TrustMore边界安全网关.技术白皮书

目 录
一、产品简介 (1)
二、部署方式 (2)
2.1远程接入模式 (2)
2.2对等网关模式 (3)
2.3综合部署模式 (4)
三、产品特色 (5)
3.1对PKI体系的支持 (5)
3.2集中策略管理和策略分发 (5)
3.3可信终端注册和管理机制 (6)
3.4单点登录（SSO，single sign‐on） (6)
3.5应用层防火墙 (7)
3.6隧道模式部署方式 (8)
3.7独特的RDP机制 (8)
3.8底层开发技术 (9)
3.9分布式日志存储接口 (9)
四、产品功能简表 (9)
五、产品规格和参数 (1)
一、产品简介
TrustMore安全网关针对远程安全接入而设计，其解决方案涉及身份认证、设备认证、链路安全、数据传输安全、终端安全等多个方面，通过简单的操作，实现远程安全访问政府、行业和企业开放的业务和资源，从而推动政府、行业和企业信息化的发展和政府机构之间的信息交互。

主要功能包括：
1.强身份认证机制：支持U盾的身份认证方式，支持第三方认证方式的接
口和扩展，具有良好的安全性和可扩展性；
2.可信终端注册和认证：支持终端注册，只有注册过并通过认证的可信终
端才允许和安全网关之间建立安全链路，建立安全链路之后，可以通过
安全策略自动中断终端和非可信网络之间的一切链路；
3.基于角色的访问控制：保证访问者只能访问被授权访问的内容和信息；
4.传输中的数据加密：保证所有数据在网络传输过程中都是被加密的，防
止被监听；
5.分级日志管理：支持分布式日志管理，支持标准SYSLOG协议。

TrustMore安全网关的直接部署于受保护的应用系统前端，如下图所示：
TrustMore安全网关重点解决应用安全的需求，因此通常会将TrustMore安全网关部署在网络的边界防火墙后面，典型位置是边界防火墙的非军事化区DMZ 中。

TrustMore安全网关可以保护标准和非标准的WEB服务、C/S服务（例如：业务系统、FTP、SSH、Oracle等），支持远程桌面和文件共享，支持整个网段的保护，支持对等网关的安全隧道模式。

二、部署方式
2.1远程接入模式
远程接入模式下，服务器和访问终端都不需要部署，只需要将TrustMore安全网关串联在远程终端和被保护的网络服务器之间。

客户端用户首次访问安全网关时必须填写注册信息，注册信息和终端设备的指纹信息被提交到管理控制台，由管理员认证授权后，终端设备才能使用浏览器登录TrustMore安全网关。

用户通过设备认证、身份认证、终端安全检查等多重认证之后，根据相应权限可以安全访问对外开放的网络业务和资源。

用户终端和安全网关建立安全链路后，用户终端的其他网络的链接将自动被终止。

在整个流程中，数据被加密传输，用户可以实现随时随地的安全接入，客户端和服务器端的“零”部署，大大降低了企业部署、维护和升级的成本。

文件服务器
数据库系统
资源总部网关
业务系统
域控制器
邮件服务器WWW 服务器
备份域控制器
Radius 服务器；2.2对等网关模式
TrustMore 对等网关模式下，可以实现两（多）个机构/部门和两（多）个单位之间的安全互联。

文件服务器
数据库系统
资源总部网关
分支机构网关
分支机构网关
业务系统
域控制器
邮件服务器
WWW 服务器
备份域控制器
对等网关模式下被保护的服务器不需要做任何修改，客户端无需安装客户端和ActiveX控件（默认网关指向TrustMore安全网关即可），在对等网关之间建立安全隧道，类似IPSEC VPN工作模式。

