格尔安全认证网关产品白皮书
KOAL WP-A04-格尔数字证书认证系统(SZT0901-SYT0901)白皮书
格尔数字证书认证系统产品白皮书上海格尔软件股份有限公司目录1、前言 (3)1.1背景 (3)1.2名词解释 (4)2、产品介绍 (6)2.1产品简介 (6)2.2产品组成 (7)2.2.1格尔证书认证系统 (8)2.2.2格尔用户注册系统 (8)2.2.3格尔密钥管理系统 (9)2.3产品系列 (9)2.3.1企业版 (9)2.3.2大客户版 (10)2.3.3运营中心版 (10)3、产品特性及功能 (11)3.1基本特性 (11)3.2高级特性 (11)3.3兼容与扩展特性 (12)3.4特别特性 (12)4、附录 (13)4.1SZT0901数字证书认证系统证书 (13)4.2SYT0901密钥管理系统证书 (13)4.3SRT0903身份认证系统证书 (14)4.4相关名词解释 (14)4.5PKI简介 (16)1、前言1.1背景随着网络技术的不断发展,各种网络应用在给企业带来便捷高效的同时,也带来了安全管理和安全通讯的问题。
为了解决网络安全问题,近年来,PKI(public key infrastructure)安全体系开始被引入并越来越多地得到应用,其运营管理机构一般又称为CA证书机构。
自1998年至今已有多个不同规模的CA证书机构建成并运行,它们在电子政务和电子商务安全应用中发挥着重要的作用。
目前,我国CA证书机构按照应用环境/范围大体可分为以下四类:区域类、行业类、商业类和内部自用(企业)类。
区域类CA证书机构大多以地方政府为背景、以公司机制来运作,主要为本地行政区域内电子政务业务与电子商务业务发放证书;行业类CA证书机构以部委或行业主管部门为背景,以非公司机制或公司机制运作,在本部委系统或行业内为电子政务业务和电子商务业务发放证书;商业类CA证书机构以公司机制运作,面向全国范围为电子商务业务发放证书;内部自用类CA证书机构,主要是企业事业单位自建的证书机构,为自身内部业务发放证书,不向公众提供证书服务。
FortiGate 100D参数白皮书
1 年的硬件保修
90 天的 FortiCare Web 技术支持
90 天的软件升级
售后支持指南请参阅 /support/support/support.html
FortiGate100D 是为中小企业设计的
UTM 构建安全的 VPN 体系
FortiOS 4.3 创造安全的新概念
FortiOS 4.3 作为 FortiGate 的核心, 是以安全、性能和可靠为目标开 发的。该专用系统采用了强大的 FortiASIC 芯片提高安全性和性能。 FortiOS 可以实现多种安全功能, 如防火墙、VPN、入侵检测与防 御、反恶意软件、反垃圾邮件、 web 过滤、应用控制、数据防泄漏 和终端系统控制。
防病毒吞吐(代理/流扫描) 虚拟域(缺省/最大) 支持 AP 数 支持 FortiToken 数 不限用户数 高可用性
FortiGate-100D
22 22 16 1/2 1 16GB
2500/1000/200Mbps 37us
290Kpps 2.5M 22K
10,000/5000 450Mbps 1500/1500
虚拟专用网(VPN) ICSA 认证(IPSec) PPTP, IPSec, L2TP, GRE SSL VPN***
SSL VPN 支持通道和代理模式 SSL VPN 用户界面自定义 支持 DES, 3DES, AES 256 加密算法, SHA-1 / MD5 认证 SCEP 简单证书登记协议 OCSP 在线证书状态协议 Hub and Spoke 星型 VPN DPD 通道状态检测 NAT 穿越,XAUTH 认证 静态 VPN,动态拨号 VPN 支持
虚拟域为安全服务提供商提供解决方案
虚拟域可以将FortiGate划分出若干逻辑的 虚拟设备,每个虚拟设备可以单独设置路 由、防火墙策略、内容层的防病毒、IPS等功 能。安全服务商可以为多个企业组织部署一 个FortiGate,将其划分成若干逻辑设备分配给 不同的企业组织,并且为其设置相应逻辑设 备的管理权限,这样每个被服务的企业可以 单独地管理安全设置,查看相应的日志信 息。
格尔安全认证网关5.2.1使用培训
Power/TX Link/Rx LPT1
LPT2
COM
服务器1
服务器2
服务器3
……….
负载均衡部署
Internet
外部用户
SD
用户证书
负载均衡设备
防火墙
格尔安全认证网关
Print Server Power/TX Link/Rx LPT1 LPT2 COM
Print Server Power/TX Link/Rx LPT1 LPT2 COM
用户映射
• 将证书身份与传统身份信息一一对应起来
– 用户映射表即一张三维表:应用-用户证书-用户名/密码 – 用户映射表是HTTP自动提交/自动认证功能的前提,后者通过
查找用户映射表,获得传统身份信息-用户名/密码,并据此自 动完成认证
• 三维表中的应用项
– 规则与“访问控制”中的URL资源项相同
– 动作:允许或者阻止 – 资源:有URL和IP地址两种类型,URL支持正则表达式,IP地
址支持类似10.1.1.*的表达式 – 角色:根据用户证书的对应项来确定,如CN、序列号等
• 匹配过程:
– 逐条扫描策略,若角色和资源与当前访问匹配,则执行动作, 否则继续扫描;若所有策略都不匹配,则执行动作-阻止
格尔安全认证网关5.2.1 使用培训
内容
• 产品外观 • 部署网关 • 配置网络 • 配置证书 • 配置安全认证服务 • 系统管理 • 故障诊断
产品外观(E型)
产品外观(G型)
内容
• 产品外观 • 部署网关 • 配置网络 • 配置证书 • 配置安全认证服务 • 系统管理 • 故障诊断
部署安全认证网关
__PASSWORD
– 增加一项“自动提交”配置,设置“关键字”,并且通过配 置页面上传POST包
格尔安全认证网关用户手册
格尔安全认证网关用户手册(5.x系列)V1.0上海格尔软件股份有限公司2005年10月保密事宜:本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。
接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。
对于以下三种信息,接受方不向格尔公司承担保密责任:1 ) 接受方在接收该文档前,已经掌握的信息。
2 ) 可以通过与接受方无关的其它渠道公开获得的信息。
3 ) 可以从第三方,以无附加保密要求方式获得的信息。
i上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 62327015目录1手册指南 (1)1.1概述 (1)1.2目的 (1)1.3适用对象 (1)1.4名词解释 (2)1.5必读声明 (2)2产品简介 (3)2.1格尔SSL网关 (3)2.2产品系列及接口说明 (4)2.2.1产品外观 (4)2.2.2默认网络配置 (7)3部署格尔SSL网关 (9)3.1串联部署 (9)3.2并联部署 (10)3.3双机热备部署 (12)3.4负载均衡部署 (13)4安装格尔SSL网关 (16)4.1产品检查 (16)4.2部署模式选择 (16)4.3环境准备 (16)4.3.1安装位置 (16)ii上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 623270154.4连线 (17)4.5开机 (17)4.6关机 (18)5登录格尔SSL网关 (19)5.1管理客户端准备 (19)5.2登录系统 (19)5.3更改密码 (21)6配置网络信息 (22)6.1网络接口配置 (23)6.1.1配置网络接口 (25)6.1.2配置虚拟接口 (26)6.1.3启动、停止网络接口 (30)6.2路由和DNS配置 (31)6.3使用网络调试工具 (34)6.3.1使用Ping (35)6.3.2使用Traceroute (36)6.3.3使用SSH (37)7配置SSL认证服务 (38)7.1证书配置管理 (39)7.1.1站点证书 (39)7.1.2生成证书请求 (39)7.1.3申请站点证书 (42)iii上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 623270157.1.5证书链配置 (44)7.2SSL服务管理 (48)7.2.1启动/停止SSL服务 (49)7.2.2添加SSL服务 (50)7.2.3删除SSL服务 (51)7.2.4配置/修改SSL服务参数 (51)7.2.5查看SSL服务日志 (64)7.3SSL高级配置 (69)7.3.1证书项绑定设置 (70)7.3.2证书项编码 (72)8配置黑名单下载 (74)8.1黑名单服务配置 (75)8.1.1添加黑名单下载服务 (77)8.1.2删除黑名单下载服务 (79)8.1.3查看、修改黑名单服务 (79)8.1.4立即下载黑名单 (79)8.1.5查看下载日志 (80)8.2定时更新时间配置 (82)8.3立即更新黑名单 (83)9系统管理 (84)9.1日志服务器配置 (85)9.2系统备份 (86)9.3系统恢复 (87)iv上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 623270159.5恢复出厂配置 (89)9.6双机热备 (90)9.7时间配置 (92)9.8性能检测 (93)10附录一:SSL基础知识介绍 (95)11附录二:系统默认配置 (96)11.1系统出厂默认设置 (96)11.2新增服务默认配置 (98)12产品支持联系方式 (100)v上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 62327015图表目录图表1E型产品外观 (4)图表2G型产品外观 (6)图表3格尔SSL网关默认网卡设置 (8)图表4串联部署示意图 (10)图表5并联部署示意图 (11)图表6串联模式下的双机热备部署 (12)图表7并联模式下的双机热备部署 (13)图表8负载均衡环境下的串联模式部署 (14)图表9负载均衡环境下的并联部署 (14)图表10登录 (20)图表11SSL认证服务管理界面 (21)图表12修改密码对话框 (22)图表13网络配置 (23)图表14网络接口信息 (24)图表15接口配置 (25)图表16虚拟接口配置 (27)图表17虚拟接口信息 (28)图表18虚拟接口配置1 (29)图表19删除虚拟接口 (30)图表20路由和DNS配置 (31)图表21添加默认网关 (32)图表22添加静态路由 (32)图表23路由设置错误 (33)vi上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 62327015图表25P ING1 (35)图表26P ING2 (36)图表27T RACEROUTE (36)图表28SSH (37)图表29SSL认证服务管理 (38)图表30生成证书请求 (40)图表31导出站点证书请求 (41)图表32站点证书配置 (42)图表33站点证书私钥不匹配 (43)图表34证书链结构 (45)图表35证书链配置 (46)图表36上传证书链 (47)图表37SSL服务管理 (49)图表38增加SSL服务 (50)图表39SSL服务参数配置-基本参数 (52)图表40SSL服务参数配置-证书配置 (55)图表41用户策略配置 (56)图表42证书链验证错误 (57)图表43无可用黑名单 (59)图表44自定义错误页面 (61)图表45修改自定义错误页面地址 (61)图表46性能选项配置 (63)图表47运行日志 (65)图表48用户访问日志 (66)vii上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 62327015图表50证书项绑定 (70)图表51证书项定义 (71)图表52证书项编码 (73)图表53黑名单下载 (75)图表54黑名单服务配置 (76)图表55LDAP发布服务器信息 (77)图表56立即更新黑名单 (80)图表57黑名单下载日志 (81)图表58下载黑名单日志 (82)图表59定时更新配置 (83)图表60立即更新黑名单 (84)图表61系统管理 (84)图表62日志服务器配置 (85)图表63系统备份 (86)图表64系统备份下载 (87)图表65系统恢复 (88)图表66系统升级 (89)图表67恢复出厂配置 (90)图表68双机热备 (91)图表69时间配置 (92)图表70性能检测 (94)viii上海格尔软件股份有限公司上海市余姚路288号A座4楼Tel: (86-021) 62327010 Fax: (86-021) 623270151手册指南1.1概述本手册主要介绍上海格尔软件股份有限公司(以下简称:格尔软件)格尔SSL安全认证网关(以下简称:格尔SSL网关)的使用及维护。
安全认证网关验收标准
安全认证网关(十堰国土项目)
E2020与E2020-B验收标准
本标准作为武汉格尔贝安科技有限公司提供的安全认证网关产品的验收标准。
2.1检查目标
检查供应商是否提供了,合同所约定的所有交附件。
交付件的型号与数量是否与合同约定相符。
2.2检查结果
1
上海格尔软件股份有限公司
3.1安装部署测试
3.1.1测试目标
检查系统服务器是否可以正常部署,并兼容设计方案中所述的文件服务器。
客户端是否可以安装在主流的操作系统上并运行。
3.1.2测试步骤
1.服务器加电启动
2.使用IE进入配置页面
3.配置各项参数
4.启动服务
3.1.3测试结果
2
上海格尔软件股份有限公司
□通过验收
□未通过收,还需解决以下问题:
甲方:乙方:
代表签字:代表签字:日期:日期:
3
上海格尔软件股份有限公司。
格尔SSL安全认证网关产品白皮书
格尔SSL安全认证网关 产品白皮书 V2.0 上海格尔软件股份有限公司 2004年12月 上海格尔软件股份有限公司 1保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。
接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。
对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。
2 ) 可以通过与接受方无关的其它渠道公开获得的信息。
3 ) 可以从第三方,以无附加保密要求方式获得的信息。
上海格尔软件股份有限公司 2目 录 