鹰眼安全网关白皮书

鹰眼安全网关鹰眼安全网关 鹰眼安全网关技术白皮书 鹰眼安全网关鹰眼安全网关 目 录 1前言 3 2基于 web 的应用的安全需求分析 3 3SSL 安全通信 4 4鹰眼安全网关解决的安全问题 5 5适用范围 5 6产品特点及优势 6 6 1安全性 6 6 2对设备的管理 6 6 3性能 6 6 4可扩展性 6 6 5易用性 7 6 6部署 7 6 7应用性 7 7产品典型接入模式 7 7 1隔离模式 7 7 2共享模式 8 8网关设备使用流程 9 8 1安装设备 9 8 2连接管理控制台 9 8 3配置后台 Web 服务器 9 9产品配置 10 9 1配置及功能 10 9 2能够代理的服务器类型 10 10主要技术指标 11 10 1支持国际通用标准 11 10 2系统运行环境 11 11典型案例 11 12鹰眼安全网关的安全性的评估 11 13鹰眼安全网关用户管理中心技术白皮书 12 13 1前言 12 13 2公开密钥基础设施 PKI 13 13 3鹰眼安全网关用户管理中心 14 13 3 1产品简介 14 13 3 2产品组成和结构 14 13 3 3产品技术特点 15 13 3 4产品功能描述 16 13 4系统性能指标 21 13 5应用案例 21 鹰眼安全网关鹰眼安全网关 1 前言前言 网络和它易于访问的普遍性极大促进了基于 web 的应用程序以及 Intranet Extranet 等的开发 企业外部网的用户通过网页访问内部网络资源 可以极大地提高效率 推动生产力和提高客户服务质量 政府 军事部门外部网 的用户通过网页访问内部网络资源 可以极大地提高办公效率和提高对外服务 质量 2 2基于基于 web 的应用的安全需求分析的应用的安全需求分析 但是基于 web 的应用是否具有发展潜力 还依赖于人们对网络安全的信任 程度 而互联网安全性的关键点在于是否可以保护机密信息传输的机密性和私 有信息记录的私有性 目前数据安全控制措施越来越多的在应用层实现 因为数据通常是由这些 应用生成 存储 管理和传输的 而且在应用层的安全措施可以控制到单个用 户 应用层的安全措施 主要目的是保证信息访问的合法性 确保合法用户根 据拥有的权限合法地访问数据 在应用层必须采取安全措施来保证数据的安全 人人都知道防止系统外部用户的攻击 但也必须采取防范措施来防止系统 内部的攻击 防止内部攻击的重要性还在于内部人员对数据的存储位置 信息 敏感性甚至防范措施都非常了解 这使得来自内部攻击所造成的损失更大 因 此内 外攻击的防范同等重要 应用层必须有安全措施 用户访问时要经过严 格的身份认证 信息系统的用户可能分布在网络上的任何接入点 所以身份认 证技术必须采用针对用户的认证方式 而不能针对地址或应用会话进程 为了 便于管理 需要采用集中式管理的访问控制手段 一个组织机构中的个人需要通过一种唯一的标识方法来确保他们可以访问 不同的信息系统 信息服务器需要对网络上的用户 不管是本地的还是远程的 进行身份鉴别 以确认对方的真实身份 身份认证方式主要有 用户口令 证 鹰眼安全网关鹰眼安全网关 书 指纹识别 声音识别等 目前常用的有口令和证书 但这种机制有很大的 弊端 容易被猜测 可以被共享 口令以明文的方式经过网络传输 容易被截 获 身份认证是首要的安全措施 其它的安全措施都是在经过认证的用户的真 实身份的基础上实施的 数据保密 为了防止未经授权的用户截取网络上的数据 需要一种手段来 对数据进行保密 数据加密就是用来实现这一目标的 数据完整性 需要一种方法来确认送到网络上的数据在传输过程中没有被 篡改 数据加密和校验被用来实现这一目标 审计记录 所有信息访问活动应该有记录 这种记录要针对用户来进行 可以实现统计 跟踪等功能 3 SSL 安全通信安全通信 SSL 协议是由 Netscape 公司首先提出的一种安全协议 SSL 采用 TCP 作为 传输协议 从而为数据的传送和接收提供了可靠性 它工作在 Socket 层上 因 此独立于更高层的应用 可为更高层的协议 如 TELNET FTP 和 HTTP 等提供安 全服务 SSL 