零信国密HTTPS网关

一、产品简介

零信国密HTTPS网关是零信技术采用高性能密码卡打造的高端高性能网站安全硬件网关设备，是一个集https加密加速、https卸载转发、国密算法模块、SSL证书自动化、负载均衡等多项功能于一体的专用于https加速和卸载的硬件网关，内置专业级高性能硬件密码卡实现高速密码运算和网络包转发，并且对内置操作系统、网络协议、SSL/TLS协议、ECC算法和SM2算法都进行了专业的深度优化，实现了业界领先的极致性能：HTTPS新建连接可达到6万次/秒、HTTPS吞吐量可达到17Gbps、HTTPS并发量可达到300万个连接。

零信国密HTTPS网关最大的特点和特色是零申请SSL证书、零安装SSL证书、自动化实现国密HTTPS加密，自适应加密算法，支持国密算法和国密证书透明的浏览器采用SM2算法实现国密https加密，不支持国密算法和国密证书透明的浏览器采用ECC算法实现https加密。这是一个端云一体的创新解决方案，国密HTTPS网关内置国密ACME客户端，自动对接零信云SSL系统完成自动化双SSL证书申请、部署和续期，确保业务系统零改造实现https加密，不间断地自动化为多达255个不同域名的业务系统提供自动化https加密服务。

二、主要功能

零信国密HTTPS网关核心功能是原服务器零改造，无需在服务器上安装SSL证书，无需在服务器上安装ACME客户端软件，也无需升级改造服务器软件支持国密算法，只需在原服务器之前部署HTTPS网关，即可自动化实现https加密，24小时365天不间断的提供https加密服务。推荐默认双机部署，互为热备，能时双机负载均衡，否时单机独当一面。支持国密算法和国密证书透明的完全免费的国密浏览器—零信浏览器优先采用国密算法实现国密https加密，其他不支持国密算法和国密证书透明的浏览器则采用ECC算法实现https加密。

HTTPS加密所需的双算法双SSL证书由HTTPS网关对接零信云SSL系统自动化完成双SSL证书的申请、域名验证、获取证书、安装证书和启用证书。自动配置的ECC SSL证书全球信任，支持国际证书透明安全，由零信自有品牌中级根证书ZoTrus ECC DV SSL CA签发，顶级根证书是全球最老的ECC算法根证书Sectigo ECC，全链采用ECC算法，加密速度比RSA算法快18倍，让用户访问网站更快。自动配置的国密SM2 SSL证书国密合规，零信浏览器信任，是目前我国唯一一个支持国密证书透明安全的国密SSL证书，由零信自有品牌中级根证书ZoTrus SM2 DV SSL CA签发，顶级根证书是零信自有品牌国密算法顶级根证书ZoTrus SM2 SSL Root，这是我国目前唯一一个专用于签发国密SSL证书的国密根证书，已预置零信浏览器信任和零信国密证书透明日志系统信任，全链采用SM2算法，加密速度比RSA算法快20倍，让用户访问网站更快。自动配置的双SSL证书的证书链文件最小，省机房流量和用户手机流量、省机房耗电量和用户手机耗电量，更环保。

零信国密HTTPS网关主要十大功能：

• 1

  零改造https加密

  原服务器无需安装SSL证书，无需安装国密ACME客户端软件，零改造实现国密https加密，自适应加密算法，支持RSA/ECC/SM2算法https加密，支持双向认证
• 2

  自动配置SSL证书

  默认免费自动为用户设置的网站域名配置双SSL证书(ECC/SM2)，用户无需向CA申请SSL证书，无需安装和配置SSL证书，国际SSL证书全球信任，国密SSL证书国密合规。
• 3

  高性能https卸载

  完全接管和承担原服务器的SSL加密功能，大大减轻原服务器的性能压力，让原服务器专用于业务系统，大大提升客户端访问响应速度。
• 4

  用户端连接复用

  采用动态连接池技术和复用技术，捆绑海量用户端连接请求，节省大部分服务器TCP连接并持续保持，显著减少了原服务器需要处理的用户端连接数(最高可减少90%)，加快连接处理速度，提高原服务器业务处理能力。
• 5

  Web数据传输压缩

  使用标准GZIP或Deflate压缩算法来压缩HTTP流量，降低带宽消耗和降低成本，提升服务器响应与带宽效率，缩短最终用户访问和下载时间，改进用户体验和提升满意度。
• 6

  反向代理缓存

  采用内存缓存和包存储结构的方式短时间缓存网站内容，降低用户访问对原服务器的负载压力，提高原服务器的处理能力和用户的访问体验。
• 7

  会话保持机制

  基于Cookie和源IP的会话保持机制，可以为用户选择曾连接的特定服务器，实现无缝地处理用户请求。同时可以减少新建连接的数量，有效减小相关设备和服务器的系统开销。
• 8