1系统概述.............................................................................................31.1信息传输的安全需求.................................................................31.2一般SSL连接存在的问题..........................................................32系统原理.............................................................................................52.1SSL简介..................................................................................52.2格尔SSL安全代理系统原理......................................................53格尔SSL安全认证网关系统结构...........................................................73.1网络拓朴结构...........................................................................73.2格尔SSL安全认证网关系统组成和结构......................................84格尔SSL安全认证网关功能................................................................115第三方产品兼容.................................................................................135.1第三方CA兼容......................................................................135.2第三方设备厂商兼容...............................................................136格尔SSL安全认证网关产品特点.........................................................137运行环境...........................................................................................158产品相关特性....................................................................................158.1硬件特性...............................................................................158.2物理特性...............................................................................158.3电气特性...............................................................................168.4工作环境...............................................................................16上海格尔软件股份有限公司 31 系统概述 1.1 信息传输的安全需求 随着互联网络的发展,越来越多的网络应用系统从专用或内部网扩展到互联网上。
pSafetyLink技术白皮书
力控®工业网络安全防护网关pSafetyLink®技术白皮书北京三维力控科技有限公司版权和所有权声明北京三维力控科技有限公司对本白皮书持有版权并保留一切权利。
未经许可,任何人不得以摘录、复印、剪切等手段复制本文档中的文字、图表、数据的部分和全部。
否则,本公司将在适当情况下追究相应责任。
商标声明pSafetyLink为北京三维力控科技有限公司的注册商标。
本白皮书中涉及的其它所有品牌和产品名称均为相关公司的商标或注册商标。
目 录1. 概述 (4)1.1. 工业网络安全形势 (4)1.2. 常规网络安全产品的不足 (4)2. pSafetyLink产品简介 (6)3. 应用环境 (6)3.1. 基于OPC的应用 (7)3.2. 基于Modbus、DNP3的应用 (8)4. 产品架构 (8)4.1. 硬件架构 (8)4.2. 软件架构 (9)5. 主要技术 (10)5.1. 安全技术 (10)5.1.1. 内核安全技术 (10)5.1.2. 网络隔离技术 (10)5.1.3. 测点访问控制 (10)5.1.4. 身份认证 (11)5.2. 可靠性技术 (11)5.3. 系统性能 (11)6. 主要功能 (12)6.1. 开发工具PSL‐Config (12)6.2. 监视工具PSL‐Monitor (13)6.3. 通信标准 (13)7. 硬件平台 (13)7.1. 隔离硬件结构 (14)7.2. 硬件设计 (14)7.3. 硬件优化 (14)7.4. 生产流程控制 (14)7.5. 硬件规格 (14)1.概述1.1.工业网络安全形势在现代工业企业的信息系统中,由各种DCS、PLC、测控设备、SCADA构成的过程控制系统位于底层车间,负责完成基本的生产控制。
随着企业信息化建设的发展,迫切要求实现过程控制系统与上层管理信息系统之间互通、互联,完成经营管理层与车间执行层的双向信息流交互,使企业对生产情况保证实时反应,消除信息孤岛与断层现象。
KOAL-WP-C01-格尔网盾(NDS)白皮书
格尔网盾安全专家(NDS)产 品 白 皮 书上海格尔软件股份有限公司1版权声明:本文件中出现的全部内容,除另有特别注明,版权均属上海格尔软件股份有限公司(以下简称格尔软件)所有,未经格尔软件书面许可,任何人不得以任何形式擅自拷贝、传播、复制、泄露本文件的全部或部分内容。
2目录1概述 (4)1.1背景 (4)1.2名词解释 (4)2产品主要功能特点 (5)2.1文件保险箱 (5)2.2文件加解密 (5)2.3PC保护 (6)2.4文件碎纸机 (7)2.5邮件安全代理 (7)2.6SSL安全代理客户端 (8)3产品特色 (8)4客户端运行环境 (8)341 概述1.1 背景信息时代离不开电脑,企业和个人正在越来越多地使用电脑,同时把重要信息也存放在电脑中,或者通过网络传送。
一旦机密信息因电脑丢失、偷窃、网络窃听而泄密,将给企业或者个人带来巨大的损失。
如何保障电脑的安全?如何保障电子文档的安全?如何保障互联网通信的安全?这些问题正被越来越多的人所重视。
格尔公司的网盾安全专家(NDS )(以下简称网盾)正是这样一个解决桌面安全的系统,它包括多个模块,提供了从计算机登录保护、安全虚拟磁盘、安全电子邮件到办公软件安全扩展等多方位的解决方案,可满足企业和个人用户不同层面的安全需求。
1.2 名词解释PC : Personal Computer ,个人计算机。
CA : Certification Authority ,证书认证中心。
PKI : Public Key Infrastructure ,公用密钥体系结构,是一个使用由CA 颁发的数字证书对电子交易中的各方提供身份认证的机制。
OA : Office Automation ,办公自动化。
HTTP :Hypertext Transfer Protocol ,超文本传输协议。
SSL : Secure Socket Layer ,是Netscape 公司设计的主要用于web 的安全传输协议。
ca_格尔产品白皮书
格尔证书认证系统 产品白皮书 v1.3.1 上海格尔软件股份有限公司 2004年12月 上海格尔软件股份有限公司 1保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。
接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。
对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。
2 ) 可以通过与接受方无关的其它渠道公开获得的信息。
3 ) 可以从第三方,以无附加保密要求方式获得的信息。
