格尔安全认证网关产品白皮书

格尔安全认证网关产品白皮书V5.0XX格尔软件股份XX

2007年8月#/26务器通过内部网络与格尔网关连接，因此用户与服务器的连接被格尔网关隔离，用户只知道网关地址，无法直接访问被保护服务器，只有通过网关才能获得服务。串联模式（桥模式）是格尔网关的标准部署模式，也是推荐部署模式，其部署示意图如下：Internet防火墙格尔安全认证网关服务器1服务器3服务器2署示意图如下：Internet防火墙格尔安全认证网关服务器1服务器3服务器2外部用户用户证书内网用户图表3串联部署示意图串联模式的优点是：•安全性高：用户必须通过网关的认证加密后才能获取服务，同时网关将服务器与外界网络隔离，避免了对服务器的直接攻击。•结构清晰：串联模式在物理部署和逻辑结构上都非常简单，容易理解。•性能高：相对于并联模式，串联模式的效率及带宽利用率更高。串联模式的缺点是：•需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。

5.2并联部署并联模式（单臂模式）指格尔网关逻辑部署在用户和被保护的服务器之间，而物理连接是在同一网络中，即格尔网关的外网口接入原有用户与服务器的网络连接中。用户可以通过网关获取服务，也可以直接连接到服务器（在知道服务器•部署方便：应用无需作改动，用户只需变更一下访问地址即可。并联模式的缺点是：•安全性低：由于服务器和外界网络连接，存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性；同时，网关到服务器的明文数据也在网络上传输，存在被窃听的安全隐患。性能较低：相对于串联模式，并联模式中用户到网关和网关到服务器的数据流量都通过一个网口进行，效率及带宽利用率相对较低。5.3双机热备部署系统支持双机热备功能，在需要高可靠性的环境下需要对网关进行双机热备部署。双机热备部署需要部署两台设备，一台作为主机，一台作为备机，两台机器都与网络连接，两台设备之间使用交叉线连接热备口进行状态检测，在正常情况下由主机提供服务，当主机发生异常时系统自动切换到备机进行服务。部署方式如图：防火墙图表5串联模式下的双机热备部署=>Internet防火墙格尔安全认证网关心跳连线服务器1服务器2外部用户用户证书服务器3◎◎Q内网用户防火墙图表5串联模式下的双机热备部署=>Internet防火墙格尔安全认证网关心跳连线服务器1服务器2外部用户用户证书服务器3◎◎Q内网用户图表6并联模式下的双机热备部署5.4负载均衡部署格尔网关可以和大多数负载均衡设备配合使用，格尔网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图：Internet服务器用户证书外部用负载均衡设备孕◎QInternet服务器用户证书外部用负载均衡设备孕◎Q内网用户格尔安全认证网关-~=-■[BB1nB-图表7负载均衡环境下的串联模式部署内网用户图表8负载均衡环境下的并联部署

注:负载均衡器将网络的SSL流■负载到可用的格尔网关上"格尔网关对后端的Web服务器并没有负载均衡的作用。6选购指南格尔网关采用专用网络硬件设备，产品具有多个系列：E-2010E-2020G-4020G-4040设备咼度1u1u2u2u网络接口4*1OOM4*100M6*1000M4*1000M电源指标数量：1112100~240100~24090~26490~264电压（V）:0.5~33~64~84~8电流（A）:65200460460功率（W）:工作温度0oC--40oC0OC--40OC0°C--40°C0OC--40OC工作湿度5%--95%5%--95%5%--95%5%--95%RH,RH，不凝结RH，不凝结RH，不凝结不凝结最大新建连接数60次/秒160次/秒2500次/秒4000次/秒最大并发连接数40080025005500最大流量50Mbps120Mbps680Mbps850Mbps注：上述所有规格及参数若有变动恕不另行通知，请以厂家提供的最终配置为准。7客户端运行环境与格尔SSL安全网关连接的客户端推荐配置如下：CPU：P3800M以上内存：256M以上操作系统：win2000以上版本浏览器：IE6.0以上，密钥长度128位8产品支持联系方式XX格尔软件股份XX地址：XX市余姚路288号A座4楼（86-21）62327010传真：（86-21）62327015Email：sslvpnkoal.邮编：2000429附录公司介绍9.1公司概述XX格尔软件股份XX（以下简称格尔软件）成立于1998年3月，注册资本3500万，设营销和技术支持中心。公司下设格尔国信、XX格尔信息、XX格尔卫信及XX格尔天屹等子公司，在全国各大中心城市还设有多个办事处。公司现有员工310人，其中本科以上学历占93%，技术开发人员210余人，约占65%。格尔软件是专业从事信息安全核心技术和产品研发，为客户提供信息安全整体解决方案与配套服务的国内身份管理领域的领先企业。公司是国内最早研制PKI平台的厂商，国内首批商用密码产品定点生产与销售单位，国家XX局批准认定的“涉及国家秘密的计算机信息集成甲级资质单位”，国家信息化工作领导小组计算机网络与信息安全管理工作办公室（国信安办）认定的14家计算机网络安全服务试点单位之一，国家“863”计划信息安全示X工程金融子项目的总服务商及“863”课题承担单位。公司曾获国家进步二等奖和XX市科技进步一等奖。公司还是全国信息安全标准化技术委员会的主要成员之一。经过全国信息安全标准化技术委员会严格审定，XX格尔软件股份XX被批准为WG1、WG4、WG5、WG7工作组成员，在WG4工作组中承担相关标准制定工作。9.2技术与产品格尔软件坚持以技术创新推动企业的发展。公司长期从事核心密码技术的研究并有深厚的积累，至今已申请了17项自主研发的专利技术，其中7项已获国家专利局的授权，另外还拥有7项软件著作权。目前，公司已形成PKI基础平台产品、安全网关产品、内网安全应用产品（超级蓝盾系列）三大产品线。核心产品包括PKI/CA身份认证产品、网盾桌面安全软件、安全认证网关、SSO单点登录系统、网络保险箱系统、金融IC卡密钥管理系统、信息安全综合监控与管理平台产品等。

