光大彩票

SSL應用交付網關

適用于對特大型WEB應用進(jin)行HTTPS保護的高性能產品,支持百萬級證(zheng)書用戶,10萬級以(yi)上的并發連接,提供4Gbps的加密帶寬,并支持在無(wu)外(wai)部負載均衡器的情況下自身實(shi)現(xian)集群。

聯系銷售

產品概述

格爾安(an)(an)全(quan)認(ren)證(zheng)網關W系列(又稱(cheng)高(gao)性(xing)能(neng)網關)集(ji)基(ji)于數(shu)字證(zheng)書強身份(fen)認(ren)證(zheng)、數(shu)據(ju)保密(mi)性(xing)、數(shu)據(ju)完整性(xing)及(ji)不可抵賴(lai)性(xing)功能(neng)于一(yi)身的PKI安(an)(an)全(quan)產品,可以為上(shang)層應用提供(gong)身份(fen)認(ren)證(zheng)服務、數(shu)據(ju)鏈路加密(mi)服務及(ji)數(shu)字簽名(ming)驗證(zheng)等全(quan)方(fang)位的安(an)(an)全(quan)服務。

該網(wang)關是專為(wei)大型互聯網(wang)應(ying)用設(she)計的(de)一款高(gao)性能安(an)全產品,基(ji)(ji)于SSL協議(yi)為(wei)應(ying)用提供基(ji)(ji)于數(shu)字證(zheng)書的(de)高(gao)強度(du)身份認證(zheng)服務、高(gao)強度(du)數(shu)據鏈路(lu)加密服務,可以有效保護網(wang)絡資源的(de)安(an)全訪問。

格(ge)爾安(an)(an)全認(ren)證(zheng)網關通過了國(guo)家(jia)保密(mi)(mi)局、國(guo)家(jia)密(mi)(mi)碼(ma)管(guan)理局的嚴格(ge)鑒定,取得了相關安(an)(an)全資質,符合國(guo)家(jia)對(dui)于密(mi)(mi)碼(ma)產(chan)品的使(shi)用(yong)規定。

產品功能

分類功能說明
證書認證RSA/SM2證書自適應可以在同一個服務實例中,配置RSA和SM2兩張站點證書,并同時啟用,根據客戶端的算法能力進行自動適應
單雙向認證選擇功能系統可以設置是否需要用戶提交用戶證書
動態黑名單功能系統可以自動更新黑名單、動態更新,不需要重新啟動服務支持LDAP、HTTP、手工上傳等多種方式更新支持B64、DER等多種格式
多站點證書功能系統可以擁有多個站點證書,不同的服務可以擁有不同的站點證書
多證書鏈功能一個SSL服務中可同時配置多條證書鏈,驗證不同CA的用戶證書
多種證書支持功能支持格爾、CFCA、SHECA及多數省級CA中心數字證書
應用支持B/S應用支持B/S應用
證書信息傳送功能系統通過Cookie,HTTP header等多種方式將用戶的證書信息傳送給后臺應用,使應用無需證書接口開發就可以方便的獲取用戶證書信息
通用C/S應用支持FTP、telnet、遠程桌面以及通用的C/S應用
網絡應用支持基于IP的所有應用
多服務功能系統可以創建多個SSL服務,保護不同的應用服務,也可以采用同一個SSL服務保護多個應用服務(需客戶端)
支持應用重定向功能在有防火墻NAT映射的情況下正常訪問有重定向的網站
后端應用負載功能一個認證服務可以對后端多臺應用服務器進行負載均衡
錯誤重定向系統對于認證錯誤可以重定向到用戶指定頁面,增強友好性
信息統計系統能夠對用戶連接數、應用訪問情況,系統資源占用等信息進行詳細統計,為更好了解應用及調節資源提供基礎
國密支持國密SM1/SM2/SM3/SM4算法系統支持國密SM1/SM2/SM3/SM4算法
GMVPN協議系統支持GMVPN協議
系統管理管理員三權分立提供管理員三權分立功能,不同的管理員負責不同的功能配置,相互制約。
系統備份恢復功能系統可以備份當前SSL的所有配置,保證系統癱瘓時的快速恢復
恢復出廠設置功能系統具有恢復默認設置功能,方便使用
日志發送功能系統將日志以SYSLOG的方式發送到指定服務器。
系統在線升級系統支持Web方式的系統升級
性能檢測功能系統支持對CPU、內存、磁盤容量、連接數、進程等資源情況的收集,便于系統的維護和問題定位
可用性雙機熱備功能高可靠性
自負載均衡系統自身具有集群功能,支持在無第三方設備的情況下對多臺同類設備進行負載
網卡聚合功能可以對兩塊網卡進行冗余配置,當一塊網卡失效后,另一塊網卡自動生效
易用性負載均衡系統支持被第三方的負載均衡器進行負載
管理員易于操作系統所有管理操作都通過web方式進行,方便使用

