1、PAGE21科博安全隔離與信息交換系統（CopGap200）技術白皮書中鐵信安（北京）信息安全技術有限公司2011年4月目 錄 TOC o 1-3 h z HYPERLINK l _Toc4 1.產品研制背景 PAGEREF _Toc4 h 4 HYPERLINK l _Toc5 2.產品介紹 PAGEREF _Toc5 h 5 HYPERLINK l _Toc6 .概述 PAGEREF _Toc6 h 5 HYPERLINK l _Toc7 .體系結構 PAGEREF _Toc7 h 5 HYPERLINK l _Toc8 .功能性能指標 PAGEREF _Toc8 h 6 HYPERLIN

2、K l _Toc9 功能指標 PAGEREF _Toc9 h 6 HYPERLINK l _Toc0 性能指標 PAGEREF _Toc0 h 7 HYPERLINK l _Toc1 3.產品功能描述 PAGEREF _Toc1 h 9 HYPERLINK l _Toc2 .信息交換功能 PAGEREF _Toc2 h 9 HYPERLINK l _Toc3 文件交換功能 PAGEREF _Toc3 h 9 HYPERLINK l _Toc4 Web交換功能 PAGEREF _Toc4 h 9 HYPERLINK l _Toc5 數據庫交換功能 PAGEREF _Toc5 h 10 HYPER

3、LINK l _Toc6 郵件交換功能 PAGEREF _Toc6 h 10 HYPERLINK l _Toc7 定制應用數據交換 PAGEREF _Toc7 h 11 HYPERLINK l _Toc8 .安全控制功能 PAGEREF _Toc8 h 11 HYPERLINK l _Toc9 訪問控制功能 PAGEREF _Toc9 h 11 HYPERLINK l _Toc0 數據內容審查功能 PAGEREF _Toc0 h 12 HYPERLINK l _Toc1 病毒防護功能 PAGEREF _Toc1 h 12 HYPERLINK l _Toc2 文件深度檢查功能 PAGEREF _

4、Toc2 h 12 HYPERLINK l _Toc3 入侵檢測與防御功能 PAGEREF _Toc3 h 13 HYPERLINK l _Toc4 身份認證功能 PAGEREF _Toc4 h 13 HYPERLINK l _Toc5 虛擬專網（VPN）功能 PAGEREF _Toc5 h 13 HYPERLINK l _Toc6 流量控制功能 PAGEREF _Toc6 h 14 HYPERLINK l _Toc7 .系統監控與審計功能 PAGEREF _Toc7 h 14 HYPERLINK l _Toc8 系統監控功能 PAGEREF _Toc8 h 14 HYPERLINK l _T

5、oc9 日志審計功能 PAGEREF _Toc9 h 14 HYPERLINK l _Toc0 報表管理功能 PAGEREF _Toc0 h 15 HYPERLINK l _Toc1 .高可用性功能 PAGEREF _Toc1 h 15 HYPERLINK l _Toc2 雙機熱備功能 PAGEREF _Toc2 h 15 HYPERLINK l _Toc3 負載均衡功能 PAGEREF _Toc3 h 16 HYPERLINK l _Toc4 4.產品使用方式 PAGEREF _Toc4 h 16 HYPERLINK l _Toc5 .部署方式 PAGEREF _Toc5 h 16 HYPE

6、RLINK l _Toc6 .管理方式 PAGEREF _Toc6 h 17 HYPERLINK l _Toc7 5.產品應用范圍 PAGEREF _Toc7 h 18 HYPERLINK l _Toc8 .核心數據庫的訪問 PAGEREF _Toc8 h 18 HYPERLINK l _Toc9 .核心服務器保護 PAGEREF _Toc9 h 19 HYPERLINK l _Toc0 .內外網絡之間的數據同步 PAGEREF _Toc0 h 20產品研制背景傳統的安全防御體系是以防火墻為核心的防御體系，通過縱深防御、系統聯動達到協同保護網絡安全的目的。盡管防火墻在安全防御中作為一種核心的訪

