身边的无线网络安全专家
roduct Center
视频监控安全接入网关
一、系统架构
l 公安网访问视频监控:视频监控安全交换平台部署在视频监控和市局公安信息通信网之间。公安内网的视频访问控制终端访问公安内网的视频通信服务器,内网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用,网闸只开放视频交换平台前后置服务间的通讯端口。视频访问控制命令通过视频安全交换平台的TCP/IP通道进行连接,视频流通过平台的UDP通道进行传输,平台对视频控制命令和视频进行严格的格式校验和审核,从而实现通过公安信息网浏览、回放和控制社会治安视频监控系统图像资源的功能。
l 电子政务外网访问视频监控:视频监控安全交换平台部署在视频监控和电子政务外网之间,电子政务外网的视频访问控制终端需要经过电子政务外网的认证服务器认证才能访问电子政务外网的视频通信服务器,电子政务外网通信服务器和监控专网通信服务器通过视频安全交换平台建立连接和调用,网闸只开放视频交换平台前后置服务间的通讯端口。视频访问控制命令通过视频安全交换平台的TCP/IP通道进行连接,视频流通过平台的UDP通道进行传输,平台对视频控制命令和视频进行严格的格式校验和审核,从而实现通过公安信息网浏览、回放和控制社会治安视频监控系统图像资源的功能。
l 无线视频接入:无线视频监控应用业务主要有动态取证、交通事件智能分析、消防火警指挥等业务。主要的无线视频终端设备类型包括,单兵监控终端、车载移动监控终端、无线网络摄像机。
二、产品架构
1. 多核并行网络数据包处理技技术
为了更好地发挥多核平台的性能,视频监控安全设备会根据硬件平台的不同调整CP(控制层面)和DP(数据层面)的实例数,以实现性能的最大化。在处理业务数据的过程中,每个DP(数据层面)都采用Run-to-completion的方式,即一个数据包从接收到所有业务处理完毕,均在同一个DP(数据层面)中完成,这种处理方式能够显著提高处理性能。在串接部署的情况下降低数据延迟。
2. 系统架构
采用基于linux的深度定制系统,并在其中增加准入策略,阻断策略等控制功能。并增加了终端识别,应用识别,风险评估等功能模块。
三、产品功能
|
具体指标 |
功能描述 |
|
1. 部署模式 |
|
|
网桥模式 |
支持以网桥模式部署,包括单桥和多桥的部署模式;支持Bypass 功能。 |
|
网关模式 |
支持以网关模式部署,进行NAT,端口映射等。 |
|
旁路模式 |
支持旁路模式部署,旁路模式下,支持告警,已经和交换机联动阻断。 |
|
2. 网管方式与网管策略 |
|
|
WEB管理 |
支持以HTTP及SSL加密的WEB图形化接口进行设备配置和管理,支持英语、简体中文、繁体中文接口。 |
|
SSH管理 |
支持 SSH 命令行管理方式。 |
|
Console管理 |
支持Console管理。 |
|
3. 网络功能 |
|
|
静态路由 |
支持静态路由功能。 |
|
本地DNS |
支持本地DNS配置 |
|
NAT地址转换 |
*支持源地址转换,端口映射,一对一映射。 |
|
ALG应用层网关 |
*支持应用层网关,FTP,SIP(GB28181),RTSP,H.323等。 |
|
4. 终端状态 |
|
|
在线准入终端 |
*支持列出在线已准入终端列表,并支持查询。 |
|
离线终端 |
*支持列出已准入并离线的终端,并支持查询。 |
|
私接终端 |
*支持列出私接终端,并支持查询。私接终端为没有被准入的终端。 |
|
仿冒终端 |
*支持列出仿冒终端,并支持查询。仿冒终端为终端信息和已准入终端有冲突的终端,存在仿冒情况。 |
|
风险终端 |
*支持列出风险终端,并支持查询。风险终端为存在漏洞或者弱口令的终端。 |
|
阻断终端 |
*支持列出已阻断终端,并支持查询。已阻断终端为根据阻断策略或者手动阻断的终端。 |
|
5. 终端管理 |
|
|
准入终端管理 |
*对已经准入的终端进行管理,并支持分组。 |
|
准入策略 |
*根据IP网段,终端类型,对终端进行自动准入,并分配到不同的分组。 |
|
阻断策略 |
*对私接终端,仿冒终端可以选择阻断或者是仅记录日志。 |
|
终端白名单 |
*支持根据VLAN,IP网段对流量进行放通。 |
|
交换机联动 |
*支持通过SNMP协议到三层交换机上获取到终端的真实MAC地址,同时也支持通过SNMP到锐捷,华为,华三等品牌三层交换机上设置MAC地址黑名单,进行交换机联动阻断。 |
|
6. 风险评估 |
|
|
漏洞扫描 |
*支持主动扫描发现终端的安全漏洞,并有针对视频终端的漏洞库,能够扫描出大华,海康威视等主流品牌的安全漏洞。 |
|
弱口令扫描 |
*支持FTP,TELNET,SSH,RTP等协议的弱口令扫描。 |
|
7. 基本防护 |
|
|
基础防火墙 |
