《格尔安全认证网关产品白皮书.docx》由会员分享,可在线阅读,更多相关《格尔安全认证网关产品白皮书.docx(13页珍藏版)》请在课桌文档上搜索。
1、缰号:图表2G型网关外观(以上产品外观图仅做介才,具体外观及接口以实物为准)格尔网关为网络应用提供基于数字证书的高强度身份认证服务、高强度数据偌路加密服务及数字签名及验证服务,可以有效保护网络资源的安全访问。支持HTTP.HTrPS的B/S应用以及FTP、远程桌面等通用的C/S应用。3为什么选择格尔安全认证网关格尔安全认证网关是:上海格尔软件自主研发的网络安全应用产品。基于PKI数字证书体系的经过国家密码管理管控局认证的认证加密产品(SJYI28)。唯一一款集强身份认证、数据保密性、数据完整性及不可抵粮性功能于一身的产品。格尔安全认证网关的价值体现在以下几个方面:3.工PKl数字证书的全面支持
2、基于对PKl的深刻理解,格尔网关具备了对PKl的全面支持,包括以下几个方面:证书单双向的认证选择:格尔网关可以配置建立加密连接叶是否认证用户证书。多服务,多站点证书支持:格尔网关可以建立多个服务,保护不同的应用,每个服务可以使用不同的站点证书。缰号:证,使用加宙证书进行密钥的交换和保护,既使PKl技术在应用中发挥其基于非对称密钥所带来的优势,又满足了国家对PKl应用进行审计监管的监要,是国家密码管理管控机构时PKl证书应用的基本要求。格尔网关创新的提出了双证书在SS1.协议中的应用,并成功在产品中实现,符合国家番码管理管控机构对布码产品的要求。3.5 单点登录(专利技术之一)对于某些无法修改或
3、者无法获取证书信息从而无法实现用户一致性认证的应用,格尔网关可以实现证书与原有用户信息的映射,在应用无需任何改动的情况下自动完成系统登录.实现单点登录功能。36多应用类型支持格尔网关除了可以对B/S应用进行安全防护外,对于FTP、telnet.SSH.运程桌面、SMTP、PoP3等多种非B/S应用也可以逆行安全防护,具有广泛的适用性。3.7 对应用的加速格尔网关高端产品采用硬件加速,加解密运算全部由硬件完成,效率是同等硬件环境下软件实现的10倍以上,可以彻底将应用服务器的CPU资源从鬟重的加辞密中解放出来,起到了对应用加速的作用.3.8 安全资质格尔安全认证网关通过了国家保密局、国家密码管理管
4、控局的严格鉴定,取得了相关安全资质,符合国家对于密码产品的使用规定。3.9 其他特性安全性:系统设置专用网络接口管理管控系统,系统关闭所有不希要的服务和端口(如FTP、SSH等),只保留SS1.服务端口,避免外界的攻缰号:B/S应用支持B/S应用基本功能通用C/S应用支持FTP.telnet.远程桌面以及通用的C/S应用扩展功能网络应用支持基于IP的所有应用扩展功能多服务功能系统可以创建多个SS1.服务,保护不同的应用服务,也可以采用同一个SS1.服务保护多个应用服务(需客户端)基本功能地址隐薇功能系统将真正应用服务的地址隐蔽,用户仅知道网关地址扩展功能支持应用重定向功能在有防火墙NAT映射的
5、情况下正常访问有重定向的网站基本功能密包功能认证一致性系统通过特有的cookie技术将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的荻取用户证书信息基本功能自动签名验证系统自动实现时应用指定数据的签名和验证功能扩展功能自动登录功能对于特定应用,系统采用用户映射技术,将证书映射为原有系统中的账户,并进行自动登录,在后台应用无需修改的情况下实现单点登录扩展功能策略统一下发系统实现客户端策略的统一下发,用户无需对客户端进行任何配凫基本功能管理管控员易于操作系统所有管理管控操作卷通过Web方式进行,方便使用基本功能用户的良好依脸系统可以为终端用户提供良好的错误提示,如证书过期,证书未
6、生效,证书已经作废等信息,不会显示“此页无法显示令用户不知所措的页面基本功能注:扩展功能不包含在产品的基本版本中,是用户可选配功能。5产品部署格尔网关可以郭兽为串联模式(桥模式)或者并联模式(单臂模式)。5.1串联部署串联模式(桥模式)指格尔网关物理部署在用户和被保护的服务器之间,即格尔网关的外网口与用户网络连接,内网口与被保护服务器相连。由于被保护服务器通过内部网络与格尔网关连接,因此用户与服务器的连接祓格尔网关隔离,用户只知道网关地址,无法宜接访问被保护服务器,只有通过网关才能获得服务。串联模式(桥模式)是格尔网关的标准部署模式,也是推荐部罟模式,其部署示意图如下:编号.服务器2内网用户图
