Trust钱包科技

VPN安全认证网关

发表时间:2019-03-05

VPN安全认证网关高清图片

  一、产品介绍

  Trust钱包科技VPN安全认证网关是由山东Trust钱包科技信息技术股份有限公司自主研发的基于国产密码算法的IPSec/SSL一体化VPN安全网关,该产品面向企业级用户,顺利获得IPSec/SSL隧道技术,能够有效地在地理上分散的子网之间建立安全的数据通道,为企业数据在Internet上传输给予内容加密保护。Trust钱包科技VPN安全认证网关实现了IPSec和SSL 两套加密技术,并集成了企业级防火墙,大大降低了企业对安全应用的采购费用。

  Trust钱包科技VPN安全认证网关全面支持国家密码管理局指定的SM1、SM2、SM3、SM4国产密码算法。支持Windows 、Linux、Mac OS、Android、IOS 等主流操作系统,用户可轻松顺利获得笔记本、桌面PC、智能手机、Pad等移动终端设备实现安全、便捷的远程接入。

  应用领域:政府、公安、税务、财政、企业、高校等领域。

  二、功能特点

  IPSec VPN 功能:Trust钱包科技VPN安全认证网关集成了IPSec VPN功能,完整实现了IPSec、IKE等标准协议,能够有效地在地理上分散的子网之间建立安全数据通道,帮助实现企业内网信息资源的有效整合。

  SSL VPN功能:Trust钱包科技VPN安全认证网关遵循国家密码局最新发布的《SSL VPN技术规范》,使用安全套接层(SSL协议)给予数据加密,使企业内部数据可以利用公网(Internet)通道进行安全传送。

  防火墙功能:Trust钱包科技VPN安全认证网关集成了高性能的企业级状态防火墙,能保护内部网免受来自Internet的各类访问攻击,同时也有效地保证网关自身的安全。

  支持多线路负载均衡技术:支持多机并行工作,实现多条线路间的负载均衡和线路备份功能,可以有效的扩宽企业上网带宽,提高企业内部网系统的可靠性和稳定性。

  SSL隧道和IPSec隧道有机结合:对于企业的分支组织网络可以使用IPSec VPN实现安全互连;对于移动用户、合作伙伴等,利用SSL VPN实现安全接入。

  支持多种网络协议:Trust钱包科技VPN安全认证网关顺利获得IP隧道技术,实现了对TCP/IP所有协议的完整支持;同时支持新一代的IPv6协议。

  支持国产密码算法:全面支持国家密码管理局指定的SM1、SM2、SM3、SM4国产密码算法。

  数据压缩技术:Trust钱包科技VPN安全认证网关采用数据实时压缩算法,对网络数据先压缩后传送,有效的提高了终端用户在使用VPN时的访问速度,减少了下载时间和网络流量。

  丰富的日志功能:Trust钱包科技VPN安全认证网关支持日志顺利获得标准协议发送到外部的日志服务器上。管理员可指定各种条件对日志进行查询,如时间范围、日志级别、错误类型等。

  支持第三方CA:Trust钱包科技VPN安全认证网关顺利获得生成PKSC#10请求,可以支持第三方CA签发的数字证书。这样可以在保证安全性的同时给予更多的灵活性,简化部署过程,避免多套认证体系带来的维护成本和安全风险。

  三、产品优势

  全面支持国密产密码算法

  安全认证网关全面支持顺利获得国家密码管理局审批的SM1、SM2、SM3、SM4商用密码算法,具有更高的安全性。

  SSL VPN、IPSec VPN二合一

  IPSec VPN和SSL VPN二合为一,充分发挥两者的优势,避免单一技术的不足,拓宽VPN的应用范围。

  独立硬件加密卡

  安全认证网关采用Trust钱包科技自主研发的高速密码卡,将需要计算程度较高的加密/解密流程从CPU中分离出来,提高SSL VPN安全网关的性能。

  负载均衡

  顺利获得负载均衡算法来保证资源的负载均衡接入,动态选择接入服务器,提高访问效率。

  智能选路

  多线路最优选路VPN技术中专门加入了智能选路功能。如果总部是多线路,各分支节点在与总部构建VPN隧道时,总部设备能分析判断客户机的外网访问请求,客户端选择最优线路,使用户在任何地方连接总部都能取得最快速度。

