应用安全网关产品白皮书 v6.2

安恒信息明御WEB应用防火墙产品白皮书一、产品概述在当今数字化的时代，Web 应用已经成为企业和组织开展业务的重要窗口，但同时也面临着日益严峻的安全威胁。

为了有效保护 Web 应用的安全，安恒信息推出了明御 WEB 应用防火墙（以下简称“明御WAF”）。

这一强大的安全防护产品旨在为企业的Web 应用提供全面、精准和高效的安全防护，抵御各类网络攻击，保障业务的稳定运行。

明御 WAF 采用了先进的技术架构和智能的防护策略，能够实时监测和分析 Web 应用的流量，快速识别并拦截各种恶意攻击行为，如SQL 注入、跨站脚本攻击（XSS）、Web 应用扫描、恶意爬虫等。

同时，它还具备强大的 Web 应用漏洞防护能力，能够及时发现和修复应用中的安全漏洞，有效降低安全风险。

二、产品功能1、攻击防护明御 WAF 具备强大的入侵检测和防御功能，能够准确识别并拦截常见的Web 攻击，如SQL 注入、XSS 攻击、命令注入、文件包含等。

通过实时监测 Web 流量，对请求进行深度分析，及时发现和阻止恶意攻击行为。

针对 DDoS 攻击，明御 WAF 提供了有效的防护机制，能够识别和过滤异常流量，保障 Web 应用在遭受攻击时仍能正常运行。

对 Web 应用扫描行为进行检测和拦截，防止攻击者通过扫描获取应用的敏感信息和漏洞。

2、漏洞防护能够对 Web 应用中的常见漏洞进行检测和防护，如缓冲区溢出、目录遍历、权限提升等。

通过实时更新漏洞库，确保对最新漏洞的有效防护。

提供漏洞修复建议，帮助用户及时修复应用中的安全漏洞，提高应用的安全性。

3、访问控制支持基于 IP 地址、用户身份、访问时间等多种因素的访问控制策略，实现精细化的访问管理。

对 Web 应用的 URL 进行访问控制，限制未授权的访问和操作。

4、数据安全防护对敏感数据进行识别和加密，保障数据在传输和存储过程中的安全性。

防止数据泄露，对数据的输出进行严格的控制和过滤。

5、应用加速通过缓存、压缩等技术，提高 Web 应用的响应速度和性能，改善用户体验。

MAS产品白皮书目录1、引言 (3)1.1. 产品定义 (3)1.2. 目标 (3)2、MAS服务器总体架构 (3)2.1．MAS系统组网设计 (3)2.2MAS系统架构设计 (5)2.3MAS系统接口设计 (6)2.3.1短信、彩信、定位网关 (6)2.3.2MSP和MAS统一服务平台 (7)2.4MAS系统安全设计 (8)2.4.1传输安全机制 (8)2.4.2应用安全机制 (8)3、系统设计原则 (9)3.1 MAS系统安全设计 (9)3.2系统安全性 (9)3.3系统可移值性 (10)3.4系统可维护性要求 (10)3.5系统完备性要求 (10)3.6系统可测试性要求 (11)3.7系统易安装性要求 (11)4、MAS系统管理与使用 (11)4.1.MAS系统日常管理 (11)4.1.1.通讯录管理 (11)4.1.2.MAS维护 (13)4.2.MAS系统常用功能 (17)4.2.1.自服务平台 (17)4.2.2.业务管理 (19)4.2.3.日志管理 (27)4.2.4.性能与告警 (28)4.3.MAS二次开发 (31)4.3.1.Webservice接口 (31)4.3.2.DB接口 (32)1、引言1.1.产品定义MAS业务指中国移动通过在集团客户（主要为拥有完备信息系统的集团客户）内部部署移动代理服务器，为集团客户提供的基于移动终端（包括短信、彩信、WAP、手机客户端等）的信息化应用服务。

集团客户通过移动代理服务器将自己的应用延伸到移动终端。

1.2.目标MAS服务器作为沟通集团客户IT应用环境与移动网络之间的桥梁，对集团客户来说，提供面向移动网络的统一的界面和接口，并可衍生出结合移动终端和其它移动应用的新的应用系统，丰富集团客户应用；对中国移动来说，MAS服务器是众多集团客户应用的统一接入点，能更有效地为集团客户提供服务和支持，增加用户黏性，提升业务收入，发挥移动网络的优势，为集团客户提供更多的增值业务。

