格爾產品白皮書PAGEPAGE1上海格爾軟件股份有限公司上海市余姚路288號A座4樓Tel:(86-021)62327010Fax:(86-021)62327015URL:格爾安全認證網關-（W系列）產品白皮書上海格爾軟件股份有限公司聯系人：鄭廣權聲明：本文件中出現的全部內容，除另有特別注明，版權均屬上海格爾軟件股份有限公司（以下簡稱格爾軟件）所有，未經格爾軟件書面許可，任何人不得以任何形式擅自拷貝、傳播、復制、泄露本文件的全部或部分內容。

應用安全解決方案的選擇隨著網絡的快速發展，網絡應用以其高效、便捷的特點得到廣泛應用，如網上證券、網上銀行、電子政務、電子商務、企業遠程辦公等。越來越多的重要業務在網上辦理，越來越多的重要信息在網絡中傳輸，如何安全方便的訪問這些網絡資源以及網絡數據的安全流轉是應用安全面臨的重要問題。針對網絡應用的安全解決方案越來越多，選擇可靠有效的應用安全解決方案應該從以下考慮：完整的安全信任體系信任是安全的基礎，在缺乏信任的環境下，實現信息系統的安全是不可想象的，因此解決網絡應用安全的一個核心問題是解決信任問題，信任主要體現在以下幾方面：強身份認證。建立信任首先要確認參與者的身份，即身份認證。身份認證是安全保障的第一道門檻，也是后續安全措施的依據和基礎，如果第一道門檻被攻破，系統“認錯人”，則后續的無論多么嚴密的安全措施基本實效，因此，身份認證機制強度的高低很大程度決定了安全系統的安全級別高低，對于一個直接面對互聯網，如果身份認證機制的強度不夠，根本無法起到屏障作用，無異于將網資源直接開放。因此，身份認證機制不在于多少，而在于夠不夠強。基于PKI數字證書的認證是目前被廣泛接受的強身份認證機制之一。數據秘密性和完整性。一方面，認證機制越強，效率越低。在網絡應用中并不是每次交互都進行認證，而是根據第一次認證后的憑證來辨認用戶，因此在真正用戶在線認證通過后，竊取用戶的認證憑證，冒充用戶訪問是一種有效的攻擊手段。因此身份認證過程以及后續傳輸通訊都需全程保密。另一方面，網絡應用中的重要信息被其他人特別是競爭對手得到造成的損失極大，因此要求信息傳輸時對信息進行高強度加密，保證傳輸安全性?？傊?，信息在網絡上明文傳輸，被人輕易獲取，無異于自己打開門把東西拿給別人，系統有再強的其他安全機制有何用呢？全程加密是對數據秘密性及完整性保障的優選方案之一。不可抵賴性。不可抵賴是信任的一個關鍵因素也是一個關鍵約束，是對結果的認可和保障，如果可以事后賴賬，無法追究責任，那么先前所作的一切都是前功盡棄。現實生活中已經形成一套不可抵賴性的方式方法，而在網絡世界中，數字簽名技術是公認的不可抵賴性實現的最優方案，《電子簽名法》的頒布和實施也提供了相應的法律依據。身份認證可靠性秘密性和完整性不可抵賴性用戶名/口令低無低生物特征識別（如指紋，虹膜等）中～高（取決于現有技術水平）無中～高（取決于現有技術水平）動態口令高無中PKI數字證書高高高正確合理應用安全體系PKI數字證書作為安全基礎設施，其建設成功的標志并不是數字證書的頒發，而是數字證書在上層應用的廣泛使用及對上層應用安全的全方位提升。正確合理的使用安全設施=加強安全；錯誤的使用安全設施=降低安全。判斷數字證書使用的好不好，可以從以下幾個方面考慮：PKI數字證書使用是否充分PKI數字證書最大特點不是提供某項安全措施，而是提供全方位的安全支撐，因此才被稱為安全基礎設施，可以歸納為身份認證、數據保密性和完整性、不可抵賴性幾大類功能，僅僅使用某項功能對于PKI數字證書來說有點大材小用，也無法實現最好的安全效果。