TrustMore边界安全网关.技术白皮书
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.2 集中策略管理和策略分发
TrustMore 安全网关支持安全策略的集中管理、分发和控制。 帐号安全策略
集中帐户安全策略的配置和分发,支持黑白名单和帐号锁定/解锁机制。 访问控制策略
集中访问控制策略的制定和分发,基于角色的授权和访问控制机制,策 略随时下发到终端; 多资源保护 可以同时保护多种业务和资源,针对不同的业务和资源可以制定不同的 安全策略; 黑白名单
i
ZHUYU 中宇万通
一、产品简介
产品简介 || 中宇万通可信接入解决方案
TrustMore 安全网关针对远程安全接入而设计,其解决方案涉及身份认证、 设备认证、链路安全、数据传输安全、终端安全等多个方面,通过简单的操作, 实现远程安全访问政府、行业和企业开放的业务和资源,从而推动政府、行业和 企业信息化的发展和政府机构之间的信息交互。主要功能包括:
即插即用:
通过简单的配置,无须用户修改任何现有 B/S、C/S 应用系统即可使用, 解决了当前其他单点登录解决方案实施困难的难题。
2011
i
TrustMore 边界安全网关
【产品白皮书】
北京中宇万通科技有限公司
ZHUYU 中宇万通
产品简介 || 中宇万通可信接入解决方案
目录
一、产品简介 ........................................................................................................ 1
TrustMore 安全网关具有完善的可信终端注册和管理机制,要求填写详细的 注册人员的信息,系统自动提取终端硬件信息指纹,注册信息被管理员人工授权 后进入可信设备列表。
TrustMore 安全网关支持组织结构树的生成和管理方式,可以清晰标识终端 设备所属的机构单位和地理位置。
3.4 单点登录(SSO,single sign‐on)
四、产品功能简表 ................................................................................................. 9
五、产品规格和参数 ............................................................................................. 1
业务系统
域控制器
资源
数据库系统 备份域控制器
WWW服务器 文件服务器
邮件服务器
安全接入
安全接入
总部网关
Si
Internet
安全接入
无线热点
手机/PDAs
分支机构网关 分支机构网关
上海
北京
4
ZHUYU 中宇万通
三、产品特色
产品简介 || 中宇万通可信接入解决方案
3.1 对 PKI 体系的支持
对于终端用户,TrustMore 安全网关支持标准的 X509 证书和数字证书: TrustMore 安全网关支持数字证书认证、动态口令和静态口令等多种认 证方式。
TrustMore 对等网关模式下,可以实现两(多)个机构/部门和两(多)个单 位之间的安全互联。
业务系统
域控制器
资源
数据库系统 备份域控制器
WWW服务器 文件服务器
邮件服务器
总部网关
Si
Internet
北京
3
深圳
分支机构网关 分支机构网关 上海
ZHUYU 中宇万通
产品简介 || 中宇万通可信接入解决方案
4. 传输中的数据加密:保证所有数据在网络传输过程中都是被加密的,防 止被监听;
5. 分级日志管理:支持分布式日志管理,支持标准 SYSLOG 协议。
TrustMore 安全网关的直接部署于受保护的应用系统前端,如下图所示:
1
ZHUYU 中宇万通
产品简介 || 中宇万通可信接入解决方案
TrustMore 安全网关重点解决应用安全的需求,因此通常会将 TrustMore 安 全网关部署在网络的边界防火墙后面,典型位置是边界防火墙的非军事化区 DMZ 中。TrustMore 安全网关可以保护标准和非标准的 WEB 服务、C/S 服务(例如: 业务系统、FTP、SSH、Oracle 等),支持远程桌面和文件共享,支持整个网段的 保护,支持对等网关的安全隧道模式。
通过组合简单的访问控制和单点登录功能,TrustMore 安全网关为客户提供 一个即插即用的单点登录解决方案。用户无须修改应用系统(包括 WEB 应用系 统和 C/S 结构应用系统),自由选择前置代理和后置代理或组合使用方式。只需 简单的配置,即可使用单点登录应用功能。
单点登录:
用户只需登录一次,即可通过单点登录系统访问后台的多个应用系统, 无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以 各不相同,并且实现单点登录时,后台应用系统无需任何修改。
1. 强身份认证机制:支持 U 盾的身份认证方式,支持第三方认证方wenku.baidu.com的接 口和扩展,具有良好的安全性和可扩展性;
2. 可信终端注册和认证:支持终端注册,只有注册过并通过认证的可信终 端才允许和安全网关之间建立安全链路,建立安全链路之后,可以通过 安全策略自动中断终端和非可信网络之间的一切链路;
3. 基于角色的访问控制:保证访问者只能访问被授权访问的内容和信息;
三、产品特色 ........................................................................................................ 5