產品部署

格爾網關可(ke)以部署(shu)(shu)為串聯模式(shi)(shi)(shi)(橋模式(shi)(shi)(shi))或者(zhe)并聯模式(shi)(shi)(shi)(單臂模式(shi)(shi)(shi))。又(you)可(ke)以擴展成雙(shuang)機(ji)熱備部署(shu)(shu)、負(fu)載均衡(heng)部署(shu)(shu)和(he)自負(fu)載均衡(heng)部署(shu)(shu)。

串聯部署

串聯(lian)模式(shi)(橋模式(shi))指格(ge)爾(er)網(wang)(wang)(wang)關(guan)物理部署(shu)在用(yong)(yong)戶(hu)和被(bei)保護(hu)(hu)的服(fu)(fu)務(wu)(wu)(wu)器(qi)之(zhi)間(jian),即格(ge)爾(er)網(wang)(wang)(wang)關(guan)的外(wai)網(wang)(wang)(wang)口與(yu)用(yong)(yong)戶(hu)網(wang)(wang)(wang)絡(luo)連(lian)接,內(nei)網(wang)(wang)(wang)口與(yu)被(bei)保護(hu)(hu)服(fu)(fu)務(wu)(wu)(wu)器(qi)相連(lian)。由于被(bei)保護(hu)(hu)服(fu)(fu)務(wu)(wu)(wu)器(qi)通過(guo)內(nei)部網(wang)(wang)(wang)絡(luo)與(yu)格(ge)爾(er)網(wang)(wang)(wang)關(guan)連(lian)接,因此用(yong)(yong)戶(hu)與(yu)服(fu)(fu)務(wu)(wu)(wu)器(qi)的連(lian)接被(bei)格(ge)爾(er)網(wang)(wang)(wang)關(guan)隔(ge)離,用(yong)(yong)戶(hu)只知道網(wang)(wang)(wang)關(guan)地址,無(wu)法直接訪問(wen)被(bei)保護(hu)(hu)服(fu)(fu)務(wu)(wu)(wu)器(qi),只有(you)通過(guo)網(wang)(wang)(wang)關(guan)才能獲(huo)得服(fu)(fu)務(wu)(wu)(wu)。

串聯模(mo)式(shi)(橋模(mo)式(shi))是(shi)格爾網關的標準(zhun)部署(shu)模(mo)式(shi),也是(shi)推薦部署(shu)模(mo)式(shi),其部署(shu)示意圖如下:

串聯模(mo)式的(de)優點是(shi):

  • 安全性高: 用戶(hu)必須(xu)通過網(wang)關(guan)的認證加(jia)密后才能(neng)獲取服(fu)務,同時網(wang)關(guan)將服(fu)務器與外界(jie)網(wang)絡隔離,避免了對服(fu)務器的直接(jie)攻(gong)擊;

  • 結(jie)構清(qing)晰: 串聯模(mo)式在(zai)物理部署和(he)邏輯結(jie)構上都非常簡單,容(rong)易(yi)理解;

  • 性能高: 相(xiang)對于(yu)并聯(lian)模式,串聯(lian)模式的效率及(ji)帶寬利用(yong)率更(geng)高。

串聯模式的缺點是:

  • 需要對原有服務器進行網絡改動及進行地址改變帶來的必要的應用變更。

并連部署

并聯模式(shi)(單臂模式(shi))指(zhi)格爾網關(guan)(guan)邏輯部署在(zai)用戶和被保護的服務(wu)(wu)器之間,而物理連接(jie)是在(zai)同一(yi)網絡中,即格爾網關(guan)(guan)的外網口接(jie)入原有用戶與(yu)服務(wu)(wu)器的網絡連接(jie)中。用戶可(ke)以(yi)通過網關(guan)(guan)獲(huo)取(qu)服務(wu)(wu),也可(ke)以(yi)直接(jie)連接(jie)到服務(wu)(wu)器(在(zai)知道服務(wu)(wu)器地址情況下(xia))獲(huo)取(qu)服務(wu)(wu)。

并聯模(mo)式的優點是:

  • 部署方便: 應用無需作改動,用戶只需變更一下訪問地址即可。

并聯模式的缺(que)點是(shi):

