随着信息时代的到来，互联网已经成为人们获取信息不可或缺的主要途径了。然而互联网存在的危害也是众所周知的。很多企事业在享受互联网带来的便利的同时也在为遭受病毒攻击，黑客入侵，机密数据泄漏等头疼不已。凭借雄厚的技术实力，北京数码星辰科技有限公司在深入了解分析后，推出了宇宙盾物理上网专用隔离装置上网解决方案，可以用于企事业办公网络接入互联网获知信息，也可以保护企事业单位的web服务器，并确保受保护主机或网络的安全。

　　特别是大量的间谍件的出现，对政府、企业和个人的信息安全造成了极大地危害。Spyware(间谍件)是一种在用户不知情的的情况下，装在用户计算机或网络系统中软件或硬件。常常用于收集技术机密、竞争对手客户信息、政府机密情报收集、用户密码、用户个人信息、用户键盘输入、屏幕显示等等重要信息。这些信息将被某些公司、情报机构、竞争对手、甚至于怀疑自己配偶的人利用已达到自己的特定目的。犯罪集团利用个人信息窃取 帐号机密进行犯罪的案例已经屡见不鲜。对政府、企业和个人的信息安全造成了极大的危害。

　　网络安全设备的对比

　　针对上互联网可能带来的种种危害，为了尽可能的减小或避免危害，各网络安全厂商和用户也采取多种不同的手段。目前安全防护级别较高，较为流行做法的就是使用物理隔离卡和防火墙。实践证明这两种产品由于设计初衷的缺陷，在使用过程中都为用户带来很多不便，更为可怕的是存在着严重的安全隐患。

　　宇宙盾物理上网专用隔离装置与隔离卡的对比

　　物理隔离卡是物理隔离的低级实现形式，一个物理隔离卡只能管一台个人计算机，甚至只可能在Windows(或单一系统平台)环境下工作，每次切换都需要开关机一次，使用极为不便。另外每台计算机上安装一块隔离卡在管理方面也是繁琐的，需要对每台计算机进行配置。双硬盘的硬件平台也会使得安全网络的架设和维护费用显著升高。

　　宇宙盾物理上网专用隔离装置与隔离卡最主要的区别是，宇宙盾物理上网专用隔离装置安全性高，能够实现网络间安全、实时的信息交换，而隔离卡安全性低，只能通过手动的开关达到所谓“物理隔离”的效果。最重要的，宇宙盾物理上网专用隔离装置是对整个网络进行隔离，只要安装一台宇宙盾物理上网专用隔离装置，而不是每台计算机上安装一块隔离卡，进而通过一台宇宙盾物理上网专用隔离装置就可以防护内网的所有计算机。从此内网的用户就不必为了登录英特网而在内外网间进行繁琐的切换和重新启动计算机了。此外通过这一改变还实现了用户的实时在线，在确保内网安全和随意畅游英特网间建立了最佳的契合点。在设备维护方面一台设备和多块网卡的维护量也有着巨大的差别。只对单一设备进行管理和维护将大大减轻网络管理员的工作!

　　宇宙盾物理上网专用隔离装置与防火墙的对比

　　防火墙也是一种被人们广泛使用的连接互联网的网络安全设备。然而，人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络攻击都是发生在有防火墙的情况下，根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下，所以“防火墙之父”马尔科斯都宣称，他再也不相信防火墙。

　　防火墙的弊病很多，其中最突出的就是它的自身防护能力。大部分的防火墙是建立在工控机的硬件架构上。

　　在防范网络攻击方面防火墙设计往往采用工控机作为其硬件平台。这种设计无需单独设计硬件，极大地简化了设计难度，缩短了产品设计周期。然而工控机的设计的对象主要是满足工业控制设备的需要、并非为网络安全装置设计的，因此他不仅带来了许多无用的功能和硬件而且带来了许多意想不到的严重问题和安全漏洞。

　　所谓工控机就是工业版的PC使用标准的操作系统(WINDOS或LINUX)。大家知道PC和它的操作系统都是一些极易被攻击的对象。它们本身就存在着许多安全漏洞和问题。也就是说自身难保，一个连自身的安全都无法保证的安全装置又如何去保护一个网络的安全呢?