技术白皮书网神SecGate 3600 NSG系列下一代安全网关（UTM）目录1产品概述 (3)2产品功能说明 (3)2.1自适应的网络接入模式 (3)2.2完善的状态包过滤 (4)2.3全面的NAT地址转换 (5)2.43G与Wi-Fi (5)2.5病毒过滤 (5)2.6反垃圾邮件 (6)2.7VPN功能 (7)2.8强大的抗攻击能力 (7)2.9应用程序控制 (7)2.10Web过滤 (8)2.11身份验证 (9)2.12即时通讯（IM） (9)2.13入侵防御IPS (9)2.14双机热备和高可用性HA (10)2.15智能分析报表 (10)2.16全面的系统监控 (11)2.17丰富安全的管理方式与灵活的权限设置 (11)2.18完善的系统升级与双系统保障 (11)2.19系统配置的导入导出 (12)3产品技术优势 (12)3.1领先的SecOSII安全协议栈 (12)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (13)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一：网络出口综合安全防范 (14)4.2拓扑二：透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600 NSG系列下一代安全网关（UTM）（简称:“网神NSG系列UTM产品”）是基于完全自主研发、经受市场检验的成熟稳定SecOSII操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、身份认证、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理等多项安全技术于一身并且内置完善的智能报表分析的主动防御综合UTM系统。

网神NSG系列UTM产品可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界，为用户同时提供多种、多层次安全防御，保护用户网络免受病毒、蠕虫、木马、垃圾邮件以及未知的攻击等混合威胁的侵害，同时为用户节省了购买多个设备的高昂费用，可简便地统一管理各种安全模块及相关日志、报告，大大降低了设备的部署、管理和维护成本。

格尔ＳＳＬ安全认证网关　产品白皮书　Ｖ２．０　上海格尔软件股份有限公司　２００４年１２月　上海格尔软件股份有限公司　１保密事宜：　本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。

　接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。

对于以下三种信息，接受方不向格尔公司承担保密责任：　１　） 接受方在接收该文档前，已经掌握的信息。

　２　） 可以通过与接受方无关的其它渠道公开获得的信息。

　３　） 可以从第三方，以无附加保密要求方式获得的信息。

　上海格尔软件股份有限公司　２目 录　１系统概述．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３１．１信息传输的安全需求．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３１．２一般ＳＳＬ连接存在的问题．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．３２系统原理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５２．１ＳＳＬ简介．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５２．２格尔ＳＳＬ安全代理系统原理．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．５３格尔ＳＳＬ安全认证网关系统结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．１网络拓朴结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．７３．２格尔ＳＳＬ安全认证网关系统组成和结构．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．８４格尔ＳＳＬ安全认证网关功能．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１１５第三方产品兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３５．１第三方ＣＡ兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３５．２第三方设备厂商兼容．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３６格尔ＳＳＬ安全认证网关产品特点．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１３７运行环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８产品相关特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．１硬件特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．２物理特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１５８．３电气特性．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１６８．４工作环境．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．１６上海格尔软件股份有限公司　３１　系统概述　１．１　信息传输的安全需求　随着互联网络的发展，越来越多的网络应用系统从专用或内部网扩展到互联网上。