PKI數字證書使用是否合理安全建設是一個整體工程，獨立的一個安全功能再完善也不可能提升系統的整體安全，因此對PKI數字證書的使用也是要合理的對安全功能進行配合使用，實現對系統的整體提升，比如身份認證再強，如果沒有數據保密性和完整性的全程保護，那么使后續交互的數據被竊取以及身份的冒充成為可能，身份認證成為擺設，同樣，如果后續結果可以抵賴，那么前期所有的安全防護都前功盡棄。PKI數字證書使用是否正確安全機制的正確使用和實施才能起到預期的安全效果，錯誤的使用可能會導致更大的安全漏洞。以證書認證為例，多數用戶甚至許多廠商都認為證書認證是指獲取用戶證書，這是非常錯誤的，使用一個公開發布的，任何人都可以獲取到的用戶證書進行認證，無疑于沒有認證，真正的證書認證應該是驗證用戶私鑰。同樣，證書認證時，是否對簽名、有效期、信任鏈、黑名單或者證書狀態進行完整的體系驗證等等。PKI數字證書使用是否方便PKI數字證書作為安全基礎設施，是面向上層應用服務的，而當前應用系統千差萬別，包括應用類型、開發語言、使用協議、操作平臺等，因此PKI數字證書應該簡單、易用，在應用少量改動甚至不改動的情況下享受到PKI數字證書帶來的安全提升。產品概述格爾安全認證網關（SAG）集基于數字證書強身份認證、數據保密性、數據完整性及不可抵賴性功能于一身的PKI安全產品，可以為上層應用提供身份認證服務、數據鏈路加密服務及數字簽名驗證等全方位的安全服務。格爾安全認證網關W系列（以下簡稱格爾網關）是專為大型互聯網應用設計的一款高性能安全產品，基于SSL協議為應用提供基于數字證書的高強度身份認證服務、高強度數據鏈路加密服務，可以有效保護網絡資源的安全訪問。圖表SEQ圖表\*ARABIC1產品外觀（以上產品外觀圖僅做參考，具體外觀及接口以實物為準）產品特性高性能高效率：格爾網關高端產品采用硬件加速，最高支持2.5萬次/秒的SSL新建連接（8核XeonCPU僅達到2000次/秒），可以徹底將應用服務器的CPU資源從繁重的加解密中解放出來，起到了對應用加速的作用。高并發：格爾網關采用先進的并發模型，最高支持50萬以上的SSL并發連接。高吞吐：網關通過對網口聚合功能，實現多個網口同時工作，最高加密吞吐量可達2Gbps。應用緩存：支持對應用內容的緩存，可以靈活配置緩存內容和類型，加快用戶響應速度，減小應用壓力。壓縮技術：支持HTTP壓縮技術，減少帶寬占用。高可靠服務熱備：網關支持雙機熱備，實現服務連續性和無縫切換，切換時間<2秒。服務集群：多臺格爾網關可以進行集群自負載，實現架構動態擴展，在可靠性增強的同時也提高了系統的性能和容量。應用負載：網關服務可以針對后臺多個應用進行負載。鏈路冗余：網關網卡間可以實現冗余，支持雙鏈路部署。自恢復機制：在系統發生異常失去響應情況下可以自行硬件重啟動，恢復服務。完善的監控、報警機制：對系統的關鍵資源和指標進行圖形化監控，對于異常情況可以進行報警，有利于提前發現并解決問題。高安全支持管理員三權分立功能。支持擴展國密非對稱算法SM1。支持擴展國密對稱算法SM1。支持擴展國密雜湊算法SM3。.PKI數字證書的全面支持基于對PKI的深刻理解，格爾網關具備了對PKI的全面支持，包括以下幾個方面：證書單雙向的認證選擇：格爾網關可以配置建立加密連接時是否認證用戶證書。多服務，多站點證書支持：格爾網關可以建立多個服務，保護不同的應用，每個服務可以使用不同的站點證書。