系统概述

随着网络的发展，网络应用因其高效、便捷等特点得到广泛应用，越来越多的应用通过网络来提供，例如网上证券、网上银行、电子政务、电子商务、企业远程办公等，随之而来的数据传输安全性问题也越来越严重，采用安全的数据传输保护手段势在必行。

SSL(Secure Sockets Layer安全套接层)协议是在互联网上广泛应用于交易安全性保障的一种主导技术，SSL几乎成了事实上的加密标准，当前大部分重要业务服务器都采用了基于SSL和HTTP技术结合的HTTPS方式访问。但是SSL服务会大量的消耗服务器的资源，降低服务器的可用性，影响系统效率。根据有关测试，当服务器运行SSL的时候，性能降低40%，在许多情况下，只能完成很少的交易。

为了解决上述问题，提高业务应用服务器的处理能力，灵创智恒研发了基于SSL技术的安全网关，通过专业的SSL加解密加速设备将繁重的，极易消耗服务器CPU资源的交换证书、协商加密算法及密钥、数据的加密解密工作从业务应用服务器上卸载到自身来处理，因此可以极大的提高业务应用服务器的性能，而且这个过程对于客户端和服务器端都是透明的。同时安全网关也支持冗余部署、负载均衡功能，可以极大的提高系统的可用性。安全认证网关CIST-SAGV2.0同时支持国际算法套件及国密算法套件，支持SSL3.0、TLSv1.0/v1.1/v1.2，同时支持国密标准SSL协议，为用户应用提供了多种选择。

产品特性

1、SSL加速

SSL卸载技术是通过将应用访问过程中SSL的加解密过程转到安全网关之上，从而减少服务器端的性能压力，提升客户端的访问响应速度。安全网关具有强劲的SSL处理能力，不但能够实现端到端的SSL加密，同时支持全面的加密算法配置，并具备完整的证书管理特性。安全网关通过对服务器的SSL卸载处理，在减少服务器性能消耗的同时，节省应用系统服务器数量，降低了业务系统的硬件投资，并大幅度缩短用户请求的响应时间从而极大提升了用户的访问体验。

在SSL处理过程中，所有的传输内容均采用加密算法处理。其中最重要的两个部分为SSL握手时交换密钥的非对称加密和数据传输时的对称加密。在现有的系统中，通常非对称加密采用2048位的RSA密钥进行加解密，因此对服务器的CPU占用率非常高。在当前通常的WEB服务器上，大约每秒钟几百次非对称加解密就可能导致CPU占用率100%。同时采用对称算法对业务数据进行加解密也会导致服务器CPU占用率居高不下，同样的服务器SSL流量大约能达到150Mbps。

2、WEB加速

与其它的连接优化技术不同，安全网关采用了动态连接池的方式，当每一个用户请求发送到安全网关时，根据负载均衡策略，安全网关将在请求将被发送到的服务器端寻找空闲的连接，如果有空闲连接，则直接将请求通过该连接发送到服务器，如果没有空闲连接，则新建一个连接与服务器端通讯。这样，既保证了在服务器端始终维持最小的连接数，又避免了由于没有空闲连接而导致的客户端请求排队的现象。

3、负载均衡

基于七层内容的调度使管理员可以根据用户请求的内容来分配服务器资源，例如基于HTTP包头内容的负载技术让管理员可以根据用户请求的内容来分配服务器资源。例如，大型的应用系统中，静态脚本可以位于一个单独的服务器组，当发生对该静态脚本的请求时，会话就被重定向到其中某个服务器，这样就保证用户请求分配的多元化和个性化，为管理人员提供更多分配策略和机制。安全网关在服务器负载均衡方面支持基于URI、HOST、COOKIE、USER_AGENT等信息的请求负载。

4、双机热备

两台安全网关部署在网络中，在此种模式下通常把正在执行负载均衡调度的安全网关称为主机，而另一台处于待命状态的安全网关则称为备机。主机在处理业务的同时，会将业务产生的会话信息同步到备机，从而确保双机切换后，新发起的业务访问能继续得到响应处理，当前正在进行的业务访问也不会因此而中断。此种模式适合于大多数网络环境中避免单点故障的部署需求。