力控®工业网络安全防护网关pSafetyLink®技术白皮书北京三维力控科技有限公司版权和所有权声明北京三维力控科技有限公司对本白皮书持有版权并保留一切权利。

未经许可，任何人不得以摘录、复印、剪切等手段复制本文档中的文字、图表、数据的部分和全部。

否则，本公司将在适当情况下追究相应责任。

商标声明pSafetyLink为北京三维力控科技有限公司的注册商标。

本白皮书中涉及的其它所有品牌和产品名称均为相关公司的商标或注册商标。

目 录1. 概述 (4)1.1. 工业网络安全形势 (4)1.2. 常规网络安全产品的不足 (4)2. pSafetyLink产品简介 (6)3. 应用环境 (6)3.1. 基于OPC的应用 (7)3.2. 基于Modbus、DNP3的应用 (8)4. 产品架构 (8)4.1. 硬件架构 (8)4.2. 软件架构 (9)5. 主要技术 (10)5.1. 安全技术 (10)5.1.1. 内核安全技术 (10)5.1.2. 网络隔离技术 (10)5.1.3. 测点访问控制 (10)5.1.4. 身份认证 (11)5.2. 可靠性技术 (11)5.3. 系统性能 (11)6. 主要功能 (12)6.1. 开发工具PSL‐Config (12)6.2. 监视工具PSL‐Monitor (13)6.3. 通信标准 (13)7. 硬件平台 (13)7.1. 隔离硬件结构 (14)7.2. 硬件设计 (14)7.3. 硬件优化 (14)7.4. 生产流程控制 (14)7.5. 硬件规格 (14)1.概述1.1.工业网络安全形势在现代工业企业的信息系统中，由各种DCS、PLC、测控设备、SCADA构成的过程控制系统位于底层车间，负责完成基本的生产控制。

随着企业信息化建设的发展，迫切要求实现过程控制系统与上层管理信息系统之间互通、互联，完成经营管理层与车间执行层的双向信息流交互，使企业对生产情况保证实时反应，消除信息孤岛与断层现象。

●版权声明Copyright © 2006-2011 网御神州科技（北京）有限公司（“网御神州”）版权所有，侵权必究。

未经网御神州书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息文档名称网神SecSSL 3600安全接入网关产品白皮书文档版本号V6.3.1扩散范围销售/售前/客服/渠道商/用户作者陈蛟日期2011/04/06初审人宋伟复审人王思登●版本变更记录时间版本说明作者目录1产品概述 (4)2产品特点 (4)3产品功能 (5)4产品型号与指标 (10)5产品形态 (11)6产品资质 (14)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位，推出了自主研发的网神SecSSL 3600安全接入网关（简称：“网神SSL VPN”）产品。

该系列VPN安全网关采用国家密码管理局指定的加密算法，基于成熟可靠的专用硬件平台，在保证数据通信安全的同时提供了高性能的访问控制能力，可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。

该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。

网神SSL VPN 安全网关部门级产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品，网神SSL VPN为企业远程接入提供了最好的解决方案，它使传统的VPN 解决方案得到了升华，能让用户无论在世界的任何地方，只要使用浏览器就能够访问到公司总部的资源，如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序，而不需要安装任何客户端软件，网神SSL VPN可以集中管理企业内部的应用布置，配置细粒度的访问策略，可以更安全地实现权限控制，可以让不同级别的用户使用不同的应用。

网神SSL VPN 的C/S转B/S功能，让用户能够远程安全使用企业的ERP系统，而无需安全客户端软件，Web代理技术可以让用户访问企业内部的OA，网站或邮件系统，SSO 功能让用户能够安全而方便地使用企业内部资源，从而实现了统一应用，统一管理，网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全，SSL 防止直接的网络连接，与IPSec VPN不同，网神SSL VPN 的基于代理主机的，它通过终止网络边缘的连接而提供一个附加的安全层。

信安世纪NSAE全系列产品技术白皮书标准版V13信安世纪应用安全网关NSAE全系列产品技术白皮书信安世纪科技有限公司INFOSEC TECHNOLOGIES CO.,LTD二零零八年知识产权声明本白皮书中的内容是信安世纪公司NSAE应用安全网关产品技术讲明书。

本材料的有关权益归信安世纪公司所有。

白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。

©2007 信安世纪科技有限公司All rights reserved.NSAE应用安全网关产品技术白皮书前言 (1)第1章产品概述11.1 公司介绍11.2 产品体系介绍31.3 产品背景3第2章产品简介52.1 产品型号52.2 产品应用7第3章产品功能93.1 功能特性93.1.1 应用加速（SSL加速）93.1.2 服务器负载均衡（SLB）113.1.3 链路负载均衡（LLB）163.1.4 全局服务负载分担（GSLB）193.1.5 其他功能223.2 部署方式253.3 产品优势26第4章技术特性284.1 产品特性284.2 硬件特性304.3 性能特性31第5章总结32当前，不管在政府网、金融网、企业网、校园网依旧在广域网如Inter net上，业务量的进展都超出了过去最乐观的估量，用户大量的信息要求，持续更新的应用需求以及对业务不间断的连续访咨询，成为应用服务商解决互联网服务，获得用户认可的关键因素，即使按照当时最优条件配置建设的网络，面对不间断、快速的用户增长，服务器也会无法承担。