多條證書鏈支持：格爾網關支持多條證書鏈同時存在、同時生效，即同一個SSL服務可以同時認證多家CA中心的證書用戶。動態黑名單支持：格爾網關可以自動獲取黑名單（支持LDAP、HTTP、手工上傳等多種方式更新），不需要重新啟動服務。對用戶的一致性認證通常的網關產品只是建立了一個加密連接，與應用完全無關，用戶通過認證建立加密連接后必須經過再次認證（如用戶名+口令、動態令牌等）登錄應用系統，這種兩次登錄不僅沒有加強安全性，而且在給用戶帶來不便的同時也帶來安全隱患，由于加密連接和應用對用戶認證的不一致，用戶可以使用自己的證書建立連接，使用別人的用戶名登錄，這種方式給應用的流程和日后審計、取證帶來了混亂。格爾網關可以將用戶證書中的任意信息以cookie/URL/HTTPHeader等多種方式向后臺服務器傳送，應用系統無需額外接口就可以方便獲取證書用戶信息，即保證了用戶的一次登錄，又保證了應用對用戶認證的一致性，安全性得到進一步保障。同時，使用網關保護的多個應用系統也實現了對用戶的單點登錄功能，即用戶使用一張證書登錄所有應用系統。SSL協議中雙證書的應用（專利技術之一）雙證書機制是當前我國PKI體系建設的主流模式。使用簽名證書進行身份認證，使用加密證書進行密鑰的交換和保護，既使PKI技術在應用中發揮其基于非對稱密鑰所帶來的優勢，又滿足了國家對PKI應用進行審計監管的需要，是國家密碼管理機構對PKI證書應用的基本要求。格爾網關創新的提出了雙證書在SSL協議中的應用，并成功在產品中實現，符合國家密碼管理機構對密碼產品的要求。安全資質格爾安全認證網關通過了國家保密局、國家密碼管理局的嚴格鑒定，取得了相關安全資質，符合國家對于密碼產品的使用規定。其他特性安全性：系統設置專用網絡接口管理系統，系統關閉所有不需要的服務和端口（如FTP、SSH等），只保留SSL服務端口，避免外界的攻擊。易用性：系統所有管理操作均采用web方式，操作簡單方便。適用性：系統支持串聯、并聯等多種部署方式，適用不同的網絡環境和應用需求。兼容性：支持IE、Netscape、Firefox等主流瀏覽器，支持IIS、Websphere、Weblogic、apache、tomcat等主流Web服務器。產品主要功能功能說明功能類型證書認證單雙向認證選擇功能系統可以設置是否需要用戶提交用戶證書基本功能動態黑名單功能系統可以自動更新黑名單、動態更新，不需要重新啟動服務支持LDAP、HTTP、手工上傳等多種方式更新支持B64、DER等多種格式基本功能多站點證書功能系統可以擁有多個站點證書，不同的服務可以擁有不同的站點證書基本功能多證書鏈功能一個SSL服務中可同時配置多條證書鏈，驗證不同CA的用戶證書基本功能多種證書支持功能支持格爾、CFCA、SHECA及多數省級CA中心數字證書基本功能應用支持多服務功能系統可以創建多個SSL服務，保護不同的應用服務，也可以采用同一個SSL服務保護多個應用服務（需客戶端）基本功能支持應用重定向功能在有防火墻NAT映射的情況下正常訪問有重定向的網站基本功能信息傳送功能系統通過URL，HTTPheader，cookie多種方式將用戶的證書信息傳送給后臺應用，使應用無需證書接口開發就可以方便的獲取用戶證書信息基本功能后臺應用負載功能一個認證服務可以對后端多臺應用服務器進行負載均衡基本功能信息統計系統能夠對用戶連接數、應用訪問情況，系統資源占用等信息進行詳細統計，為更好了解應用及調節資源提供基礎基本功能錯誤重定向系統對于認證錯誤可以重定向到用戶指定頁面，增強友好性基本功能國密算法支持支持擴展國密非對稱算法SM2擴展功能支持擴展國密對稱算法SM1擴展功能支持擴展國密雜湊算法SM3。