您的位置:360文档中心› 格尔SSL安全认证网关产品白皮书

格尔SSL安全认证网关产品白皮书

合集下载

安全产品白皮书

安全产品白皮书

CA安全产品白皮书目录1.计算机系统安全隐患 (4)1.1从计算机系统的发展看安全问题 (5)1.2从计算机系统的特点看安全问题 (5)2.信息系统安全管理需求分析 (7)2.1网络层安全防护 (7)2.2系统级安全防护 (9)2.3应用级安全保护 (10)PUTER ASSOCIATES安全解决方案 (13)3.1安全之道 (13)3.1.1网络安全 (14)3.1.2服务器安全 (14)3.1.3用户安全 (14)3.1.4应用程序和服务安全 (14)3.1.5数据安全 (15)3.2E T RUST (15)4.ETRUST 网络防护 (16)4.1E T RUST F IRE W ALL (16)4.1.1概述 (16)4.1.2结构与工作原理 (17)4.1.2.1产品的结构 (17)4.1.2.2eTrust Firewall的工作原理 (17)4.1.3产品的功能特性 (19)4.2E T RUST C ONTENT I NSPECTION (22)4.2.1基本概念与设计 (22)4.2.2工作原理 (24)4.2.3功能 (27)4.2.3.1网际安全保护 (27)4.2.3.2直接在网络网关口保护资讯安全 (28)4.2.3.3网关应用 (28)4.2.3.4集中管理与报告 (29)4.3E T RUST I NTRUSION D ETECTION (30)4.3.1概述 (30)4.3.2结构与原理 (30)4.3.2.1产品结构 (30)4.3.2.2产品原理 (31)4.3.3功能特性 (33)4.3.3.1入侵检测功能 (33)4.3.3.3防止网络滥用 (35)4.3.3.4活动代码和病毒防护 (35)4.3.3.5与其它安全产品集成与配合 (36)4.3.3.6集中管理 (36)4.3.3.7特性384.4E T RUST A NTI-V IRUS (40)4.4.1产品概述 (40)4.4.2结构及工作原理 (41)4.4.3产品功能特性 (44)4.5E T RUST VPN (48)4.5.1基本概念 (48)4.5.2部署方式 (50)4.5.2.1Intranet模式 (50)4.5.2.2远程访问模式 (51)4.5.2.3使用网关服务器的远程访问模式 (52)4.5.2.4外部网模式 (52)4.5.3功能和特点 (53)4.5.3.1安全策略定义 (53)4.5.3.2隧道模式 (54)4.5.3.3路由、网关选项 (54)4.5.3.4对网络服务端口的保护 (55)4.5.3.5用户认证 (55)5.ETRUST 系统安全 (57)5.1E T RUST A CCESS C ONTROL (57)5.1.1操作系统的安全性 (57)5.1.2功能描述 (60)5.1.2.1用户认证 (60)5.1.2.2口令质量控制 (61)5.1.2.3访问控制 (62)5.1.2.4保护目录和文件 (65)5.1.2.5保护特权程序 (66)5.1.2.6保护进程 (67)5.1.2.7保护SURROGATE (67)5.1.2.8保护网络连接 (67)5.1.2.9取消“超级用户” (68)5.1.2.10让普通用户具有超级用户的某些能力 (69)5.1.2.11审计695.1.2.12对Windows NT的保护 (70)5.1.3特点和优势 (71)5.1.3.1防止堆栈溢出型攻击 (71)5.1.3.2强大的功能 (73)5.1.3.4自我保护能力 (74)5.2E T RUST A UDIT (75)5.2.1企业信息安全对审计的需要 (75)5.2.2eTrust Audit (75)5.2.3结构 (76)5.2.3.1良好的设计思路与结构 (76)5.2.3.2利用eTrust Audit 建立有效的审计体系 (77)5.2.4功能与特点 (77)5.2.4.1跨平台事件管理 (78)5.2.4.2基于主机的侵袭检测 (78)5.2.4.3及时多样的报警 (78)6.ETRUST 用户与应用安全 (79)6.1E T RUST S INGLE S IGN O N (79)6.1.1概念和原理 (79)6.1.1.1为什么需要单点登录 (79)6.1.1.2单点登录产品的工作原理 (80)6.1.2功能结构 (81)6.1.3特点和优势 (83)6.2E T RUST A DMIN (85)6.2.1基本概念 (85)6.2.1.1安全集中管理 (85)6.2.1.2eTrust Admin (86)6.2.2工作原理 (87)6.2.2.1现有策略的自动发现 (87)6.2.2.2策略的制定 (88)6.2.2.3策略的传播 (89)6.2.3功能与特点 (89)6.2.3.1主要特性 (89)6.2.3.2功能优势 (90)PUTER ASSOCIATES信息安全服务 (93)7.1风险评估 (93)7.2政策、规程和方法 (94)7.3安全框架设计 (94)7.4安全解决方案的实施 (95)7.5培训 (96)7.6内部审计助理 (97)7.7独立的安全审计 (97)PUTER ASSOCIATES 为企业网络计算环境提供全面的安全解决方案 (99)1.计算机系统安全隐患每年我们都要在计算机系统上花费上百万美元建立与管理信息,这些信息用于商业决策、客户服务和保持竞争力。