上海格尔软件股份有限公司 2目 录 1前言....................................................................................................32产品简介.............................................................................................42.1产品概念............................................................................42.2体系结构............................................................................42.3格尔证书认证系统产品线....................................................43产品特性及功能...................................................................................53.1产品特性............................................................................53.2基本功能一览表..................................................................63.3产品总体效果.....................................................................84部署情况示意....................................................................................105附录..................................................................................................115.1相关名词解释...................................................................115.2参考标准..........................................................................125.3PKI简介..........................................................................13图表目录 图表 1 格尔证书认证系统产品体系架构...............................................4图表 2 格尔证书认证系统产品系列列表...............................................5图表 3 格尔证书认证系统中小企业版产品列表.....................................5图表 4格尔认证系统产品功能列表.......................................................8图表 5 格尔认证系统部署图..............................................................10图表 6 PKI数字认证中心功能结构...................................................14上海格尔软件股份有限公司 31 前言 随着网络技术的不断发展,企业联网的范围也不断扩大,从一个本地网络发展到跨地区跨城市甚至是跨国网络,这其中的各种网络应用在给企业带来便捷高效的收益的同时,也带来了安全管理和安全通讯的问题。
格尔-身份认证管理及解决方案
安全认证网关;LAN接入认证网关;单点登录系统 (SSO); 基于身份管理的应用系统
Web应用上 •哪些设备能接入网络? • 面向Web接入的认证 身份认证 身份授权 • 每个用户拥有合法有效的数 •需要提供哪些凭证 MAC/IP/有效的数字证书… 字证书才能访问Web应用 •统一的策略 网络上
身份管理体系架构
身份责任认定系统
满足[27]号文的关键组件 你干了什么(责任认定)
基于身份管理的应用系统 对合法操作、非法操作的责任认定
确保对信息“机密性、完整性、真实性、不 可抵赖性”的保护 身份认证 身份授权
身份供应
身份责任认定
身份认证基础支撑平台
身份管理体系架构
身份认证的解决方案
基于数字证书的身份管理
• 安全思路
–坚持积极防御、综合防范;全面提高信息安 全防护能力 – 满足政府服务及办公网络安全可信的需求 –信息、应用的深度防御
• 身份管理基础设施安全平台 • 基于身份管理应用支撑类安全产品和中间件
身份管理体系架构
基于身份管理的应用系统 身份责任认定
身份供应
身份认证
身份授权
公司本部在上海总部在北京信息安全综合管理平台信息安全综合管理平台1111信息安全服务信息安全服务2222尖端密码技术研究尖端密码技术研究3333icic卡应用安全产品卡应用安全产品4444第一家中国pki厂商第一个金融ic卡国家规范的参与者第一个国内第一个研发综合安全管理平台唯一的金融ic卡密钥管理系统提供商最大销售量自主研发产品的pki厂商国家保密局涉及国家秘密的计算机信息系统软件开发资质证书国家密码管理局商用密码产品生产许可证商用密码产品销售许可证中华人民共和国公安部计算机信息系统安全专用产品销售许可证中国国家信息安全测评认证中心国家信息安全证书认证产品型号证书解放军信息安全测评中心军用信息安全产品认证证书11家wlanwapi国家标准定点厂商之一专利名称专利名称专利号专利号金融ic卡密钥管理系统中的随机密钥约定方法011323434ic卡在线应用追加技术031509096彻底删除硬盘文件的方法011323477基于数据仓库的信息安全审计方法03157778具有mime数据类型过滤技术的ssl代理方法011323442基于数字证书实现的动态口令认证方法03129281x实现web应用安全加固的快速部署技术031514103数字证书认证系统中实体证书跨应用互通方法031292828数字证书跨信任域互通方法2003101090562椭圆曲线加密解密的方法和装置021547173椭圆曲线签名验证签名的方法和装置0215416520054启动已完成4个试点项目效果得到了用户的好评?身份供应系列产品pki取得良好业绩2003年后区域ca建设处于绝对优势地位目前已建设个总行级金融pki体系多个行业及大型企业pki体系金融ic卡安全体系处于优势地位
TrustMore边界安全网关.技术白皮书
在整个流程中,数据被加密传输,用户可以实现随时随地的安全接入,客户 端和服务器端的“零”部署,大大降低了企业部署、维护和升级的成本。
3.2 集中策略管理和策略分发
TrustMore 安全网关支持安全策略的集中管理、分发和控制。 帐号安全策略
集中帐户安全策略的配置和分发,支持黑白名单和帐号锁定/解锁机制。 访问控制策略
集中访问控制策略的制定和分发,基于角色的授权和访问控制机制,策 略随时下发到终端; 多资源保护 可以同时保护多种业务和资源,针对不同的业务和资源可以制定不同的 安全策略; 黑白名单
i
ZHUYU 中宇万通
一、产品简介
产品简介 || 中宇万通可信接入解决方案
TrustMore 安全网关针对远程安全接入而设计,其解决方案涉及身份认证、 设备认证、链路安全、数据传输安全、终端安全等多个方面,通过简单的操作, 实现远程安全访问政府、行业和企业开放的业务和资源,从而推动政府、行业和 企业信息化的发展和政府机构之间的信息交互。主要功能包括:
2
ZHUYU 中宇万通
业务系统
域控制器
资源
数据库系统 备份域控制器
产品简介 || 中宇万通可信接入解决方案