擴展功能系統管理管理員三權分立提供管理員三權分立功能，不同的管理員負責不同的功能配置，相互制約。基本功能系統備份恢復功能系統可以備份當前SSL的所有配置，保證系統癱瘓時的快速恢復基本功能日志發送功能系統將日志以SYSLOG的方式發送到指定服務器?；竟δ芟到y在線升級系統支持Web方式的系統升級基本功能性能檢測功能系統支持對CPU、內存、磁盤容量、連接數、進程等資源情況的收集，便于系統的維護和問題定位基本功能可用性雙機熱備功能高可靠性擴展功能自負載均衡系統具有集群功能，可以對多臺設備進行負載擴展功能網卡熱備功能可以對兩塊網卡進行冗余配置，當一塊網卡失效后，另一塊網卡自動生效擴展功能網卡負載功能可以對兩塊網卡進行綁定聚合，將請求和流量負載到兩塊網卡上擴展功能易用性管理員易于操作系統所有管理操作都通過web方式進行，方便使用基本功能用戶的良好體驗系統可以為終端用戶提供良好的錯誤提示，如證書過期，證書未生效，證書已經作廢等信息，不會顯示“此頁無法顯示”令用戶不知所措的頁面基本功能注：擴展功能不包含在產品的基本版本中，是用戶可選配功能。產品部署格爾網關可以部署為串聯模式（橋模式）或者并聯模式（單臂模式）。串聯部署串聯模式（橋模式）指格爾網關物理部署在用戶和被保護的服務器之間，即格爾網關的外網口與用戶網絡連接，內網口與被保護服務器相連。由于被保護服務器通過內部網絡與格爾網關連接，因此用戶與服務器的連接被格爾網關隔離，用戶只知道網關地址，無法直接訪問被保護服務器，只有通過網關才能獲得服務。串聯模式（橋模式）是格爾網關的標準部署模式，也是推薦部署模式，其部署示意圖如下：圖表SEQ圖表\*ARABIC2串聯部署示意圖串聯模式的優點是：安全性高：用戶必須通過網關的認證加密后才能獲取服務，同時網關將服務器與外界網絡隔離，避免了對服務器的直接攻擊。結構清晰：串聯模式在物理部署和邏輯結構上都非常簡單，容易理解。性能高：相對于并聯模式，串聯模式的效率及帶寬利用率更高。串聯模式的缺點是：需要對原有服務器進行網絡改動及進行地址改變帶來的必要的應用變更。并聯部署并聯模式（單臂模式）指格爾網關邏輯部署在用戶和被保護的服務器之間，而物理連接是在同一網絡中，即格爾網關的外網口接入原有用戶與服務器的網絡連接中。用戶可以通過網關獲取服務，也可以直接連接到服務器（在知道服務器地址情況下）獲取服務。圖表SEQ圖表\*ARABIC3并聯部署示意圖并聯模式的優點是：部署方便：應用無需作改動，用戶只需變更一下訪問地址即可。并聯模式的缺點是：安全性低：由于服務器和外界網絡連接，存在用戶繞開網關直接連接服務器和使用其它方式攻擊服務器的可能性；同時，網關到服務器的明文數據也在網絡上傳輸，存在被竊聽的安全隱患。性能較低：相對于串聯模式，并聯模式中用戶到網關和網關到服務器的數據流量都通過一個網口進行，效率及帶寬利用率相對較低。雙機熱備部署系統支持雙機熱備功能，在需要高可靠性的環境下需要對網關進行雙機熱備部署。雙機熱備部署需要部署兩臺設備，一臺作為主機，一臺作為備機，兩臺機器都與網絡連接，兩臺設備之間使用交叉線連接熱備口進行狀態檢測，在正常情況下由主機提供服務，當主機發生異常時系統自動切換到備機進行服務。