格尔安全认证网关5.2.1使用培训

格尔安全认证网关5.2.1使用培训

Power/TX Link/Rx LPT1
LPT2
COM
服务器1
服务器2
服务器3
……….
负载均衡部署
Internet
外部用户
SD
用户证书
负载均衡设备
防火墙
格尔安全认证网关
Print Server Power/TX Link/Rx LPT1 LPT2 COM
Print Server Power/TX Link/Rx LPT1 LPT2 COM
用户映射
• 将证书身份与传统身份信息一一对应起来
– 用户映射表即一张三维表:应用-用户证书-用户名/密码 – 用户映射表是HTTP自动提交/自动认证功能的前提,后者通过
查找用户映射表,获得传统身份信息-用户名/密码,并据此自 动完成认证
• 三维表中的应用项
– 规则与“访问控制”中的URL资源项相同
– 动作:允许或者阻止 – 资源:有URL和IP地址两种类型,URL支持正则表达式,IP地
址支持类似10.1.1.*的表达式 – 角色:根据用户证书的对应项来确定,如CN、序列号等
• 匹配过程:
– 逐条扫描策略,若角色和资源与当前访问匹配,则执行动作, 否则继续扫描;若所有策略都不匹配,则执行动作-阻止
格尔安全认证网关5.2.1 使用培训
内容
• 产品外观 • 部署网关 • 配置网络 • 配置证书 • 配置安全认证服务 • 系统管理 • 故障诊断
产品外观(E型)
产品外观(G型)
内容
• 产品外观 • 部署网关 • 配置网络 • 配置证书 • 配置安全认证服务 • 系统管理 • 故障诊断
部署安全认证网关
__PASSWORD
– 增加一项“自动提交”配置,设置“关键字”,并且通过配 置页面上传POST包

SSL VPN技术白皮书

SSL VPN技术白皮书

2.3 SSL VPN工作过程2.4 SSL VPN接入方式2.4.1 Web接入方式2.4.2 TCP接入方式2.4.3 IP接入方式3 Comware V5平台实现的技术特色3.1 客户端免安装,免维护3.2 支持多种用户认证技术3.3 丰富灵活的安全策略3.4 细粒度的资源访问控制4 典型组网应用4.1 远程接入组网应用4.2 共享式组网应用4.3 SSL VPN组网模式1 概述1.1 产生背景随着互联网的普及和电子商务的飞速发展,越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络,访问公司的内部资源。

接入用户的身份可能不合法、远端接入主机可能不够安全,这些都为公司内部网络带来了安全隐患。

通过加密实现安全接入的VPN——SVPN(Security VPN)技术提供了一种安全机制,保护公司的内部网络不被攻击,内部资源不被窃取。

SVPN技术主要包括IPsec VPN和SSL VPN。

由于IPsec VPN实现方式上的局限性,导致其存在着一些不足:l部署IPsec VPN网络时,需要在用户主机上安装复杂的客户端软件。

而远程用户的移动性要求VPN 可以快速部署客户端,并动态建立连接;远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点。

这些问题是IPsec VPN技术难以解决的。

l无法检查用户主机的安全性。

如果用户通过不安全的主机访问公司内部网络,可能引起公司内部网络感染病毒。

l访问控制不够细致。

由于IPsec是在网络层实现的,对IP报文的内容无法识别,因而不能控制高层应用的访问请求。

随着企业经营模式的改变,企业需要建立Extranet,与合作伙伴共享某些信息资源,以便提高企业的运作效率。

对合作伙伴的访问必须进行严格有效地控制,才能保证企业信息系统的安全,而IPsec VPN无法实现访问权限的控制。

l在复杂的组网环境中,IPsec VPN部署比较困难。

在使用NAT的场合,IPsec VPN需要支持NAT 穿越技术;在部署防火墙的网络环境中,由于IPsec协议在原TCP/UDP头的前面增加了IPsec报文头,因此,需要在防火墙上进行特殊的配置,允许IPsec报文通过。