3.1 对 PKI 体系的支持 .............................................................................................................5 3.2 集中策略管理和策略分发.................................................................................................5 3.3 可信终端注册和管理机制.................................................................................................6 3.4 单点登录(SSO,single sign‐on) ....................................................................................6 3.5 应用层防火墙.....................................................................................................................7 3.6 隧道模式部署方式.............................................................................................................8 3.7 独特的 RDP 机制................................................................................................................8 3.8 底层开发技术.....................................................................................................................9 3.9 分布式日志存储接口.........................................................................................................9
二、部署方式 ........................................................................................................ 2
2.1 远程接入模式.....................................................................................................................2 2.2 对等网关模式.....................................................................................................................3 2.3 综合部署模式.....................................................................................................................4
对于被保护的业务资源,TrustMore 安全网关支持单向和双向数字证书认 证方式;
支持多设备证书、多类业务和资源保护:TrustMore 安全网关支持多设备 证书,可以建立多条安全链路,提供不同业务和资源类的分类保护;
支持证书用户黑名单:在 TrustMore 安全网关支持静态和动态黑名单机 制,可以针对角色设置静态黑名单,可以实时通过 LDAP 协议获取动态 黑名单;
2. 星型拓扑
在这种模式下,分支机构网关可以向总部网关发起连接请求,实现以总 部网关为根节点的星型拓扑。适合于在各地分支机构和总部的安全互联, 和对等网关相比,这种方式成本更低。
2.3 综合部署模式
在实际环境中,TrustMore 安全网关可以同时支持远程接入模式和对等网关 模式,用户可以根据需求灵活配置。
5
ZHUYU 中宇万通
产品简介 || 中宇万通可信接入解决方案
TrustMore 安全网关支持 IP、MAC 过滤和黑白名单机制,对于允许大量 用户访问的业务和资源可以设置黑名单,来限制少数人不能够访问,对 于允许少数人访问的业务和资源可以设置白名单,遵循权限最小化原 则。
3.3 可信终端注册和管理机制
2
ZHUYU 中宇万通
业务系统
域控制器
资源
数据库系统 备份域控制器
产品简介 || 中宇万通可信接入解决方案
安全接入
安全接入
总部网关
Si
Internet
安全接入
无线热点 手机/PDAs
WWW服务器 文件服务器
邮件服务器
Radius服务器; LDAP服务器; AD服务器等 身份认证服务器
2.2 对等网关模式
对等网关模式下被保护的服务器不需要做任何修改,客户端无需安装客户端 和 ActiveX 控件(默认网关指向 TrustMore 安全网关即可),在对等网关之间建立 安全隧道,类似 IPSEC VPN 工作模式。
1. 网状拓扑
每个 TrustMore 安全网关处于对等模式,既可以提供远程接入保护,也 可以实现网关到网关之间的安全隧道。这种应用模式可以完全取代 IPSEC VPN,并提供比 IPSEC VPN 更加灵活的安全控制机制和更丰富的应用层安 全保护。
二、部署方式
2.1 远程接入模式
远程接入模式下,服务器和访问终端都不需要部署,只需要将 TrustMore 安 全网关串联在远程终端和被保护的网络服务器之间。
客户端用户首次访问安全网关时必须填写注册信息,注册信息和终端设备的 指纹信息被提交到管理控制台,由管理员认证授权后,终端设备才能使用浏览器 登录 TrustMore 安全网关。
用户通过设备认证、身份认证、终端安全检查等多重认证之后,根据相应权 限可以安全访问对外开放的网络业务和资源。用户终端和安全网关建立安全链路 后,用户终端的其他网络的链接将自动被终止。