5、证书信任体系

安全认证网关CIST-SAGV2.0支持国密双证书及国际RSA证书信任体系，适用于不同加密需求的场景。

（1）支持国密证书及算法，支持单双向SSL认证。

（2）支持国际RSA算法证书，同时也支持单双向SSL认证。

（3）支持设置信任根，防止非法证书接入。

（4）支持CRL及OCSP认证方式，可在网关上屏蔽已被吊销的证书接入。

（5）可根据证书DN等信息设置证书信任规则。

6、零客户端

安全认证网关CIST-SAGV2.0在部署时支持零客户端方式，对于国际算法SSL接入可无缝接入，对于国密算法SSL接入可支持国产国密浏览器无缝接入，无需安装任何客户端软件。

7、高性能

采用高端硬件加速引擎技术，配合优化的异步I/O、Cache和Pool机制，使得安全网关具备极佳的性能，满足各种安全接入及应用交付的需求。

（1）高效的SSL卸载：安全认证网关CIST-SAGV2.0高端产品采用高性能硬件加速，最高可支持2万次/秒的SSL新建连接，可以有效卸载SSL连接压力，加速业务应用的访问。

（2）高并发：CIST-SAG V2.0网关使用了先进的TCP并发模型，最高可支持百万以上的SSL并发连接。

（3）高吞吐：网关支持多网口聚合工作，最高加密吞吐量可达4Gbps以上，业务处理可达48000TPS。

8、高可靠

安全网关通过支持各种可靠性特性，可以有效保证业务的连续性。

（1）稳定的操作系统：裁剪的Linux系统，工作更高效可靠。

（2）双机热备：网关支持双机热备部署模式，支持主备部署和双活部署。

（3）负载均衡：网关采用多种优秀的负载算法，可以对后端多个应用服务进行负载。

（4）系统监控与告警：具备完善的系统监控界面，可监控系统资源及业务状态，系统异常是可通过短信、邮件和Syslog方式告警。

9、国密支持

安全认证网关CIST-SAGV2.0支持国密证书、国密算法（SM1/2/3/4）和国密浏览器，能够与国密CA和浏览器一起，组成完整的国密通道。基于这样的国密通道，Web应用无需任何改动，即可满足国密合规要求。

10、证书自动化

网关证书是需要定期更新的，一般时间为一年多，并且为了安全考虑，这个跟新周期会越来越短。更新证书对非专业人员而言比较复杂且陌生，容易出错，并且更新也会导致业务的短暂停顿。

安全认证网关CIST-SAGV2.0支持证书自动化部署。安全认证网关CIST-SAGV2.0提供两个方式，一个是支持ACME协议，自动与CA完整证书更新的全过程，无需手工干预，而且自动生效，不会导致业务停顿；另外一个方式是支持CertManager集中管控。

11、HTTPS全维度服务

安全认证网关CIST-SAGV2.0还提供一系列完整的服务和工具，协助用户将HTTP迁移至HTTPS，并提供对HTTPS的全流程管理，包括安全扫描、性能评测、运维监控等，确保web业务安全、稳定和可靠的运行。

典型应用

传统Web业务系统基于HTTP协议向用户提供服务，用户通过PC浏览器访问，认证环节一般采用口令和数字证书等方式。

随着用户数量的增加，尤其是数字证书密钥长度的提高，Web服务器所承载的性能压力越来越高。从RSA 1024位证书到RSA 2048位证书的切换，带来80%以上的性能下降。另外，国密SSL协议也需要硬件设备的支撑。

灵创智恒安全认证网关CIST-SAGV2.0产品，支持SSL卸载和加速功能，保障业务系统的高安全和高性能，并在同一端口自适应国际和国密SSL协议。高可用和负载均衡机制，保障业务服务不中断。