7、表I并联部署示意图并联模式的优点是: 部署方便:应用无存作改动,用户只需变更一下访问地址即可。并跳模式的缺点是: 安全性低:由于服务器和外界网络连接,存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性;同时,网关到服务器的明文数据也在网络上传输,存在被窈听的安全隐患。 性能校低:相对于串联模式,并联模式中用户到网关和网关到服务器的数据流量都通过一个网口进行,效率及带宽利用率相对较低。53双机热备部署系统支持双机热备功能,在需要高可靠性的环境下需要对网关进行双机热备部署。双机热备部第需要新罢两台设备,一台作为主机,1.台作为备机,两台机编号.图表5串联模式下的双机热备部署图表6并联模
8、式下的双机热备部詈5.4负载均衡部署格尔网关可以和大多数负载均衡设备配合使用,格尔网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图:外部用I图衣7负我均曲环境卜的中联模式部身图衣8鱼效均衡环境卜的井联部署注:负假均衡舞将网络的SS1.流量负傲到可用的格尔网关上,格尔网关对后墙的Web服务号并没有负於均衡的作用.6选购指南格尔网关采用专用网络硬件设备,产品具有多个系列:E-2010E-2020G-4020G-4040设备高度IuIu2u2u网络接口4*100M4*100M6*1000M4*1000M电源指标数量:1112电压(V):1002401002409026490264
9、电流(八):0.53364848功率(W):65200460460工作温度0。CTooC0。CTO0oC-400cC-40=C工作湿度5%-95%RH,不凝结5%-95%RH.不凝结5%-95%RH,不凝结5%-95%RH.不凝结最大新建连接数60次/秒160次/秒2500次/秒4000次/秒数大并发连接救40080025005500最大流量50Mbps120Mbps680Mbps850Mbps注:上逑所有规格及介数若有变动恕不另行通知,埔以厂家提供的最终配置为准.编号.7客户端运行环境与格尔SS1.安全网关连接的客户端报着纪置如下:CPU:P3800M以上内存:256M以上操作系统:Win2
10、000以上版本浏览器:IE6Q以上,密钥长度128位8产品支持联系方式上海格尔软件XX地址:上海市余姚路288号A座4楼电话:(86-21)62327010传真:(86-21)62327015Email:sslvpnkoal.邮编:2000429附录公司介绍9.1 公司概述上海格尔软件XX(以下简称格尔软件)成立于1998年3月,注册资本3500万,北京设营销和技术支持中心。公司下设北京格尔国信、上海格尔信息、上海格尔卫信及宁波格尔天屹等子公司,在全国各大中心城市还设有多个办事处。公司现有员工310人,其中本科以上学历占93%,技术开发人员210余人,约占65%。格尔软件是专业从事信息安全核心
11、技术和产品研发,为客户提供信息安全整体静决合适的方案与配套服务的国内身份管理管控领域的领先企业。公司是国内最早研制PKl平台的厂商,国内首批商用密码产品定点生产与销售单位,国家保密局批准认定的“涉及国家秘密的计算机信息集成甲级森质单编号.住”,国家信息化工作领导小组计算机网络与信息安全管理管控工作办公室(国信安办)认定的14家计算机网络安全服务试点单位之一,国家863相关计划信息安全示范工程金融子相关项目的总服务商及863课题承担单位。公司曾获国家进步二等奖和上海市科技进步一等奖。公司还是全国信息安全标准化技术委员会的主要成员之一。经过全国信息安全标准化技术委员会严格审定,上海格尔软件XX被批
12、准为WG1.WG4.WG5.WG7工作组成员,在WG4工作组中承担相关标准制定工作。9.2 技术与产品格尔软件坚持以技术创新推动企业的发展。公司长期从事核心密码技术的研究并有深厚的积累,至今巳申请了17项自主研发的专利技术,其中7项已获国家专利局的授权,另外还拥有7项软件著作权。目前,公司已形成PKl基础平台产品、安全网关产品、内网安全应用产品(超级芨盾系列)三大产品线。核心产品包括PKI/CA身份认证产品、网店桌面安全软件、安全认证网关、SSo单点登录系统、网络保险箱系统、金融IC卡密钥管理管控系统、信息安全培舍监控与管理管控平台产品等。9.3 服务支持客户至上是格尔软件的服务宗旨,对客户的