  多算法负载均衡

  支持七层和四层协议为用户分配不同的服务器资源，支持基于URI、HOST、COOKIE、USER_AGENT等信息和基于 IP 地址、应用类型和内容等因素实现流量负载，支持NAT转换。
• 9

  TCP/UDP/DTLS安全交付

  支持TCP/UDP/DTLS + SSL/TLS的安全传输通道交付服务，能够满足基于SSL/TLS协议的TCP/UDP/DTLS网络应用系统，实现传输通道的加密和加速，原服务器系统无需任何定制改造。
• 10

  集成MQTT网关功能

  实现基于MQTT协议的物联网系统通讯的加密和加速，大幅提升并发处理效率。为原MQTT服务器提供SSL卸载功能，使得原MQTT服务器只需保持业务处理能力，大幅提升系统处理效率。

三、性能指标

零信国密HTTPS 网关提供了一种高效、安全、透明、易部署、零改造、全自动的创新方案实现https加密，能够有效扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性、提升用户访问网站的用户体验。

零信国密HTTPS 网关提供全自主可控软硬件一体化产品，包括：完全自主知识产权SSL安全网关软件系统、通过商用密码产品认证的国产密码算法硬件加速卡、采用自主可控国产操作系统、支持海光/龙芯/飞腾等国产CPU自主可控芯片、采用配套国产自主可控主板、支持国产自主可控网卡芯片等等。全自主可控软硬件一体化国密HTTPS 网关能够满足政府、军工以及其他对信息安全管控要求极高的行业应用需求。

每台零信国密HTTPS网关最多支持自动配置255张ECC SSL证书(单证书)，同时最多支持255对国密SSL证书(一张签名证书和一张加密证书)，标准的双算法双SSL证书配置支持为255个网站域名自动配置双SSL证书，实现双算法自适应https加密。实际上能为多少个网站实现https加密受限于网关硬件和密码卡所支持的新建连接数、吞吐量和并发量。

每台零信国密HTTPS网关保用期为5年，5年内免费为最多不超过255个网站域名自动配置全球信任的ECC DV SSL证书和国密合规的SM2 OV SSL证书。按照每个网站双算法双SSL证书每年888元计算，仅自动化配置的SSL证书价值高达113万元(=5*255*888)，全球独家提供超值https加密自动化解决方案！

零信国密HTTPS 网关目前提供5种不同规格的产品，可分别用于云端高性能数据中心、大中型企业服务器、小型组织服务器自动化实现https加密、特别是零改造实现国密https加密的应用需求。各种型号的产品性能指标参数如下图所示，对于有不同指标要求的用户，可以定制产品满足要求。

四、部署方案

零信国密HTTPS网关支持多种网络部署方式，支持多台设备集群部署，支持自动化对接零信云SSL系统为网关自动配置https加密所需的双SSL证书，也支持本地化部署零信云SSL系统为政务云SSL系统或商业云SSL系统，为本地云平台用户自动化签发双SSL证书，本地网关设备自动对接本地部署的云SSL系统。为了保证网关的高可用，强烈推荐双机部署，确保24*365天的不间断提供https加密服务。

1.网关透明模式部署

零信国密HTTPS网关以透明模式部署到网络之中，网关使用双网口(或多网口)，一端连接互联网出口，一端连接内网服务器交换机。所有网络数据流量均通过HTTPS网关进行卸载和转换处理（不符合安全应用协议的数据包将被丢弃），再根据预先设定的负载均衡策略为用户选择最佳内网服务器，并将数据请求透明转发到内网服务器上。

透明模式部署方式，原服务器的所有用户访问均通过HTTPS网关，不存在绕开HTTPS网关直接访问原服务器的情况。无论对内网或是对外网，服务器均不直接可见，而是隐藏在HTTPS网关后面提供Web服务。对内网或外网来讲，相当于仅存在HTTPS网关在提供https Web服务，有效保障原Web服务器的安全。推荐在原Web服务器之前保留WAF设备，以进一步保障Web应用安全。如果还没有部署WAF设备，则推荐直接选购零信国密WAF网关，同时提供https加密和WAF防护服务。

透明模式部署不会改变原服务器的IP地址，支持IP V4和IP V6，原域名解析也不用改变。

2.网关路由模式部署

零信国密HTTPS网关的两个网卡为分别负责处理两个不同路由的内外网接口，HTTPS 网关本身作为路由器或NAT转换设备。所有网络数据流量均通过HTTPS网关进行https加速、卸载和转换处理，符合安全应用协议的数据包将根据负载均衡策略转发到对应内部服务器上，其他NAT数据不受影响，支持标准路由网络通讯。

路由模式部署方式，要求HTTPS网关与内部服务器部署在不同网段，需要为HTTPS 网关分配公网IP地址和内网IP地址，同时设置网关为内网网关，并开启DHCP服务，内部服务器连接内网交换机。此模式下HTTPS网关同时提供HTTPS加密卸载转发服务和路由服务。