7、問控制手段，起到了不可替代的作用，但以防火墻為核心的防御體系已經不能滿足網絡安全的真正需求。分析防火墻的發展歷程其實一直在追求安全性和系統性能的平衡點。防火墻工作層次愈低，其性能愈高，安全性就愈差；工作層次愈高，其性能愈差，但安全性愈高。就以安全性最高的應用代理防火墻，其安全性也是有限的。這種局限性主要表現在如下幾個方面：安全決策模塊直接面對不可信連接，難以對安全決策模塊的完整性和安全策略實施過程的完整性進行保護；防火墻始終保持了可信網絡與不可信網絡之間的物理連接，成為攻擊者攻擊受保護網絡的罪惡之手。防火墻安全局限性，催生了新一代的邊界防御技術安全隔離與信息交換技術。安全隔離與交換技術應用于高

8、敏感網絡和低敏感網絡之間，攔截TCP/IP數據流，過濾丟棄TCP/IP協議格式，還原上層應用數據，并經過安全處理后，以數據擺渡的方式實現不同敏感級別網絡之間的應用數據安全交換。數據擺渡的方式類似實際生活中的渡船載客，能保證內外網絡在任何時候沒有聯通的電氣連接情況下，實現應用數據的往返傳輸。這種數據處理方式保證了網絡邊界防護的高安全性，使其邊界安全防護強度遠遠大于防火墻系列產品。這種可以確保內外網在發生數據交換時，內網免受外網基于網絡協議的所有攻擊，即使是未知形式的攻擊。因此，這種技術可應用于保護政務網絡、軍事網絡、銀行/電信等重大基礎網絡的核心網絡資源，如核心網絡或核心數據服務器。產品介紹概述

9、科博安全隔離與信息交換系統（CopGap200，下簡稱科博網閘）為中鐵信安（北京）信息安全技術有限公司自主研發生產的網絡邊界防護設備。這種設備可以放置在高敏感網絡和低敏感網絡之間，攔截TCP/IP數據流，過濾丟棄TCP/IP協議格式，還原上層應用數據并經過安全處理后，以數據擺渡的方式實現不同敏感級別網絡之間的應用數據安全交換。數據擺渡的方式類似實際生活中的渡船載客，能保證內外網絡在任何時候沒有聯通的電氣連接情況下，實現應用數據的往返傳輸。科博網閘的數據處理方式保證了其網絡邊界防護的高安全性，使其邊界安全防護強度遠遠大于防火墻系列產品，即使是防護強度最高的應用代理防火墻。科博網閘可以確保內外網在

10、發生數據交換時，內網免受外網基于網絡協議的所有攻擊，即使是未知形式的攻擊。因此，科博網閘可應用于保護政務網絡、軍事網絡、銀行/電信等重大基礎網絡的核心網絡資源，如核心網絡或核心數據服務器。科博網閘按照設備性能，形成了涵蓋E600型、E800型、G3000型、G5000型、等不同型號的系列產品。用戶依據通信性能要求選擇采用不同型號的產品。其中，E600型為百兆低端產品；E800型為百兆高端產品；G3000型為千兆低端產品；G5000型為千兆線速高端產品。體系結構科博網閘被設計為一個2+1結構的設備：一個外端機、一個內端機、一個中間數據硬件交換部件，即隔離交換開關。當數據需要從內向外傳遞時，內端機

11、基于應用代理服務的模式終止網絡協議，解析應用數據，并對數據進行安全處理。安全處理后的數據被隔離開關以專用封裝格式擺渡到外端機。外端機采用應用代理客戶端的方式將應用數據封裝為TCP/IP格式，路由到目的地。當數據需要從外向內傳遞時，也遵從相似的過程，只是外端機啟用了應用代理服務，而內端機啟用了應用代理客戶端。科博網閘的基本結構如下圖所示：圖2-1 CopGap基本構成功能性能指標功能指標科博網閘各型號的產品在功能上是完全一致的，都具有如下的數據交換及安全處理功能：功能類功能項功能說明信息交換功能文件交換提供文件服務安全代理訪問功能及文件單、雙向同步功能數據庫交換提供數據庫服務安全代理訪問功能及數

