零改造实现https国密改造

零信国密HTTPS网关

一、产品简介

零信国密HTTPS网关是零信技术采用高性能密码卡打造的高端高性能网站安全硬件网关设备,是一个集https加密加速、https卸载转发、国密算法模块、SSL证书自动化、负载均衡等多项功能于一体的专用于https加速和卸载的硬件网关,内置专业级高性能硬件密码卡实现高速密码运算和网络包转发,并且对内置操作系统、网络协议、SSL/TLS协议、ECC算法和SM2算法都进行了专业的深度优化,实现了业界领先的极致性能:HTTPS新建连接可达到6万次/秒、HTTPS吞吐量可达到17Gbps、HTTPS并发量可达到300万个连接。

零信国密HTTPS网关

零信国密HTTPS网关最大的特点和特色是零申请SSL证书、零安装SSL证书、自动化实现国密HTTPS加密,自适应加密算法,支持国密算法和国密证书透明的浏览器采用SM2算法实现国密https加密,不支持国密算法和国密证书透明的浏览器采用ECC算法实现https加密。这是一个端云一体的创新解决方案,国密HTTPS网关内置国密ACME客户端,自动对接零信云SSL系统完成自动化双SSL证书申请、部署和续期,确保业务系统零改造实现https加密,不间断地自动化为多达255个不同域名的业务系统提供自动化https加密服务。

零信国密HTTPS网关

二、主要功能

零信国密HTTPS网关核心功能是原服务器零改造,无需在服务器上安装SSL证书,无需在服务器上安装ACME客户端软件,也无需升级改造服务器软件支持国密算法,只需在原服务器之前部署HTTPS网关,即可自动化实现https加密,24小时365天不间断的提供https加密服务。推荐默认双机部署,互为热备,能时双机负载均衡,否时单机独当一面。支持国密算法和国密证书透明的完全免费的国密浏览器—零信浏览器优先采用国密算法实现国密https加密,其他不支持国密算法和国密证书透明的浏览器则采用ECC算法实现https加密。

零信国密HTTPS网关

HTTPS加密所需的双算法双SSL证书由HTTPS网关对接零信云SSL系统自动化完成双SSL证书的申请、域名验证、获取证书、安装证书和启用证书。自动配置的ECC SSL证书全球信任,支持国际证书透明安全,由零信自有品牌中级根证书ZoTrus ECC DV SSL CA签发,顶级根证书是全球最老的ECC算法根证书Sectigo ECC,全链采用ECC算法,加密速度比RSA算法快18倍,让用户访问网站更快。自动配置的国密SM2 SSL证书国密合规,零信浏览器信任,是目前我国唯一一个支持国密证书透明安全的国密SSL证书,由零信自有品牌中级根证书ZoTrus SM2 DV SSL CA签发,顶级根证书是零信自有品牌国密算法顶级根证书ZoTrus SM2 SSL Root,这是我国目前唯一一个专用于签发国密SSL证书的国密根证书,已预置零信浏览器信任和零信国密证书透明日志系统信任,全链采用SM2算法,加密速度比RSA算法快20倍,让用户访问网站更快。自动配置的双SSL证书的证书链文件最小,省机房流量和用户手机流量、省机房耗电量和用户手机耗电量,更环保。

零信国密HTTPS网关主要十大功能:

三、性能指标

零信国密HTTPS 网关提供了一种高效、安全、透明、易部署、零改造、全自动的创新方案实现https加密,能够有效扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性、提升用户访问网站的用户体验。

零信国密HTTPS 网关提供全自主可控软硬件一体化产品,包括:完全自主知识产权SSL安全网关软件系统、通过商用密码产品认证的国产密码算法硬件加速卡、采用自主可控国产操作系统、支持海光/龙芯/飞腾等国产CPU自主可控芯片、采用配套国产自主可控主板、支持国产自主可控网卡芯片等等。全自主可控软硬件一体化国密HTTPS 网关能够满足政府、军工以及其他对信息安全管控要求极高的行业应用需求。

每台零信国密HTTPS网关最多支持自动配置255张ECC SSL证书(单证书),同时最多支持255对国密SSL证书(一张签名证书和一张加密证书),标准的双算法双SSL证书配置支持为255个网站域名自动配置双SSL证书,实现双算法自适应https加密。实际上能为多少个网站实现https加密受限于网关硬件和密码卡所支持的新建连接数、吞吐量和并发量。

每台零信国密HTTPS网关保用期为5年,5年内免费为最多不超过255个网站域名自动配置全球信任的ECC DV SSL证书和国密合规的SM2 OV SSL证书。按照每个网站双算法双SSL证书每年888元计算,仅自动化配置的SSL证书价值高达113万元(=5*255*888),全球独家提供超值https加密自动化解决方案!