9.3服务支持客户至上是格尔软件的服务宗旨，对客户的全面支持服务与客户共同进步是格尔软件的追求。现在公司已为全国29个省市的众多客户提供了产品或服务，协助用户进行系统维护及基于数字证书的应用推广。公司在XX、、XX、XX、XX、XX、XX、XX、XX、XX等地设有技术支持服务机构或人员，为重点客户提供长期、稳定、高效的技术支持与服务。我们还同由其它公司承建的XXCA、西部CA、XXCA、XXCA、XXCA、CTCA、公安部等众多运营机构建立了战略合作关系，提供证书应用推广所需的产品及技术支持服务。公司利用自己深厚的技术积累，可以为客户提供信息安全咨询培训、安全解决方案设计、产品开发、信息安全系统建设及系统运行维护等一整套信息安全技术支持与委托服务。9.4质量9.4质量只有过程正确才能保证结果的正确。格尔软件视质量为生命，继04年通过IS09001质量认证之后公司又于05年在信息安全行业率先启动了CMMI软件能力成熟度的质量改进过程。现在公司已建立起一套规X的质量管理体系并通过了SEICMMIL3的评估，成为国内目前少有的达到CMMI3级的信息安全厂商。质量过程的持续改进，保证了公司的研发能力和产品质量的不断提升。客户可以得到放心满意的产品和服务。9.5主要案例国家863计划“数字证书应用综合管理”课题•国家863计划信息安全示X工程、'S219〃项目XX省数字证书认证中心；XX省数字证书认证中心；XX省数字证书认证中心；XX省数字证书认证中心；XX省数字证书认证中心；XX数字证书认证中心；XX数字证书认证中心；发改委金宏工程（一期）安全子系统—网络信任体系；•国家电子政务外网根CA系统项目；航空一集团“金航”主干网安全总集成项目•中国工程物理研究院CA示X项目中国人民银行IC卡密钥管理系统项目•中国人民银行银联卡根CA认证系统项目XX卫生监督所信息安全系统；国家统计局行业性PKI体系建设；XX出入境边防总站整体安全集成项目；国家“十五国家密码发展基金密码理论课题”；XX电力信息系统整体安全建设一、二期工程；XX电力信息系统信任与授权平台建设一、二期工程；中央办公厅某H网认证加密项目国家某部委内网全国纵向CA认证系统及证书安全应用项目•公安部内网基于CA认证的证书安全应用项目•国家统计局全国人口普查及大型企业网络直报系统CA认证系统项目•XX市密钥管理系统试点项目•信产部“3G无线通讯安全〃课题9.6公司文化理念［格尔定位］:领先的身份管理产品及解决方案提供商［格尔文化3:团结、奉献、严谨、创新、安全、高效［格尔理念］:安全+应用，创造新价值10名词解释SSL:SecureSocketsLayer，安全套接层协议层，它是网景(Netscape)公司提出的基于WEB应用的安全协议。证书认证机构(CertificateAuthority):产生和确定公开密钥证书的可靠和可信的第三方机构。它发行数字证书并确保证书的可信性，或证明一个用户和它们的公共密钥的身份。认证机构也可以为实体产生和确定密钥。习惯上又称作认证中心(CA)◊数字证书(Certificate):数字证书中心签发的用于代表实体身份的一段电文。本手册中涉及代表用户身份的用户证书和代表服务端身份的站点证书(服务器证书)。LDAP:(LightweightDirectoryAccessProtocol)是一种轻量级的目录存取协定，提供客户从各个角落连接到目录服务器中。本手册中专指CA用于发布证书及黑的LDAP服务。◊黑：通常所说的CRL（CertificateRevokeList），因时间或者安全原因被废除的证书列表，一般发布在LDAP上。Radius:RemoteAuthenticationDialInUserService，广泛应用于宽带窄带认证系统的协议，前端一般为PPPoE或者802.1X。802.1x（基于端