鹰眼安全网关技术白皮书
目录
1前言3
2基于web的应用的安全需求分析3
3SSL安全通信4
4鹰眼安全网关解决的安全问题5
5适用围5
6产品特点与优势5
6.1安全性:5
6.2对设备的管理6
6.3性能6奶浆柴胡
6.4可扩展性6
6.5易用性6
6.6部署7
6.7应用性7
7产品典型接入模式7
7.1隔离模式。7
7.2共享模式。7
8网关设备使用流程8
8.1安装设备。8
8.2连接收理控制台。8
8.3配置后台Web服务器9
9产品配置9
9.1配置与功能9
9.2能够代理的服务器类型:10
10主要技术指标10
10.1支持国际通用标准10
10.2系统运行环境10
11典型案例10
钢管自动切割机12鹰眼安全网关的安全性的评估11
回旋振荡器
13.1前言11
gammaproteobacteria13.2公开密钥基础设施(PKI)12
13.3鹰眼安全网关用户管理中心13
13.3.1产品简介13
13.3.2产品组成和结构13
13.3.3产品技术特点14
13.3.4产品功能描述15
13.4系统性能指标20
13.5应用案例20
1前言
网络和它易于访问的普遍性极大促进了基于web的应用程序以与Intranet、Extranet等的开发。企业外部网的用户通过网页访问部网络资源,可以极提高效率、推动生产力和提高客户服务质量。政府/军事部门外部网的用户通过网页访问部网络资源,可以极提高办公效率和提高对外服务质量。 2基于web的应用的安全需求分析
但是基于web的应用是否具有发展潜力,还依赖于人们对网络安全的信任程度。而互联网安全性的关键点在于是否可以保护信息传输的性和私有信息记录的私有性。
目前数据安全控制措施越来越多的在应用层实现,因为数据通常是由这些应用生成、存储、管理和传输的。而且在应用层的安全措施可以控制到单个用户。应用层的安全措施,主要目的是保证信息访问的合法性,确保合法用户根据拥有的权限合法地访问数据。在应用层必须采取安全措施来保证数据的安全。 人人都知道防止系统外部用户的攻击,但也必须采取防措施来防止系统部的攻击。防止部攻击的重要性还在于部人员对数据的存储位置、信息敏感性甚至防措施都非常了解,这使得来自部攻击所造成的损失更大。因此、外攻击的防同等重要,应用层必须有安全措施,用户访问时要经过严格的身份认证。信息系统的用户可能分布在网络上的任何接入点,所以身份认证技术必须采用针对用户的认证方式,而不能针对地址或应用会话进程。为了便于管理,需要采用集中式管理的访问控制手段。 一个组织机构中的个人需要通过一种唯一的标识方法来确保他们可以访问不同的信息系统。信息服务器需要对网络上的用户(不管是本地的还是远程的)进行身份鉴别,以确认对方的真实身份。身份认证方式主要有:用户口令、证书、、指纹识别、声音识别等,目前常用的有口令和证书,但这种机制有很大的弊端:容易被猜测、可以被共享、口令以明文的方式经过网络传输,容易被截获。身份认证是首要的安全措施,其它的安全措施都是在经过认证的用户的真实身份的基
础上实施的。
数据:为了防止未经授权的用户截取网络上的数据,需要一种手段来对数据进行。数据加密就是用来实现这一目标的。
数据完整性:需要一种方法来确认送到网络上的数据在传输过程中没有被篡改。数据加密和校验被用来实现这一目标。
审计记录:所有信息访问活动应该有记录,这种记录要针对用户来进行,可以实现统计、跟踪等功能。
3SSL安全通信
SSL协议是由Netscape公司首先提出的一种安全协议,SSL采用TCP作为传输协议,从而为数据的传送和接收提供了可靠性;它工作在Socket层上,因此独立于更高层的应用,可为更高层的协议,如TELNET、FTP和等提供安全服务。SSL利用公钥和单钥密码体制,为服务器和客户机之间的通信提供性、数据完整性和可认证性等安全服务。
SSL安全通信流程如下:
ClientServer
ClientHello --------> ServerHello
Certificate*
干涉光刻
ServerKeyExchange*
CertificateRequest*
<-------- ServerHelloDone
Certificate*
ClientKeyExchange
CertificateVerify*
[ChangeCipherSpec]
Finished -------->
[ChangeCipherSpec]
<-------- Finished
Application Data <-------> Application Data
SSL协议使用公钥密码体制实现客户端和服务器之间的双向身份认证和数据加密密钥的协商,使用单钥密码体制和哈希密码实现通信数据的加密和完整性保护。
4鹰眼安全网关解决的安全问题
➢Web远程用户使用USBKey(数字证书凭证)硬件介质的双因子(凭证与口令)安全身份认证。
➢Web远程用户到代理设备的通信进行SSL 全程加密。
➢对访问企业/政府/军事部门部所有web应用程序与资源的远程用户进行集中认证/授权管理。
➢对访问敏感资源的用户行为的审计。
➢屏蔽对web应用服务器的攻击。
5适用围
➢企业或政府/军事部门的部网/外部网:确保核心资源的安全管理和访问。
➢企业对客户(B2C)和企业对企业(B2B)的基于Web的应用系统:确保客户数据、企业间共享数据等远程安全访问。
6产品特点与优势
6.1安全性:
➢消除了企业或政府/军事部门部局域网和外部用户之间的网络通信的安全因素。