12、據庫的單、雙向同步功能郵件交換提供郵件服務的安全代理訪問功能及郵件單、雙向交換功能Web交換提供基于HTTP、HTTPS協議的網絡應用訪問功能，同時提供訪問數據的安全控制能力定制應用數據交換功能提供基于TCP/UDP協議的客戶定制應用的代理訪問功能安全控制功能訪問控制提供基于IP地址、網絡端口、協議、數據包狀態等屬性的過濾控制功能身份認證提供系統管理的安全身份鑒別功能，以及在網絡應用訪問時，對訪問者身份的身份鑒別功能，如基于用戶名/口令、硬件令牌等身份鑒別功能內容檢查提供傳輸數據內容的檢查功能，檢查機制基于關鍵字完成文件深度檢查提供傳輸文件類型與文件后綴的一致性檢測功能病毒防護提供內置的病毒防

13、護功能，支持自動和手動的病毒庫升級入侵檢測與防御提供對網絡攻擊的檢測及防御能力虛擬專用網（VPN）提供虛擬專用網通訊支持，保證數據包的真實性、完整性及機密性流量管理提供關鍵應用及網絡接口的流量管理功能高可用性功能雙機熱備提供基于主從模式的雙機熱備功能負載均衡提供內置的負載均衡模塊，保證兩臺設備共擔數據通信流量系統監控與審計功能系統監控提供對系統運行狀態的實時監控功能日志審計提供對用戶訪問行為、安全事件信息、系統日志信息的記錄及審計功能報表管理提供豐富的報表統計及分析功能性能指標科博網閘的工作性能指標因型號不同具有差異，各型號產品的工作性能指標列示如下：指標類型指標項指標值E600型E800型G

14、3000型G5000型性能指標網絡帶寬60Mbps130Mbps500Mbps850Mbps并發連接數50010003000050000開關切換延遲10ns10ns應用訪問延遲小于1秒小于1秒小于1毫秒小于1毫秒支持用戶數160040003000050000網絡接口網絡接口百兆電口：4個百兆電口：4個4個千兆電口8個千兆電口，可擴展4個千兆光口串口2個2個2個2個規格參數平均無故障運行時間50000小時50000小時70000小時70000小時工作溫度4085408540854085存儲溫度55125551255512555125工作濕度2080208020802080存儲濕度10951095

15、10951095尺寸重量重量：14 KG 長度：50.5cm 寬度：43cm高度：9cm重量：21 KG 長度：50.5cm 寬度：43cm高度：18cm工作電壓220 5V功率270W350W產品功能描述信息交換功能文件交換功能文件交換是網絡應用對數據交換的基本要求，在不同密級的網絡之間、內外網之間、外網與專網之間都存在文件交換的實際需要，正是基于這一點，科博網閘實現了專業的文件交換模塊，該模塊實現文件的安全訪問及文件的同步功能。以外網用戶訪問內網文件服務器為例，文件安全訪問功能通過代理模塊將需要保護的內網文件服務器（采用FTP協議或SAMBA協議）映射到科博網閘的外網，外網用戶訪問文件資源

16、時直接訪問網閘外端機啟用的代理服務。網閘外端機代理服務交換應用層數據到內端，內端代理訪問內網真正的文件服務獲取文件，返回給外端代理服務。在文件通過科博網閘的過程中將受到內容檢查、病毒檢查、文件深度檢查、文件簽名等安全保護（見安全控制部分功能描述）。從內網訪問外網文件服務器時過程類似。文件同步模塊能夠實現科博網閘兩端文件服務器中文件的同步功能。事實上，科博網閘通過部署在兩端的客戶端代理模塊，分別從各自的文件服務器中提取需要同步的文件，然后安全擺渡到對端，再由對端的代理模塊發布到目標文件服務器上，文件的擺渡受到安全模塊的檢查。文件同步支持各種不同的文件格式，支持對文件目錄及相關子目錄的同步，支持雙

