網絡安全隔離裝置（正向型）應用于電力監(jiān)控系統(tǒng)生產控制大區(qū)到管理信息大區(qū)的單向數(shù)據傳輸。裝置采用非網絡傳輸?shù)姆绞綄崿F(xiàn)兩網絡之間的資源和信息共享，同時可以識別非法請求并阻止超越權限的數(shù)據訪問和操作，抵御對電力網絡系統(tǒng)的惡意攻擊事件，從而保障電力系統(tǒng)的安全穩(wěn)定運行。

    經過長期測試，該設備具有很好的穩(wěn)定性和可靠性，同時可以滿足客戶需要的執(zhí)行性能。

正向隔離裝置（正面）

正向隔離裝置（反面）

2、主要技術參數(shù)

（1）百兆型

• 功率：30W
  

• 數(shù)據包吞吐量：≥470Mbps
  

• 數(shù)據轉發(fā)延時：≤1ms

• 滿負荷丟包率：0
  

（2）千兆型

• 功率：45W
  

• 數(shù)據包吞吐量：≥860Mbps
  

• 數(shù)據轉發(fā)延時：≤1ms

• 滿負荷丟包率：0

3、產品特點

• 為了保證系統(tǒng)安全的最大化，本產品已經將嵌入式內核進行了裁剪和優(yōu)化。目前，內核中只包括用戶管理、進程管理，裁剪掉TCP/IP 協(xié)議棧和其它不需要的系統(tǒng)功能，進一步提高了系統(tǒng)安全性和抗攻擊能力，免于黑客對操作系統(tǒng)的攻擊，并有效抵御 Dos/DDos 攻擊

• 物理上控制反向傳輸芯片的深度，在硬件上保證叢低安全區(qū)到高安全區(qū)的TCP應答禁止攜帶應用數(shù)據，大大增強了高安全區(qū)業(yè)務系統(tǒng)的安全性。在物理上實現(xiàn)了數(shù)據流的純單向傳輸，數(shù)據只能從內網流向外網。

• 本產品采用截斷TCP 連接的方法，剝離數(shù)據包中的TCP/IP 頭，將內網的純數(shù)據通過正向數(shù)據通道發(fā)送到外網，同時只允許應用層不帶任何數(shù)據的TCP 包的控制信息傳輸?shù)絻染W，保護內網監(jiān)控系統(tǒng)的安全性。

• 本產品采用基于狀態(tài)檢測技術的報文過濾技術，可以對出入報文的MAC 地址、IP 地址、協(xié)議和傳輸端口、通信方向、應用層標記等進行高速過濾。

• 本產品完全支持透明工作模式，隔離裝置本身沒有IP 地址，MAC 地址隱藏（無法通過標準的網絡掃描方式獲得），極大地提高了隔離產品的安全性。同時還支持多種網絡地址轉換技術（NAT），包括靜態(tài)地址轉換、地址池和動態(tài)地址轉換技術，充分隱藏內網監(jiān)控系統(tǒng)的網絡地址，保證內網監(jiān)控系統(tǒng)的安全性。

• 本產品采用綜合過濾技術，在鏈路層截獲數(shù)據包，然后根據用戶的安全策略決定如何處理該數(shù)據包；實現(xiàn)了MAC 與IP 地址綁定，防止IP 地址欺騙；支持靜態(tài)地址映射(NAT)以及虛擬IP 技術；具有可定制的應用層解析功能，支持應用層特殊標記識別，為用戶提供一個全透明﹑安全﹑高效的隔離裝置。

• 本產品提供了友好的圖形化用戶界面，可以進行全新的可視化管理與配置。整個界面使用全中文化的設計，通過友好的圖形化界面，網絡管理員可以很容易地定制安全策略和對系統(tǒng)進行維護管理。用戶只需進行簡單的培訓就可以完成對隔離設備的管理與配置。

• 日志在設備每天的運行中起著很重要的作用,由于許多攻擊﹑系統(tǒng)漏洞不具備機器可分析的特征，或者新的攻擊的特征還不為人所知，因此，日志是發(fā)現(xiàn)攻擊﹑發(fā)現(xiàn)系統(tǒng)漏洞和記錄攻擊證據的重要手段。隔離設備內、外網各板載安全存儲區(qū)用于系統(tǒng)日志的記載，循環(huán)更新保持最新的系統(tǒng)日志。同時支持專用網絡方式將日志發(fā)送到后臺日志處理程序，供用戶分析使用，日志規(guī)范符合《電力二次系統(tǒng)安全告警日志格式規(guī)范》,可以接入電力監(jiān)控系統(tǒng)內網絡安全管理平臺集中監(jiān)視。