原有链路也会因为用户量的持续增大导致用户访咨询速度过慢，链路拥塞，网络故障频繁，专门是各个网络的核心部分，其数据流量和运算强度之大，使得单一设备全然无法承担，而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量分配，使之不至于显现一台设备过忙、而别的设备却未充分发挥处理能力的情形，就成为信息提供商及应用服务商必须克服的咨询题，负载均衡机制也因此应运而生。

目 录一、产品简介 (1)二、部署方式 (2)2.1远程接入模式 (2)2.2对等网关模式 (3)2.3综合部署模式 (4)三、产品特色 (5)3.1对PKI体系的支持 (5)3.2集中策略管理和策略分发 (5)3.3可信终端注册和管理机制 (6)3.4单点登录（SSO，single sign‐on） (6)3.5应用层防火墙 (7)3.6隧道模式部署方式 (8)3.7独特的RDP机制 (8)3.8底层开发技术 (9)3.9分布式日志存储接口 (9)四、产品功能简表 (9)五、产品规格和参数 (1)一、产品简介TrustMore安全网关针对远程安全接入而设计，其解决方案涉及身份认证、设备认证、链路安全、数据传输安全、终端安全等多个方面，通过简单的操作，实现远程安全访问政府、行业和企业开放的业务和资源，从而推动政府、行业和企业信息化的发展和政府机构之间的信息交互。

主要功能包括：1.强身份认证机制：支持U盾的身份认证方式，支持第三方认证方式的接口和扩展，具有良好的安全性和可扩展性；2.可信终端注册和认证：支持终端注册，只有注册过并通过认证的可信终端才允许和安全网关之间建立安全链路，建立安全链路之后，可以通过安全策略自动中断终端和非可信网络之间的一切链路；3.基于角色的访问控制：保证访问者只能访问被授权访问的内容和信息；4.传输中的数据加密：保证所有数据在网络传输过程中都是被加密的，防止被监听；5.分级日志管理：支持分布式日志管理，支持标准SYSLOG协议。

TrustMore安全网关的直接部署于受保护的应用系统前端，如下图所示：TrustMore安全网关重点解决应用安全的需求，因此通常会将TrustMore安全网关部署在网络的边界防火墙后面，典型位置是边界防火墙的非军事化区DMZ 中。

TrustMore安全网关可以保护标准和非标准的WEB服务、C/S服务（例如：业务系统、FTP、SSH、Oracle等），支持远程桌面和文件共享，支持整个网段的保护，支持对等网关的安全隧道模式。

安全网关系统技术白皮书中安网脉（北京）技术股份有限公司 北京电子科技学院二零零九年三月版权声明安全网关系统技术白皮书首先，我们非常感谢您查看本文档：本文档介绍了安全网关系统的产品体系结构、功能、运行环境，为用户在选用本系统时提供参考。

本手册仅提供电子文档。

Copyright © 2006 by SINOINFOSEC，中安网脉（北京）技术股份有限公司版权所有。

未经书面许可，用户不得以任何形式或通过任何途径，包括使用影印、录制在内的电子或机械手段等对该书任何部分进行复制或传播。

警告和承诺：本文档用于提供关于“安全网关系统”的产品信息。

尽管我们尽最大的努力使本文档尽可能的完备和准确，但疏漏和缺陷之处在所难免。

任何人或实体由于本文档提供的信息造成的任何损失或损害，中安网脉（北京）技术股份有限公司不承担任何义务或责任。

本书中表达的观点权属于中安网脉（北京）技术股份有限公司。

系统版权：中文名称：安全网关系统英文简称：iSecway版本号： 2.0开发单位：中安网脉（北京）技术股份有限公司本系统的版权单位：中安网脉（北京）技术股份有限公司地址：北京市丰台区富丰路7号邮政编码：100070电话：（010）63783209 或 83635361邮箱：support@安全网关系统是中安网脉（北京）技术股份有限公司自主研发的受法律保护的商业软件。