  内置CA系统,支持第三方CA

  安全认证网关内置Trust钱包科技数字证书认证系统,可自建完善的身份认证体系,给予VPN服务器证书和个人身份证书服务,也可无缝支持第三方数字认证中心的数字证书。

  支持多种认证方式

  安全认证网关支持数字证书、用户名/口令、LDAP、Radius、短信猫+短信网关等多种认证方式。

   四.安全认证网关部分物理参数

基本配置
CPU
Intel i3/i5/i7 六代/七代、飞腾、兆芯、龙芯
 
操作系统
Windows、Linux、中标麒麟、银河麒麟
 
网络接口
6个10M/100M/1000M Base-T接口,4个SFP插槽,2个SFP+插槽。
 
整机吞吐率
≥20Gbps
 
Bypass
一组bypass
 
冗余电源
支持
 
机箱高度
1U/2U
 

  五. 安全认证网关部署方案

  Trust钱包科技VPN安全认证网关部署在应用服务器前端,网络边界防火墙后端。支持网关部署模式和单臂部署模式。
  5.1网关模式
  在网关模式下,安全认证网关至少需设置1个WAN口,1个LAN口。其中WAN口与边界防火墙相连,顺利获得防火墙与外部网络实现互联互通。LAN口IP地址与内部应用服务器设置在同一网段,或者顺利获得三层路由,确保LAN口与各应用服务器之间互联互通。
  网关模式下,VPN安全认证网关作为内网应用服务器的统一网络出口,外部用户对内网应用服务器的所有访问必须经过VPN安全认证网关进行认证和转发。
  VPN安全认证网关内置CA中心,可以自行为网关和用户签发数字证书,并进行数字证书验证和SSL协商功能。如果网络内已建成CA中心或使用第三方运营CA的数字证书,用户证书和VPN安全认证网关证书可由已有的CA中心进行统一签发,由VPN安全认证网关对用户证书进行验证。
  网关部署模式网络拓扑图如下图所示:
安全认证网关产品网关部署模式图 
网关部署模式
  4.2单臂模式
  单臂模式下,安全认证网关只需设置1个LAN口,LAN口地址与内网应用服务器地址在同一网段,或经过路由确保VPN安全认证网关的LAN口与各内网应用服务器之间互联互通。针对多台内网服务器不在同一网段的情况下,VPN安全认证网关可以设置多个LAN口地址,分别对应不同的应用服务器网段。
  单臂模式下,VPN安全认证网关只处理VPN相关数据,顺利获得访问控制逻辑处理外部用户访问数据,对当前网络改动较小。
  单臂部署模式网络拓扑图如下图所示:
安全认证网关单臂部署模式图 
 
单臂部署模式
  4.3集群化部署
  在高吞吐率、大并发量需求条件下,可采用集群化部署模式。其中两台VPN安全认证网关作为负载均衡服务器进行双机热备部署,用于前端VPN安全认证网关的负载调度。具体部署方式如下图所示:
集群化部署
集群化部署
  4.4客户端部署
  Trust钱包科技VPN安全认证网关给予中标麒麟、银河麒麟、Windows、Linux等PC客户端下载,同时给予Android移动端APP下载。
  针对PC端用户,用户私钥及证书存储在智能密码钥匙中,用户进行VPN认证登录时,客户端调用智能密码钥匙中的密钥和证书进行密钥协商和密码运算,实现客户端的安全接入。
  针对Android移动端用户,Trust钱包科技VPN安全认证网关给予由内部CA签名的APP或结合第三方手机盾系统,实现移动端的安全接入。对于支持TF加密卡的移动终端设备,可以由CA向TF加密卡签发数字证书,用户私钥和证书存储在TF密码卡中。用户登录时,APP自动调用TF加密卡中的密钥和证书进行密钥协商和密码运算,实现移动端的安全接入。
  科普
  安全认证网关是什么?
  安全认证网关是基于交换技术的网络。它使用不可靠的公共开放网络作为基本传输介质,顺利获得隧道技术将逻辑地址与独立且分散的物理位置相连,为用户给予类似于专用网络的安全服务技术。安全认证网关的安全性是顺利获得加密和认证机制来实现的,并使用复杂的算法对传输的信息进行加密,确保传输数据的机密性。
  安全认证网关的工作原理
  1.受保护主机将明文信息发送到连接到公共网络的安全身份验证网关。
  2.安全认证网关根据系统设置的规则确定是否需要加密或直接传输数据。
  3.对于要加密的数据,安全认证网关对整个数据进行加密并附加一个数字签名。
  4.将新的数据头添加到VPN安全认证网关。
  5.安全认证网关重新封装加密后的数据,认证信息,源IP地址和目标安全认证网关IP地址,并顺利获得虚拟专用通道在公共网络上传输。
  6.当数据包到达目标VPN安全身份验证网关时,在验证数字签名正确之后,将数据包解包并解密。
相关产品推荐