安全接入
安全接入
总部网关
Si
Internet
安全接入
无线热点 手机/PDAs
WWW服务器 文件服务器
邮件服务器
Radius服务器; LDAP服务器; AD服务器等 身份认证服务器
2.2 对等网关模式
网盾安全解决方案白皮书
网盾安全解决方案白皮书上海格尔软件股份有限公司1上海格尔软件股份有限公司上海市余姚路288号A楼4层Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: 上海格尔软件股份有限公司 上海市余姚路288号A 楼4层 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: 2声明:Copyright ©2005,2008上海格尔软件股份有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
上海格尔软件股份有限公司 上海市余姚路288号A 楼4层 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: 3目 录1 个人电脑安全现状、需求及分析 (4)1.1为何要保护数据?...................................................................4 1.2如何保护数据?.......................................................................5 1.3网盾能做什么?.......................................................................5 1.4 网盾的局限.............................................................................6 2 解决方案.. (6)2.1电脑与关键数据保护................................................................6 2.2 邮件安全 (7)2.2.1 传送层信件加密,SSL (7)2.2.2 网络层信件加密,VPN (9)2.2.3 邮件内容安全,端到端的安全邮件模式 (9)2.2.4 邮件内容安全,邮件网关模式 (10)2.3 Lotus Notes 的安全扩展 (11)2.3.1 文档保存时的自动加密签名流程 (12)2.3.2 文档发送时的自动加密签名流程 (13)2.3.3 文档打开时的自动验证签名并解密流程 (14)附录A :名词解释 (15)附录B :统计数据参考 (16)笔记本电脑失窃统计数据 (16)1个人电脑安全现状、需求及分析1.1为何要保护数据?信息通常被认为是企业最宝贵的资产(70% 或更多公司的价值在于其知识产权资产),这部分数据的损失或被窃可能造成严重后果,甚至会威胁企业在市场中的地位。
格尔安全认证网关产品白皮书
格尔安全认证网关产品白皮书V5.0上海格尔软件股份2007年8月目录1概述 (1)1.1您的网络应用安全吗? (1)1.2解决网络应用安全您要考虑: (1)2产品概述 (3)3什么缘故选择格尔安全认证网关 (3)3.1PKI数字证书的全面支持 (4)3.2对用户的一致性认证 (4)3.3自动签名验证 (5)3.4单点登录 (5)3.5多应用类型支持 (6)3.6对应用的加速 (6)3.7安全资质 (6)3.8其他特性 (6)4产品要紧功能 (7)5产品部署 (10)5.1串联部署 (10)5.2并联部署 (12)5.3双机热备部署 (13)5.4负载均衡部署 (15)6选购指南 (16)7客户端运行环境 (17)8产品支持联系方式 (17)9附录公司介绍 (18)9.1公司概述 (18)9.2技术与产品 (18)9.3服务支持 (19)9.4质量治理 (19)9.5要紧案例 (20)9.6公司文化理念 (21)10名词说明 (21)1.1您的网络应用安全吗?随着网络的快速进展,网络应用以其高效、便利的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。
越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何爱护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患:●没有有效的身份认证机制:一样都采纳用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在:(a)口令易被推测;(b)口令在公网中传输,容易被截获;(c)一旦口令泄密,所有安全机制即失效;(d)后台服务系统需要爱护庞大的用户口令列表并负责口令储存的安全,治理专门困难。
●数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输,而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。
●操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的可复制性对操作的唯独性和可信性提出了挑战,操作能够被抵赖成为网络应用亟需解决的一个严峻问题。
格尔安全认证网关的Web系统开发规范
4 上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL:
13. KOAL_CERT_SERIAL 证书序列号
3 应用接口
3.1 接口描述
SSL 与应用系统的接口以 cookie 的方式实现,SSL 服务将证书及其他信息以
cookie 方式发送到应用服务器,每一个 cookie 的名称都有其确定的含义。cookie
名称的定义如下(假定):
序 Cookie 名称
Cookie 值含义
应用含义
备注
号
1. KOAL_CERT_CN
2 上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL:
应用方式对于客户端来说是两个网站(http 访问的地址与 https 访问的地址不 同),因此通过 https 访问的时候客户端不会把先前的用户信息发送到第二个地 址。所以,应用无法获取用户 session 并不是 SSL 网关将用户信息过滤掉,而是 客户端根本没有发送用户信息。
2.3 采 用 可 选 验 证 时 , 应用如何判断用户是否提交了证 书?
l 问题描述: SSL 服务采用可选验证时,用户既可以提交证书验证,也可以不提交证书进 行验证,都可以访问后台应用,应用如何区分用户是否进行了证书验证呢,是否 可以采取应用获取证书内容的 cookie 方式来来判断呢?即能够获取到 cookie 就 认为用户通过了证书认证,获取不到 cookie 就认为用户未提交证书。 l 问题分析: 当用户提交证书验证通过后,SSL 服务获取证书信息并以 cookie 方式发送到 应用服务器,在加入证书信息的 cookie 前,SSL 服务会对原有请求信息进行分 析,若有相同 cookie 名称的内容则进行破坏处理,保证应用获取的证书信息的 正确性;当用户不提交证书信息时,SSL 服务无法获取证书信息,因此不会加入 新的 cookie 信息,当然也不会检查用户请求信息中的内容了,因此用户在不提 交证书情况下完全可以在请求中伪造出相应的 cookie 信息,而 SSL 服务误认为 是应用所需要的信息而不加处理,造成应用也可以获取到“证书内容的 cookie”, 误认为用户已经经过了证书验证。 l 问题解决
TrustMore边界安全网关.技术白皮书