利用公钥和单钥密码体制 为服务器和客户机之间的通信提供保 密性 数据完整性和可认证性等安全服务 SSL 安全通信流程如下 ClientClient ServerServer ClientHello ServerHello Certificate ServerKeyExchange CertificateRequest ChangeCipherSpec Finished Application Data Application Data SSL 协议使用公钥密码体制实现客户端和服务器之间的双向身份认证和数 据加密密钥的协商 使用单钥密码体制和哈希密码实现通信数据的加密和完整 性保护 4 鹰眼安全网关解决的安全鹰眼安全网关解决的安全问题问题 Web 远程用户使用 USBKey 数字证书凭证 硬件介质的双因子 凭 证及口令 安全身份认证 Web 远程用户到代理设备的通信进行 SSL 全程加密 对访问企业 政府 军事部门内部所有 web 应用程序及资源的远程用 户进行集中认证 授权管理 对访问敏感资源的用户行为的审计 屏蔽对 web 应用服务器的攻击 5 适用范围适用范围 企业或政府 军事部门的内部网 外部网 确保核心资源的安全管理 和访问 企业对客户 B2C 和企业对企业 B2B 的基于 Web 的应用系统 确保客户数据 企业间共享数据等远程安全访问 鹰眼安全网关鹰眼安全网关 6 产品特点及优势产品特点及优势 6 1 安全性 安全性 消除了企业或政府 军事部门内部局域网和外部用户之间的网络通 信的安全因素 USBKey 数字证书凭证 硬件介质进行双因子 凭证及口令 安全 身份认证 所有的 Web 服务器都可以实现 SSL 安全通信 通过审计跟踪用户对敏感信息的访问 通过上传服务器证书及连接证书吊销列表保证数字证书凭证的有效 性 通过在鹰眼安全网关上关闭除 443 和 80 以外的所有端口 阻止对 web 应用服务器的远程攻击 6 2 对设备的管理对设备的管理 基于 Web 的管理 管理员管理网关设备时需出示数字证书凭证 6 3 性能性能 高端系列具有 SSL 加速性能 每秒钟能同时建立 200 个以上 HTTPS 连接 目前网络支持 10M 100M 高端系列将支持 1000M 6 4 可扩展性可扩展性 可选择安装防火墙功能模块 即本设备可进行端口转发 鹰眼安全网关鹰眼安全网关 6 5 易用性易用性 只需在防火墙开通 80 及 443 端口 客户端可直接安装使用 不需额外的配置 简单的配置 SSL 不会和已经存在的体系结构发生冲突 6 6 部署部署 可根据不同的网络环境进行多种接入 通过单个 Internet 地址访问多个服务器 6 7 应用性应用性 将来可扩展对 SMTP POP3 IMAP 等的代理 将来可扩展应用程序 WEB 化 在不改变原有的 C S 模式下 加入本 产品 能自动将其转化成 B S 模式 7 产品典型接入模式产品典型接入模式 7 1 隔离模式 隔离模式 如图 1 鹰眼安全网关鹰眼安全网关 路由器 鹰眼安全网关客户程序 WIN2000 XP USBKey Internet Web 服务器 鹰眼安全网关 防火墙 WAN 口 LAN口 管理口 管理控制台 图 1 7 2 共享模式 共享模式 如图 2 路由器 鹰眼安全网关客户程序 WIN2000 XP USBKey Internet Web 服务器 鹰眼安全网关 防火墙 WAN 口 管理控制台 图 2 鹰眼安全网关鹰眼安全网关 8 网关设备使用流程网关设备使用流程 8 1 安装设备 安装设备 按具体网络环境进行网络接线 8 2 连接管理控制台 连接管理控制台 需要 一个有网卡的PC机 PC机需要安装IE5 5及以上版本的浏览器 有八根线的带有RJ45连接头的交叉电缆 利用该线把代理设备与管 理控制台PC机连接起来 把交叉电缆的一端连接到管理控制台的网 卡接口上 另一端接到代理设备的LAN端口 修改管理控制台PC机的IP地址为192 168 30 2 子网掩码为 255 255 255 0 通过管理界面修改代理设备的WAN的IP地址 子网掩码 默认网关 修改LAN的IP地址以适应局域网 