安全认证网关
安全认证网关是一款能够同时适应商用环境和保密环境的SSL VPN产品,自适应国际标准和国家标准、灵活的访问控制系统和证书信息传递功能,满足各类复杂的业务场景,为业务系统提供可靠的安全支撑。
联系销售产品概述
随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题。
格尔安全认证网关为网络应用提供以下安全服务:
- 基于数字证书的高强度身份认证服务;
- 高强度数据链路加密服务。
格尔安全认证网关通过了国家保密局、国家密码管理局的严格鉴定,取得了相关安全资质,符合国家对于密码产品的使用规定。
产品功能
| 分类 | 功能 | 说明 |
|---|---|---|
| 证书认证 | RSA/SM2证书自适应 | 可以在同一个服务实例中,配置RSA和SM2两张站点证书,并同时启用,根据客户端的算法能力进行自动适应 |
| 单双向认证选择功能 | 系统可以设置是否需要用户提交用户证书 | |
| 动态黑名单功能 | 系统可以自动更新黑名单、动态更新,不需要重新启动服务<br/>支持LDAP、HTTP、手工上传等多种方式更新<br/>支持B64、DER等多种格式 | |
| 多站点证书功能 | 系统可以拥有多个站点证书,不同的服务可以拥有不同的站点证书 | |
| 多证书链功能 | 一个SSL服务中可同时配置多条证书链,验证不同CA的用户证书 | |
| 多种证书支持功能 | 支持格尔、CFCA、SHECA及多数省级CA中心数字证书 | |
| 应用支持 | B/S应用 | 支持B/S应用 |
| 证书信息传送功能 | 系统通过Cookie,HTTP header等多种方式将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息 | |
| 通用C/S应用 | 支持FTP、telnet、远程桌面以及通用的C/S应用 | |
| 网络应用 | 支持基于IP的所有应用 | |
| 多服务功能 | 系统可以创建多个SSL服务,保护不同的应用服务,也可以采用同一个SSL服务保护多个应用服务(需客户端) | |
| 地址隐藏功能 | 系统将真正应用服务的地址隐藏,用户仅知道网关地址 | |
| 支持应用重定向功能 | 在有防火墙NAT映射的情况下正常访问有重定向的网站 | |
| 国密支持 | 国密SM1/SM2/SM3/SM4算法 | 系统支持国密SM1/SM2/SM3/SM4算法 |
| GMVPN协议 | 系统支持GMVPN协议 | |
| 特色功能 | 认证一致性 | 系统通过特有的cookie技术将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息 |
| 自动登录功能 | 对于特定应用,系统采用用户映射技术,将证书映射为原有系统中的账户,并进行自动登录,在后台应用无需修改的情况下实现单点登录 | |
| 扫码登录 | 对于持有移动端证书的用户,网关可以提供扫码登录支持。在手机端扫描PC浏览器中的二维码并使用数字证书进行签名,即可完成PC端的应用登录 | |
| 策略统一下发 | 系统实现客户端策略的统一下发,用户无需对客户端进行任何配置 | |
| 信息统计 | 系统能够对用户连接数、应用访问情况,系统资源占用等信息进行详细统计,为更好了解应用及调节资源提供基础 | |
| 错误重定向 | 系统对于认证错误可以重定向到用户指定页面,增强友好性 | |
| 访问控制功能 | 实现URL级别的访问控制,对于不同用户、不同角色实现不同的控制 | |
| 系统管理 | 管理员三权分立 | 提供管理员三权分立功能,不同的管理员负责不同的功能配置,相互制约。 |
| 系统备份恢复功能 | 系统可以备份当前SSL的所有配置,保证系统瘫痪时的快速恢复 | |
| 恢复出厂设置功能 | 系统具有恢复默认设置功能,方便使用 | |
| 日志发送功能 | 系统将日志以SYSLOG的方式发送到指定服务器。 | |
| 系统在线升级 | 系统支持Web方式的系统升级 | |
| 性能检测功能 | 系统支持对CPU、内存、磁盘容量、连接数、进程等资源情况的收集,便于系统的维护和问题定位 | |
| 双机热备功能 | 高可靠性 | |
| 负载均衡 | 系统支持被第三方的负载均衡器进行负载 | |
| 管理员易于操作 | 系统所有管理操作都通过web方式进行,方便使用 | |
| 易用性 | 负载均衡 | 系统支持被第三方的负载均衡器进行负载 |
| 管理员易于操作 | 系统所有管理操作都通过web方式进行,方便使用 |
产品部署
格尔网关可以部署为串联模式(桥模式)或者并联模式(单臂模式)。又可以扩展成双机热备部署和负载均衡部署。
串联部署
串联模式(桥模式)指格尔网关物理部署在用户和被保护的服务器之间,即格尔网关的外网口与用户网络连接,内网口与被保护服务器相连。由于被保护服务器通过内部网络与格尔网关连接,因此用户与服务器的连接被格尔网关隔离,用户只知道网关地址,无法直接访问被保护服务器,只有通过网关才能获得服务。
串联模式(桥模式)是格尔网关的标准部署模式,也是推荐部署模式,其部署示意图如下:
串联模式的优点是:
安全性高:用户必须通过网关的认证加密后才能获取服务,同时网关将服务器与外界网络隔离,避免了对服务器的直接攻击;
结构清晰:串联模式在物理部署和逻辑结构上都非常简单,容易理解;
性能高:相对于并联模式,串联模式的效率及带宽利用率更高。
串联模式的缺点是:
- 需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。
并连部署
并联模式(单臂模式)指格尔网关逻辑部署在用户和被保护的服务器之间,而物理连接是在同一网络中,即格尔网关的外网口接入原有用户与服务器的网络连接中。用户可以通过网关获取服务,也可以直接连接到服务器(在知道服务器地址情况下)获取服务。
并联模式的优点是:
- 部署方便:应用无需作改动,用户只需变更一下访问地址即可。
并联模式的缺点是:
安全性低:由于服务器和外界网络连接,存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性;同时,网关到服务器的明文数据也在网络上传输,存在被窃听的安全隐患;
性能较低:相对于串联模式,并联模式中用户到网关和网关到服务器的数据流量都通过一个网口进行,效率及带宽利用率相对较低。
双机热备部署
系统支持双机热备功能,在需要高可靠性的环境下需要对网关进行双机热备部署。双机热备部署需要部署两台设备,一台作为主机,一台作为备机,两台机器都与网络连接,两台设备之间使用交叉线连接热备口进行状态检测,在正常情况下由主机提供服务,当主机发生异常时系统自动切换到备机进行服务。部署方式如图:
负载均衡部署
格尔网关可以和大多数负载均衡设备配合使用,格尔网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图:
注:负载均衡器将网络的SSL**流量负载到可用的格尔网关上,格尔网关对后端的Web**服务器并没有负载均衡的作用。
