球盟会(中国)

SSL应用交付网关

适用于对特大型WEB应用进行http保护的高性能产品,支持百万级证书用户,10万级以上的并发连接,给予4Gbps的加密带宽,并支持在无外部负载均衡器的情况下自身实现集群。

联系销售

产品概述

球盟会(中国)安全认证网关W系列(又称高性能网关)集基于数字证书强身份认证、数据保密性、数据完整性及不可抵赖性功能于一身的PKI安全产品,可以为上层应用给予身份认证服务、数据链路加密服务及数字签名验证等全方位的安全服务。

该网关是专为大型互联网应用设计的一款高性能安全产品,基于SSL协议为应用给予基于数字证书的高强度身份认证服务、高强度数据链路加密服务,可以有效保护网络资源的安全访问。

球盟会(中国)安全认证网关顺利获得了国家保密局、国家密码管理局的严格鉴定,取得了相关安全资质,符合国家对于密码产品的使用规定。

产品功能

分类功能说明
证书认证RSA/SM2证书自适应可以在同一个服务实例中,配置RSA和SM2两张站点证书,并同时启用,根据客户端的算法能力进行自动适应
单双向认证选择功能系统可以设置是否需要用户提交用户证书
动态黑名单功能系统可以自动更新黑名单、动态更新,不需要重新启动服务支持LDAP、HTTP、手工上传等多种方式更新支持B64、DER等多种格式
多站点证书功能系统可以拥有多个站点证书,不同的服务可以拥有不同的站点证书
多证书链功能一个SSL服务中可同时配置多条证书链,验证不同CA的用户证书
多种证书支持功能支持球盟会(中国)、CFCA、SHECA及多数省级CA中心数字证书
应用支持B/S应用支持B/S应用
证书信息传送功能系统顺利获得Cookie,HTTP header等多种方式将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息
通用C/S应用支持FTP、telnet、远程桌面以及通用的C/S应用
网络应用支持基于IP的所有应用
多服务功能系统可以创建多个SSL服务,保护不同的应用服务,也可以采用同一个SSL服务保护多个应用服务(需客户端)
支持应用重定向功能在有防火墙NAT映射的情况下正常访问有重定向的网站
后端应用负载功能一个认证服务可以对后端多台应用服务器进行负载均衡
错误重定向系统对于认证错误可以重定向到用户指定页面,增强友好性
信息统计系统能够对用户连接数、应用访问情况,系统资源占用等信息进行详细统计,为更好分析应用及调节资源给予基础
国密支持国密SM1/SM2/SM3/SM4算法系统支持国密SM1/SM2/SM3/SM4算法
GMVPN协议系统支持GMVPN协议
系统管理管理员三权分立给予管理员三权分立功能,不同的管理员负责不同的功能配置,相互制约。
系统备份恢复功能系统可以备份当前SSL的所有配置,保证系统瘫痪时的快速恢复
恢复出厂设置功能系统具有恢复默认设置功能,方便使用
日志发送功能系统将日志以SYSLOG的方式发送到指定服务器。
系统在线升级系统支持Web方式的系统升级
性能检测功能系统支持对CPU、内存、磁盘容量、连接数、进程等资源情况的收集,便于系统的维护和问题定位
可用性双机热备功能高可靠性
自负载均衡系统自身具有集群功能,支持在无第三方设备的情况下对多台同类设备进行负载
网卡聚合功能可以对两块网卡进行冗余配置,当一块网卡失效后,另一块网卡自动生效
易用性负载均衡系统支持被第三方的负载均衡器进行负载
管理员易于操作系统所有管理操作都顺利获得web方式进行,方便使用

产品部署

球盟会(中国)网关可以部署为串联模式(桥模式)或者并联模式(单臂模式)。又可以扩展成双机热备部署、负载均衡部署和自负载均衡部署。

串联部署

串联模式(桥模式)指球盟会(中国)网关物理部署在用户和被保护的服务器之间,即球盟会(中国)网关的外网口与用户网络连接,内网口与被保护服务器相连。由于被保护服务器顺利获得内部网络与球盟会(中国)网关连接,因此用户与服务器的连接被球盟会(中国)网关隔离,用户只知道网关地址,无法直接访问被保护服务器,只有顺利获得网关才能取得服务。

串联模式(桥模式)是球盟会(中国)网关的标准部署模式,也是推荐部署模式,其部署示意图如下:

串联模式的优点是:

  • 安全性高:用户必须顺利获得网关的认证加密后才能获取服务,同时网关将服务器与外界网络隔离,避免了对服务器的直接攻击;

  • 结构清晰:串联模式在物理部署和逻辑结构上都非常简单,容易理解;

  • 性能高:相对于并联模式,串联模式的效率及带宽利用率更高。

串联模式的缺点是:

  • 需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。

并连部署

并联模式(单臂模式)指球盟会(中国)网关逻辑部署在用户和被保护的服务器之间,而物理连接是在同一网络中,即球盟会(中国)网关的外网口接入原有用户与服务器的网络连接中。用户可以顺利获得网关获取服务,也可以直接连接到服务器(在知道服务器地址情况下)获取服务。

并联模式的优点是:

  • 部署方便:应用无需作改动,用户只需变更一下访问地址即可。

并联模式的缺点是:

  • 安全性低:由于服务器和外界网络连接,存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性;同时,网关到服务器的明文数据也在网络上传输,存在被窃听的安全隐患;

  • 性能较低:相对于串联模式,并联模式中用户到网关和网关到服务器的数据流量都顺利获得一个网口进行,效率及带宽利用率相对较低。

双机热备部署

系统支持双机热备功能,在需要高可靠性的环境下需要对网关进行双机热备部署。双机热备部署需要部署两台设备,一台作为主机,一台作为备机,两台机器都与网络连接,两台设备之间使用交叉线连接热备口进行状态检测,在正常情况下由主机给予服务,当主机发生异常时系统自动切换到备机进行服务。部署方式如图:

负载均衡部署

球盟会(中国)网关可以和大多数负载均衡设备配合使用,球盟会(中国)网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图:

注:负载均衡器将网络的SSL**流量负载到可用的球盟会(中国)网关上,球盟会(中国)网关对后端的Web**服务器并没有负载均衡的作用。

自负载均衡部署

当业务需要多台球盟会(中国)网关同时为应用给予服务时,无需借助第三方负载设备,多台球盟会(中国)网关可以进行自负载管理,实现自身架构扩展。具体方式是各台网关的热备口相连,每台设备具备一个实际地址,共享一个虚拟地址,多台设备会自动协商一个主机,主机占用虚拟地址。用户访问虚拟地址,主机取得请求后会分配到其他设备,当发现某个设备失效时,会停止将请求分配到这台设备,当主机失效时,剩下的设备会自动再产生一个新主机,保证用户的正常访问。具体部署如下图

球盟会(中国)软件旗下众多安全产品,邀您体验

分析更多