企业产品

安全代理服务器

安全代理服务器是为满足跨域和跨网络数据交换设计的应用安全专用设备。通过在不同域和网络内部部署安全代理服务器,域或网络的边界采用防火墙进行隔离,防火墙上设置规则权限,只允许安全代理服务器之间进行访问,这样就保证在网络闭合的情况下,通过安全代理服务器在应用层进行数据交换,保证了高安全级别网络的相对安全。

当前位置: 首页 > 密码服务产品 > 安全代理服务器

    现今的业务系统越来越复杂,业务系统内外部存在大量的系统调用,这就要求多个安全域之间或者不同网络之间不能互为信息孤岛,应用之间必须做到互联互通、信息共享、业务协同。为了在不改变原有系统部署的前提下,进行系统间的安全访问,必须同时满足在系统之间进行隔离的同时提供一种高强度的数据交换方式。

    安全代理服务器是为满足跨域和跨网络数据交换设计的应用安全专用设备。通过在不同域和网络内部部署安全代理服务器,域或网络的边界采用防火墙进行隔离,防火墙上设置规则权限,只允许安全代理服务器之间进行访问,这样就保证在网络闭合的情况下,通过安全代理服务器在应用层进行数据交换,保证了高安全级别网络的相对安全。不同网络之间的安全代理服务器及相关安全设备,构成跨网络的数据安全交换平台。

    应用与应用之间,应用与数据库之间,通过安全代理服务器进行身份认证、授权访问和数据交换。安全代理服务器的组成包括正向代理、协议解析、前后端认证、加密通讯、服务代理等模块,设备支持冗余部署模式,可以保证关键业务的高可用性,避免单点故障。

    安全代理服务器能够解决传统防火墙和隔离网闸对于复杂应用处理时的一些缺点。隔离网闸适用于传输裸数据文件,但是在应用通过网闸访问数据库时,网闸对复杂数据库语句处理,因为过滤、策略设置原因容易出现处理错误;在代理网页时,对复杂的多应用链接也容易出现代理或者翻译错误。

    1. 支持对多种及多个服务的代理访问
    2. 对后台服务的访问有对多个服务访问、对多种服务访问及混合访问方式。

    3. 支持代理服务器一对一及多对一的部署方式。
    4. 根据应用场景,可将代理服务器配置为

    5. 支持前端应用的并发访问。
    6. 支持前端应用的并发访问,代理服务器将数据封装到加密隧道,并对后台服务发起相应的并发访问。

    7. 支持前端应用的长连接及短连接通讯方式
    8. 通讯的连接方式由前端应用决定,安全代理自适应长连接及短连接方式。

    9. 代理服务器可配置连接池对服务并发访问
    10. 对于数据库类的服务,可在代理服务器配置连接池,重用连接,以增加数据存取效率。

    11. 可参数化配置连接时间,对过长连接进行断开
    12. 代理对应用连接进行监控,对指定时间内没有数据访问的连接,进行断开处理,以保持系统的健壮性。

    13. 对前端应用可以基于IP、服务及时间进行访问控制
    14. 代理服务器采用白名单的方式进行访问控制,不在白名单的机器,不能访问代理。另外,特定的服务可设定只能在特定的时间段进行访问。

    15. 代理服务器基于证书认证
    16. 前置和后置安全代理服务器的隧道,采用SSL协议进行加密通讯,采用数字证书进行双向认证,只有持有授权证书的前置和后置安全代理服务器才能建立加密隧道,进行后续访问。

    17. 加密密钥进行协商,一次一密
    18. 每次建立新连接需进行密钥协商,产生新的密钥,对数据进行加密,保证通讯安全性。

    19. 加密方法可采用AES、SM4等
    20. 可指定加密算法,可采用AES及国密算法SM4。

    21. 日志功能
    22. 为了对访问过程进行全程跟踪,便于查错、排错及事后审计,需对整个过程进行日志记录。

    23. watchdog 功能
    24. 在单机的情况下,为了达到高可用性,增加watchdog功能在系统处于不可预知的状态下,及时重启系统。

    安全代理服务器可以应用于两种应用场景,一是部署于同一物理地点的不同网络(域)之间的用于数据交换,另外是远程数据交换。

    这两种方式对于应用而言,均不需要应用系统进行修改。

    1. 内外网(域)之间数据安全交换

    如下图所示,内外网之间采用防火墙进行边界逻辑隔离,防火墙上设置规则权限,只允许安全代理服务器之间进行访问,在内外网各部署一台安全代理服务器进行数据交换。特别注意,需要在接入链路上部署IPS或者WEB防火墙设备,对外网数据进行应用层防恶意代码处理,防止恶意代码通过安全代理服务器对内网进行应用层的攻击。

    图 内外网数据安全交换示意图

    1. 远程数据安全交换

    在远程进行数据交换时,在远程和本地域均部署安全代理服务器,进行身份认证、授权访问,同时采用加密通讯方式进行数据安全交换。

    图 远程数据安全交换示意图

  • =============内容区4==============