PLC 工控機 嵌入式系統 人機界面 工業以太網 現場總線 變頻器 機器視覺 DCS PAC/PLMC SCADA 工業軟件 ICS信息安全 無線通訊 機箱機柜
格爾軟件股份有限公司
格爾軟件股份有限公司
產品概述格爾安全認證網關W系列(又稱高性能網關)集基于數字證書強身份認證、數據保密性、數據完整性及不可抵賴性功能于一身的PKI安全產品,可以為上層應用提供身份認證服務、數據鏈路加密服務及數字簽名驗證等的安全服務
格爾安全認證網關W系列(又稱高性能網關)集基于數字證書強身份認證、數據保密性、數據完整性及不可抵賴性功能于一身的PKI安全產品,可以為上層應用提供身份認證服務、數據鏈路加密服務及數字簽名驗證等的安全服務。
該網關是專為大型互聯網應用設計的一款高性能安全產品,基于SSL協議為應用提供基于數字證書的高強度身份認證服務、高強度數據鏈路加密服務,可以有效保護網絡資源的安全訪問。
格爾安全認證網關通過了國家、的嚴格鑒定,取得了相關安全資質,符合國家對于密碼產品的使用規定。
| 分類 | 功能 | 說明 |
|---|---|---|
| 證書認證 | RSA/SM2證書自適應 | 可以在同一個服務實例中,配置RSA和SM2兩張站點證書,并同時啟用,根據客戶端的算法能力進行自動適應 |
| 單雙向認證選擇功能 | 系統可以設置是否需要用戶提交用戶證書 | |
| 動態黑名單功能 | 系統可以自動更新黑名單、動態更新,不需要重新啟動服務支持LDAP、HTTP、手工上傳等多種方式更新支持B64、DER等多種格式 | |
| 多站點證書功能 | 系統可以擁有多個站點證書,不同的服務可以擁有不同的站點證書 | |
| 多證書鏈功能 | 一個SSL服務中可同時配置多條證書鏈,驗證不同CA的用戶證書 | |
| 多種證書支持功能 | 支持格爾、CFCA、SHECA及多數省級CA中心數字證書 | |
| 應用支持 | B/S應用 | 支持B/S應用 |
| 證書信息傳送功能 | 系統通過Cookie,HTTP header等多種方式將用戶的證書信息傳送給后臺應用,使應用無需證書接口開發就可以方便的獲取用戶證書信息 | |
| 通用C/S應用 | 支持FTP、telnet、遠程桌面以及通用的C/S應用 | |
| 網絡應用 | 支持基于IP的所有應用 | |
| 多服務功能 | 系統可以創建多個SSL服務,保護不同的應用服務,也可以采用同一個SSL服務保護多個應用服務(需客戶端) | |
| 支持應用重定向功能 | 在有防火墻NAT映射的情況下正常訪問有重定向的網站 | |
| 后端應用負載功能 | 一個認證服務可以對后端多臺應用服務器進行負載均衡 | |
| 錯誤重定向 | 系統對于認證錯誤可以重定向到用戶頁面,增強友好性 | |
| 信息統計 | 系統能夠對用戶連接數、應用訪問情況,系統資源占用等信息進行詳細統計,為更好了解應用及調節資源提供基礎 | |
| 國密支持 | 國密SM1/SM2/SM3/SM4算法 | 系統支持國密SM1/SM2/SM3/SM4算法 |
| GMVPN協議 | 系統支持GMVPN協議 | |
| 系統管理 | 管理員 | 提供管理員功能,不同的管理員負責不同的功能配置,相互制約。 |
| 系統備份恢復功能 | 系統可以備份當前SSL的所有配置,保證系統癱瘓時的快速恢復 | |
| 恢復出廠設置功能 | 系統具有恢復默認設置功能,方便使用 | |
| 日志發送功能 | 系統將日志以SYSLOG的方式發送到服務器。 | |