修改了LAN的IP地址后 管理控制台PC机可接入到LAN所在的网络 且其IP地址也要修改成对应的网段 8 3 配置后台配置后台 Web 服务器服务器 管理控制台通过新的代理设备LAN的IP地址进入管理界面配置后台需代 理的Web服务器 代理设备以三种模式代理后台的 Web 服务器 普通 Web 服务器 即代理设备与外部客户端的连接是名问方式 缺 省是 80 端口 有用户认证 传输加密但无访问控制的 Web 服务器 缺省是 443 端 口 鹰眼安全网关鹰眼安全网关 有用户认证 传输加密有访问控制功能作为一个将来的扩展功能 9 产品配置产品配置 9 1 配置及功能配置及功能 有客户程序 在实际使用中如果不需要专用加密设备及 USBKey 硬 件身份设备 则可以不需要客户程序 代理设备具有以下功能 对代理设备主机网关 对内 对外 IP 地址的修改 服务停止 启动 系统关闭 添加 删除 修改后台被代理的服务器 代理设备的证书 私钥的上传 私钥保护口令的更改 自动或手动加载证书吊销列表 用户访问及管理员管理操作的审计 本设备只针对 HTTP HTTPS 端口的简单防火墙设置管理 9 2 能够代理的服务器类型 能够代理的服务器类型 普通 Web 服务器 即代理设备与外部客户端的连接是名问方式 缺省是 80 端口 有用户认证 传输加密但无基于角色的访问控制的 Web 服务器 缺省是 443 端口 鹰眼安全网关鹰眼安全网关 10 主要技术指标主要技术指标 10 1 支持国际通用标准支持国际通用标准 本系统遵循 X 509 PKCS PKIx SSL TLS 和 HTTP 1 1 等标准 可以接收 任何基于上述标准的数字证书和数字签名 它支持的 RSA 签名算法密钥长度可 达 2048 位以上 10 2 系统运行环境系统运行环境 配合使用的鹰眼安全网关客户程序支持 Win2000 XP 11 典型案例典型案例 某单位因其工作性质 其办公信息系统的用户既有国内内部用户 在一个 大院内 又有国内外地用户 分布在国内其它城市的分部 还有国外的分部 用户 其需求是 保证国外分社用户访问办公信息系统时 信息加密传输 强制 性使用 https 协议 国内分社用户 本部用户明文访问办公信息系统 使用 http 协议 这样 鹰眼安全网关保护的重点是国外的用户 1 必须认证国内服务器 同时使用数字证书 存储在 USBKey 上 向经过认证的服务器证明自己的身份 2 数据传输必须是加密的 3 对用户的操作进行审计 同时鹰眼安全网关还有以下功能 拦截所有到来请求 只处理 HTTP 请求 对指定的网址强制进行 HTTPS 转发 对后台其它应用进行端口转发 这样 既 能满足当前的安全需求 也能在将来进行安全扩充 12 鹰眼安全网关的安全性的评估鹰眼安全网关的安全性的评估 鹰眼安全网关提供了一个安全性很强的基于严格认证的用户身份进行授权 鹰眼安全网关鹰眼安全网关 而不是简单的基于 IP 地址 同时具有以下特点 鹰眼安全网关十分适合于当前 Intranet Extranet 发展的主流技术 即基 于 Web 的应用 鹰眼安全网关是专用的中间设备 很容易与各种应用服务器整合 鹰眼安全网关支持基于对称密钥和公开密钥加密机制 鹰眼安全网关管理控制台对地域分布很广的众多 Web 安全配置 管理十分 方便 鹰眼安全网关安全性采用集中式控制 同时可进行远程管理 因而 鹰眼安全网关为用户提供了易于使用 方便访问 安全的网络环境 及较为完善的安全 Internet Intranet 解决方案 13 鹰眼安全网关用户管理中心技术白皮书鹰眼安全网关用户管理中心技术白皮书 13 1 前言前言 随着计算机网络技术的不断发展 许多传统的工作模式逐渐实现了电子化 利用先进的网络技术不仅可以跨越时间和空间的障碍 还可以带来提高效率 节约开支等优势 电子商务和电子政务已逐渐成为现代网络技术应用的热点 电子商务通过大幅度降低交易成本 增加贸易机会 简化贸易流程 提高贸易 效率 推动着企业和国民经济结构的改革 电子商务是一个新兴市场 而且是 一种替代传统商务活动的新形式 由于电子政务具有提高行政效率 