遵守法律是共同的责任，任何人未经授权人许可，不得以任何形式或方法以及出于任何目的复制或传播本软件，权利人将追究侵权者责任并保留要求赔偿的权利。

本软件系统及其文档中使用到其他公司的有关资源，其版权归相应公司所有，亦受到法律的严格保护。

反馈信息：您的反馈意见将使我们受益非浅。

如果您对本手册有任何疑问、意见或建议，请与我们联系：support@，感谢您对我们的支持和帮助。

目录第1章 产品研发单位简介 (4)第2章 产品概述 (5)第3章 产品主要功能 (7)3.1安全网关 (7)3.2安全管理中心 (7)3.3客户端登录认证 (8)3.4基于USB KEY的存储加密和身份认证 (8)第4章 产品主要特点 (9)4.1服务器保护强度高 (9)4.2用户认证严格 (9)4.3传输加密 (9)4.4存储加密 (9)4.5易用性 (10)第5章 关键技术 (11)5.1用户认证 (11)5.2用户授权 (11)5.3安全隧道 (11)5.4数据安全 (12)5.5自身安全 (12)5.6数据备份 (13)5.7集群功能 (13)5.8日志审计 (13)第6章 主要技术指标 (14)6.1安全网关 (14)6.2安全管理中心 (14)第7章 产品部署 (15)第8章 产品应用领域 (17)第9章 技术支持 (18)第1章产品研发单位简介“中国商用密码与信息安全的中流砥柱”——是中安网脉（北京）技术股份有限公司肩负的国家使命，是中安网脉公司孜孜以求的奋斗目标，也是中安网脉公司自我评价的衡量标准。

●版权声明Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1 产品概述 (4)2 产品原理 (6)3 产品功能说明 (8)4 产品技术优势 (12)5 典型应用 (15)1产品概述随着网络应用范围的不断扩大和网络应用技术的不断深入，网络用户也更加意识到网络安全的重要性，同时各个网络安全厂商也不断发布新的产品以适应用户日益增长的网络安全需求。

但无论网络安全技术如何发展，网络及网络上的信息资源依然存在着相当的安全风险，网络攻击技术和网络安全技术正如中国古代矛与盾的比喻，攻防永无止境，发展永无止境。

防火墙、防病毒、漏洞扫描和系统风险评估、入侵检测等技术都可以在一定程度上提供安全防护，但这些安全手段还不足以保障用户网络系统、信息资源的安全。

据美国《金融时报》报道，现在平均每10秒就发生一次入侵计算机网络的事件，超过1/3的互联网防火墙被攻破。

目前政府机关内部网络可能所受到的攻击包括黑客入侵，内部信息泄漏，不良信息的进入内网等方式。

因此，对于高速发展的电子政务系统来说，最迫切要解决的安全问题应该是政府内部机密信息的数据安全，如果使内外网物理上的通路断开，不失为一个最有效的解决办法。

2007年3月份，国家保密局和国务院信息化工作办公室联合发布了《电子政务保密管理指南》。

《指南》中规定：按照信息保密的技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，若非涉密网络与互联网物理隔离，则采用双向网闸隔离涉密网络与非涉密网络；若非涉密网络与互联网是逻辑隔离的，则采用单向网闸隔离涉密网络与非涉密网络，保证涉密数据不从高密级网络流向低密级网络。

如下图所示：政府涉密网络、军工、电力等行业中含有大量的敏感信息及涉密数据（可能定级为涉密网或含有敏感数据的非涉密网），这些涉密数据是绝对不能流入比它密级低的网络中的，但这些网络通常又需要能从密级低的网络中获取数据。

天融信产品白皮书网络卫士安全网关UTM系列综合安全网关系统TopGate（UTM）网络卫士安全网关TopGate(UTM)是天融信公司自主研发的新一代基于TOS平台研发推出的一款多功能综合应用网关产品。