17、向及單向的文件同步。文件同步模塊可以采用多種方式訪問文件服務器，包括Windows共享方式、FTP服務方式及SAMBA共享方式等。在文件同步過程中，可以實現基于策略的過程控制，如基于文件類型、文件大小、創建時間等屬性對文件的同步過程進行控制。Web交換功能Web應用是目前最為流行的網絡應用。因此，提供對Web應用的訪問支持是科博網閘的基本功能之一。科博網閘的內外端機都支持HTTP、HTTPS兩種應用代理訪問功能。科博網閘通過服務地址映射（SAT）的方式將目標Web服務器映射到網閘的另一端機供用戶訪問。Web應用數據在通過網閘的過程中，受到嚴格的安全控制，包括HTTP/HTTPS協議頭的關鍵字過

18、濾、完整性檢查、URL長度檢查、活動腳本的檢測及控制、文件安全檢查等內容。數據庫交換功能用戶的實際應用系統中，往往具有不同的用戶群及不同的網絡應用。但應用之間共享應用數據卻往往是必要的。因此，科博網閘將數據庫同步功能作為其數據交換的基本功能之一。科博網閘的數據庫訪問模塊通過數據庫應用代理的方式將數據庫服務映射到網閘的一端，應用程序可以直接訪問映射的數據庫服務，由網閘完成數據庫的數據內容安全傳輸。科博網閘的數據庫同步模塊可以將一端網絡中的數據庫內容同步復制到網閘另一端網絡的數據庫中。數據庫復制支持單向復制及雙向復制。以及支持對表的全表復制及增量復制功能。科博網閘支持的數據庫同步，支持同構數據庫之

19、間的同步，也支持異構數據庫之間的同步。在同步過程中，數據庫內容受到基于管理員定制的安全策略的控制，包括對字段類型、關鍵詞、創建時間等屬性的控制。由于科博網閘的內外端機都實現了數據庫代理功能，因此科博網閘也支持直接的數據庫訪問功能。郵件交換功能郵件通訊主要使用POP3和SMTP協議，在安全隔離的環境中，往往需要進行內網郵件與外網郵箱中郵件的同步，或者需要內網用戶能夠訪問外網郵箱中的郵件。這些需求可通過科博網閘的郵件同步模塊和郵件訪問模塊完成。郵件同步模塊起到郵件中繼的作用，它能將網閘一端的郵件同步到另一端，即可以進行單向郵件中繼，也可以進行雙向郵件中繼。郵件訪問模塊通過配置郵件代理完成，科博網閘

20、的郵件代理保證使用者能夠通過網閘訪問另一端的郵件服務器，使用郵件客戶端進行郵件的正常收發。在郵件中繼及郵件訪問過程中，科博網閘啟用安全控制模塊對郵件主題進行過濾控制，對郵件附件類型進行文件深度檢查，對郵件附件進行病毒查殺等。定制應用數據交換科博網閘支持應用協議定制功能。很多用戶都具有自己的業務系統，這些業務系統不是標準的應用，而是具有自己的應用封裝格式、會話模式、命令集。如果不加定制，任何標準的應用代理服務器都不能準確理解這種私有應用的格式，并最終加以控制。但是，對用戶而言，真正需要支持和控制的卻往往正是這些私有的應用協議。科博網閘提供了私有協議定制開發功能。用戶部門只要提供需要支持的應用的封