节约财政 开支 增强政府透明度 拉动信息化投资与消费需求 促进对外开放 促进政 府和百姓实时沟通等优点 因此 电子政务得到了各国政府的响应 在 Internet 上实现电子商务交易过程和电子政务办公过程 最核心和最关 键的问题是保证交易和办公的安全性 所有依赖于计算机和网络技术的应用 就不可避免地存在着由 Internet 的自由 开放所带来的信息安全隐患 这些信 息安全隐患主要有 身份认证身份认证 由于非法用户可以伪造 假冒政府网站 社会团体 企业和个人身份 因此登录到网上政务站点的政府内部人员 社会团体 企业 个人无法 知道他们所登录的网站是否是可信的政府网站 政府网站也无法验证登 录到网站上的客户是否是经过政府部门认证的合法用户 非法用户可以 借机进行破坏 用户名 口令 的传统认证方式安全性较弱 用户口令 易被窃取而导致损失 信息的机密性信息的机密性 传输在各政府部门间 政府与企业间 外出的领导与办公室之间的敏感 鹰眼安全网关鹰眼安全网关 机密信息和数据有可能在传输过程中被非法用户截取 信息的完整性信息的完整性 敏感 机密信息和数据在传输过程中有可能被恶意篡改 信息的不可抵赖性信息的不可抵赖性 网上行为一旦被否认 政府部门 机构或个人没有已签名的记录来作为仲裁的依据 如何建立一个安全 便捷的电子商务和电子政务应用环境 对信息提供足够的保护 已经成为当前制约电子商务和电子政务发展的主要问题 13 2 公开密钥基础设施 公开密钥基础设施 PKI 为解决Internet 的安全问题 世界各国对其进行了多年的研究 初步形成了一套完整 的 Internet 安全解决方案 即目前被广泛采用的PKI 技术 Public Key Infrastructure 公钥基 础设施 PKI 公钥基础设施 技术采用证书管理公钥 通过第三方的可信任机构 认 证中心CA Certificate Authority 把用户的公钥和用户的其他标识信息 如名称 e mail 身份证号等 捆绑在一起 在Internet 网上验证用户的身份 目前 通用的办法是采用建 立在PKI基础之上的数字证书 通过把要传输的数字信息进行加密和签名 保证信息传输 的机密性 真实性 完整性和不可否认性 从而保证信息的安全传输 身份认证身份认证 Internet 上的身份认证主要通过数字证书及其应用完成 什么是数字证书 什么是数字证书 数字证书是各类实体 持卡人 个人 商户 企业 网关 银行等 在网上进行信息交流及商 务活动的身份证明 在电子交易的各个环节 交易的各方都需验证对方证书的有效性 从 而解决相互间的信任问题 证书是一个经证书认证中心数字签名的包含公开密钥从证书的 用途来看 数字证书可分为签名证书和加密证书 签名证书主要用于对用户信息进行签名 以保证信息的不可否认性 加密证书主要用于对用户传送信息进行加简单的说 数字证书 是一段包含用户身份信息 用户公钥信息以及身份验证机构数字签名的数据 身份验证机 构的数字签名可以确保证书信息的真实性 证书格式及证书现有持证人甲向持证人乙传送 数字信息 为了保证信息传送的真实性 完整性和不可否认性 需要对要传送的信息进行 数字加密和数字签名 其传送过程如下 1 甲准备好要传送的数字信息 明文 2 甲对数字信息进行哈希 hash 运算 得到一个信息摘要 3 甲用自己的私钥 SK 对信息摘要进行加密得到甲的数字签名 并将其附在数字信 息上 4 甲随机产生一个加密密钥 DES 密钥 并用此密钥对要发送的信息进行加密 形 成密文 5 甲用乙的公钥 PK 对刚才随机产生的加密密钥进行加密 将加密后的DES密钥连同 密文一起传送给乙 鹰眼安全网关鹰眼安全网关 6 乙收到甲传送过来的密文和加过密的DES 密钥 先用自己的私钥 SK 对加密的DES 密钥进行解密 得到DES 密钥 7 乙然后用DES 密钥对收到的密文进行解密 得到明文的数字信息 然后将DES 密钥 抛弃 即DES 密钥作废 8 乙用甲的公钥 PK 对甲的数字签名进行解密 得到信息摘要 9 乙用相同的hash 算法对收到的明文再进行一次hash 运算 得到一个新的信息摘要 10 