13、全面支持服务与客户共同进步是格尔软件的追求。现在公司已为全国29个省市的众多客户提供了产品或服务,协助用户进行系统维护及基于数字证书的应用推广。公司在上海、北京、西安、湖南、湖北、安微、江苏、浙江、贵州、福建等地设有技术支持服务机构或人员,为重点客户提供长期、稳定、高效的技术支持与服务。我们还同由其它公司承建的上海CA1西部CA,陕西CA、山东CA、广东CA、CTCA,公安部等众多运营机构建立了战略合作关系,提供证书应用推广所需的产品及技术支持服务。公司利用自己深厚的技术枳累,可以为客户提供信息安全咨询培训、安全解决合适的方案设计、产品开发.信息安全系统建设及系统运行维护等一整套信息安全技术支
14、持与委托服务。编号.9.4 质量管理管控只有过程正确才能保证结果的正确。格尔软件视质量为生命,继04年通过IS09001质量认证之后,公司又于05年在信息安全行业率先启动了CMMI软件能力成熟度的质量改进过程.现在公司已建立起一套规范的质量管理管控体系并通过了SEICMMI1.3的评估.成为国内目前少有的达到CMMI3级的信息安全厂商。质量过程的持续改进,保证了公司的研发能力和产品质量的不断提升。客户可以得到放心满意的产品和服务。9.5 主要案例 国家863相关计划数字证书应用姝合管理管控课题 国家863相关计划信息安全示范工程S219相关项目 浙江省数字证书认证中心; 江苏省数字证书认证中心
15、; 河北省数字证书认证中心; 湖南省数字证书认证中心; 安徽省数字证书认证中心: 新裴数字证书认证中心; 贵阳数字证书认证中心; 发改委金宏工程(一期)安全子系统一网络信任体系; 国家电子政务外网根CA系统相关项目; 航空一集团“金航”主干网安全总集成相关项目 中国工程物理研究院CA示范相关项目 中国人民银行IC卡密钥管理管控系统相关项目 中国人民跟行假联卡根CA认证系统相关项目 上海卫生监督所信息安全系统; 国家统计局行业性PKI体系就设; 上海出入境边防总站整体安全集成相关项目;编号. 国家“十五国家密码发展基金密码理论课题”; 湖北电力信息系统整体安全第设一、二期工程: 福建电力信息系统
16、信任与授权平台建设一、二期工程; 中央办公厅某H网认证加密相关项目 国家某部委内网全国纵向CA认证系统及证书安全应用相关项目 公安部内网基于CA认证的证书安全应用相关项目国家统计局全国人口普查及大型企业网络直报系统CA认证系统相关项目上海市弯钥管理管控系统试点相关项目信产部”3G无线通讯安全“课题9.6公司文化理念移欢岗:领先的身份管理管控产品及解决合适的方案提供商/收的:团结、奉献、严遂、创新、安全、高效次星太:安全+应用,创造新价值10名词解释。SS1.:SecureSockets1.ayer,安全套接层协议层,它是网景(NetSCaPe)公F提出的基于WEB应用的安全协议。证书认证机构(
17、CertificateAuthority):一个产生和确定公开密钥证书的可靠和可信的第三方机构。它发行数字证书并确保证书的可信性,或证明一个用户和它们的公共密钥的身份.认证机构也可以为实体产生和确定存钢.习惯上又称作认证中心(CA)O令数字证书(CertifiCate):数字证书中心签发的用于代表实体身份的1.段电文。本手册中涉及代表用户身份的用户证书和代表服务逑身份的站点证书(服务器证书)。 1.DAP:(1.ightweightDirectoryAccessProtocol)是一种轻量级的目录存取冰定,提供客户从各个角落连接到目录服务器中.本手册中专指CA用于发布证书及黑名单的1.DAP服
18、务。黑名单:通常所说的CR1.(CertifiCateReVOke1.iSt),因时间或者安全原因被炭除的证书列表,1.般发布在1.DAP上。 Radius:RemoteAuthenticationDialInUserService,广泛应用于宽带窄偌认证系统的协议,前端一般为PPPoE或者802.1x.令802.1x(基于端口的验证):启用通过外部服务器针对各个端口验证系统用户。只有经过舲证和许可的系统用户才可以传输和接收数据。使用可扩展舲证协议(EAP),通过远程险证拨入用户服务(RADIUS)服务器来验证端口。Q数字签名(digitalsignature):具有手写签名功能一如身份证明的1.殂电子数据.这些附加在数据单元上的一些数据,或是对数据单元所作的密码变换,允许数据单元的接收者用以确认数据单元的来源和完整性,并保护数据,防止被人(例如接收者)伪造。