一、用户背景

某市住房公积金管理中心成立于2003年，市政府直属事业机构，主管该地区住房公积金和其他政策性住房资金，负责住房公积金保值、归还、核算，编制住房公积金年度预算决算报告、增值收益分配方案并对执行情况进行检查。

二、用户需求

用户需求如下：

1. 解决单位外网与内网安全数据交互的问题

满足应用与应用之间，应用与数据库之间，通过隔离设备进行身份认证、授权访问和数据交换的功能。

2. 确保双方的身份的可靠性、数据的防篡改、防抵赖及事后审计

三、解决方案

内外网部署安全代理服务器，构成内外网数据交换平台，支持冗余部署。数据交换平台具有如下功能：

1. 支持对多种及多个服务的代理访问

对后台服务的访问有对多个服务访问、对多种服务访问及混合访问方式。

2. 支持代理服务器一对一及多对一的部署方式

根据应用场景，可将代理服务器配置为一对一及多对一的部署方式。

3. 支持前端应用的并发访问。

支持前端应用的并发访问，代理服务器将数据封装到加密隧道，并对后台服务发起相应的并发访问。

4. 支持前端应用的长连接及短连接通讯方式

通讯的连接方式由前端应用决定，安全代理自适应长连接及短连接方式。

5. 代理服务器可配置连接池对服务并发访问

对于数据库类的服务，可在代理服务器配置连接池，重用连接，以增加数据存取效率。

6. 可参数化配置连接时间，对过长连接进行断开

代理对应用连接进行监控，对指定时间内没有数据访问的连接，进行断开处理，以保持系统的健壮性。

7. 对前端应用可以基于 IP 、服务及时间进行访问控制

代理服务器采用白名单的方式进行访问控制，不在白名单的机器，不能访问代理。另外，特定的服务可设定只能在特定的时间段进行访问。

8. 代理服务器基于证书认证

前置和后置安全代理服务器的隧道，采用SSL协议进行加密通讯，采用数字证书进行双向认证，只有持有授权证书的前置和后置安全代理服务器才能建立加密隧道，进行后续访问。

9. 加密密钥进行协商，一次一密

每次建立新连接需进行密钥协商，产生新的密钥，对数据进行加密，保证通讯安全性。

10. 加密方法可采用 AES 、 SM4 等

可指定加密算法,可采用AES及国密算法SM4。

四、网络拓扑

图 应用安全设备部署拓扑图

五、用户收益

1. 通过内外网数据交换平台，使不同网络应用系统之间或内外网应用系统之间实现安全对接。
2. 通过强身份认证手段的采用，确保只有可信的设备才能互联。
3. 通过加密传输保证了数据传输的机密性和完整性。