目 录一、产品简介 (1)二、部署方式 (2)2.1远程接入模式 (2)2.2对等网关模式 (3)2.3综合部署模式 (4)三、产品特色 (5)3.1对PKI体系的支持 (5)3.2集中策略管理和策略分发 (5)3.3可信终端注册和管理机制 (6)3.4单点登录(SSO,single sign‐on) (6)3.5应用层防火墙 (7)3.6隧道模式部署方式 (8)3.7独特的RDP机制 (8)3.8底层开发技术 (9)3.9分布式日志存储接口 (9)四、产品功能简表 (9)五、产品规格和参数 (1)一、产品简介TrustMore安全网关针对远程安全接入而设计,其解决方案涉及身份认证、设备认证、链路安全、数据传输安全、终端安全等多个方面,通过简单的操作,实现远程安全访问政府、行业和企业开放的业务和资源,从而推动政府、行业和企业信息化的发展和政府机构之间的信息交互。
主要功能包括:1.强身份认证机制:支持U盾的身份认证方式,支持第三方认证方式的接口和扩展,具有良好的安全性和可扩展性;2.可信终端注册和认证:支持终端注册,只有注册过并通过认证的可信终端才允许和安全网关之间建立安全链路,建立安全链路之后,可以通过安全策略自动中断终端和非可信网络之间的一切链路;3.基于角色的访问控制:保证访问者只能访问被授权访问的内容和信息;4.传输中的数据加密:保证所有数据在网络传输过程中都是被加密的,防止被监听;5.分级日志管理:支持分布式日志管理,支持标准SYSLOG协议。
TrustMore安全网关的直接部署于受保护的应用系统前端,如下图所示:TrustMore安全网关重点解决应用安全的需求,因此通常会将TrustMore安全网关部署在网络的边界防火墙后面,典型位置是边界防火墙的非军事化区DMZ 中。
TrustMore安全网关可以保护标准和非标准的WEB服务、C/S服务(例如:业务系统、FTP、SSH、Oracle等),支持远程桌面和文件共享,支持整个网段的保护,支持对等网关的安全隧道模式。
格尔网络保险箱产品白皮书
格尔网络保险箱产品白皮书上海格尔软件股份有限公司上海格尔软件股份有限公司i声明:Copyright ©2005,2008上海格尔软件股份有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
上海格尔软件股份有限公司i目录1 概述 (1)1.1 背景 (1)1.2 名词解释 (1)2 产品概述 (2)3 为什么选择格尔网络保险箱 (2)3.1 网络保险箱系统实现了安全的存储 (2)3.2 安全并且灵活的授权方式 (3)3.3 本地使用,远端存储 (3)4 产品主要功能 (3)5 产品部署 (4)6 产品参数 (5)7 客户端运行环境 (6)8 产品支持联系方式 (6)上海格尔软件股份有限公司11概述1.1背景随着信息化程度的日益提高,信息技术被广泛的应用于各个领域。
数据,特别是那些包含了组织内部核心机密信息的文档,成为了不断增长的重要资源和财富。
如何安全的存储、共享成为组织面临的重要问题。
然而,目前的现状是:z涉密的文档被分散存储在组织内部的PC或服务器上。
无法统一的管理。
z文档即使被集中存储,对文档的保护也只是采用了操作系统所提供的权限控制机制。
z文档如果被加密存储,则不便于在多人之间共享。
针对以上问题,格尔软件推出了网络保险箱。
1.2名词解释NAS: Network Attached Storage,网络连接存储。
是一种专业的网络文件存储及文件备份设备。
NAS是基于LAN的,按照 TCP/IP协议进行通信,面向消息传递,以文件的I/O方式进行数据传输。
CA:Certificate Authority,数字证书中心,作为权威的第三方负责发放数字证书。
数字证书:Certificate,数字证书中心签发的用于代表实体身份的一段电文。
本文中涉及代表用户身份的用户证书和代表服务端身份的站点证书(服务器证书)。
LDAP:(Light Weight Directory Access Protocol) 是一种轻量级的目录存取协定,提供客户从各个角落连接到目录服务器中。
安全网关系统
安全网关系统技术白皮书中安网脉(北京)技术股份有限公司 北京电子科技学院二零零九年三月版权声明安全网关系统技术白皮书首先,我们非常感谢您查看本文档:本文档介绍了安全网关系统的产品体系结构、功能、运行环境,为用户在选用本系统时提供参考。
本手册仅提供电子文档。
Copyright © 2006 by SINOINFOSEC,中安网脉(北京)技术股份有限公司版权所有。
未经书面许可,用户不得以任何形式或通过任何途径,包括使用影印、录制在内的电子或机械手段等对该书任何部分进行复制或传播。
警告和承诺:本文档用于提供关于“安全网关系统”的产品信息。
尽管我们尽最大的努力使本文档尽可能的完备和准确,但疏漏和缺陷之处在所难免。
任何人或实体由于本文档提供的信息造成的任何损失或损害,中安网脉(北京)技术股份有限公司不承担任何义务或责任。
本书中表达的观点权属于中安网脉(北京)技术股份有限公司。
系统版权:中文名称:安全网关系统英文简称:iSecway版本号: 2.0开发单位:中安网脉(北京)技术股份有限公司本系统的版权单位:中安网脉(北京)技术股份有限公司地址:北京市丰台区富丰路7号邮政编码:100070电话:(010)63783209 或 83635361邮箱:support@安全网关系统是中安网脉(北京)技术股份有限公司自主研发的受法律保护的商业软件。
遵守法律是共同的责任,任何人未经授权人许可,不得以任何形式或方法以及出于任何目的复制或传播本软件,权利人将追究侵权者责任并保留要求赔偿的权利。
本软件系统及其文档中使用到其他公司的有关资源,其版权归相应公司所有,亦受到法律的严格保护。
反馈信息:您的反馈意见将使我们受益非浅。
如果您对本手册有任何疑问、意见或建议,请与我们联系:support@,感谢您对我们的支持和帮助。
目录第1章 产品研发单位简介 (4)第2章 产品概述 (5)第3章 产品主要功能 (7)3.1安全网关 (7)3.2安全管理中心 (7)3.3客户端登录认证 (8)3.4基于USB KEY的存储加密和身份认证 (8)第4章 产品主要特点 (9)4.1服务器保护强度高 (9)4.2用户认证严格 (9)4.3传输加密 (9)4.4存储加密 (9)4.5易用性 (10)第5章 关键技术 (11)5.1用户认证 (11)5.2用户授权 (11)5.3安全隧道 (11)5.4数据安全 (12)5.5自身安全 (12)5.6数据备份 (13)5.7集群功能 (13)5.8日志审计 (13)第6章 主要技术指标 (14)6.1安全网关 (14)6.2安全管理中心 (14)第7章 产品部署 (15)第8章 产品应用领域 (17)第9章 技术支持 (18)第1章产品研发单位简介“中国商用密码与信息安全的中流砥柱”——是中安网脉(北京)技术股份有限公司肩负的国家使命,是中安网脉公司孜孜以求的奋斗目标,也是中安网脉公司自我评价的衡量标准。
格尔电子证书系统产品白皮书
格尔电子证书系统(SRQ15)产 品 白 皮 书上海格尔软件股份有限公司1版权声明:本文件中出现的全部内容,除另有特别注明,版权均属上海格尔软件股份有限公司(以下简称格尔软件)所有,未经格尔软件书面许可,任何人不得以任何形式擅自拷贝、传播、复制、泄露本文件的全部或部分内容。
2目录1概述 (4)1.1背景 (4)1.2名词解释 (5)2产品概述 (6)2.1产品简介 (6)2.2产品组成 (7)2.2.1格尔证书认证系统 (8)2.2.2格尔证书注册系统 (9)2.2.3格尔密钥管理系统 (10)3产品主要功能特点 (10)3.1基本特性 (10)3.2高级特性 (11)3.3兼容与扩展特性 (11)3.4特别特性 (11)4产品参数 (12)4.1.1企业版 (12)4.1.2大客户版 (13)4.1.3运营中心版 (13)5附录 (14)5.1SRQ15电子证书认证系统证书 (14)5.2PKI简介 (14)31概述1.1背景随着网络技术的不断发展,各种网络应用在给企业带来便捷高效的同时,也带来了安全管理和安全通讯的问题。