KOAL-WP-C01-格尔网盾(NDS)白皮书

KOAL-WP-C01-格尔网盾(NDS)白皮书

格尔网盾安全专家(NDS)产 品 白 皮 书上海格尔软件股份有限公司1版权声明:本文件中出现的全部内容,除另有特别注明,版权均属上海格尔软件股份有限公司(以下简称格尔软件)所有,未经格尔软件书面许可,任何人不得以任何形式擅自拷贝、传播、复制、泄露本文件的全部或部分内容。

2目录1概述 (4)1.1背景 (4)1.2名词解释 (4)2产品主要功能特点 (5)2.1文件保险箱 (5)2.2文件加解密 (5)2.3PC保护 (6)2.4文件碎纸机 (7)2.5邮件安全代理 (7)2.6SSL安全代理客户端 (8)3产品特色 (8)4客户端运行环境 (8)341 概述1.1 背景信息时代离不开电脑,企业和个人正在越来越多地使用电脑,同时把重要信息也存放在电脑中,或者通过网络传送。

一旦机密信息因电脑丢失、偷窃、网络窃听而泄密,将给企业或者个人带来巨大的损失。

如何保障电脑的安全?如何保障电子文档的安全?如何保障互联网通信的安全?这些问题正被越来越多的人所重视。

格尔公司的网盾安全专家(NDS )(以下简称网盾)正是这样一个解决桌面安全的系统,它包括多个模块,提供了从计算机登录保护、安全虚拟磁盘、安全电子邮件到办公软件安全扩展等多方位的解决方案,可满足企业和个人用户不同层面的安全需求。

1.2 名词解释PC : Personal Computer ,个人计算机。

CA : Certification Authority ,证书认证中心。

PKI : Public Key Infrastructure ,公用密钥体系结构,是一个使用由CA 颁发的数字证书对电子交易中的各方提供身份认证的机制。

OA : Office Automation ,办公自动化。

HTTP :Hypertext Transfer Protocol ,超文本传输协议。

SSL : Secure Socket Layer ,是Netscape 公司设计的主要用于web 的安全传输协议。

ca_格尔产品白皮书

ca_格尔产品白皮书

格尔证书认证系统 产品白皮书 v1.3.1 上海格尔软件股份有限公司 2004年12月 上海格尔软件股份有限公司 1保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

 接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。

 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。

 3 ) 可以从第三方,以无附加保密要求方式获得的信息。

 上海格尔软件股份有限公司 2目 录 1前言....................................................................................................32产品简介.............................................................................................42.1产品概念............................................................................42.2体系结构............................................................................42.3格尔证书认证系统产品线....................................................43产品特性及功能...................................................................................53.1产品特性............................................................................53.2基本功能一览表..................................................................63.3产品总体效果.....................................................................84部署情况示意....................................................................................105附录..................................................................................................115.1相关名词解释...................................................................115.2参考标准..........................................................................125.3PKI简介..........................................................................13图表目录 图表 1 格尔证书认证系统产品体系架构...............................................4图表 2 格尔证书认证系统产品系列列表...............................................5图表 3 格尔证书认证系统中小企业版产品列表.....................................5图表 4格尔认证系统产品功能列表.......................................................8图表 5 格尔认证系统部署图..............................................................10图表 6 PKI数字认证中心功能结构...................................................14上海格尔软件股份有限公司 31 前言 随着网络技术的不断发展,企业联网的范围也不断扩大,从一个本地网络发展到跨地区跨城市甚至是跨国网络,这其中的各种网络应用在给企业带来便捷高效的收益的同时,也带来了安全管理和安全通讯的问题。

