能和文件交换全过程在所有审计 日志,可以在审计日志中可以显示文件名称,可以在审计日志中直接下载文件 所有交换过在文件。 |
|
文件交换客户端支持自动接收文件功能 |
|
文件交换客户端支持自动启动、支持下载目录自定义和管理功能 |
|
★文件交换客户端支持扩展windows右键菜单发送文件、支持拖拽方式发送文件 、客户端界面按钮选择文件三种方式发送文件 |
|
文件交换客户端支持windwos AD域帐号登录肯身份鉴别 |
|
FTP访问 |
支持动态数据通道建立,并可对访问端口号自定义;; |
支持对FTP主动、被动传输模式的转换,并可灵活设置允许或禁止传输; |
|
支持对FTP命令字的黑名单控制策略; 支持文件大小、文件名传输控制策略; 支持传输文件扩展名过滤; 支持对用户、命令、文件类型等细粒度访问控制; 强化文件安全传输,内容过滤; |
|
支持时间访问控制策略; |
|
支持用户分组控制策略,对不同用户组进行不同访问控制; 支持文件传输时的身份认证及加密传输功能; |
|
视频交换 |
★支持D4、D1、VGA、2/3D1、1/2D1、SIF、3/4D1、CIF、QCIF等视频码流; 特别针对流媒体文件进行优化,满足avi,wav,vob,mpg,wma,mp3等格式音视频高速传输与交换; 支持完全深度检测:MPEG-2编码文件(*.MP2 *.bwf *.s48等光电常用协议); 支持常规深度检测:*.mp3 *.avi *.wav *.mpg *.rmvb *.wmv *.mov *.flv *.psd *.swf *.vob等各种常见声频视频协议; 支持SCTP、SIP、H.323、H.248等主流视频协议; |
支持音视频同时传输; 支持SIP、RTSP代理,支持SIP、RTSP指令控制; 支持视频管理服务器数据转发,视频管理服务器通道建立,支持视频SIP服务器数据转发,SIP管理服务器通道建立; 采用复杂对称多处理(RSMP)技术,成倍提升处理能力,使网闸能够满足至少250路高质量视频并发数据交换要求; |
|
支持海康、大华、H3C、华为3COM视频等多种主流视频控制协议;支持视频会议;支持DB33标准;支持能对各视频平台进行二次开发; |
|
能够严格区分视频数据流和控制信令流,根据策略配置可以控制视频数据的单向传输; 支持将视频流通道数据单向导入公安网功能。 |
|
支持视频文件传输白名单功能,对文件进行细微检测; 支持自定义扩展名检测; |
|
对接入点身份进行审查,对未通过审查的对象一律丢弃,保证视频数据交换的安全可靠; |
|
数据库同步 |
支持ORACLE、SYBASE、MySQL、SQL Server、DB2等主流数据库; 数据库同步应用可通过灵活的同步机制保证安全等级不同的网络中的数据库系统实现数据同步更新; 提供灵活的接口,方便后期对其他数据库类型进行扩展,具备可配置性,松耦合,模块化。 |
同步由网闸主动发起并完成,不需要第三方软件支持(无需在数据库安装任何第三方软件),支持Windows、Linux、Unix 等多种数据库操作系统,且网闸无需开放端口以杜绝安全隐患; |
|
支持多种同步方式(如镜像、增量),同步模式支持单向和双向同步;(投标时提供功能截图) 支持数据库客户端安全访问网络另一侧的数据库服务器的功能; 支持表级、字段级同步; 支持同构数据库之间、异构数据库之间的数据同步,无需修改数据库表结构; 支持对指定字段允许同步或不允许同步; 支持对指定字段的指定内容允许同步或不允许同步; ★支持自定义间隔时间执行同步任务。(投标时提供功能截图) ★支持指定时间执行同步任务;(投标时提供功能截图) ★支持同步批处理量可选及自定义;(投标时提供功能截图) 可以同时发送和接收一个关系数据库中的多个表; 可分别定义增加、删除、修改的数据传输; 根据指定字段值进行条件传输; 支持大字段数据同步交换包括Long、CLOB等; 支持不同类型数据库之间的异构数据安全传输; |
|
支持不同数据库类型相同表结构同步 支持相同数据库相似表结构相同字段类型同步 支持不同数据库类型相似表结构相同字段类型同步 |
|
数据库同步支持大字段、1G以上字段; 数据库同步支持空间数据库、空间字段; 支持亿级别数据库同步; |
|
支持灵活的数据库冲突处理策略,当关键字数据发生冲突时可选择:覆盖/丢弃; |