集合了防火墙、虚拟专用网（VPN）、入侵检测和防御（IPS）、网关防病毒、WEB 内容过滤、反垃圾邮件，流量整形，用户身份认证、审计及BT、IM控制等应用。

TopGate不但能为用户提供全方位的安全威胁防护方案，还为用户提供全面的策略管理、服务质量(QoS)保证、负载均衡、高可用性(HA)以及网络带宽管理等功能。

TopGate安全网关(UTM)可灵活部署在大中型企业及其分支机构或中小企业网络的网关处，保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码以及未知的“零小时”（zero-hour）攻击等混合威胁的侵害；同时还为用户提供简便统一地管理各种安全特性及相关日志、报告，大大降低了设备部署、管理和维护的运营成本。

除此之外，TopGate还为企业提供了CleanVPN服务，使得用户通过VPN远程访问企业内网时，确保VPN数据没有病毒等有害内容。

在新攻击的防护上，TopGate对VoIP, IM/P2P, 间谍软件, 网络钓鱼, 混合攻击等都有出色的表现。

TopGate UTM 在技术上采用先进的完全内容检测技术和独特的加速引擎处理技术，可通过简单的配置和管理，以较低的维护成本为用户提供一个高级别保护的“安全隔离区”。

它对经过网关的数据流量进行病毒、蠕虫、入侵等进行高效检测，而且能够阻挡来自垃圾邮件、恶意网页的威胁，所有的检测都是在实时状态下进行，具有很高的网络性能。

多功能与高性能的完美结合TopGate网络卫士安全网关是高性能与多功能的完美结合，它通过提供全系列产品而为不同类型的用户提供多功能与高性能的UTM产品。

真正实现了一机多用，管理简单，节省大量成本。

TopGate作为一款优秀的UTM产品，具备多种安全功能，既可以作为防火墙设备，也可以作为VPN设备、病毒网关或IPS设备，更重要的是这些功能融为一体，可同时任意组合使用，满足用户各种安全需求，为用户节省大量购置与维护成本。

华为SVN安全接入网关技术白皮书华为技术有限公司版权所有© 华为技术有限公司2014。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：******************客户服务电话：4008302118目录1概述 (5)1.1企业网络的新挑战 (5)1.2传统VPN解决方案 (5)1.3 SSL VPN解决方案 (7)1.4华为一体化VPN解决方案 (8)2 SVN安全接入网关的特点 (9)2.1灵活的部署方式 (9)2.2丰富的远程安全接入功能 (11)2.2.1 Web代理 (11)2.2.2文件共享 (12)2.2.3端口转发 (12)2.2.4网络扩展 (13)2.2.5隧道定制开发 (14)2.3强大的安全云网关功能 (14)2.3.1桌面云网关 (15)2.3.2负载均衡网关 (16)2.4整体安全防护特性 (18)2.4.1传输数据加密 (18)2.4.2用户身份认证 (19)2.4.3接入终端安全 (22)2.4.4专业的防火墙防护 (23)2.4.5网关设备安全防护 (27)2.4.6灵活的资源授权 (27)2.4.7细粒度的访问控制 (28)2.4.8防暴力破解机制 (29)2.4.9日志与审计 (29)2.5完备的IPv6技术 (30)2.5.1 IPv6基本功能 (31)2.5.2 IPv4/IPv6解决方案 (31)2.5.3 IPv6路由技术 (32)2.6高可靠性 (32)2.6.1可靠的硬件平台 (32)2.6.2健壮的软件体系 (35)2.6.3双机备份技术 (35)2.6.4链路备份技术 (36)2.6.5华为SVN可靠性技术优势 (36)2.7优秀的组网适应能力 (37)2.7.1一体化VPN网关 (37)2.7.2高密度的端口支持 (37)2.7.3丰富的路由协议和路由管理 (38)2.7.4多线路智能选路 (38)2.7.5敏捷园区配套 (40)2.8完善的维护管理系统 (41)2.8.1丰富的维护管理手段 (41)2.8.2基于SNMP的终端系统管理 (41)2.8.3 WEB管理 (41)2.9领先的虚拟网关技术 (42)2.10典型组网 (43)2.10.1 SVN用于企业网络 (43)2.10.2 SVN用于电信BOSS系统 (46)2.10.3 SVN用于政府及事业单位 (48)2.10.4 SVN用于桌面云解决方案 (49)3附录A (50)3.1 SVN特性列表 (50)4附录B: 缩略语 (54)1 概述随着现代企业信息网络的不断发展以及智能终端的广泛应用，远程安全访问/移动办公的需求也呈现出迅猛的增长态势。