格尔-身份认证管理及解决方案

格尔-身份认证管理及解决方案
你是谁--检查用户实体身份标识,判断是否允许 进入系统
安全认证网关;LAN接入认证网关;单点登录系统 (SSO); 基于身份管理的应用系统
Web应用上 •哪些设备能接入网络? • 面向Web接入的认证 身份认证 身份授权 • 每个用户拥有合法有效的数 •需要提供哪些凭证 MAC/IP/有效的数字证书… 字证书才能访问Web应用 •统一的策略 网络上
身份管理体系架构
身份责任认定系统
满足[27]号文的关键组件 你干了什么(责任认定)
基于身份管理的应用系统 对合法操作、非法操作的责任认定
确保对信息“机密性、完整性、真实性、不 可抵赖性”的保护 身份认证 身份授权
身份供应
身份责任认定
身份认证基础支撑平台
身份管理体系架构
身份认证的解决方案
基于数字证书的身份管理
• 安全思路
–坚持积极防御、综合防范;全面提高信息安 全防护能力 – 满足政府服务及办公网络安全可信的需求 –信息、应用的深度防御
• 身份管理基础设施安全平台 • 基于身份管理应用支撑类安全产品和中间件
身份管理体系架构
基于身份管理的应用系统 身份责任认定
身份供应
身份认证
身份授权
公司本部在上海总部在北京信息安全综合管理平台信息安全综合管理平台1111信息安全服务信息安全服务2222尖端密码技术研究尖端密码技术研究3333icic卡应用安全产品卡应用安全产品4444第一家中国pki厂商第一个金融ic卡国家规范的参与者第一个国内第一个研发综合安全管理平台唯一的金融ic卡密钥管理系统提供商最大销售量自主研发产品的pki厂商国家保密局涉及国家秘密的计算机信息系统软件开发资质证书国家密码管理局商用密码产品生产许可证商用密码产品销售许可证中华人民共和国公安部计算机信息系统安全专用产品销售许可证中国国家信息安全测评认证中心国家信息安全证书认证产品型号证书解放军信息安全测评中心军用信息安全产品认证证书11家wlanwapi国家标准定点厂商之一专利名称专利名称专利号专利号金融ic卡密钥管理系统中的随机密钥约定方法011323434ic卡在线应用追加技术031509096彻底删除硬盘文件的方法011323477基于数据仓库的信息安全审计方法03157778具有mime数据类型过滤技术的ssl代理方法011323442基于数字证书实现的动态口令认证方法03129281x实现web应用安全加固的快速部署技术031514103数字证书认证系统中实体证书跨应用互通方法031292828数字证书跨信任域互通方法2003101090562椭圆曲线加密解密的方法和装置021547173椭圆曲线签名验证签名的方法和装置0215416520054启动已完成4个试点项目效果得到了用户的好评?身份供应系列产品pki取得良好业绩2003年后区域ca建设处于绝对优势地位目前已建设个总行级金融pki体系多个行业及大型企业pki体系金融ic卡安全体系处于优势地位

SPKM白皮书

SPKM白皮书

格尔SPKM产品白皮书 上海格尔软件股份有限公司 2004年11月 上海格尔软件股份有限公司 1保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

 接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。

 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。

 3 ) 可以从第三方,以无附加保密要求方式获得的信息。

 上海格尔软件股份有限公司 2目 录 1前言....................................................................................................42产品简介.............................................................................................42.1格尔SPKM产品线..............................................................42.2体系结构............................................................................53产品特性及功能...................................................................................63.1产品特性............................................................................63.2基本功能一览表..................................................................73.3硬件特性............................................................................83.4物理特性............................................................................83.5电气特性............................................................................83.6工作环境............................................................................84安装部署.............................................................................................95附录..................................................................................................105.1名词解释..........................................................................105.2符合的相关RFC................................................................10上海格尔软件股份有限公司 3图表目录 图表 1 格尔SPKM产品列表................................................................4图表 2 格尔SPKM产品体系架构.........................................................5图表 3 格尔SPKM产品功能列表.........................................................7图表 4 格尔SPKM产品安装部署图......................................................9 上海格尔软件股份有限公司 41 前言 CA系统作为PKI的证书/密钥的管理维护中心,它的安全性至关重要,如果CA被攻破那么其所有相关的证书的应用安全将无法保证,因此必须考虑一种机制,保证CA系统的安全。

格尔安全认证网关产品白皮书

格尔安全认证网关产品白皮书

格尔安全认证网关产品白皮书V5.0上海格尔软件股份2007年8月目录1概述 (1)1.1您的网络应用安全吗? (1)1.2解决网络应用安全您要考虑: (1)2产品概述 (3)3什么缘故选择格尔安全认证网关 (3)3.1PKI数字证书的全面支持 (4)3.2对用户的一致性认证 (4)3.3自动签名验证 (5)3.4单点登录 (5)3.5多应用类型支持 (6)3.6对应用的加速 (6)3.7安全资质 (6)3.8其他特性 (6)4产品要紧功能 (7)5产品部署 (10)5.1串联部署 (10)5.2并联部署 (12)5.3双机热备部署 (13)5.4负载均衡部署 (15)6选购指南 (16)7客户端运行环境 (17)8产品支持联系方式 (17)9附录公司介绍 (18)9.1公司概述 (18)9.2技术与产品 (18)9.3服务支持 (19)9.4质量治理 (19)9.5要紧案例 (20)9.6公司文化理念 (21)10名词说明 (21)1.1您的网络应用安全吗?随着网络的快速进展,网络应用以其高效、便利的特点得到广泛应用,如网上证券、网上银行、电子政务、电子商务、企业远程办公等。