为了解决网络安全问题,近年来,PKI(public key infrastructure)安全体系开始被引入并越来越多地得到应用,其运营管理机构一般又称为CA证书机构。
自1998年开始,中国已有多个不同规模的CA证书机构建成并运行,它们在电子政务和电子商务安全应用中发挥着重要的作用。
目前,我国CA证书机构按照应用环境/范围大体可分为以下四类:区域类、行业类、商业类和内部自用(企业)类。
区域类CA证书机构大多以地方政府为背景、以公司机制来运作,主要为本地行政区域内电子政务业务与电子商务业务发放证书;行业类CA证书机构以部委或行业主管部门为背景,以非公司机制或公司机制运作,在本部委系统或行业内为电子政务业务和电子商务业务发放证书;商业类CA证书机构以公司机制运作,面向全国范围为电子商务业务发放证书;内部自用类CA证书机构,主要是企业事业单位自建的证书机构,为自身内部业务发放证书,不向公众提供证书服务。
格尔安全认证网关
本文件中出现的全部内容,除另有特别注明,版权均属上海格尔软件股份有 限公司(以下简称格尔软件)所有,未经格尔软件书面许可,任何人不得以任何 形式擅自拷贝、传播、复制、泄露本文件的全部或部分内容。
2 上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL:
2 产品概述 ............................................................................................6 3 产品主要功能特点 ...............................................................................7 4 产品特色 .......................................................................................... 10
没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种 认证用户的模式,存在极大的隐患,具体表现在:(a)口令易被猜测; (b)口令在公网中传输,容易被截获;(c)一旦口令泄密,所有安全机 制即失效;(d)后台服务系统需要维护庞大的用户口令列表并负责口令 保存的安全,管理非常困难。 数据传输不安全:当前大多网络应用所发放的数据包均是按照 TCP/IP 协议为明文方式传输,而 Internet 的开放性造成传输信息存在着被窃 听、被篡改的安全问题。 操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流, 信息流的可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵 赖成为网络应用亟需解决的一个严重问题。
签名验证服务器技术白皮书
格尔产品白皮书
目录
1 概述...................................................................................................4 1.1 背景 .......................................................................................4 1.2 名词解释.................................................................................4
数据的保密:在许多应用中,信息的内容是需要严格保密的,但是在网络上, 网络侦听技术使数据的获取变得十分容易,因此对信息的加密是安全应用系统重 要的特点。
4 上海格尔软件股份有限公司 上海市余姚路 288 号 A 座 4 楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL:
双机热备功能
高可靠性
多种开发接口支持
客户端提供 C 开发 API,COM 方式 API,Java 开发 API
4 产品特色
¾ 安全性:系统设置专用网络接口管理系统,系统关闭所有不需要的服务和端 口(如 FTP、SSH 等),只保留服务端口,避免外界的攻击。
¾ 易用性:系统所有管理操作均采用 WEB 方式,操作简单方便。
SD
Power/TX Link/Rx
LPT1
LPT2
COM
Print Server
SD
SD
Power/TX Link/Rx
LPT1
LPT2
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
格尔安全认证网关产品白皮书上海格尔软件股份有限公司2007年8月目录1.1您的网络应用安全吗?随着网络的快速发展,网络应用以其高效、便捷的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。
越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患:●没有有效的身份认证机制:一般都采用用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在:(a)口令易被猜测;(b)口令在公网中传输,容易被截获;(c)一旦口令泄密,所有安全机制即失效;(d)后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全,管理非常困难。
●数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输,而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。
●操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的可复制性对操作的唯一性和可信性提出了挑战,操作可以被抵赖成为网络应用亟需解决的一个严重问题。
1.2解决网络应用安全您要考虑信任是安全的基础,在缺乏信任的环境下,实现信息系统的安全是不可想象的,因此解决网络应用安全的一个核心问题是解决信任问题,信任主要体现在以下几方面:●强身份认证。
建立信任首先要确认参与者的身份,即身份认证。
身份认证是安全保障的第一道门槛,也是后续安全措施的依据和基础,如果第一道门槛被攻破,系统“认错人”,则后续的无论多么严密的安全措施基本实效,因此,身份认证机制强度的高低很大程度决定了安全系统的安全级别高低,对于一个直接面对互联网,如果身份认证机制的强度不够,根本无法起到屏障作用,无异于将网资源直接开放。
因此,身份认证机制不在于多少,而在于够不够强。
基于PKI数字证书的认证是目前被广泛接受的强身份认证机制之一。
●数据秘密性和完整性。
一方面,认证机制越强,效率越低。
在网络应用中并不是每次交互都进行认证,而是根据第一次认证后的凭证来辨认用户,因此在真正用户在线认证通过后,窃取用户的认证凭证,冒充用户访问是一种有效的攻击手段。
因此身份认证过程以及后续传输通讯都需全程保密。
另一方面,网络应用中的重要信息被其他人特别是竞争对手得到造成的损失极大,因此要求信息传输时对信息进行高强度加密,保证传输安全性。
总之,信息在网络上明文传输,被人轻易获取,无异于自己打开门把东西拿给别人,系统有再强的其他安全机制有何用呢?全程加密是对数据秘密性及完整性保障的优选方案之一。
●不可抵赖性。
不可抵赖是信任的一个关键因素也是一个关键约束,是对结果的认可和保障,如果可以事后赖账,无法追究责任,那么先前所作的一切都是前功尽弃。