*支持基于状态监测的防火墙,不仅保障网关设备安全,还能保护组织内网安全,控制视频单向传输。 |
|
应用控制 |
*支持根据应用进行允许和阻断,仅允许视频, GB28181(国标),ONVIF(行标),海康威视视频等视频网络中用到的协议,对其他协议进行阻挡。 |
|
8. 统计功能 |
|
|
应用统计 |
*支持对视频网络流量监测,不用基于7层应用识别的应用流量排行,包括视频等流量。 |
|
终端统计 |
*支持对视频网络流量监测,可显示摄像头流量排行。 |
|
网络流量统计 |
*对全网总体流量进行统计,以趋势图展示。 |
|
物理接口流量统计 |
*支持对每个物理接口的流量进行统计,以趋势图展示。 |
|
设备信息统计 |
*支持对系统本身CPU,内存的等的使用率进行统计,以趋势图展示。 |
|
终端个数统计 |
*支持对终端个数进行统计,统计上线的终端个数,以趋势图展示。 |
|
病毒防护 |
*支持对FTP,HTTP下载,上传中的文件进行病毒查杀防护。 |
|
9. 摄像头安全加固 |
|
|
在线终端列表 |
*区分终端为注册终端,私接/替换设备,并列出各个终端的详细信息。 |
|
终端注册 |
*对终端进行注册,可以绑定终端的IP地址,MAC,品牌,型号,序列号。 |
|
终端准入策略 |
*对私接,替换终端做的阻断或者记录策略。阻断的加入黑名单。 |
|
绑定策略 |
*新接入的涉嫌头设备进行自动注册,绑定 IP地址,MAC,品牌,型号,序列号。可以指定IP网段 和加入的区域。 |
|
交换机联动 |
*支持与华为,华三,锐捷等交换机联动阻断进入黑名单的终端。 |
|
防DOS/DDOS |
*防止摄像头遭受DOS/DDOS攻击。 |
|
漏洞防护 |
*支持对摄像头漏洞进行防护,支持几千种漏洞类型,并能根据爆发的漏洞及时更新漏洞库进行加固。 |
|
病毒防护 |
*支持对FTP,HTTP下载,上传中的文件进行病毒查杀防护。 |
|
10. 服务器防护加固 |
|
|
防DOS/DDOS |
*支持防止服务器遭受DOS/DDOS攻击。 |
|
漏洞防护 |
*支持对服务器漏洞进行防护,加固。 |
|
病毒防护 |
*支持对向服务器FTP,HTTP下载,上传中的文件进行病毒查杀防护。 |
|
WEB服务防护 |
*对提供WEB服务的服务器进行防护。 |
|
11. 应用协议识别 |
|
|
监控视频 |
*识别GB28181,ONVIF,RTP,海康威视私有视频等视频协议。 |
|
常用协议 |
如HTTP,FTP、SMTP、TFTP、IMAP等常用协议。 |
|
HTTP应用 |
HTTP多线程下载、伪IE下载等多种方式的HTTP下载等进行识别。 |
|
FTP应用 |
FTP上传文件、FTP下载文件、FTP命令。 |
|
远程控制 |
*QQ远程协助、SSH、Windows远程桌面、VNC、teamview等。 |
|
数据库 |
DB2、MySQL、Oracle、SQL等。 |
|
视频日志 |
*支持视频资源访问日志,记录访问的视频资源地址,访问来源。 |
|
12. 日志报表 |
|
|
告警配置 |
*对于事件日志,DOS,IPS,病毒查杀等日志配置告警,可以选择告警级别,可以通过日志,SYSLOG,邮件,短信猫方式发送告警。 |
|
日志查询 |
*记录每条连接的会话日志,同时也记录DOS日志,IPS漏洞防护日志,病毒查杀日志等。 |
|
统计分析 |
统计攻击来源,安全统计,设备资源,区域统计,网络流量服务类型统计等 |
|
数据管理 |
管理统计日志数据的存储策略,查看数据列表,数据备份等功能。 |
|
13. 集中管理 |
|
|
集中管理 |
*支持外置集中管理平台,可以通过外置集中管理平台管理设备,下发策略,升级版本,监控设备运行状态等。 |
|
数据集中存储 |
支持发送日志和统计到集中管理平台进行统一存储和展示。 |
四、产品优势
1. 部署简单
本产品的部署不需要改变已有网络结构,可以串接部署,旁路部署,也支持网关部署,满足检测的同时进行控制的要求,同时支持单纯检测并告警的需求。
2. 性能强劲
采用自主知识产权底层高性能操作系统,在高性能转发数据包的同时,也能处理复杂的应用分析,可以发现隐藏在流量中的风险,并能及时阻断。
通过测试,本产品对视频流量的处理延迟不超过100us,几乎可以忽略不计,降低对新加入设备后,造成的操作延迟担忧。
3. 功能强大
可以从合法终端识别,异常流量检测,漏洞防护,病毒查杀等方面有效解决解决视频监控专网终端管理、设备替换、非法入侵等问题,帮助用户解决视频专网安全运行问题,实现视频专网可视、可控、可管。
4. 扩展灵活
本产品中涉及到的应用库,漏洞库,病毒库都为单独模块,可进行在线更新,可以灵活扩展。
5. 降低成本
在需要部署多台视频监控安全产品的场景下,可支持由视频监控安全平台端统一管理,策略的下发,版本/库的升级操作。有效减少维护的复杂度,降低人员维护成本。