越来越多的重要业务在网上办理,越来越多的重要信息在网络中传输,如何爱护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题,但通常的网络应用都存在以下安全隐患:●没有有效的身份认证机制:一样都采纳用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在:(a)口令易被推测;(b)口令在公网中传输,容易被截获;(c)一旦口令泄密,所有安全机制即失效;(d)后台服务系统需要爱护庞大的用户口令列表并负责口令储存的安全,治理专门困难。

●数据传输不安全:当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输,而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。

●操作抵赖:网络应用将现实世界的实体操作转化为虚拟世界的信息流,信息流的可复制性对操作的唯独性和可信性提出了挑战,操作能够被抵赖成为网络应用亟需解决的一个严峻问题。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

格尔SSL安全认证网关 产品白皮书 V2.0 上海格尔软件股份有限公司 2004年12月 上海格尔软件股份有限公司 1保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

 接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。

 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。

 3 ) 可以从第三方,以无附加保密要求方式获得的信息。

 上海格尔软件股份有限公司 2目 录 1系统概述.............................................................................................31.1信息传输的安全需求.................................................................31.2一般SSL连接存在的问题..........................................................32系统原理.............................................................................................52.1SSL简介..................................................................................52.2格尔SSL安全代理系统原理......................................................53格尔SSL安全认证网关系统结构...........................................................73.1网络拓朴结构...........................................................................73.2格尔SSL安全认证网关系统组成和结构......................................84格尔SSL安全认证网关功能................................................................115第三方产品兼容.................................................................................135.1第三方CA兼容......................................................................135.2第三方设备厂商兼容...............................................................136格尔SSL安全认证网关产品特点.........................................................137运行环境...........................................................................................158产品相关特性....................................................................................158.1硬件特性...............................................................................158.2物理特性...............................................................................158.3电气特性...............................................................................168.4工作环境...............................................................................16上海格尔软件股份有限公司 31 系统概述 1.1 信息传输的安全需求 随着互联网络的发展,越来越多的网络应用系统从专用或内部网扩展到互联网上。

目前互联网的很多应用,如网上证券、网上银行、电子政务、电子商务等,这一切都必须有一种安全机制来保证信息传输的安全性、保密性、有效性和不可抵赖性。

 SSL协议的推出为我们提供了这种安全机制。

标准的SSL连接能在用户的浏览器和WEB服务器之间建立一条128位的加密通道,来保证信息传输的安全。

格尔SSL安全认证网关能够实现这种用户的需求,并且能够在性能、操作方便性、应用透明性方面有独到的特点;而且格尔SSL安全认证网关能够与格尔SSL客户端代理软件配合,满足客户端软件到应用服务器这种C/S网络架构的数据安全传输。

 1.2 一般SSL连接存在的问题 l应用无法获得访问用户的数字证书信息:一般的SSL连接只能提供对用户的证书的验证、对传输数据加密,但不能从数字证书中解析用户信息(用户名、身份证、用户单位等),因此应用不能根据证书信息对用户进行更细微的身份认证或进行二次开发。

 l对访问的用户、访问的时间、访问的客户端IP、访问的资源等没有一个有效的日志记录和审计功能。

 l一般的SSL安全连接服务与应用本身的服务安装在同一台服务器上,因SSL安全连接服务本身的加解密运算大量的占用了服务器CPU资源,从而使得应用本身运算的CPU资源缺乏而造成处理的效率极大降低。

 l单一的针对HTTP的保护:由于SSL协议的局限性,一般的SSL只能将HTTP改造成HTTPS,而对其它的各种TCP/IP协议无效,即只能应用于上海格尔软件股份有限公司 4B/S架构而无法应用于C/S架构的网络传输。