　　工控机平台的网络安全装置继承了PC平台的所有弊病，他们表现在:

　　安全性极差:PC软硬件平台是目前使用最广泛的计算机系统也是最易受攻击的系统:

　　a. 使用有后门的外国芯片(例如奔腾等等)

　　b. 操作系统有大量的漏洞

　　c. 使用具有安全漏洞的通用TCP/IP协议栈

　　同样由于使用工控机作为硬件平台，这一产品的可靠性、使用方便性和可维护性也存在着诸多问题。

　　1. 可靠性:PC软硬件平台可靠性极差，是众所周知的。此外由于工控机使用的集成电路功耗极高，发热量大，使用温度极高也是一个造成系统不稳定的重要因素。如果其中的散热风扇发生故障，将可能造成电路的烧毁和火灾。

　　2. 使用方便性:配置后要重新启动。这是PC软硬件平台的一个通病，对一个网络产品来说，重启动将中断整个网络的通讯，造成整个网络的服务的中断，在许多应用场合，这是不允许的。所以，只能采用在半夜进行配置的方法来避免在正常工作时间里对网络服务的中断。但这不仅给网络的维护带来了极大的不便，同时也使得许多急需的安全配置无法及时地实施，从而带了极大的安全隐患。

　　3. 启动时间很长:和所有的PC一样，启动将需要1-2分多钟的时间。

　　4. 功耗大:PC的功耗在130-150瓦

　　5. 噪音很大:用工控机实现的防火墙有两个风扇，pc散发大量的热量，全部通过两个风扇散发热量。

　　目前，市场上也出现了一些用网络处理器设计的新型防火墙，这种防火墙的硬件平台安全性有了一定的提高，但是仍然无法克服可能的“硬件后门”的问题。此外，这些设计所使用的软件依然是易受攻击的通用操作系统和通用的TCP/IP协议栈，同样存在着极大的自身安全隐患的问题。

　　配置繁琐也是防火墙的一大缺点。一般的防火墙的安全、管理、维护等环节都非常复杂，要求管理人员具有较高的专业技能，防火墙管理员必须对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。因此有部分用户购买防火墙之后，由于难以使用，就让它一直闲置着或是没有充分利用。此外，防火墙难于管理和配置，也很容易造成安全漏洞。

　　此外，防火墙也对间谍件的肆虐没有任何办法。北京数码星辰的解决方案

　　正是因为看到了防火墙诸多的弊病，在设计网络安全装置的时候我们并没有遵循现有的套路，而是另辟蹊径，采用了一系列数码星辰独有安全防护手段，使得网络安全防护提升到了一个新的高度。

　　首先在产品设计的之初，就摒弃了防火墙“首先考虑应用，然后在应用的基础上加以安全防护手段”的设计思想。首先把保证设备自身的安全性，放在了极重要的位置。摒弃了防火墙和大多数网络安全设备采用工控机和通用操作系统所带来的弊病，凭借着我们丰富的设计经验，本着网络安全设备高安全性第一的原则，独立自主地设计了一款专用无“后门”的硬件平台。同时采用数码星辰独有的“操作系统防病毒加载技术”以及自主设计的TCP/IP处理软件， 彻底根除了其他网络安全设备自身安全性极差的问题。

　　与防火墙不同，宇宙盾物理上网专用隔离装置采用双处理器和安全岛隔离技术(内、外网处理器及专用隔离硬件)，极大地加强了设备的防护能力。

　　值得一提的是宇宙盾物理上网专用隔离装置采用了独有的“防间谍软件技术”，可以有效地阻止间谍软件的窃密活动。宇宙盾物理上网专用隔离装置也不允许任何外部向内部网不经授权的建立连接请求。

