身份认证网关(SSL VPN认证网关)已取得国家密码管理局商用密码产品认证证书,是基于 PKI 技术开发的硬件产品,主要满足用户对基于证书的高强度身份认证安全需求。面向多个应用系统,提供集中、统一的安全认证服务,形成统一的、高安全的身份验证中心。支持用PKI/CA数字证书、用户名/口令等多种不同强度的用户身份认证方式,在最小化改造应用系统前提下能够对多个应用系统实现单点登录功能。在此基础上,网关还实现对应用系统进行应用级访问控制,对用户访问应用系统过程作完整审计。
产品基于开放的标准开发,具备良好的兼容性和可扩展性,全面支持第三方PKI/CA(公钥基础设施)系统,支持SSL VPN/IPsec VPN,实现边界接入网络安全的整体解决方案。有效解决了网上行政审批、网上办公、移动办公、网上报税、网上招投标等的安全问题。
(1)支持基于 PKI/CA 数字证书和用户名/口令的身份认证方式,可以单独使用也可组合使用。
(2)访问控制,是网关提供的核心安全服务,网关使用的基于角色的访问控制和动态授权机制便于管理员对人员变化进行快速的修改控制。
(3)支持安全的应用服务定义,支持多种用户访问方式,支持基于TCP/UDP的应用系统,支持基于IP的任意协议。
(4)支持应用系统的单点登录。
(5)支持多线路智能选择技术,当分布在不同运营商网络的客户端访问时,会自动选择速度最快的线路连接到网关服务器,解决了跨运营商的网络互访存在的延迟过高问题。
(6)安全链路管理,提供对安全链路的角色访问控制,网关管理员可以根据用户角色设置角色对应的应用系统。
(7)网关内置双机热备系统,采用主备机模式,主机与备机之间通过网口连接,监听对方机器是否处于正常工作状态,当备机发现工作机停止工作时,通过自己的双机功能将主机的服务切换到备机,由备机继续提供服务。当主机恢复正常后,服务自动切回到主机。
(8)安全管理,网关提供统一的策略管理,网关系统将用户访问的资源划分不同资源。只需配置相关策略就可实现,对这不同资源进行分类策略配置,简化了管理员的配置工作。
(9)支持备份恢复功能,当系统运行环境遭到破坏时,可以通过备份数据,快速的进行恢复,将损失程度降到最低。
(10)提供了安全审计功能,在日志中可以记录访问网关内部资源的用户信息、访问时间、地理位置、ISP信息、访问的服务信息、访问的Web页面信息等,并提供基于各种条件(如时间范围、关键字等)的查询功能,同时支持根据时间范围生成报表提供浏览和下载。
认证支持,支持第三方认证服务器,提高认证效率。当某种认证服务器失效时,可根据配置自动切换至其它认证方式,提高认证可靠性。提供口令、短信、动态令牌、证书、电子钥匙等丰富的认证方式,可以实现混合认证。支持动态密码认证,动态密码可发送到手机、邮箱,动态密码具有有效期,过期失效。支持延用现有认证系统,包括LDAP、AD、Radius、TACACS+等。支持PKI体系的第三方证书,支持OCSP、CRL、LDAP 发布服务,实现对证书有效性的校验。
(一)串联模式
串联模式(桥模式)指网关物理部署在用户和被保护的服务器之间,即网关的外网口与用户网络连接,内网口与被保护服务器相连。由于被保护服务器通过内部网络与网关连接,因此用户与服务器的连接被网关隔离,用户只知道网关地址,无法直接访问被保护服务器,只有通过网关才能获得服务。
串联模式(桥模式)是网关的标准部署模式,也是推荐部署模式,其部署示意图如下:
串联模式的优点:
(1)安全性高:用户必须通过网关的认证加密后才能获取服务,同时网关将服务器与外界网络隔离,避免了对服务器的直接攻击。
(2)结构清晰:串联模式在物理部署和逻辑结构上都非常简单,容易理解。
(3)性能高:相对于并联模式,串联模式的效率及带宽利用率更高。
串联模式的缺点:
需要对原有服务器进行网络改动及进行地址改变带来的必要的应用变更。
串联部署示意图
(二)并联模式
并联模式(单臂模式)指网关逻辑部署在用户和被保护的服务器之间,而物理连接是在同一网络中,即网关的外网口接入原有用户与服务器的网络连接中。用户可以通过网关获取服务,也可以直接连接到服务器(在知道服务器地址情况下)获取服务。
并联模式的优点:
部署方便:应用无需作改动,用户只需变更一下访问地址即可。
并联模式的缺点:
(1)安全性低:由于服务器和外界网络连接,存在用户绕开网关直接连接服务器和使用其它方式攻击服务器的可能性;同时,网关到服务器的明文数据也在网络上传输,存在被窃听的安全隐患。
(2)性能较低:相对于串联模式,并联模式中用户到网关和网关到服务器的数据流量都通过一个网口进行,效率及带宽利用率相对较低。
并联部署示意图