 格尔SSL安全认证网关能够克服以上的这些问题,在各种网络应用中得到广泛应用。

 上海格尔软件股份有限公司 52 系统原理 2.1 SSL简介  SSL(Secure Sockets Layer,安全套接字层)是由Netscape公司开发的网络安全传输协议,是目前Internet上点到点之间尤其是WEB浏览器与服务器之间进行安全数据通讯所采用的最主要的协议。

SSL提供以下功能: l信息保密:对信息使用基于单一密钥的对称性算法进行加密。

 l身份认证:对通信一方或双方的数字证书验证进行身份确认。

 l完整性校验:采用数字签名和摘要算法技术,保证传输数据的完整性和真实性。

 由于SSL具有应用面广、实施成本低、安全高效、操作简单等优点, 它在电子政务、银行、证券、电子商务系统等领域得到广泛的应用,成为保护网络数据的重要协议。

 2.2 格尔SSL安全代理系统原理 格尔SSL安全认证网关(后面简称:格尔SSL网关)是一台独立网关型服务器设备。

在应用中,格尔SSL网关将应用服务器隔离在一个独立的网段,应用客户端不与格尔SSL网关建立SSL安全连接,就无法访问应用系统。

为了建立SSL安全连接,应用客户端用户一般只要安装Internet Explorer(5.0以上版本)或者安装格尔SSL客户端代理软件(在C/S的网络架构中或者在客户端使用硬件证书设备时使用)。

通过格尔SSL网关为服务器端和用户客户端建立格尔SSL 128位加密安全连接,实现客户端和服务器之间数据传输安全和客户身份的有效认证。

格尔SSL网关常应用于B/S的网络架构,实现浏览器与WEB服务器之间的安全传输和身份认证。

 格尔SSL网关的的网络应用逻辑结构图如下: 上海格尔软件股份有限公司 6非安全网络环境浏览器 图表 1 格尔SSL网关的的网络应用逻辑结构图 注:一般用户采用IE5.0以上的浏览器就可与格尔SSL网关建立SSL安全连接。

在用户客户端增加格尔SSL客户端代理,主要方便个人证书存放在硬件设备(如IC卡、Ikey等)的用户使用SSL。

同时使用格尔SSL客户端代理的CACHE功能,提高访问的速度。

对于C/S的网络应用,务必安装格尔SSL客户端代理方可使用SSL安全代理功能。

 上海格尔软件股份有限公司 73 格尔SSL安全认证网关系统结构 3.1 网络拓朴结构 IE浏览器日志审计服务器InternetDAP服务器访问控制服务器WEB服务器1WEB服务器2 图表 2 SSL网络拓扑图 如上图所示,格尔SSL网关,为用户提供SSL安全代理服务;黑名单发布功能的LDAP服务器,为格尔SSL网关提供黑名单信息,便于格尔SSL网关确认用户证书是否已废除;WEB服务器为要保护的站点。

通过以下机制来保证WEB服务器、数据库的安全: 1. 外部用户只能通过格尔SSL网关对WEB服务器进行访问。

 2. 用户数据在IE浏览器和格尔SSL网关之间以128位高强度密钥加密的安全通道中传输。

 上海格尔软件股份有限公司 83. 格尔SSL网关对访问用户进行身份认证(包含数字签名认证、证书链认证、黑名单认证、证书有效期认证)。

 4. WEB应用也可以获得用户数字证书信息,根据用户信息对用户进行更细微的身份认证。

身份认证审核通过后用户就可以正常访问WEB服务器。

 5. 日志审计服务器可以方便的对用户的访问情况进行审计。

 6. 访问控制服务器可以根据格尔SSL网关提供的用户信息、访问的URL提供有效的访问控制功能。

 3.2 格尔SSL安全认证网关系统组成和结构 标准的格尔SSL网关为格尔软件提供的专用网络硬件设备,根据性能和安全性需求,产品具有多个型号: 建议使用环境 SSL-E-2010 双向认证,SSL握手性能80TPS,最大并发连接数600 一般百兆网环境 SSL-E-2020 双向认证,SSL握手性能180TPS,最大并发连接数1000 百兆网环境,并发用户多 SSL-G-4020 双向认证,SSL握手性能500TPS,最大并发连接数2000 百兆网环境或千兆环境,并发用户多 SSL-G-4040 双向认证,SSL握手性能1600TPS,最大并发连接数4000 千兆网环境,并发用户多 上海格尔软件股份有限公司 9格尔SSL网关产品系统结构图如下: 图表 3 格尔SSL网关系统结构 客户端SSL接口:提供客户端的SSL接入功能。

相关文档
最新文档