合眾單向光閘白皮書

合眾單向光閘白皮書PAGE1杭州合眾信息技術股份有限公司PAGE1合眾單向光閘白皮書Version7.0 杭州合眾數(shù)據(jù)技術有限公司2015年目錄1. 背景概述 12. 產品用途 12.1. 從互聯(lián)網(wǎng)采集信息或發(fā)布信息至互聯(lián)網(wǎng)的用戶 12.2. 非涉密網(wǎng)向涉密網(wǎng)單向傳輸?shù)挠脩?23. 產品組成 24. 工作原理 35. 產品主要功能 45.1. 文件單向導入導出 45.2. 數(shù)據(jù)庫單向同步 65.3. 單向UDP 75.4. 數(shù)據(jù)恢復 76. 產品特點 76.1. 絕對物理單向，防止信息泄密 86.2. 沒有丟包 86.3. 通量大 86.4. 支持數(shù)據(jù)庫同步 86.5. 流量控制 86.6. 抗故障能力 8合眾單向光閘SG系列白皮書送的其他數(shù)據(jù)塊。在目標主機上安裝有光通道網(wǎng)卡，其接受端與分光器的輸出端連接，從而可以收到來自分光器的光信號。這些光信號來自分光器輸入的光信號的分光，所以其內容與源主機上發(fā)送光卡的輸出端發(fā)送的內容是一致的。目標主機上的目標接收進程將光通道網(wǎng)卡上的接收到的光信號還原為數(shù)據(jù)塊，并組裝成與源端一致的數(shù)據(jù)庫記錄或數(shù)據(jù)文件。產品主要功能合眾單向光閘主要實現(xiàn)數(shù)據(jù)的單向導入或導出，根據(jù)導入導出的數(shù)據(jù)不同，主要有三種應用功能：一是靜態(tài)文件的單向導入；二是數(shù)據(jù)庫的單向導入；三是數(shù)據(jù)恢復。三種應用如下：文件單向導入導出靜態(tài)文件通常是指在物理存儲介質（如硬盤、光盤、優(yōu)盤、軟盤等）中創(chuàng)建及使用的文件。這些文件通過FTP、Windows映射等方式可以作為合眾單向光閘導入導出的文件。靜態(tài)文件單向導入的典型部署場景如下所示：通過合眾單向光閘能實現(xiàn)以下文件單向傳輸：基于FTP服務的靜態(tài)文件單向導入導出；基于Windows映射的單向導入導出；文本型數(shù)據(jù)庫文件（如mdb、dbf文件）的單向導入導出。數(shù)據(jù)庫單向同步由于網(wǎng)絡結構的劃分、安全域的不同及應用需求的不同，在實際環(huán)境中經常存在內外網(wǎng)雙數(shù)據(jù)庫的應用系統(tǒng)，這些應用系統(tǒng)需要實現(xiàn)內外網(wǎng)數(shù)據(jù)庫之間的數(shù)據(jù)內容同步。合眾單向光閘的單向數(shù)據(jù)庫同步功能正適合這樣的應用要求，這時的典型部署場景如下：通過合眾單向光閘能實現(xiàn)以下數(shù)據(jù)庫的單向傳輸：ORACLE8I/9I/10G/11G；SQLSERVER2000/2003/2008;SYBASEDB2單向UDP合眾單向光閘支持用戶應用系統(tǒng)通過UDP協(xié)議連接，外主機收到UDP連接后單向同步到內主機，內主機將UDP連接轉發(fā)至指定IP地址。數(shù)據(jù)恢復針對單向傳輸?shù)膽锰攸c，極少情況下可能產生丟包現(xiàn)象，合眾單向光閘提供丟包數(shù)據(jù)的方便恢復功能。當發(fā)生丟包后，能知道丟了哪些數(shù)據(jù)的問題，并能在人工協(xié)作下比較方便的進行數(shù)據(jù)恢復?；謴偷姆绞綖橐韵氯N：碎片恢復：指定某條記錄或某個文件單獨進行恢復；起點恢復：從某個序列號重新開始恢復；全部恢復：將源數(shù)據(jù)全部同步一次。產品特點目前市場主要的單向網(wǎng)閘就是采用數(shù)據(jù)二極管技術來實現(xiàn)數(shù)據(jù)單向傳輸?shù)木W(wǎng)閘。單向網(wǎng)閘是把通訊的收、發(fā)兩個鏈路完全分開，發(fā)送方只管發(fā)送數(shù)據(jù)，接收方只管接收數(shù)據(jù)，至于數(shù)據(jù)是否有錯誤、是否完整都不去管它，反向沒有數(shù)據(jù)通道也沒有控制通道，完全處于盲狀態(tài)。雖然單向網(wǎng)閘采用了發(fā)送冗余校驗的方式來對抗傳輸錯誤，能夠起到一定的防數(shù)據(jù)丟失和數(shù)據(jù)錯誤的效果，但是由于單向網(wǎng)閘沒有任何交互式的控制協(xié)議，數(shù)據(jù)傳輸?shù)囊恢滦院屯暾员ＷC還是不具備的。也就是說，采用單向網(wǎng)閘不能保證所傳輸?shù)臄?shù)據(jù)一定正確。合眾單向光閘有別于數(shù)據(jù)二極管單向網(wǎng)閘，它在邏輯上由三臺主機構成，即處于外網(wǎng)端的源主機上存在兩個不同的光卡邏輯上分離成發(fā)送主機和接收主機，光信號由發(fā)送主機發(fā)送至分光器，而接收主機通過分光器接收一路光信號并還原成數(shù)據(jù)，通過內置的數(shù)據(jù)確認機制（數(shù)據(jù)簽名和收發(fā)確認校驗方式）來保證數(shù)據(jù)傳輸是否正確和完整。從原理上而言，處于內網(wǎng)側的目標主機與接收主機收到同一個分光器分送的兩路光信號，如果接收主機沒有收到會通知發(fā)送主機重發(fā)數(shù)據(jù)，這樣目標主機也就能夠收到重發(fā)的數(shù)據(jù)了。該原理極大的提高了合眾單向光閘數(shù)據(jù)傳輸?shù)目煽啃?。由于采用了分光鏡像技術，合眾單向光閘的穩(wěn)定性和準確性相比數(shù)據(jù)二極管單向網(wǎng)閘更勝一籌。合眾單向光閘相比于單向網(wǎng)閘的優(yōu)點主要有：絕對物理單向，防止信息泄密合眾單向光閘采用分光器鏡像，物理上就是單向的，絕對沒有反向傳輸?shù)目赡?。沒有丟包由于合眾單向光閘采用邏輯三主機模型（發(fā)送主機、接收主機、目標主機），因此丟包率小，而且即使有丟包通過程序自身的糾錯功能就可以糾錯，因此，基本上能夠保證絕不丟包。通量大由于合眾單向光閘采用邏輯三主機模型，不需要通過冗包來糾錯，因此傳輸通量增大，最大可以達到640M，基本達到千兆網(wǎng)絡數(shù)據(jù)傳輸需求。