在整个流程中,数据被加密传输,用户可以实现随时随地的安全接入,客户 端和服务器端的“零”部署,大大降低了企业部署、维护和升级的成本。
TrustMore 安全网关支持安全策略的集中管理、分发和控制。 帐号安全策略
集中帐户安全策略的配置和分发,支持黑白名单和帐号锁定/解锁机制。 访问控制策略
集中访问控制策略的制定和分发,基于角色的授权和访问控制机制,策 略随时下发到终端; 多资源保护 可以同时保护多种业务和资源,针对不同的业务和资源可以制定不同的 安全策略; 黑白名单
i
ZHUYU 中宇万通
一、产品简介
产品简介 || 中宇万通可信接入解决方案
TrustMore 安全网关针对远程安全接入而设计,其解决方案涉及身份认证、 设备认证、链路安全、数据传输安全、终端安全等多个方面,通过简单的操作, 实现远程安全访问政府、行业和企业开放的业务和资源,从而推动政府、行业和 企业信息化的发展和政府机构之间的信息交互。主要功能包括:
即插即用:
通过简单的配置,无须用户修改任何现有 B/S、C/S 应用系统即可使用, 解决了当前其他单点登录解决方案实施困难的难题。
2011
i
TrustMore 边界安全网关
【产品白皮书】
北京中宇万通科技有限公司
ZHUYU 中宇万通
产品简介 || 中宇万通可信接入解决方案
目录
一、产品简介 ........................................................................................................ 1
TrustMore 安全网关具有完善的可信终端注册和管理机制,要求填写详细的 注册人员的信息,系统自动提取终端硬件信息指纹,注册信息被管理员人工授权 后进入可信设备列表。
TrustMore 安全网关支持组织结构树的生成和管理方式,可以清晰标识终端 设备所属的机构单位和地理位置。
3.4 单点登录(SSO,single sign‐on)
四、产品功能简表 ................................................................................................. 9
五、产品规格和参数 ............................................................................................. 1
业务系统
域控制器
资源
数据库系统 备份域控制器
WWW服务器 文件服务器
邮件服务器
安全接入
安全接入
总部网关
Si
Internet
安全接入
无线热点
手机/PDAs
分支机构网关 分支机构网关
上海
北京
4
ZHUYU 中宇万通
三、产品特色
产品简介 || 中宇万通可信接入解决方案
3.1 对 PKI 体系的支持
对于终端用户,TrustMore 安全网关支持标准的 X509 证书和数字证书: TrustMore 安全网关支持数字证书认证、动态口令和静态口令等多种认 证方式。
TrustMore 对等网关模式下,可以实现两(多)个机构/部门和两(多)个单 位之间的安全互联。
业务系统
域控制器
资源
数据库系统 备份域控制器
WWW服务器 文件服务器
邮件服务器
总部网关
Si
Internet
北京
3
深圳
分支机构网关 分支机构网关 上海
ZHUYU 中宇万通
产品简介 || 中宇万通可信接入解决方案
4. 传输中的数据加密:保证所有数据在网络传输过程中都是被加密的,防 止被监听;
5. 分级日志管理:支持分布式日志管理,支持标准 SYSLOG 协议。
TrustMore 安全网关的直接部署于受保护的应用系统前端,如下图所示:
1
ZHUYU 中宇万通
产品简介 || 中宇万通可信接入解决方案
TrustMore 安全网关重点解决应用安全的需求,因此通常会将 TrustMore 安 全网关部署在网络的边界防火墙后面,典型位置是边界防火墙的非军事化区 DMZ 中。TrustMore 安全网关可以保护标准和非标准的 WEB 服务、C/S 服务(例如: 业务系统、FTP、SSH、Oracle 等),支持远程桌面和文件共享,支持整个网段的 保护,支持对等网关的安全隧道模式。
通过组合简单的访问控制和单点登录功能,TrustMore 安全网关为客户提供 一个即插即用的单点登录解决方案。用户无须修改应用系统(包括 WEB 应用系 统和 C/S 结构应用系统),自由选择前置代理和后置代理或组合使用方式。只需 简单的配置,即可使用单点登录应用功能。
单点登录:
用户只需登录一次,即可通过单点登录系统访问后台的多个应用系统, 无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以 各不相同,并且实现单点登录时,后台应用系统无需任何修改。
1. 强身份认证机制:支持 U 盾的身份认证方式,支持第三方认证方wenku.baidu.com的接 口和扩展,具有良好的安全性和可扩展性;
2. 可信终端注册和认证:支持终端注册,只有注册过并通过认证的可信终 端才允许和安全网关之间建立安全链路,建立安全链路之后,可以通过 安全策略自动中断终端和非可信网络之间的一切链路;
3. 基于角色的访问控制:保证访问者只能访问被授权访问的内容和信息;
三、产品特色 ........................................................................................................ 5