路由模式部署会改变原服务器IP地址，重新分配内网IP地址给原服务器。原公网IP地址配置给网关使用，支持IP V4和IP V6，原域名解析不用改变。

3.网关to网关部署

零信国密HTTPS 网关支持在客户端网络和服务器端网络分别部署，形成对称结构的“网关to网关”拓扑结构。网关to网关部署方式非常适用于中心机构与分支机构之间的业务往来，它可以将分支机构的大量应用数据请求自动https加密，通过互联网传输到中心机构，再自动将数据解密后发送到业务服务器。整个应用与系统本身无需处理通信链路的https加密工作，对称部署的HTTPS网关可实现一条透明的高速加密通道，保障数据传输安全。

网关to网关部署模式极为简单，无需改变原有的网络拓扑结构，极大的降低了网关的部署复杂度，可以广泛应用与金融行业的“银企直联”业务、交通行业的ETC全国联网业务系统、企业集团与分支机构的业务数据集中等应用场景。

4.网关集群方式部署

对于大流量的网站、政务云平台和公共云平台的https加密应用，必须部署多台国密HTTPS网关组成集群阵列-HTTPS卸载系统，多台HTTPS网关一起工作共同分担业务流量，同时互为热备设备。当某台网关发生故障时，运行在其上的服务就可以被其它网关接管，保证业务调度得到充分及时的响应。集群模式适合于强调极高性能吞吐率的冗余网络环境的部署需求。

对于中小型网站的部署，推荐至少部署两台国密HTTPS网关，实现双机热备，确保https加密服务的24小时x 365天的不间断。可选两种双机热备模式：

• 主主模式

  主主模式即Active - Active模式：在网络中部署两台HTTPS网关，两台设备均作为主机并同时处理业务流量，同时也互为备机。当其中一台HTTPS网关出现问题无法继续工作时，另一台HTTPS网关承担起全部的业务，从而保证业务调度依然能够得到响应处理，网络中不会发生局部中断。此种模式适合于强调高可用性的冗余网络环境（例如VRRP）的部署需求，推荐此模式，双机共同承担业务流量，不浪费资源。

• 主备模式

  主备模式即Active - Backup模式：在网络中部署两台HTTPS网关，一台处理业务流量，称为主机；另一台处于待命状态，称为备机。主机在处理业务的同时，会将业务产生的会话信息同步到备机，从而确保双机切换后，新发起的业务访问能继续得到响应处理，当前正在进行的业务访问也不会因此而中断。此种模式适合于大多数网络环境中避免单点故障的部署需求，此模式的备机处于闲置状态，不推荐。

5.云SSL系统本地部署

国密HTTPS网关默认自动化对接零信云SSL系统获取双SSL证书后启用https加密，而对于希望能独立自主签发自有品牌的自动部署到网关中的双SSL证书的云平台用户，可以把零信云SSL系统本地化部署实现自动化从定制专用SSL中级根证书签发网关所需的双SSL证书，本地化部署的系统称之为政务云SSL系统或公共云SSL系统。

政务云SSL系统是一个本地化部署的用于签发国密合规的支持国密证书透明的国密SSL证书的CA系统，同时也是一个用于对接国际CA系统签发全球信任的国际SSL证书系统。全套系统的部署就是为了实现完全自主可控地签发和管理用于政务网站系统的国密SSL证书和相对独立自主的签发国际SSL证书。要做到自主可控的签发政务SSL证书，首先就必须有用于签发SSL证书的中级根证书，以便能可靠地实现所有政务系统只信任自己的中级根证书签发的SSL证书，有效地高效地阻止各种针对政务网站的SSL中间人攻击和其他假冒政务网站攻击。

五、小结

零信国密HTTPS 网关全球独家创新实现原服务器零改造全自动实现国密https加密，双算法自适应https加密，开机配置网站域名和IP地址即刻直接开通https加密和加速服务、TCP/DTLS安全交付、双SSL证书自动就绪、全球信任和国密合规、高速动态缓存和压缩、连接复用、会话保持和负载均衡等众多优化功能，在保证性能高效的同时，提供业界极高的性能价格比。

零信国密HTTPS网关即插即用，部署在网站服务器的前端，原网站服务器无需任何改动，即可实现无缝从http升级到https工作方式，并且是满足国密合规的国密https加密方式，同时支持国际算法https加密以兼容不支持国密算法的浏览器。其强大的https加速卸载转发功能为网站服务器提供了额外的性能增强支持，不仅完全不增加https加解密负担，而且增强了对外响应能力和处理用户请求能力。零信国密HTTPS网关的零改造、零维护、零影响的无缝切换，是国密https加密改造和系统安全从http升级到https的首选和必选。