现实生活中已经形成一套不可抵赖性的方式方法,而在网络世界中,数字签名技术是公认的不可抵赖性实现的最优方案,《电子签名法》的颁布和实施也提供了相应的法律依据。
2产品概述图表 1 E型网关外观图表 2 G型网关外观(以上产品外观图仅做参考,具体外观及接口以实物为准)格尔网关为网络应用提供基于数字证书的高强度身份认证服务、高强度数据链路加密服务及数字签名及验证服务,可以有效保护网络资源的安全访问。
支持HTTP、HTTPS的B/S应用以及FTP、远程桌面等通用的C/S应用。
3为什么选择格尔安全认证网关格尔安全认证网关是:➢上海格尔软件自主研发的网络安全应用产品。
➢基于PKI数字证书体系的经过国家密码管理局认证的认证加密产品(SJY128)。
➢唯一一款集强身份认证、数据保密性、数据完整性及不可抵赖性功能于一身的产品。
格尔安全认证网关的价值体现在以下几个方面:3.1PKI数字证书的全面支持基于对PKI的深刻理解,格尔网关具备了对PKI的全面支持,包括以下几个方面:⏹证书单双向的认证选择:格尔网关可以配置建立加密连接时是否认证用户证书。
⏹多服务,多站点证书支持:格尔网关可以建立多个服务,保护不同的应用,每个服务可以使用不同的站点证书。
⏹多条证书链支持:格尔网关支持多条证书链同时存在、同时生效,即同一个SSL服务可以同时认证多家CA中心的证书用户。
动态黑名单支持:格尔网关可以自动到LDAP发布点获取黑名单,并动态更新,不需要重新启动服务。
3.2对用户的一致性认证通常的网关产品只是建立了一个加密连接,与应用完全无关,用户通过认证建立加密连接后必须经过再次认证(如用户名+口令、动态令牌等)登录应用系统,这种两次登录不仅没有加强安全性,而且在给用户带来不便的同时也带来安全隐患,由于加密连接和应用对用户认证的不一致,用户可以使用自己的证书建立连接,使用别人的用户名登录,这种方式给应用的流程和日后审计、取证带来了混乱。
格尔网关可以将用户证书中的任意信息以cookie方式向后台服务器传送,应用系统无需额外接口就可以方便获取证书用户信息,即保证了用户的一次登录,又保证了应用对用户认证的一致性,安全性得到进一步保障。
同时,使用网关保护的多个应用系统也实现了对用户的单点登录功能,即用户使用一张证书登录所有应用系统。
3.3自动签名验证(专利技术之一)格尔网关创新性的提出了自动签名验证服务,有效解决了网络不可抵赖性问题,使其成为目前唯一一款集强身份认证、数据保密性、数据完整性及不可抵赖性功能于一身的产品,是PKI产品的一种突破。
自动签名验证的特色是“自动”,签名、验证等复杂工作都由格尔网关自动完成,对应用实现零+开发,应用只需在网页中进行设置,无需额外开发接口、无需额外专业知识就能轻松实现信息不可抵赖。
3.4SSL协议中双证书的应用(专利技术之一)双证书机制是当前我国PKI体系建设的主流模式。
使用签名证书进行身份认证,使用加密证书进行密钥的交换和保护,既使PKI技术在应用中发挥其基于非对称密钥所带来的优势,又满足了国家对PKI应用进行审计监管的需要,是国家密码管理机构对PKI证书应用的基本要求。
格尔网关创新的提出了双证书在SSL协议中的应用,并成功在产品中实现,符合国家密码管理机构对密码产品的要求。
3.5单点登录(专利技术之一)对于某些无法修改或者无法获取证书信息从而无法实现用户一致性认证的应用,格尔网关可以实现证书与原有用户信息的映射,在应用无需任何改动的情况下自动完成系统登录,实现单点登录功能。
3.6多应用类型支持格尔网关除了可以对B/S应用进行安全防护外,对于FTP、telnet、SSH、远程桌面、SMTP、POP3等多种非B/S应用也可以进行安全防护,具有广泛的适用性。
3.7对应用的加速格尔网关高端产品采用硬件加速,加解密运算全部由硬件完成,效率是同等硬件环境下软件实现的10倍以上,可以彻底将应用服务器的CPU资源从繁重的加解密中解放出来,起到了对应用加速的作用。
3.8安全资质格尔安全认证网关通过了国家保密局、国家密码管理局的严格鉴定,取得了相关安全资质,符合国家对于密码产品的使用规定。
3.9其他特性●安全性:系统设置专用网络接口管理系统,系统关闭所有不需要的服务和端口(如FTP、SSH等),只保留SSL服务端口,避免外界的攻击。
●易用性:系统所有管理操作均采用web方式,操作简单方便。
●适用性:系统支持串联、并联等多种部署方式,适用不同的网络环境和应用需求。
●兼容性:支持IE、Netscape、Firefox等主流浏览器,支持IIS、Websphere、Weblogic、apache、tomcat等主流Web服务器。
●高可用性:系统支持双机热备。
注:扩展功能不包含在产品的基本版本中,是用户可选配功能。
格尔网关可以部署为串联模式(桥模式)或者并联模式(单臂模式)。
5.1串联部署串联模式(桥模式)指格尔网关物理部署在用户和被保护的服务器之间,即格尔网关的外网口与用户网络连接,内网口与被保护服务器相连。
由于被保护服务器通过内部网络与格尔网关连接,因此用户与服务器的连接被格尔网关隔离,用户只知道网关地址,无法直接访问被保护服务器,只有通过网关才能获得服务。
串联模式(桥模式)是格尔网关的标准部署模式,也是推荐部署模式,其部署示意图如下:.图表 3串联部署示意图串联模式的优点是:●安全性高:用户必须通过网关的认证加密后才能获取服务,同时网关将服务器与外界网络隔离,避免了对服务器的直接攻击。
●结构清晰:串联模式在物理部署和逻辑结构上都非常简单,容易理解。
●性能高:相对于并联模式,串联模式的效率及带宽利用率更高。
串联模式的缺点是:●需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。
5.2并联部署并联模式(单臂模式)指格尔网关逻辑部署在用户和被保护的服务器之间,而物理连接是在同一网络中,即格尔网关的外网口接入原有用户与服务器的网络连接中。
用户可以通过网关获取服务,也可以直接连接到服务器(在知道服务器地址情况下)获取服务。
图表 4 并联部署示意图并联模式的优点是:●部署方便:应用无需作改动,用户只需变更一下访问地址即可。
并联模式的缺点是:●安全性低:由于服务器和外界网络连接,存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性;同时,网关到服务器的明文数据也在网络上传输,存在被窃听的安全隐患。
●性能较低:相对于串联模式,并联模式中用户到网关和网关到服务器的数据流量都通过一个网口进行,效率及带宽利用率相对较低。
5.3双机热备部署系统支持双机热备功能,在需要高可靠性的环境下需要对网关进行双机热备部署。
双机热备部署需要部署两台设备,一台作为主机,一台作为备机,两台机器都与网络连接,两台设备之间使用交叉线连接热备口进行状态检测,在正常情况下由主机提供服务,当主机发生异常时系统自动切换到备机进行服务。
部署方式如图:.图表5串联模式下的双机热备部署5.4负载均衡部署格尔网关可以和大多数负载均衡设备配合使用,格尔网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。
如下图:图表 7负载均衡环境下的串联模式部署图表 8负载均衡环境下的并联部署注:负载均衡器将网络的SSL流量负载到可用的格尔网关上,格尔网关对后端的Web 服务器并没有负载均衡的作用。
格尔网关采用专用网络硬件设备,产品具有多个系列:注:上述所有规格及参数若有变动恕不另行通知,请以厂家提供的最终配置为准。
与格尔SSL安全网关连接的客户端推荐配置如下:CPU:P3 800M 以上内存:256M以上操作系统:win2000以上版本浏览器:以上,密钥长度128位上海格尔软件股份有限公司地址:上海市余姚路288号A座4楼电话:(86-21)传真:(86-21)Email邮编:2000429.1公司概述上海格尔软件股份有限公司(以下简称格尔软件)成立于1998年3月,注册资本3500万,北京设营销和技术支持中心。