21、裝格式、協議狀態機、命令集，科博網閘提供的私有代理服務器生成模板和私有代理客戶端生成模板就可以快速生成滿足私有應用的代理程序，用以終止私有應用的TCP連接、完成數據/命令提取和控制。因此，科博網閘對于私有的應用協議，也可以保證應用數據落地控制。安全控制功能訪問控制功能科博網閘可以對授權訪問或進行交換的信息進行嚴格的訪問控制，科博網閘的訪問控制包括網絡級的訪問控制及應用層的訪問控制功能。科博網閘的訪問控制功能實現對網閘代理應用的控制，訪問控制與應用映射綁定，每一個應用的代理映射可以配置訪問控制策略，訪問控制策略通過對象的方式進行設置，使用非常靈活。科博網閘網絡訪問控制功能主要進行應用映射的地址及

22、時間的控制，地址控制可以授權允許的IP訪問應用，也可以實現對MAC地址的綁定，時間控制保證授權用戶在哪些時間允許訪問應用，哪些時間不允許訪問應用。地址控制與時間控制可以綜合設置，形成有效的網絡訪問控制策略。應用層的訪問控制功能實現對各種協議應用的安全控制。科博網閘可以進行控制的協議包括HTTP、FTP、SMTP、POP3、SQL等，控制內容包括各種協議命令，對于HTTP協議，也可以控制URL的長度。通過應用協議訪問控制可以有效的防止各種木馬攻擊及入侵。數據內容審查功能科博網閘交換的數據是無協議格式的上層應用數據，比如發送的郵件主體內容，郵件的附件。科博網閘在交換這些數據時，實現了三方面的數據內

23、容審查：（1）關鍵詞過濾：對含有黑名單中出現的關鍵詞的應用數據進行基于策略的安全處理，包括拒絕發送、日志審計、關鍵詞替換等三種處理方式。（2）模糊查詢：對于應用數據中包含經過處理、偽裝的敏感詞語進行控制和處理，比如識別類似“法*輪*功”這樣的敏感詞匯。控制處理的方式包括：拒絕發送、日志審計和關鍵詞替換三種。（3）病毒掃描：科博網閘在擺渡每一個數據塊時，都進行病毒掃描。詳見“病毒防護功能”描述。 科博網閘的數據內容審查功能在內外端機基于計算機CPU實現。病毒防護功能科博網閘集成了專業的第三方病毒查殺模塊，能在應用層實現基于特征的病毒查殺。為此，科博網閘提供了病毒庫在線升級功能，以及病毒庫手工導入

24、功能。對于包含有病毒數據的應用數據，科博網閘在清除病毒之外，還對其進行日志記錄，供安全管理員使用。文件深度檢查功能管理員可能需要對通過隔離設備傳輸的文件類型進行控制，比如，不允許外部的exe或者bat文件傳輸到內網。但是，攻擊者可以將文件的后綴修改為txt等被允許的后綴并傳輸，以逃避安全規則的檢查。為此，科博網閘實現了文件的一致性檢查，即一個聲稱的exe是否真是exe文件，一個聲稱的pdf文件是否真是pdf文件等。這種功能即為科博網閘的深度檢查功能。目前，科博網閘支持幾乎所有的文件類型的一致性檢查。入侵檢測與防御功能科博網閘的內外端機分別實現了網絡入侵檢測功能，其通過網絡連接的行為模式、流量模

25、式、數據特征實現對網絡訪問基于特征的入侵檢測。科博網閘同時對一些常見的網絡攻擊進行阻斷，如TCP SYN洪水、PING洪水等，防止DOS攻擊帶來的安全威脅。為了保證對入侵行為能有效檢測，科博網閘提供了入侵特征庫在線升級和手工導入的功能。身份認證功能科博網閘實現了應用級的身份確認功能。即當用戶通過網閘訪問特定應用時，可以要求用戶出示對網閘的身份證明。只有通過身份確認的用戶才能訪問受保護的應用。應用級身份認證可以在用戶訪問具體應用時，控制用戶可以訪問的應用資源，比如可以執行的命令，可以訪問的頁面等。科博網閘對用戶的認證方式可配置為基于用戶名/口令的方式、基于數字證書的方式、支持硬件令牌的方式。虛擬