部署方式如圖：圖表SEQ圖表\*ARABIC4串聯模式下的雙機熱備部署圖表SEQ圖表\*ARABIC5并聯模式下的雙機熱備部署應用負載部署當應用服務器有多臺時，無需借助第三方負載設備，格爾網關就可以對多臺應用服務器進行負載使用。具體方式是在網關的服務中，增加多個后臺應用服務器，當用戶訪問網關服務時，網關會根據設定的負載策略，將不同用戶請求負載到后臺的各個服務器中，實現應用的擴展。部署方式如下圖：圖表SEQ圖表\*ARABIC6應用負載串聯部署圖表SEQ圖表\*ARABIC7應用負載并聯部署自負載均衡部署當業務需要多臺格爾網關同時為應用提供服務時，無需借助第三方負載設備，多臺格爾網關可以進行自負載管理，實現自身架構擴展。具體方式是各臺網關的熱備口相連，每臺設備具備一個實際地址，共享一個虛擬地址，多臺設備會自動協商一個主機，主機占用虛擬地址。用戶訪問虛擬地址，主機獲得請求后會分配到其他設備，當發現某個設備失效時，會停止將請求分配到這臺設備，當主機失效時，剩下的設備會自動再產生一個新主機，保證用戶的正常訪問。具體部署如下圖：圖表SEQ圖表\*ARABIC8負載均衡環境下的串聯模式部署圖表SEQ圖表\*ARABIC9負載均衡環境下的并聯部署 當后臺應用也為多臺，不使用網關自身的后臺應用負載功能，而是用第三方負載設備時，負載模式應設置為7層應用負載，而不能使用4層地址負載，因為通過網關訪問應用的地址都已經更換為網關地址。產品參數-格爾網關采用專用網絡硬件設備，產品具有多個系列：E-2010E-2020E-2040G-4020G-4040設備高度1u1u1u2u2u網絡接口4*1004*1004*106*1000M4*1000M電源指標數量：電壓（V）：電流（A）：功率（W）：1100~2400.5~3651100~2403~62001100~2403~6200190~2644~8460290~2644~8460工作溫度0C--40C--40C--40C--40C--4工作濕度5--95RH，不凝結5--95RH，不凝結5--95RH，不凝結5--95RH，不凝結5--95RH，不凝結最大新建連接數60次/秒160次/秒1000次/秒2500次/秒4000次/秒每秒完成交易數（TPS）1000次/秒3000次/秒5000次/秒10000次/秒25000次/秒最大并發連接數400800150025005500最大流量150Mbps200Mbps250Mbps680Mbps850Mbps選購指南-W系列KOAL-SAG3200-WKOAL-SAG6400-WKOAL-SAG6800-W設備高度1u2u2u網絡接口6*1000M6*1000M8*1000M電源指標數量：電壓（V）：電流（A）：功率（W）：1100~2400.5~365290~2644~8460290~2644~8460工作溫度0C--40C--40C--4工作濕度5--95RH5--95RH5--95RHSSL最大新建握手數（次/秒）5000（1024位）1500（2048位）10000（1024位）3000（2048位）25000（1024位）9000（2048位）TPS數（每秒交易數）50000次/秒80000次/秒100000次/秒SSL并發連接數2萬5萬10萬~50萬SSL加密流量0.8Gbps1.2Gbps2Gbps客戶端運行環境與格爾SSL安全網關連接的客戶端推薦配置如下：CPU：P3800M以上內存：256M以上操作系統：win2000以上版本瀏覽器：IE6.0以上，密