零信国密HTTPS 网关目前提供5种不同规格的产品,可分别用于云端高性能数据中心、大中型企业服务器、小型组织服务器自动化实现https加密、特别是零改造实现国密https加密的应用需求。各种型号的产品性能指标参数如下图所示,对于有不同指标要求的用户,可以定制产品满足要求。

产品版本
中小企业版
标准千兆版
专业准万兆版
专业万兆版
专业信创版
产品型号
MG-1-5
MG-1-6
MG-1-7
MG-1-8
MG-1-9
含ECC SSL证书数量
50张
100张
150张
255张
255张
含SM2 SSL证书数量
50张
100张
150张
255张
255张
双SSL证书服务年限
5年
5年
5年
5年
5年
ECC SSL证书类型
DV SSL证书
DV SSL证书
DV SSL证书
DV SSL证书
DV SSL证书
SM2 SSL证书类型
OV SSL证书
OV SSL证书
OV SSL证书
OV SSL证书
OV SSL证书
网站可信认证类型
EV认证
EV认证
EV认证
EV认证
EV认证
国密https加密吞吐
200 Mbps
900 Mbps
3 Gbps
9 Gbps
900 Mbps
国际https加密吞吐
240 Mbps
910 Mbps
3 Gbps
9 Gbps
910 Mbps
新建连接数(CPS)
1千
1万
2.5万
5万
8千
事务处理数(TPS)
3千
4万
8万
15万
3万
最大并发连接数
5万
30万
100万
200万
10万
网络接口
6个千兆
6个千兆
6个千兆+2个万兆
6个千兆+4个万兆
6个千兆
机箱
1U
2U
2U
2U
2U
电源
双电源
双电源
双电源
双电源
双电源
仅证书项价值(5年)
22万元
44万元
66万元
113万元
113万元
节省人力成本(5年)
30万元
60万元
100万元
150万元
150万元
适用对象
小企业,分支机构
中小企业,金融机构
大中型企业,政府机构,金融机构
商业云平台,政务云平台
政府机构,金融机构

四、部署方案

零信国密HTTPS网关支持多种网络部署方式,支持多台设备集群部署,支持自动化对接零信云SSL系统为网关自动配置https加密所需的双SSL证书,也支持本地化部署零信云SSL系统为政务云SSL系统或商业云SSL系统,为本地云平台用户自动化签发双SSL证书,本地网关设备自动对接本地部署的云SSL系统。为了保证网关的高可用,强烈推荐双机部署,确保24*365天的不间断提供https加密服务。

1.网关透明模式部署

零信国密HTTPS网关以透明模式部署到网络之中,网关使用双网口(或多网口),一端连接互联网出口,一端连接内网服务器交换机。所有网络数据流量均通过HTTPS网关进行卸载和转换处理(不符合安全应用协议的数据包将被丢弃),再根据预先设定的负载均衡策略为用户选择最佳内网服务器,并将数据请求透明转发到内网服务器上。

网关透明模式部署

透明模式部署方式,原服务器的所有用户访问均通过HTTPS网关,不存在绕开HTTPS网关直接访问原服务器的情况。无论对内网或是对外网,服务器均不直接可见,而是隐藏在HTTPS网关后面提供Web服务。对内网或外网来讲,相当于仅存在HTTPS网关在提供https Web服务,有效保障原Web服务器的安全。推荐在原Web服务器之前保留WAF设备,以进一步保障Web应用安全。如果还没有部署WAF设备,则推荐直接选购零信国密WAF网关,同时提供https加密和WAF防护服务。

透明模式部署不会改变原服务器的IP地址,支持IP V4和IP V6,原域名解析也不用改变。

2.网关路由模式部署

零信国密HTTPS网关的两个网卡为分别负责处理两个不同路由的内外网接口,HTTPS 网关本身作为路由器或NAT转换设备。所有网络数据流量均通过HTTPS网关进行https加速、卸载和转换处理,符合安全应用协议的数据包将根据负载均衡策略转发到对应内部服务器上,其他NAT数据不受影响,支持标准路由网络通讯。