| 系統在線升級 | 系統支持Web方式的系統升級 | |
| 性能檢測功能 | 系統支持對CPU、內存、磁盤容量、連接數、進程等資源情況的收集,便于系統的維護和問題定位 | |
| 可用性 | 雙機熱備功能 | 高可靠性 |
| 自負載均衡 | 系統自身具有集群功能,支持在無第三方設備的情況下對多臺同類設備進行負載 | |
| 網卡聚合功能 | 可以對兩塊網卡進行冗余配置,當一塊網卡失效后,另一塊網卡自動生效 | |
| 易用性 | 負載均衡 | 系統支持被第三方的負載均衡器進行負載 |
| 管理員易于操作 | 系統所有管理操作都通過web方式進行,方便使用 |
格爾網關可以部署為串聯模式(橋模式)或者并聯模式(單臂模式)。又可以擴展成雙機熱備部署、負載均衡部署和自負載均衡部署。
串聯模式(橋模式)指格爾網關物理部署在用戶和被保護的服務器之間,即格爾網關的外網口與用戶網絡連接,內網口與被保護服務器相連。由于被保護服務器通過內部網絡與格爾網關連接,因此用戶與服務器的連接被格爾網關隔離,用戶只知道網關地址,無法直接訪問被保護服務器,只有通過網關才能獲得服務。
串聯模式(橋模式)是格爾網關的標準部署模式,也是推薦部署模式,其部署示意圖如下:
串聯模式的優點是:
安全性高:用戶必須通過網關的認證加密后才能獲取服務,同時網關將服務器與外界網絡隔離,避免了對服務器的直接攻擊;
結構清晰:串聯模式在物理部署和邏輯結構上都非常簡單,容易理解;
性能高:相對于并聯模式,串聯模式的效率及帶寬利用率更高。
串聯模式的缺點是:
并聯模式(單臂模式)指格爾網關邏輯部署在用戶和被保護的服務器之間,而物理連接是在同一網絡中,即格爾網關的外網口接入原有用戶與服務器的網絡連接中。用戶可以通過網關獲取服務,也可以直接連接到服務器(在知道服務器地址情況下)獲取服務。
并聯模式的優點是:
并聯模式的缺點是:
安全性低:由于服務器和外界網絡連接,存在用戶繞開網關直接連接服務器和使用其它方式攻擊服務器的可能性;同時,網關到服務器的明文數據也在網絡上傳輸,存在被的安全隱患;
性能較低:相對于串聯模式,并聯模式中用戶到網關和網關到服務器的數據流量都通過一個網口進行,效率及帶寬利用率相對較低。
系統支持雙機熱備功能,在需要高可靠性的環境下需要對網關進行雙機熱備部署。雙機熱備部署需要部署兩臺設備,一臺作為主機,一臺作為備機,兩臺機器都與網絡連接,兩臺設備之間使用交叉線連接熱備口進行狀態檢測,在正常情況下由主機提供服務,當主機發生異常時系統自動切換到備機進行服務。部署方式如圖:
格爾網關可以和大多數負載均衡設備配合使用,格爾網關采用串聯模式和并聯模式都可以與負載均衡設備很好的配合使用。如下圖:
注:負載均衡器將網絡的SSL**流量負載到可用的格爾網關上,格爾網關對后端的Web**服務器并沒有負載均衡的作用。
當業務需要多臺格爾網關同時為應用提供服務時,無需借助第三方負載設備,多臺格爾網關可以進行自負載管理,實現自身架構擴展。具體方式是各臺網關的熱備口相連,每臺設備具備一個實際地址,共享一個虛擬地址,多臺設備會自動協商一個主機,主機占用虛擬地址。用戶訪問虛擬地址,主機獲得請求后會分配到其他設備,當發現某個設備失效時,會停止將請求分配到這臺設備,當主機失效時,剩下的設備會自動再產生一個新主機,保證用戶的正常訪問。具體部署如下圖
您感興趣的產品PRODUCTS YOU ARE INTERESTED IN
智能制造網 設計制作,未經允許翻錄必究 .? ? ?
請輸入賬號
請輸入密碼
請輸驗證碼
