球盟会(中国)

安全认证网关

安全认证网关是一款能够同时适应商用环境和保密环境的SSL VPN产品,自适应国际标准和国家标准、灵活的访问控制系统和证书信息传递功能,满足各类复杂的业务场景,为业务系统给予可靠的安全支撑。

联系销售

产品概述

随着网络的快速开展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题。

球盟会(中国)安全认证网关为网络应用给予以下安全服务:

  • 基于数字证书的高强度身份认证服务;
  • 高强度数据链路加密服务。

球盟会(中国)安全认证网关顺利获得了国家保密局、国家密码管理局的严格鉴定,取得了相关安全资质,符合国家对于密码产品的使用规定。

产品功能

分类功能说明
证书认证RSA/SM2证书自适应可以在同一个服务实例中,配置RSA和SM2两张站点证书,并同时启用,根据客户端的算法能力进行自动适应
单双向认证选择功能系统可以设置是否需要用户提交用户证书
动态黑名单功能系统可以自动更新黑名单、动态更新,不需要重新启动服务<br/>支持LDAP、HTTP、手工上传等多种方式更新<br/>支持B64、DER等多种格式
多站点证书功能系统可以拥有多个站点证书,不同的服务可以拥有不同的站点证书
多证书链功能一个SSL服务中可同时配置多条证书链,验证不同CA的用户证书
多种证书支持功能支持球盟会(中国)、CFCA、SHECA及多数省级CA中心数字证书
应用支持B/S应用支持B/S应用
证书信息传送功能系统顺利获得Cookie,HTTP header等多种方式将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息
通用C/S应用支持FTP、telnet、远程桌面以及通用的C/S应用
网络应用支持基于IP的所有应用
多服务功能系统可以创建多个SSL服务,保护不同的应用服务,也可以采用同一个SSL服务保护多个应用服务(需客户端)
地址隐藏功能系统将真正应用服务的地址隐藏,用户仅知道网关地址
支持应用重定向功能在有防火墙NAT映射的情况下正常访问有重定向的网站
国密支持国密SM1/SM2/SM3/SM4算法系统支持国密SM1/SM2/SM3/SM4算法
GMVPN协议系统支持GMVPN协议
特色功能认证一致性系统顺利获得特有的cookie技术将用户的证书信息传送给后台应用,使应用无需证书接口开发就可以方便的获取用户证书信息
自动登录功能对于特定应用,系统采用用户映射技术,将证书映射为原有系统中的账户,并进行自动登录,在后台应用无需修改的情况下实现单点登录
扫码登录对于持有移动端证书的用户,网关可以给予扫码登录支持。在手机端扫描PC浏览器中的二维码并使用数字证书进行签名,即可完成PC端的应用登录
策略统一下发系统实现客户端策略的统一下发,用户无需对客户端进行任何配置
信息统计系统能够对用户连接数、应用访问情况,系统资源占用等信息进行详细统计,为更好分析应用及调节资源给予基础
错误重定向系统对于认证错误可以重定向到用户指定页面,增强友好性
访问控制功能实现URL级别的访问控制,对于不同用户、不同角色实现不同的控制
系统管理管理员三权分立给予管理员三权分立功能,不同的管理员负责不同的功能配置,相互制约。
系统备份恢复功能系统可以备份当前SSL的所有配置,保证系统瘫痪时的快速恢复
恢复出厂设置功能系统具有恢复默认设置功能,方便使用
日志发送功能系统将日志以SYSLOG的方式发送到指定服务器。
系统在线升级系统支持Web方式的系统升级
性能检测功能系统支持对CPU、内存、磁盘容量、连接数、进程等资源情况的收集,便于系统的维护和问题定位
双机热备功能高可靠性
负载均衡系统支持被第三方的负载均衡器进行负载
管理员易于操作系统所有管理操作都顺利获得web方式进行,方便使用
易用性负载均衡系统支持被第三方的负载均衡器进行负载
管理员易于操作系统所有管理操作都顺利获得web方式进行,方便使用

产品部署

球盟会(中国)网关可以部署为串联模式(桥模式)或者并联模式(单臂模式)。又可以扩展成双机热备部署和负载均衡部署。

串联部署

串联模式(桥模式)指球盟会(中国)网关物理部署在用户和被保护的服务器之间,即球盟会(中国)网关的外网口与用户网络连接,内网口与被保护服务器相连。由于被保护服务器顺利获得内部网络与球盟会(中国)网关连接,因此用户与服务器的连接被球盟会(中国)网关隔离,用户只知道网关地址,无法直接访问被保护服务器,只有顺利获得网关才能取得服务。

串联模式(桥模式)是球盟会(中国)网关的标准部署模式,也是推荐部署模式,其部署示意图如下:

串联模式的优点是:

  • 安全性高:用户必须顺利获得网关的认证加密后才能获取服务,同时网关将服务器与外界网络隔离,避免了对服务器的直接攻击;

  • 结构清晰:串联模式在物理部署和逻辑结构上都非常简单,容易理解;

  • 性能高:相对于并联模式,串联模式的效率及带宽利用率更高。

串联模式的缺点是:

  • 需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。

并连部署

并联模式(单臂模式)指球盟会(中国)网关逻辑部署在用户和被保护的服务器之间,而物理连接是在同一网络中,即球盟会(中国)网关的外网口接入原有用户与服务器的网络连接中。用户可以顺利获得网关获取服务,也可以直接连接到服务器(在知道服务器地址情况下)获取服务。

并联模式的优点是:

  • 部署方便:应用无需作改动,用户只需变更一下访问地址即可。

并联模式的缺点是:

  • 安全性低:由于服务器和外界网络连接,存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性;同时,网关到服务器的明文数据也在网络上传输,存在被窃听的安全隐患;

  • 性能较低:相对于串联模式,并联模式中用户到网关和网关到服务器的数据流量都顺利获得一个网口进行,效率及带宽利用率相对较低。

双机热备部署

系统支持双机热备功能,在需要高可靠性的环境下需要对网关进行双机热备部署。双机热备部署需要部署两台设备,一台作为主机,一台作为备机,两台机器都与网络连接,两台设备之间使用交叉线连接热备口进行状态检测,在正常情况下由主机给予服务,当主机发生异常时系统自动切换到备机进行服务。部署方式如图:

负载均衡部署

球盟会(中国)网关可以和大多数负载均衡设备配合使用,球盟会(中国)网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图:

注:负载均衡器将网络的SSL**流量负载到可用的球盟会(中国)网关上,球盟会(中国)网关对后端的Web**服务器并没有负载均衡的作用。

球盟会(中国)软件旗下众多安全产品,邀您体验

分析更多