鑰長度128位附錄（主要案例）國家863計劃“數字證書應用綜合管理”課題國家863計劃信息安全示范工程“S219”項目浙江省數字證書認證中心；江蘇省數字證書認證中心；河北省數字證書認證中心；湖南省數字證書認證中心；安徽省數字證書認證中心；新疆數字證書認證中心；貴陽數字證書認證中心；發改委金宏工程（一期）安全子系統—網絡信任體系；國家電子政務外網根CA系統項目；航空一集團“金航”主干網安全總集成項目中國工程物理研究院CA示范項目中國人民銀行IC卡密鑰管理系統項目中國人民銀行銀聯卡根CA認證系統項目上海衛生監督所信息安全系統；上海市電子政務數字證書應用示范項目；上海市區縣電子政務證書應用技術支持單位；上海市計生委證書應用安全系統建設項目上海市信息化委員會電子文件存儲管理系統項目建設；上海市人大信息中心證書應用安全系統建設項目；上海市高級法院證書應用安全系統建設項目；上海市市人民政府外事辦證書應用安全系統建設項目；上海市市外經濟委員會證書應用安全系統建設項上海市市世博局證書應用安全系統建設項目；上海市市水務局證書應用安全系統建設項目；上海市產權局證書應用安全系統建設項目；上海市征兵辦證書應用安全系統建設項目；上海市統計局證書應用安全系統建設；上海市衛生局證書應用安全系統建設；上海市市城市規劃管理局證書應用安全系統建設項目；上海市食品藥品監督管理局證書應用安全系統建設項目；上海市社團團體管理局證書應用安全系統建設項目；上海市共青團證書應用安全系統建設項目；上海市社會服務管理局證書應用安全系統建設項目；上海市黃浦區信息委證書應用安全系統建設項目；上海市長寧區信息委證書應用安全系統建設項目；上海市寶山區信息委證書應用安全系統建設項目；上海市金山區信息委證書應用安全系統建設項目；上海市嘉定區信息委證書應用安全系統建設項目；上海市南匯區信息委證書應用安全系統建設項目；上海市奉賢區信息委證書應用安全系統建設項目；上海市浦東政法委證書應用安全系統建設項目；上海市浦東新區三林世博功能區域管委會證書應用安全系統建設項目；上海市中山醫院證書應用安全建設項目；上海出入境邊防總站整體安全集成項目；上海申能集團財務系統身份認證系統建設；上海市華寶信托責任公司房帖系統安全建設項目；上海寶鋼財務系統安全認證項目；廣西北海公共資源招投標CA認證項目；國家統計局行業性PKI體系建設；國家“十五國家密碼發展基金密碼理論課題”；國家統計局全國人口普查及大型企業網絡直報系統CA認證系統項目國家某部委內網全國縱向CA認證系統及證書安全應用項目中央辦公廳某H網認證加密項目公安部內網基于CA認證的證書安全應用項目江蘇省公安廳指揮中心輔助決策系統認證項目；湖北電力信息系統整體安全建設一、二期工程；福建電力信息系統信任與授權平臺建設一、二期工程；上海市密鑰管理系統試點項目信產部“3G無線通訊安全”課題附錄公司介紹公司概述上海格爾軟件股份有限公司(以下簡稱格爾軟件)成立于1998年3月，注冊資本3500萬，北京設營銷和技術支持中心。公司下設北京格爾國信、上海格爾信息、上海格爾衛信及寧波格爾天屹等子公司，在全國各大中心城市還設有多個辦事處。公司現有員工310人，其中本科以上學歷占93%，技術開發人員210余人，約占65%。格爾軟件是專業從事信息安全核心技術和產品研發，為客戶提供信息安全整體解決方案與配套服務的國內身份管理領域的領先企業。公司是國內最早研制PKI平臺的廠商，國內首批商用密碼產品定點生產與銷售單位，國家保密局批準認定的“