26、專網（VPN）功能科博網閘的內外端機實現了標準的IPSec協議簇。任何的標準IP層密碼設備都可以和網閘的內端機建立VPN通道。科博網閘的內外端機支持基于IKE的自動密鑰協商，以及手工的密鑰配置。內外端機與密碼設備之間支持基于預享密鑰、公鑰簽名、增強型公鑰簽名的方式實現接入身份識別。科博網閘的內外端機支持基于ESP、AH、ESP+AH三種安全隧道協議。管理者通過配置這些安全隧道，能夠為網絡通訊提供如下三種安全保護：（1）數據源的真實性：連接對方的身份是真實的，每一個分組是屬于真實的連接；（2）數據的完整性：連接中傳輸的任何數據都沒有受到惡意的破壞，信息內容是完整的。（3）數據的機密性保護：敏感信

27、息不會在傳輸過程中被泄漏。流量控制功能為了保證核心應用保持應有的帶寬，防止網絡接口流量異常，科博網閘實現了流量監視及控制模塊。通過該模塊能夠對通過網閘的網絡流量進行全面的控制。流量監視及控制模塊能夠基于不同的應用對流量設置上限，保證核心業務系統流量不會由于其它應用（如點對點應用）占用過多帶寬而不能正常使用。另外，流量監視及控制模塊還可以對科博網閘的特定網絡端口進行上行及下行的流量監視及控制，使管理員能夠隨時掌握網絡流量的狀態，分析網絡的穩定性。系統監控與審計功能系統監控功能科博網閘提供對系統運行狀態的實時監控功能，包括網絡接口監視、CPU利用率監視、內存使用率監視、網絡狀況監視、硬件系統監視、

28、進程監視。科博網閘提供對監控結果的多種圖表顯示方式，如動態坐標圖、餅狀圖和柱狀圖。日志審計功能科博網閘提供了強大的日志查詢、日志存儲和日志審計功能。系統支持welf、syslog等多種日志格式輸出，支持第三方軟件查看日志，支持日志分級，支持本機和遠程存儲日志功能。提供對應用交換信息、安全控制信息、系統日志信息的記錄及審計功能。報表管理功能科博網閘提供豐富的報表統計及分析功能。報表統計的內容包括網絡流量、系統運行狀態、過濾事件、文件傳輸量等。系統支持報表的多種圖表生成方式，支持報表的在線打印，支持報表的本地存儲功能。高可用性功能雙機熱備功能為了保證科博網閘系統能夠不間斷運行，在系統服務出現故障（

29、受到攻擊、意外崩潰或其它原因造成）時，能夠迅速的回復到原有的運行狀態。在這里，我們要求系統的這種功能是自動完成的。我們通過部署科博網閘雙機熱備子系統實現這個功能，科博網閘雙機熱備子系統的體系結構如下：圖3-1 科博網閘的雙機熱備示意為了實現雙機熱備，我們將先安裝兩套相同的通用科博網閘系統，然后在每臺服務器上另外安裝雙機熱備模塊，在安裝時我們將定義其中一臺為主服務器（及Active服務器），另一臺定義為從服務器（即Standby服務器），這些定義將通過熱備策略文件中的配置信息完成。另外，在主服務器上將加載實際使用的所有IP地址（包括熱備模塊專有通訊地址），在從服務器除加載熱備模塊專有地址外，不加