乙将收到的信息摘要和新产生的信息摘要进行比较 如果一致 说明收到的信息没 有被修改过 13 3 鹰眼安全网关用户管理中心鹰眼安全网关用户管理中心 13 3 1产品简介产品简介 成都三零盛安信息系统有限公司自主研发的鹰眼安全网关用户管理中心是一套基于PKI 技术实现的 用于在网络中建立安全基础设施的软件系统 可以为网络中各类用户和服务 器发放不同类型的数字证书 提供集中的用户管理 为应用系统实现身份认证 数字签名 等安全应用提供统一的编程接口 13 3 2产品组成和结构产品组成和结构 鹰眼安全网关用户管理中心由三部分组成 证书生成中心证书生成中心 证书存储数据库证书存储数据库 证书发布数据库证书发布数据库 三部分结构关系如下图所示 证书生成中心 证书存储数据库 证书发布数据库 SSL安全通道 服务器 X509证书 X509证书 客户端 证书生成中心 CA 系统的核心部分 负责签发和管理用户 服务器各类证书及证 书吊销列表 CRL 把签发的所有证书及 CRL 发布到证书存储数据库和证书发布数据库 证书存储数据库 保存证书生成中心签发的所有证书及 CRL 为证书生成中心提供查 询 下载等证书管理 鹰眼安全网关鹰眼安全网关 证书发布数据库 保存证书生成中心签发的所有证书及 CRL 使用 LDAP 协议为网络 中其它所有应用系统提供证书的查询 下载服务 13 3 3产品技术特点产品技术特点 自身安全性自身安全性 鹰眼安全网关用户管理中心在设计和开发时充分考虑了自身系统的安全 结构化的设 计可以使证书签发和证书存储相互独立 证书生成中心和证书存储数据库之间的数据传输 使用了加密保护 确保数据在传输过程中的安全 除了进行签发证书时 其它时间里证书 发布数据库和证书生成中心是物理断开的 实现标准化实现标准化 鹰眼安全网关用户管理中心完全基于 PKI 技术实现 支持和遵循以下 PKI 标准 X509 V3 标准 PKCS 1 RSA 加密标准 PKCS 6 可扩展证书语法标准 PKCS 7 消息封装标准 PKCS 8 私钥信息语法标准 PKCS 10 证书请求语法标准 PKCS 12 证书封装格式 LDAP 标准 多种密码算法多种密码算法 鹰眼安全网关用户管理中心支持多种对称和非对称密码算法 用于产生非对称密钥对 的密码算法有 RSA 和 DSA 用于数据加密的密码算法有 DES 3DES 和 IDEA 多种证书格式多种证书格式 鹰眼安全网关用户管理中心可以为服务器和用户签发多种编码格式和封装格式的数字 证书 支持的编码格式有 PEM 格式和 DER 格式 支持的封装格式有 CRT 和 P12 等 多种证书存储介质多种证书存储介质 由证书生成中心签发的用户证书可以写入多种存储介质中 支持的存储介质有本地硬 盘 USB key 和 IC 卡 可扩展性可扩展性 支持使用第三方密码算法和密码设备 如密钥生成设备 易用性易用性 基于 windows 平台的纯图形化操作界面 使系统的管理和使用简单易用 丰富的编程开发接口丰富的编程开发接口 应用程序使用开发接口可以使用系统中的用户信息和证书信息 鹰眼安全网关鹰眼安全网关 13 3 4产品功能描述产品功能描述 鹰眼安全网关用户管理中心提供的主要功能如下 1 证书签发 证书签发功能包括创建根 CA 证书 签署证书 申请证书 发布证书和发布吊销列表 创建根创建根 CA 证书证书 使用证书生成功能创建一个自签名的根证书 作为鹰眼安全网关用户管理中心的信任 权威 签署证书签署证书 接收证书签署请求 用根 CA 私钥对证书签署请求中的公钥信息做签名 并生成证书 申请证书申请证书 由鹰眼安全网关用户管理中心生成密钥对 用根 CA 对公钥签名 生成新的证书 发布证书发布证书 把证书发布到证书存储数据库和证书发布数据库 发布吊销列表发布吊销列表 把新的证书吊销列表发布到证书存储数据库和证书发布数据库 证书签发操作 鹰眼安全网关鹰眼安全网关 创建根 CA 证书 签署证书 鹰眼安全网关鹰眼安全网关 申请证书 2 证书管理 证书管理功能包括 证书查询 证书吊销 证书恢复和证书验证 证书查询证书查询 支持多种条件查询和模糊查询 可以从证书存储数