3.1 对 PKI 体系的支持 .............................................................................................................5 3.2 集中策略管理和策略分发.................................................................................................5 3.3 可信终端注册和管理机制.................................................................................................6 3.4 单点登录(SSO,single sign‐on) ....................................................................................6 3.5 应用层防火墙.....................................................................................................................7 3.6 隧道模式部署方式.............................................................................................................8 3.7 独特的 RDP 机制................................................................................................................8 3.8 底层开发技术.....................................................................................................................9 3.9 分布式日志存储接口.........................................................................................................9
二、部署方式 ........................................................................................................ 2
2.1 远程接入模式.....................................................................................................................2 2.2 对等网关模式.....................................................................................................................3 2.3 综合部署模式.....................................................................................................................4
对于被保护的业务资源,TrustMore 安全网关支持单向和双向数字证书认 证方式;
支持多设备证书、多类业务和资源保护:TrustMore 安全网关支持多设备 证书,可以建立多条安全链路,提供不同业务和资源类的分类保护;
支持证书用户黑名单:在 TrustMore 安全网关支持静态和动态黑名单机 制,可以针对角色设置静态黑名单,可以实时通过 LDAP 协议获取动态 黑名单;
2. 星型拓扑
在这种模式下,分支机构网关可以向总部网关发起连接请求,实现以总 部网关为根节点的星型拓扑。适合于在各地分支机构和总部的安全互联, 和对等网关相比,这种方式成本更低。
2.3 综合部署模式
在实际环境中,TrustMore 安全网关可以同时支持远程接入模式和对等网关 模式,用户可以根据需求灵活配置。
5
ZHUYU 中宇万通
产品简介 || 中宇万通可信接入解决方案
TrustMore 安全网关支持 IP、MAC 过滤和黑白名单机制,对于允许大量 用户访问的业务和资源可以设置黑名单,来限制少数人不能够访问,对 于允许少数人访问的业务和资源可以设置白名单,遵循权限最小化原 则。
3.3 可信终端注册和管理机制
2
ZHUYU 中宇万通
业务系统
域控制器
资源
数据库系统 备份域控制器
产品简介 || 中宇万通可信接入解决方案
安全接入
安全接入
总部网关
Si
Internet
安全接入
无线热点 手机/PDAs
WWW服务器 文件服务器
邮件服务器
Radius服务器; LDAP服务器; AD服务器等 身份认证服务器
2.2 对等网关模式
对等网关模式下被保护的服务器不需要做任何修改,客户端无需安装客户端 和 ActiveX 控件(默认网关指向 TrustMore 安全网关即可),在对等网关之间建立 安全隧道,类似 IPSEC VPN 工作模式。
1. 网状拓扑
每个 TrustMore 安全网关处于对等模式,既可以提供远程接入保护,也 可以实现网关到网关之间的安全隧道。这种应用模式可以完全取代 IPSEC VPN,并提供比 IPSEC VPN 更加灵活的安全控制机制和更丰富的应用层安 全保护。
二、部署方式
2.1 远程接入模式
远程接入模式下,服务器和访问终端都不需要部署,只需要将 TrustMore 安 全网关串联在远程终端和被保护的网络服务器之间。
客户端用户首次访问安全网关时必须填写注册信息,注册信息和终端设备的 指纹信息被提交到管理控制台,由管理员认证授权后,终端设备才能使用浏览器 登录 TrustMore 安全网关。
用户通过设备认证、身份认证、终端安全检查等多重认证之后,根据相应权 限可以安全访问对外开放的网络业务和资源。用户终端和安全网关建立安全链路 后,用户终端的其他网络的链接将自动被终止。
在整个流程中,数据被加密传输,用户可以实现随时随地的安全接入,客户 端和服务器端的“零”部署,大大降低了企业部署、维护和升级的成本。