格尔安全认证网关产品白皮书V5.0XX格尔软件股份XX2007年8月目录1概述11.1您的网络应用安全吗？11.2解决网络应用安全您要考虑：12产品概述33为什么选择格尔安全认证网关33.1PKI数字证书的全面支持43.2对用户的一致性认证43.3自动签名验证53.4单点登录53.5多应用类型支持63.6对应用的加速63.7安全资质63.8其他特性64产品主要功能75产品部署105.1串联部署105.2并联部署125.3双机热备部署135.4负载均衡部署156选购指南167客户端运行环境178产品支持联系方式179附录公司介绍179.1公司概述179.2技术与产品189.3服务支持199.4质量管理199.5主要案例199.6公司文化理念21 10名词解释211.1您的网络应用安全吗？随着网络的快速发展，网络应用以其高效、便捷的特点得到广泛应用，如网上证券、网上银行、电子政务、电子商务、企业远程办公等。

越来越多的重要业务在网上办理，越来越多的重要信息在网络中传输，如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题，但通常的网络应用都存在以下安全隐患：●没有有效的身份认证机制：一般都采用用户名+口令的弱认证方式，这种认证用户的模式，存在极大的隐患，具体表现在：（a）口令易被猜测；（b）口令在公网中传输，容易被截获；（c）一旦口令泄密，所有安全机制即失效；（d）后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全，管理非常困难。

●数据传输不安全：当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输，而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。

●操作抵赖：网络应用将现实世界的实体操作转化为虚拟世界的信息流，信息流的可复制性对操作的唯一性和可信性提出了挑战，操作可以被抵赖成为网络应用亟需解决的一个严重问题。

1.2解决网络应用安全您要考虑信任是安全的基础，在缺乏信任的环境下，实现信息系统的安全是不可想象的，因此解决网络应用安全的一个核心问题是解决信任问题，信任主要体现在以下几方面：●强身份认证。

能士VPN系统技术白皮书NESEC SRVPN-G seriesNESEC SRVPN-M seriesNESEC SRVPN-S series版本 V1.01四川川大能士信息安全有限公司SCU-NESEC INFOSEC CO., LTD.公司信息四川川大能士信息安全有限公司SCU-NESEC INFOSEC CO., LTD.成都市一环路南一段24号四川大学科技创新中心201邮编：610065电话：（86-28）66712184 66711475传真：（86-28）85403488网址： E-mail：cd@北京能士信息安全技术有限公司BEIJING NESEC INFOSEC TECHNOLOGY CO., LTD.北京市海淀区首体南路20号国兴家园7号楼905室邮编：100044电话：（86-10）88355077传真：（86-10）88355077E-mail：bj@深圳市能士信息安全有限公司SHENZHEN NESEC INFOSEC CO., LTD.深圳市福田区八卦路众鑫大厦2209-2210邮编：518209电话：（86-0755）25887808 25884162传真：（86-0755）25884172E-mail：sz@服务与支持若您需要更详细的服务与技术支持或有相关问题需要咨询，请按以下方式联系我们。

电话：（86-28）87829712 87829713传真：（86-28）87829704E-mail：support@版本说明本技术白皮书中所涉及到的相关说明、技术指标、硬件参数等内容随着产品硬件、软件的不断升级可能会发生改变，对此，能士公司保留修改的权利。

能士公司将不定期对本技术白皮书的内容进行更新，相关更新情况恕不另行通知，详情请向能士公司咨询。

版权声明本技术白皮书版权归四川川大能士信息安全有限公司所有，未经能士公司书面许可，任何单位或个人不得改变（包括删除、修改、增加等操作）本技术白皮书中的内容，否则，能士公司将追究相应责任。

精心整理目录1 提要 (12) (17)精心整理3.3 ..... 服务编排.. (18)3.7 ..... 服务注册精心整理 (20)3.8 ..... 服务监控 (21)精心整理4.2 ....... 高可靠 (22)5 P rimeton ESB客户价值精心整理245.1 ... 高管控能力28精心整理6.1 业务应用典型场景 (28)6.1.4 保护核心精心整理业务 (33)6.1.5 银行中间总线 (42)精心整理6.2.2 应用服务网关 (43)7.1 支持的操作系统精心整理 (45)7.2 支持的硬件环境 (46)精心整理8 关于普元 (47)9 联系我们 (49)精心整理1提要企业应用集成一直是企业信息化建设中的一个难题。