  • 安(an)全(quan)(quan)性(xing)低(di): 由于服務器和外界網(wang)絡連接(jie),存在(zai)用戶繞開網(wang)關直接(jie)連接(jie)服務器和使用其(qi)它方式攻(gong)擊(ji)服務器的(de)可能性(xing);同時,網(wang)關到服務器的(de)明文數據也在(zai)網(wang)絡上(shang)傳輸,存在(zai)被竊聽的(de)安(an)全(quan)(quan)隱(yin)患(huan);

  • 性(xing)能較低: 相對于串聯(lian)模(mo)式,并聯(lian)模(mo)式中用(yong)戶到網關和網關到服務器的數據流(liu)量都通過一個網口進(jin)行,效(xiao)率(lv)(lv)及(ji)帶寬利用(yong)率(lv)(lv)相對較低。

雙機熱備部署

系統(tong)支持雙機(ji)(ji)熱(re)備(bei)(bei)(bei)(bei)功能(neng),在(zai)需(xu)(xu)要高(gao)可靠性的環(huan)境(jing)下(xia)需(xu)(xu)要對網關進(jin)行(xing)雙機(ji)(ji)熱(re)備(bei)(bei)(bei)(bei)部(bu)署。雙機(ji)(ji)熱(re)備(bei)(bei)(bei)(bei)部(bu)署需(xu)(xu)要部(bu)署兩臺(tai)設備(bei)(bei)(bei)(bei),一臺(tai)作為主機(ji)(ji),一臺(tai)作為備(bei)(bei)(bei)(bei)機(ji)(ji),兩臺(tai)機(ji)(ji)器都與網絡連接,兩臺(tai)設備(bei)(bei)(bei)(bei)之間使(shi)用交叉線連接熱(re)備(bei)(bei)(bei)(bei)口進(jin)行(xing)狀態檢測,在(zai)正常(chang)情況下(xia)由(you)主機(ji)(ji)提(ti)供(gong)服務(wu),當(dang)主機(ji)(ji)發生異常(chang)時(shi)系統(tong)自動切換到備(bei)(bei)(bei)(bei)機(ji)(ji)進(jin)行(xing)服務(wu)。部(bu)署方(fang)式如圖:

負載均衡部署

格(ge)爾網關可以(yi)和(he)大(da)多數負載(zai)均衡設備(bei)配合(he)使用(yong),格(ge)爾網關采用(yong)串(chuan)聯模式和(he)并聯模式都可以(yi)與負載(zai)均衡設備(bei)很好的配合(he)使用(yong)。如下圖:

注: 負載均衡器將網絡的SSL**流量負載到可用的格爾網關上,格爾網關對后端的Web**服務器并沒有負載均衡的作用。

自負載均衡部署

當業務需要多臺(tai)格爾網(wang)關同時為應用提供(gong)服務時,無需借助第三方負載(zai)設(she)(she)(she)(she)備(bei)(bei)(bei),多臺(tai)格爾網(wang)關可以進行自(zi)(zi)負載(zai)管理,實現自(zi)(zi)身架(jia)構(gou)擴(kuo)展。具(ju)體方式是各臺(tai)網(wang)關的(de)(de)熱備(bei)(bei)(bei)口相連,每臺(tai)設(she)(she)(she)(she)備(bei)(bei)(bei)具(ju)備(bei)(bei)(bei)一(yi)個實際地址(zhi)(zhi),共享(xiang)一(yi)個虛擬地址(zhi)(zhi),多臺(tai)設(she)(she)(she)(she)備(bei)(bei)(bei)會自(zi)(zi)動協(xie)商一(yi)個主機,主機占用虛擬地址(zhi)(zhi)。用戶訪(fang)問虛擬地址(zhi)(zhi),主機獲(huo)得請(qing)求后會分配到(dao)(dao)其他設(she)(she)(she)(she)備(bei)(bei)(bei),當發現某個設(she)(she)(she)(she)備(bei)(bei)(bei)失效時,會停止將請(qing)求分配到(dao)(dao)這臺(tai)設(she)(she)(she)(she)備(bei)(bei)(bei),當主機失效時,剩下(xia)的(de)(de)設(she)(she)(she)(she)備(bei)(bei)(bei)會自(zi)(zi)動再產生一(yi)個新(xin)主機,保證用戶的(de)(de)正常(chang)訪(fang)問。具(ju)體部署如(ru)下(xia)圖

格爾軟件旗下眾多安全產品,邀您體驗

了解更多