东方电子DF-NS 310由内网机、外网机、隔离通道构成。内网机和外网机之间采用非网连接方式，通过隔离通道进行数据通信。DF-NS 310具有如下技术特点：采用具有物理隔离能力的硬件结构、非Intel系列双处理器、内部非网连接。DF-NS 310内网机和外网机之间通过隔离通道进行数据通讯，对隔离通道的读写操作只能调用专有的接口函数，使外网黑客无法通过外网机和隔离通道控制内网机；采用Linux操作系统，取消所有的网络服务；无IP地址，以透明监听方式，便于实施；同时具有单向连接请求、单向数据传输；防止穿透性TCP联接，DF-NS 310接到数据包后，剥离数据包中的TCP/IP头，只允许包中的纯数据加密后通过，防止由内到外或由外到内的穿透性TCP连接。其工作模式有三种：单向通道模式、双向通道透明网桥模式、双向通道应用代理模式。在不同的工作模式下，DF-NS 310所提供的功能也不同。

3.1 系统特点
1） 芯片层上，采用非Intel系列双处理器。
避免了因为INTEL指令集的芯片的漏洞带来的隐患。

2） 主板上，采用自制主板。
与其他通用主板不兼容。避免了因使用通用主板带来的硬件系统隐患。

3） 硬件结构上，采用双机结构和隔离通道，内部非网连接。
真正从硬件上实现物理隔离，实现硬件结构安全。

4） 操作系统上，采用嵌入式LINUX操作系统。
内核经过加固和重新编译，实现操作系统内核安全。

5） 取消所有的网络服务。
在编译内核时，去掉了TCP/IP协议栈和所有网络服务，直接和网卡进行通讯。屏蔽利用网络协议漏洞进行的攻击。

6） 采用嵌入式系统。
系统烧制在EPROM中，系统中没有硬盘，杜绝了设备关键数据被黑客修改和病毒破坏的可能。

7） 无IP地址，透明监听方式，便于实施。
DF-NS 310采用透明工作模式，在接入应用系统时，只需对DF-NS 310完成必要的配置即可，无需对系统原有应用有任何改变。

8） 能够抵御多种攻击手段
经过解放军信息安全测评中心的抗攻击测试，证明东方实时隔离网关DF-NS 310“能够有效抵御Ping of Death、SYN Flood、TearDrop、UDPBomb、WinNuke等拒绝服务攻击”

3.2 功能特点
1） 单向连接请求、单向数据传输。
DF-NS 310只允许由内网到外网的TCP连接请求，拒绝由外到内的连接请求，由此可拒绝外网黑客的连接企图和攻击。只允许由内到外的数据传输，由外到内只允许8字节的应答信息通过，外网数据无法传输送到内网。

2） 具有网络地址转换(NAT)的功能，实现内网地址屏蔽。
DF-NS 310转换内网数据包中的IP地址，可对外屏蔽内网信息。

3） 具有MAC/IP地址、协议、端口过滤功能。
通过规则的设置，DF-NS 310只允许具有合法的MAC/IP地址、协议、端口的数据包通过。具有MAC/IP绑定功能。

4） 防止穿透性TCP联接。
DF-NS 310接到数据包后，剥离数据包中的TCP/IP头，只允许包中的纯数据加密后通过。防止由内到外或由外到内的穿透性TCP连接。

5） 安全、方便的维护管理。
用户通过串口对DF-NS 310进行初始配置、规则设置、查看日志。由于不能远程控制，串口方式相对于Web方式更加安全。DF-NS 310对用户提供友好的GUI管理界面和命令行设置方式。

6） 强大的安全审计功能。

支持日志定制的定制记录。提供命令行和图形界面两种方式的日志功能。支持多种查询功能。

7） 支持自定义服务和二次开发。

充分保证客户使用的灵活性。

产品主要技术指标：