随着企业规模的扩大、业务的发展，企业内部的应用系统越来越多，应用间的通信、数据交换的需求精心整理期建设了大量的信息系统，同时在业务整合的驱动下产生了不同的互联需求：在以“产品为中心”的企业发展阶段，提高生产效率是重要的目标之一，在此过程中人们发现部门间的协作是提升效率的有效方式，从而推动了部门间应用的互联与整合；精心整理●激烈的市场竞争导致买方市场的到来从而促使企业经营思路由“以产品为中心”转变成为“以客户为中心”，这样就需要对客户从市场、销售、服务等不同纬度进行全生命周期管理，从而推动了各业务域间更加广泛和深刻的应用互联与整合；●随着市场竞争的加剧及互联网技术的发展，企业在不断地从业务模式上Array保障关键服务的可用性、健壮性；业务创新在市场全球化、竞争激烈化的背景下，业务创新是企业生存和发展的有效战略。

企业尤其是大型企业不仅在于要建立适合的业务创新文化和相关的保障机精心整理制，更重要的是如何有效、快速地落实业务创新成果，要达到这一点是离不开信息系统的支撑，而这一点又为信息系统的建设提出了更高的要求：推进业务创新的有效方式之一就是基于已有的业务沉淀进行创新，而这些业务沉淀在应用系统中的表现形式就是对外暴露的服务，如何有效梳理和规划这些服务以及如何快速复用这些已有服务是进行和落实创新精心整理的认识和技术积累而推出的服务整合产品，是部署和实现SOA的理想工具，支精心整理持协议转换、消息转换、消息路由、服务编排、服务注册、服务查找、服务监控等功能。

企业Web应用安全网关技术白皮书精确过滤让网站安全变得简单目录1.产品简介 (2)2.功能特点 (2)2.1.Web应用防护 (2)2.2.Web非授权访问防护 (2)2.3.Web恶意代码防护 (3)2.4.Web应用合规 (3)2.5.Web应用交付 (3)2.6.Web应用防护事件库 (3)2.7.集中管理与事件分析 (4)3.产品型号 (4)4.用户需求 (4)5.典型应用 (5)5.1.桥模式部署 (5)5.2.代理模式部署 (5)5.3.单臂模式部署 (6)5.4.BYPASS (7)1.产品简介天清Web 应用安全网关，是启明星辰公司自行研制开发的新一代Web 安全防护与应用交付类应用安全产品，主要针对Web 服务器进行HTTP/HTTPS 流量分析，防护以Web 应用程序漏洞为目标的攻击，并针对Web 应用访问各方面进行优化，以提高Web 或网络协议应用的可用性、性能和安全性，确保Web 业务应用快速、安全、可靠地交付。

2.功能特点2.1. Web应用防护天清WAF能够精确识别并防护常见的Web攻击：•基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击；•CGI扫描、漏洞扫描等扫描攻击；•SQL注入攻击、XSS攻击等Web攻击；•应用层Dos防护；2.2. Web非授权访问防护天清WAF能够精确识别并防护常见的Web非授权访问攻击：•CSRF攻击防护•Cookie篡改防护•网站盗链防护2.3. Web恶意代码防护天清WAF能够精确识别并防护常见的Web恶意代码攻击：•网页挂马防护•WebShell防护2.4. Web应用合规天清WAF能够精确识别并防护常见的Web应用合规：•基于URL的访问控制•HTTP协议合规•敏感信息泄露防护•文件上传下载控制•Web表单关键字过滤2.5. Web应用交付天清WAF能够对Web应用加速和流量分配：•网页防篡改•基于URL的流量控制•Web应用加速•多服务器负载均衡2.6. Web应用防护事件库天清WAF产品内置Web应用防护事件库，包含各类Web安全相关事件特征，启明星辰提供定期与突发Web安全事件紧急升级服务，能够针对最新的、突发的、热点的Web 攻击进行快速响应。