1.网状拓扑
每个TrustMore安全网关处于对等模式，既可以提供远程接入保护，也
可以实现网关到网关之间的安全隧道。

这种应用模式可以完全取代IPSEC
VPN，并提供比IPSEC VPN更加灵活的安全控制机制和更丰富的应用层安
全保护。

2.星型拓扑
在这种模式下，分支机构网关可以向总部网关发起连接请求，实现以总
部网关为根节点的星型拓扑。

适合于在各地分支机构和总部的安全互联，和对等网关相比，这种方式成本更低。

2.3综合部署模式
在实际环境中，TrustMore安全网关可以同时支持远程接入模式和对等网关模式，用户可以根据需求灵活配置。

业务系统
资源
域控制器
总部网关
数据库系统
备份域控制器
分支机构网关WWW服务器
文件服务器
邮件服务器
三、产品特色
3.1对PKI体系的支持
❑对于终端用户，TrustMore安全网关支持标准的X509证书和数字证书：TrustMore安全网关支持数字证书认证、动态口令和静态口令等多种认
证方式。

❑对于被保护的业务资源，TrustMore安全网关支持单向和双向数字证书认证方式；
❑支持多设备证书、多类业务和资源保护：TrustMore安全网关支持多设备证书，可以建立多条安全链路，提供不同业务和资源类的分类保护；
❑支持证书用户黑名单：在TrustMore安全网关支持静态和动态黑名单机制，可以针对角色设置静态黑名单，可以实时通过LDAP协议获取动态
黑名单；
3.2集中策略管理和策略分发
TrustMore安全网关支持安全策略的集中管理、分发和控制。

❑帐号安全策略
集中帐户安全策略的配置和分发，支持黑白名单和帐号锁定/解锁机制。

❑访问控制策略
集中访问控制策略的制定和分发，基于角色的授权和访问控制机制，策
略随时下发到终端；
❑多资源保护
可以同时保护多种业务和资源，针对不同的业务和资源可以制定不同的
安全策略；
❑黑白名单
TrustMore安全网关支持IP、MAC过滤和黑白名单机制，对于允许大量
用户访问的业务和资源可以设置黑名单，来限制少数人不能够访问，对
于允许少数人访问的业务和资源可以设置白名单，遵循权限最小化原
则。

3.3可信终端注册和管理机制
TrustMore安全网关具有完善的可信终端注册和管理机制，要求填写详细的注册人员的信息，系统自动提取终端硬件信息指纹，注册信息被管理员人工授权后进入可信设备列表。

TrustMore安全网关支持组织结构树的生成和管理方式，可以清晰标识终端设备所属的机构单位和地理位置。

3.4单点登录（SSO，singl e sign‐on）
通过组合简单的访问控制和单点登录功能，TrustMore安全网关为客户提供一个即插即用的单点登录解决方案。

用户无须修改应用系统（包括WEB应用系统和C/S结构应用系统），自由选择前置代理和后置代理或组合使用方式。

只需简单的配置，即可使用单点登录应用功能。

❑单点登录：
用户只需登录一次，即可通过单点登录系统访问后台的多个应用系统，
无需重新登录后台的各个应用系统。

后台应用系统的用户名和口令可以
各不相同，并且实现单点登录时，后台应用系统无需任何修改。

❑即插即用：
通过简单的配置，无须用户修改任何现有B/S、C/S应用系统即可使用，
解决了当前其他单点登录解决方案实施困难的难题。

❑多样的身份认证机制：
同时支持基于PKI/CA数字证书和用户名/口令身份认证方式，可单独使
用也可组合使用；
3.5应用层防火墙
TrustMore安全网关内置Web防火墙（Web应用防护系统）是一款保护Web 站点和应用免受来自于应用层攻击的Web防护系统。

它通过分析应用层的用户请求数据，区分正常用户访问Web和攻击者的恶意行为，对诸如SQL注入式攻击、非法脚本执行、跨站提交攻击等应用攻击行为进行实时阻断和告警。

TrustMore安全网关使用的Web服务器核心内嵌技术，在请求数据尚未被Web服务器软件处理之前（更在应用系统处理之前）即进行检查，确保所有攻击行为被拒之门外。

部署TrustMore安全网关后，无须对现有Web应用的代码作任何修改，即可实现：
1)防止SQL注入式攻击；
2)防止溢出代码攻击；
3)防止对系统文件的访问；
4)防止对危险文件类型的访问；
5)防止对危险系统路径的访问；
6)防止特殊字符构成的URL利用；
7)防止XSS跨站提交；
8)防止提交可能构成代码的字串；
9)防止构造危险的Cookie；
10)防止危险的头和方法；
11)防止危险的鉴别类型和帐号；
12)检查头/URL/提交/内容/版本的长度；
13)检查浏览器、链接是否符合RFC标准；
14)......
TrustMore安全网关除了内置Web防火墙，同时提供抗DoS攻击防护等功能，避免遭受恶意拒绝访问攻击、渗透性攻击和脚本攻击等。