|
支持数据库同步实时日志记录,提供日志审计、查询; |
|
数据库传输 |
提供对Oracle 、DB2、SYSBASE、SQL Server、MySql等主流数据库的安全访问,实现内外网之间数据库及表内容安全传输; |
支持任务单独启停管理,不影响数据库同步的其他任务运行; |
|
支持对访问源地址、目的地址、本机地址和端口的自定义访问控制; |
|
邮件传输 |
支持病毒扫描功能; 支持基于SMTP协议的邮件发送和POP3协议的邮件接收,内外网隔离环境下可实现邮件收、发; |
支持邮件传输过滤控制; 支持对邮件地址、主题、正文内容、附件、关键字等过滤; 支持附件容量大小控制、附件扩展名过滤、支持黑名单过滤;(投标时提供功能截图) |
|
支持邮件收发日志记录,方便日志审计和管理; |
|
安全浏览 |
支持HTTP五种请求类型(GET/POST/PUT/HEAD/CONNECT)的黑白名单控制; |
支持代理模式; 支持URL地址过滤;(投标时提供功能截图) 支持MIME类型细粒度控制,如网页中的应用程序、视频、音频等进行细粒度控制; 支持对HTML细粒度控制,如网页中的Script脚本、ActiveX脚本、java applet等; 支持关键字网页过滤; 支持对下载文件的大小、类型过滤;(投标时提供功能截图) |
|
★支持用户名口+密码+IP+MAC等多种认证方式,对多次认证失败的用户可锁定其IP或用户名; |
|
支持安全浏览日志及认证失败用户记录,可导出列表; 支持用户上网时段控制策略; |
|
支持上网用户列表及操作日志查询,可即时阻断单个用户或IP上网; |
|
定制访问 |
实现特定TCP、UDP协议的数据隔离交换,可合作定制开发针对特定协议的安全检测,实现如黑白名单控制、关键字过滤等; 支持路由映射功能 支持时段控制策略,时间策略可以是一次性或者周循环模式; |
防病毒 |
支持病毒检查:对文件交换进行病毒检测和过滤,支持病毒库在线升级和手动升级; (投标时提供功能截图) |
入侵检测功能 |
具有实时入侵检测机制;支持对SMTP、FTP、DNS、DOS/DDOS攻击、PortScan的检测;(投标时提供功能截图) |
身份认证 |
★采用用户名和密码、IP地址、MAC地址、Radius多种组合方式实现客户端访问控制;(投标时提供功能截图)支持socks4/socks5代理; |
安全管理 |
★支持CPU、内存、硬盘状态实时监控;支持HTTPS的Web方式管理,实现了远程管理信息加密传输;支持命令行方式管理,可以通过命令方式进行资源分配、排错、查看日志、深层次管理;支持远程SSH管理,远程管理的信息以密文形式传输;(投标时提供功能截图) |
★必须通过内网主机系统来管理和配置网闸,而不是采用低安全的管理方式,如采用内外网口分别管理和配置网闸;必须采用硬件USB钥匙加密管理;(投标时提供功能截图) |
|
接入方式 |
可根据来源、目的地、用户特权和时间来控制对特定的 HTTP、文件交换 或 FTP 等资源的访问;支持相同网络地址段之间部署;支持透明接入方式,支持普通接入方式,不同接入方式单独控制; |
多网隔离能力 |
支持多网隔离,每个网络接口可以接不同安全级别的网络; |
防爆力破坏限制 |
支持时间控制管理,可设置多个时间点来控制网闸网络服务的启动、终止;支持系统防爆处理,对管理员登陆有密码次数限制,密码输入错误,超过限定次数,自动锁定设备,阻止非法管理员再次登录。根据限定期限,可自动解除锁定;(投标时提供功能截图) |
双机热备 |
★支持双机配置同步;通过独立的热备端口实现双机热备;(投标时提供功能截图)支持bypass链路热备; |
日志审计 |
专用日志服务程序处理系统日志:包括日志浏览、查询、导出、手工删除;支持日志自动删除功能; |
★记录用户代理上网日志、文件收发日志、邮件收发日志、访问互联网日志、网闸配置日志、网闸ftp日志、数据库同步日志、共享文件同步日志、内网网卡状态日志、网闸内网ftp同步日志、开放端口连接日志、网闸报警日志、网闸链路日志、网闸性能日志、病毒查杀日志、入侵报警日志等;(投标时提供功能截图) |
|
日志支持本地和远程存储,能为第三方提供日志格式,实现日志数据分析; |
|
支持SysLog,Mysql标准;(投标时提供功能截图) |