　　针对防火墙使用和配置及其复杂的问题，北京数码星辰设计的宇宙盾物理上网专用隔离装置采用了极其方便的“傻瓜”用户界面。用户只需作一些极其简单的配置即可立即开始使用。

　　三者的权衡

　　当用户的网络需要保证高强度的安全，同时又与其它不信任网络进行信息交换的情况下，如果采用物理隔离卡，不仅极不方便而且信息交换的需求将无法满足;如果采用防火墙，其自身安全性就是一个极大的问题，更无法防止内部信息泄漏和外部病毒、黑客程序的渗入，安全性无法保证。在这种情况下，宇宙盾物理上网专用隔离装置能够同时满足这两个要求，又避免了物理隔离卡和防火墙的不足之处，自然宇宙盾物理上网专用隔离装置就成了必然之选。

　　产品特点

　　宇宙盾物理上网专用隔离装置，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

　　宇宙盾物理上网专用隔离装置硬件部分由外部处理单元、内部处理单元、隔离单元组成，电路设计均采用高性能的国产芯片。

　　北京数码星辰宇宙盾物理上网专用隔离装置采用非工控机设计，整机功率低于25W。开机2秒即可正常工作。采用双电源冗余设计，在稳定性方面有着突出的表现。在安全性方面，物理隔装置内部不存在文件系统，从根本上消除了病毒存在可能。采用非商用TCP/IP协议栈，消除了TCP/IP协议栈的漏洞，独有的隐身技术使黑客根本无法发现设备的和受保护网络的存在。

　　软件硬件的设计中采用一系列的可靠性设计，其中包括采用数码星辰独有的DSR(Dynamic Self-Recovery)技术，使得系统具有的可靠性有了极大的提高。

　　功能:1. 支持路由模式和透明模式

　　2. 宇宙盾物理上网专用隔离装置本身体不对外提供任何服务

　　3. 支持连接方向的选择。

　　4. 支持基于连接的认证。

　　5. 支持IP和MAC绑定

　　6. 支持HTTP,HTTPS,MSN,QQ等标准协议

　　7. 支持HTTP的URL和内容的关键字过滤

　　8. 支持其他功能模块的扩展定制

　　9. 防止PING FLOOD、SYN FLOOD、Dos和DDos等洪水攻击

　　10. 防止缓冲区溢出攻击

　　11. 系统中不使用任何通用的TCP/IP网络协议栈

解决方案

　　公司内部网络上网解决方案

　　基于应用的代理上网方式，相对于NAT地址翻译，可以更好的控制应用程序，也得到了广泛的使用。为了满足这样的应用环境，宇宙盾物理上网专用隔离装置可以放置在代理服务器与内部网络之间。有效防止公司重要数据的泄密，维持网络正常工作。如图所示

　　另一方面有些单位并没有通过代理服务器上网，而是直接通过路由器连接互联网。路由器模式下宇宙盾物理上网专用隔离装置就可以直接放在内部网与路由器接口处，网络拓扑也相对简单，如图所示:

　　相对于使用防火墙，物理隔离可以避免基于TCP/IP堆栈弱点的攻击，同时物理隔离自身安全性也较防火墙安全，防护规则不可能被篡改。通过宇宙盾物理上网专用隔离装置的状态监视，可以控制连接只能从内网发起，Internet不能对内网发起连接，有效降低了被攻击的可能性。

　　重要服务器的防护方案

　　北京数码星辰科技有限公司的宇宙盾物理上网专用隔离装置，还可以专门为不同的服务提供模块用来保护关键服务器，例如WEB，MAIL，FTP，数据库等等。以WEB服务器为例，通过加载WEB服务模块后，将安全级别提升到更高的层面，可以用于网上银行服务器的保护，公司重要数据库服务器的保护。