TrustMore边界安全网关.技术白皮书

目 录

一、产品简介 (1)

二、部署方式 (2)

2.1远程接入模式 (2)

2.2对等网关模式 (3)

2.3综合部署模式 (4)

三、产品特色 (5)

3.1对PKI体系的支持 (5)

3.2集中策略管理和策略分发 (5)

3.3可信终端注册和管理机制 (6)

3.4单点登录（SSO，single sign‐on） (6)

3.5应用层防火墙 (7)

3.6隧道模式部署方式 (8)

3.7独特的RDP机制 (8)

3.8底层开发技术 (9)

3.9分布式日志存储接口 (9)

四、产品功能简表 (9)

五、产品规格和参数 (1)

一、产品简介

TrustMore安全网关针对远程安全接入而设计，其解决方案涉及身份认证、设备认证、链路安全、数据传输安全、终端安全等多个方面，通过简单的操作，实现远程安全访问政府、行业和企业开放的业务和资源，从而推动政府、行业和企业信息化的发展和政府机构之间的信息交互。主要功能包括：

1.强身份认证机制：支持U盾的身份认证方式，支持第三方认证方式的接

口和扩展，具有良好的安全性和可扩展性；

2.可信终端注册和认证：支持终端注册，只有注册过并通过认证的可信终

端才允许和安全网关之间建立安全链路，建立安全链路之后，可以通过

安全策略自动中断终端和非可信网络之间的一切链路；

3.基于角色的访问控制：保证访问者只能访问被授权访问的内容和信息；

4.传输中的数据加密：保证所有数据在网络传输过程中都是被加密的，防

止被监听；

5.分级日志管理：支持分布式日志管理，支持标准SYSLOG协议。

TrustMore安全网关的直接部署于受保护的应用系统前端，如下图所示：

TrustMore安全网关重点解决应用安全的需求，因此通常会将TrustMore安全网关部署在网络的边界防火墙后面，典型位置是边界防火墙的非军事化区DMZ 中。TrustMore安全网关可以保护标准和非标准的WEB服务、C/S服务（例如：业务系统、FTP、SSH、Oracle等），支持远程桌面和文件共享，支持整个网段的保护，支持对等网关的安全隧道模式。

二、部署方式

2.1远程接入模式

远程接入模式下，服务器和访问终端都不需要部署，只需要将TrustMore安全网关串联在远程终端和被保护的网络服务器之间。

客户端用户首次访问安全网关时必须填写注册信息，注册信息和终端设备的指纹信息被提交到管理控制台，由管理员认证授权后，终端设备才能使用浏览器登录TrustMore安全网关。

用户通过设备认证、身份认证、终端安全检查等多重认证之后，根据相应权限可以安全访问对外开放的网络业务和资源。用户终端和安全网关建立安全链路后，用户终端的其他网络的链接将自动被终止。

在整个流程中，数据被加密传输，用户可以实现随时随地的安全接入，客户端和服务器端的“零”部署，大大降低了企业部署、维护和升级的成本。

文件服务器

数据库系统

资源总部网关

业务系统

域控制器

邮件服务器WWW 服务器

备份域控制器

Radius 服务器；2.2对等网关模式

TrustMore 对等网关模式下，可以实现两（多）个机构/部门和两（多）个单位之间的安全互联。 文件服务器

数据库系统

资源总部网关

分支机构网关

分支机构网关

业务系统

域控制器

邮件服务器

WWW 服务器

备份域控制器

对等网关模式下被保护的服务器不需要做任何修改，客户端无需安装客户端和ActiveX控件（默认网关指向TrustMore安全网关即可），在对等网关之间建立安全隧道，类似IPSEC VPN工作模式。

1.网状拓扑

每个TrustMore安全网关处于对等模式，既可以提供远程接入保护，也

可以实现网关到网关之间的安全隧道。这种应用模式可以完全取代IPSEC

VPN，并提供比IPSEC VPN更加灵活的安全控制机制和更丰富的应用层安

全保护。

2.星型拓扑

在这种模式下，分支机构网关可以向总部网关发起连接请求，实现以总

部网关为根节点的星型拓扑。适合于在各地分支机构和总部的安全互联，和对等网关相比，这种方式成本更低。

2.3综合部署模式

在实际环境中，TrustMore安全网关可以同时支持远程接入模式和对等网关模式，用户可以根据需求灵活配置。

业务系统

资源

域控制器

总部网关

数据库系统

备份域控制器

分支机构网关WWW服务器

文件服务器

邮件服务器

三、产品特色

3.1对PKI体系的支持

❑对于终端用户，TrustMore安全网关支持标准的X509证书和数字证书：TrustMore安全网关支持数字证书认证、动态口令和静态口令等多种认

证方式。

❑对于被保护的业务资源，TrustMore安全网关支持单向和双向数字证书认证方式；

❑支持多设备证书、多类业务和资源保护：TrustMore安全网关支持多设备证书，可以建立多条安全链路，提供不同业务和资源类的分类保护；

❑支持证书用户黑名单：在TrustMore安全网关支持静态和动态黑名单机制，可以针对角色设置静态黑名单，可以实时通过LDAP协议获取动态

黑名单；

3.2集中策略管理和策略分发

TrustMore安全网关支持安全策略的集中管理、分发和控制。

❑帐号安全策略

集中帐户安全策略的配置和分发，支持黑白名单和帐号锁定/解锁机制。

❑访问控制策略

集中访问控制策略的制定和分发，基于角色的授权和访问控制机制，策

略随时下发到终端；

❑多资源保护

可以同时保护多种业务和资源，针对不同的业务和资源可以制定不同的

安全策略；

❑黑白名单