产品概述
格尔安全认证网关W系列(又称高性能网关)集基于数字证书强身份认证、数据保密性、数据完整性及不可抵赖性功能于一身的PKI安全产品,可以为上层应用提供身份认证服务、数据链路加密服务及数字签名验证等全方位的安全服务。
该网关是专为大型互联网应用设计的一款高性能安全产品,基于SSL协议为应用提供基于数字证书的高强度身份认证服务、高强度数据链路加密服务,可以有效保护网络资源的安全访问。
格尔安全认证网关通过了国家保密局、国家密码管理局的严格鉴定,取得了相关安全资质,符合国家对于密码产品的使用规定。
产品功能
| 分类 | 功能 | 说明 |
|---|---|---|
| 证书认证 | RSA/SM2证书自适应 | 可以在同一个服务实例中,配置RSA和SM2两张站点证书,并同时启用,根据客户端的算法能力进行自动适应 |
| 单双向认证选择功能 | 系统可以设置是否需要用户提交用户证书 | |
| 动态黑名单功能 | 系统可以自动更新黑名单、动态更新,不需要重新启动服务支持LDAP、HTTP、手工上传等多种方式更新支持B64、DER等多种格式 | |
| 多站点证书功能 | 系统可以拥有多个站点证书,不同的服务可以拥有不同的站点证书 | |
| 多证书链功能 | 一个SSL服务中可同时配置多条证书链,验证不同CA的用户证书 | |
| 多种证书支持功能 | 支持格尔、CFCA、SHECA及多数省级CA中心数字证书 | |
| 应用支持 | B/S应用 | 支持B/S应用 |
| 证书信息传送功能 | 系统通过Cookie,HTTP header等多种方式将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息 | |
| 通用C/S应用 | 支持FTP、telnet、远程桌面以及通用的C/S应用 | |
| 网络应用 | 支持基于IP的所有应用 | |
| 多服务功能 | 系统可以创建多个SSL服务,保护不同的应用服务,也可以采用同一个SSL服务保护多个应用服务(需客户端) | |
| 支持应用重定向功能 | 在有防火墙NAT映射的情况下正常访问有重定向的网站 | |
| 后端应用负载功能 | 一个认证服务可以对后端多台应用服务器进行负载均衡 | |
| 错误重定向 | 系统对于认证错误可以重定向到用户指定页面,增强友好性 | |
| 信息统计 | 系统能够对用户连接数、应用访问情况,系统资源占用等信息进行详细统计,为更好了解应用及调节资源提供基础 | |
| 国密支持 | 国密SM1/SM2/SM3/SM4算法 | 系统支持国密SM1/SM2/SM3/SM4算法 |
| GMVPN协议 | 系统支持GMVPN协议 | |
| 系统管理 | 管理员三权分立 | 提供管理员三权分立功能,不同的管理员负责不同的功能配置,相互制约。 |
| 系统备份恢复功能 | 系统可以备份当前SSL的所有配置,保证系统瘫痪时的快速恢复 | |
| 恢复出厂设置功能 | 系统具有恢复默认设置功能,方便使用 | |
| 日志发送功能 | 系统将日志以SYSLOG的方式发送到指定服务器。 | |
| 系统在线升级 | 系统支持Web方式的系统升级 | |
| 性能检测功能 | 系统支持对CPU、内存、磁盘容量、连接数、进程等资源情况的收集,便于系统的维护和问题定位 | |
| 可用性 | 双机热备功能 | 高可靠性 |
| 自负载均衡 | 系统自身具有集群功能,支持在无第三方设备的情况下对多台同类设备进行负载 | |
| 网卡聚合功能 | 可以对两块网卡进行冗余配置,当一块网卡失效后,另一块网卡自动生效 | |
| 易用性 | 负载均衡 | 系统支持被第三方的负载均衡器进行负载 |
| 管理员易于操作 | 系统所有管理操作都通过web方式进行,方便使用 |
产品部署
格尔网关可以部署为串联模式(桥模式)或者并联模式(单臂模式)。又可以扩展成双机热备部署、负载均衡部署和自负载均衡部署。
串联部署
串联模式(桥模式)指格尔网关物理部署在用户和被保护的服务器之间,即格尔网关的外网口与用户网络连接,内网口与被保护服务器相连。由于被保护服务器通过内部网络与格尔网关连接,因此用户与服务器的连接被格尔网关隔离,用户只知道网关地址,无法直接访问被保护服务器,只有通过网关才能获得服务。
串联模式(桥模式)是格尔网关的标准部署模式,也是推荐部署模式,其部署示意图如下:
串联模式的优点是:
安全性高:用户必须通过网关的认证加密后才能获取服务,同时网关将服务器与外界网络隔离,避免了对服务器的直接攻击;
结构清晰:串联模式在物理部署和逻辑结构上都非常简单,容易理解;
性能高:相对于并联模式,串联模式的效率及带宽利用率更高。
串联模式的缺点是:
- 需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。
并连部署
并联模式(单臂模式)指格尔网关逻辑部署在用户和被保护的服务器之间,而物理连接是在同一网络中,即格尔网关的外网口接入原有用户与服务器的网络连接中。用户可以通过网关获取服务,也可以直接连接到服务器(在知道服务器地址情况下)获取服务。
并联模式的优点是:
- 部署方便:应用无需作改动,用户只需变更一下访问地址即可。
并联模式的缺点是:
安全性低:由于服务器和外界网络连接,存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性;同时,网关到服务器的明文数据也在网络上传输,存在被窃听的安全隐患;
性能较低:相对于串联模式,并联模式中用户到网关和网关到服务器的数据流量都通过一个网口进行,效率及带宽利用率相对较低。
双机热备部署
系统支持双机热备功能,在需要高可靠性的环境下需要对网关进行双机热备部署。双机热备部署需要部署两台设备,一台作为主机,一台作为备机,两台机器都与网络连接,两台设备之间使用交叉线连接热备口进行状态检测,在正常情况下由主机提供服务,当主机发生异常时系统自动切换到备机进行服务。部署方式如图:
负载均衡部署
格尔网关可以和大多数负载均衡设备配合使用,格尔网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图:
注:负载均衡器将网络的SSL**流量负载到可用的格尔网关上,格尔网关对后端的Web**服务器并没有负载均衡的作用。
自负载均衡部署
当业务需要多台格尔网关同时为应用提供服务时,无需借助第三方负载设备,多台格尔网关可以进行自负载管理,实现自身架构扩展。具体方式是各台网关的热备口相连,每台设备具备一个实际地址,共享一个虚拟地址,多台设备会自动协商一个主机,主机占用虚拟地址。用户访问虚拟地址,主机获得请求后会分配到其他设备,当发现某个设备失效时,会停止将请求分配到这台设备,当主机失效时,剩下的设备会自动再产生一个新主机,保证用户的正常访问。具体部署如下图