3.6隧道模式部署方式
TrustMore 安全网关可以实现网关到网关安全隧道封装 (Secure Tunneling Technology)，实现多个机构之间的安全互联。

3.7独特的RDP 机制
TrustMore 安全网关的RDP 模式将业务系统分为“业务逻辑”和“显示逻辑”两部分，业务逻辑100%在局域网中进行，运行结果转换成“显示逻辑”在远程客户端显示。

“业务逻辑”可以随时拓展和改变，完全和远程客户端“显示逻辑”无关。

当“业务逻辑”改变和升级时，远程客户端无需作任何改动。

“业务逻辑”在企业局域网内，受到TrustMore 网关的安全保护，远程接入主机不可能直接访问到内部业务服务器，必须经过TrustMore
的安全认证。

通过独立RDP 技术，在互联网中仅传输截屏信息、鼠标和键盘的动作，数据量减至最小，同时屏幕数据被加密，防范网络监听攻击。

无需做任何改动的
应用服务器
无需安装任何客户端的远
3.8底层开发技术
客户端采用ActiveX和应用程序客户端两种方式，兼容多版本操作系统，在系统驱动层实现，避免人为和恶意软件绕过终端防护系统。

3.9分布式日志存储接口
支持分布式日志审计和存储，通过SYSLOG协议向第三方日志服务器分发审计信息，审计信息包括：
❑网关客户端访问审计
记录终端通过网关所进行的访问操作，包括：登录网关，登出网关，业
务访问等；
❑网关告警：
记录网关产生的告警，包括越权访问，非法连接，非法攻击等；
❑网关操作员操作审计：
记录管理员对网关的操作，包括：服务的启动与停止，策略的修改，帐
号信息的修改等；
❑网关业务配置：
记录管理员对业务进行的操作，包括新增业务、删除业务、修改业务、
启动业务或使业务生效、停止业务或使业务失效；
❑和TrustMore内容审计和行为重放系统配合
通过和TrustMore内容审计和行为重放系统配合使用，能够实现对用户
行为的分析和重放。

四、产品功能简表
产品功能 描述
基本功能 VPN功能 1.保护B/S应用和业务；
2.保护HTTPS应用和业务；
3.保护C/S应用和业务；
4.保护数据库服务；
5.支持安全代理模式；
6.支持安全透明通道模式；
7.支持整个网段的安全保护；
权限管理 基于用户角色的权限管理和访问控制；
帐号安全 1.支持口令认证方式
支持动态附加码技术；
支持丰富的口令安全策略；
支持帐号锁定机制
2.支持U盾认证方式
支持完善的用户安全策略；
支持黑名单机制；
数据加密 数据在传输中加密，加密算法支持： ❑DES；
❑3DES；
❑AES；
❑IDEA；
❑RC4等。

数据传输 1.支持HTTP压缩；
2.支持URL分析和替换；
设备注册 设备注册 注册设备信息，提取设备的硬件指纹。

人员注册
注册设备的人员信息，包括人员的身份标识等基本信
息，管理员对设备授权时就可以很直观的看到该设备
自身的信息（有价值的信息），在线用户管理时，可以
根据区域进行分组将对管理员起到比较大的管理作
用。

可扩展性 支持丰富的
第三方认证
方式
支持本地数据库认证之外，还支持：
1.第三方Radius服务器认证方式；
2.第三方LADP认证方式；
3.微软活动目录树（域认证服务器）认证方式；
4.动态口令卡认证方式，例如RSA公司的SecureID
动态口令认证方式；
5.手机短信认证方式：将用户登录网关的动态口令
通过手机短信方式发送给终端用户；
6.智能卡认证方式，例如USBKEY数字证书方式登录
TrustMore安全网关。