网关路由模式部署

路由模式部署方式,要求HTTPS网关与内部服务器部署在不同网段,需要为HTTPS 网关分配公网IP地址和内网IP地址,同时设置网关为内网网关,并开启DHCP服务,内部服务器连接内网交换机。此模式下HTTPS网关同时提供HTTPS加密卸载转发服务和路由服务。

路由模式部署会改变原服务器IP地址,重新分配内网IP地址给原服务器。原公网IP地址配置给网关使用,支持IP V4和IP V6,原域名解析不用改变。

3.网关to网关部署

零信国密HTTPS 网关支持在客户端网络和服务器端网络分别部署,形成对称结构的“网关to网关”拓扑结构。网关to网关部署方式非常适用于中心机构与分支机构之间的业务往来,它可以将分支机构的大量应用数据请求自动https加密,通过互联网传输到中心机构,再自动将数据解密后发送到业务服务器。整个应用与系统本身无需处理通信链路的https加密工作,对称部署的HTTPS网关可实现一条透明的高速加密通道,保障数据传输安全。

网关to网关部署

网关to网关部署模式极为简单,无需改变原有的网络拓扑结构,极大的降低了网关的部署复杂度,可以广泛应用与金融行业的“银企直联”业务、交通行业的ETC全国联网业务系统、企业集团与分支机构的业务数据集中等应用场景。

4.网关集群方式部署

对于大流量的网站、政务云平台和公共云平台的https加密应用,必须部署多台国密HTTPS网关组成集群阵列-HTTPS卸载系统,多台HTTPS网关一起工作共同分担业务流量,同时互为热备设备。当某台网关发生故障时,运行在其上的服务就可以被其它网关接管,保证业务调度得到充分及时的响应。集群模式适合于强调极高性能吞吐率的冗余网络环境的部署需求。

网关集群方式部署

对于中小型网站的部署,推荐至少部署两台国密HTTPS网关,实现双机热备,确保https加密服务的24小时x 365天的不间断。可选两种双机热备模式:

5.云SSL系统本地部署

国密HTTPS网关默认自动化对接零信云SSL系统获取双SSL证书后启用https加密,而对于希望能独立自主签发自有品牌的自动部署到网关中的双SSL证书的云平台用户,可以把零信云SSL系统本地化部署实现自动化从定制专用SSL中级根证书签发网关所需的双SSL证书,本地化部署的系统称之为政务云SSL系统或公共云SSL系统。

政务云SSL系统是一个本地化部署的用于签发国密合规的支持国密证书透明的国密SSL证书的CA系统,同时也是一个用于对接国际CA系统签发全球信任的国际SSL证书系统。全套系统的部署就是为了实现完全自主可控地签发和管理用于政务网站系统的国密SSL证书和相对独立自主的签发国际SSL证书。要做到自主可控的签发政务SSL证书,首先就必须有用于签发SSL证书的中级根证书,以便能可靠地实现所有政务系统只信任自己的中级根证书签发的SSL证书,有效地高效地阻止各种针对政务网站的SSL中间人攻击和其他假冒政务网站攻击。

云SSL系统本地部署

五、小结

零信国密HTTPS 网关全球独家创新实现原服务器零改造全自动实现国密https加密,双算法自适应https加密,开机配置网站域名和IP地址即刻直接开通https加密和加速服务、TCP/DTLS安全交付、双SSL证书自动就绪、全球信任和国密合规、高速动态缓存和压缩、连接复用、会话保持和负载均衡等众多优化功能,在保证性能高效的同时,提供业界极高的性能价格比。

零信国密HTTPS网关即插即用,部署在网站服务器的前端,原网站服务器无需任何改动,即可实现无缝从http升级到https工作方式,并且是满足国密合规的国密https加密方式,同时支持国际算法https加密以兼容不支持国密算法的浏览器。其强大的https加速卸载转发功能为网站服务器提供了额外的性能增强支持,不仅完全不增加https加解密负担,而且增强了对外响应能力和处理用户请求能力。零信国密HTTPS网关的零改造、零维护、零影响的无缝切换,是国密https加密改造和系统安全从http升级到https的首选和必选。