30、載其它任何地址。主服務器及從服務器中熱備模塊的通訊通過專有協議實現。一旦配置完成，網絡中只有一臺服務器在提供服務，它就是主服務器。當主服務器崩潰時，從服務器熱備模塊將能迅速檢測到，并將自己設置為主服務器，同時加載主服務器的所有地址，并啟動所有科博網閘的功能服務模塊，接管原來主服務器的所有功能，完成實時的服務器切換。當崩潰的原有主服務器恢復（通過手工方式）后，它將自動成為科博網閘系統的從服務器。此時，原有主從服務器的關系將顛倒過來。以后的主從服務器切換過程將遵循上述的原則。負載均衡功能科博網閘支持多機負載均衡的功能。該功能將多臺科博網閘組成一個設備群，通過負載均衡技術，采用高效的分配算法將客戶的

31、請求合理分配到設備群的某一個節點上，以此可提高獲取數據的速度，解決高并發訪問問題，提高系統的穩定性、可靠性和災害承受能力。科博網閘提供負載均衡功能的配置和動態維護，無需額外第三方軟硬件支持，當系統壓力過大時，只需要增加設備的數量，作簡單的配置即可進行平滑升級。產品使用方式部署方式CopGap是一個硬件設備，主要解決不同網絡之間信息的安全交換及控制問題。因此，CopGap產品主要部署在兩個網絡之間。CopGap部署時對網絡的要求如下：使用網絡為基于TCP/IP協議標準的網絡；對于百兆網絡，適用CopGap百兆系列產品，對于千兆網絡，適用CopGap千兆系列產品；對于需要光纖通信的網絡，使用Cop

32、Gap千兆系列具有光纖接口的版本，根據需要可以選擇自帶光接口模塊或外接光接口模塊。按照國家相關政策及安全要求，CopGap產品適合的部署位置包括：不同的涉密網絡之間。也就是在秘密網絡與機密網絡之間，機密網絡與絕密網絡之間等；同一涉密網絡的不同安全域之間；與互聯網物理隔離的網絡和涉密網絡之間。也就是允許CopGap在非涉密網絡與涉密網絡之間進行信息交換，前提是要求非涉密網絡與互聯網物理隔離。同時要求非涉密網絡達到等級保護第三級，涉密網絡為秘密級網絡；未與涉密網絡連接的網絡和互聯網之間。也就是非涉密網絡與互聯網之間可以使用CopGap進行信息交換；非涉密網絡的不同安全等級網絡，或者統一安全等級網絡

33、中的不同安全域之間。管理方式為了方便產品的使用，CopGap具有多種形式的管理維護方式，保證在出現任何情況時均能進行現場維護管理。CopGap的基本管理方式是基于Web的管理模塊，通過該模塊可以進行系統的所有功能配置、查詢分戶析及日常維護。Web管理模塊是CopGap最主要的管理模塊，提供給現場技術支持人員維護使用，也可以做為用戶單位的維護人員日常維護使用。CopGap的第二種管理方式是基于串口的命令行管理。這種管理方式主要是在系統出現故障，Web管理方式不能正常使用，或者網絡出現故障，導致不能連接CopGap設備時使用。基于串口的管理方式使用時需要連接維護計算機與CopGap之間的串口線，基

34、于Windows的串口終端進行連接管理。CopGap提供的第三種管理方式是使用遠程命令SSH進行管理。該方式提供了維護計算機與CopGap之間的安全連接通道。通過系統提供的用戶名/口令登錄后進行遠程操作管理。這種管理方式主要提供給產品廠家的技術支持人員進行故障排除時使用。對于用戶管理人員，在必要時可以使用該方式進行管理。由于該方式對系統管理權限非常高，如果使用不當可能造成系統數據丟失，因此該方式要慎用。產品應用范圍科博網閘主要應用場景有三種：核心數據庫的保護；核心服務器區的保護，以及內外網絡之間的數據同步。核心數據庫的訪問數據庫是應用系統的核心，是系統業務運行的基礎。如果業務系統受到破壞，只要數據資源是完整的，往往容易恢復業務的正常運行。因此，對于核心數據庫的保護具有重要的意義，是確保用戶的業務系統安全的最后一個堡壘。科博網閘因