支持第三方数字证书 可以通过导入第三方数字证书，实现TrustMore向第三方PKI架构下的扩展；
接入专用通道隔离
当终端用户通过其他的中间服务器访问网关时（如：
IPSecVPN），可以在服务器端设置终端设备不加以拦截
的白名单（一个或多个地址资源），以保证网关的可用
性。

网络功能 动态域名 内置了动态域名客户端；
静态路由 内置了静态路由机制；
双机热备 实现了双机热备和配置信息的自动同步；
自身安全 抗攻击性 1.集成防火墙功能模块；
2.集成抗DoS攻击模块，抵御常见的DoS网路攻击；
日志报送 1.能够审计客户端用户的访问行为；
2.支持分布式日志存储行业标准（SysLog服务）；
3.支持业务日志，实现集中是监控；
4.能够和TrustMore内容审计与行为重放系统配合
使用
终端安全 1.设备注册机制：通过提取硬件指纹信息，识别可
信设备；；
2.用户安全：通过U盾和授权信息识别可信用户；
3.客户端安全检查：
检查操作系统版本；
检查IE浏览器版本；
检查进程；
检查注册表；
检查文件；
4.终端安全链路防护：建立安全链路之后，通过安
全策略限制终端设备对外网的连接；
5.U盾脱机检查：U盾脱离终端设备时，所有安全链
路自动关闭，确保安全链路的安全；
6.底层防护：在操作系统驱动层实现终端安全机制，
确保安全策略的可靠运行。

其他独创的特色功能 WAP接入
1.支持WAP模式：
2.客户端用户可以使用智能手机（SmartPhone）或
者PDA远程访问TrustMore安全网关保护的企业
内部应用，提供了无与伦比的远程安全接入体验
和扩展。

单点登录
（SSO，Single
Sign‐On）
1.无需配置客户端和WEB应用系统的情况下，无缝
实现单点登录；
2.提供了扩展单点登录的功能模块；
桌面安全限
制
可以通过“桌面安全限制”策略控制客户端用户经过
TrustMore安全网关内认证之后是否能够访问互联网
和本地局域网。

“桌面安全限制”提供了更加完善的对
远程接入服务的保护。

域名解析
1.内置域名解析系统；
2.通过独创的DNS自动分配技术，确保客户端用户
登录TrustMore安全网关之后，透明使用内网DNS
服务。

文本化配置
除了可视化配置界面之外，实现了文本化配置，方便
大批量方式增加安全服务；
帐号导入和
分析机制
可以将第三方CVS格式帐号文件导入到TrustMore安
全网关当中，TrustMore安全网关可以实现对CVS帐号
文件的解析。

五、产品规格和参数
型号 B-2000 B-3000 B-3600L B-3600M B-3600H
规格参数 尺寸 1U 1U 1U 2U 2U
存储温度
零下25℃～
70℃
零下25℃～
70℃
零下25℃～
70℃
零下25℃～
70℃
零下25℃～
70℃
工作温度 0℃～40℃ 0℃～40℃ 0℃～40℃ 0℃～40℃ 0℃～40℃ 环境湿度
5%-95%非凝
结
5%-95%非凝
结
5%-95%非凝
结
5%-95%非凝
结
5%-95%非凝
结
电源功率 单 150W 单200W 单 200W 单 250W 单300W
电压范围
100-240伏
AC
100-240伏
AC
100-240伏
AC
100-240伏
AC
100-240伏
AC
MTBF >=10万小时 >=10万小时 >=10万小时>=10万小时 >=10万小时 网络接口 4*100Mbps 6*1000Mbps 6*1000Mbps 6*1000Mbps 6*1000Mbps 管理用串口 2个 2个 2个 2个 2个
性能参数 最大新建连
接数
150/秒 500次/秒 800次/秒 1500次/秒 2000次/秒 最大并发
SSL连接数
1000 2000 5000 8000 12000
SSL事务处
理速率
500次/秒 2000次/秒 3000次/秒 5000次/秒 6000次/秒 加密带宽吞
吐量
70Mbps 200Mbps 400Mbps 700Mbps 850Mbps
最大接入用
户数
>50000 >50000 >50000 >50000 >50000 SSL转发延
迟
<0.4ms <0.4ms <0.4ms <0.4ms <0.4ms。