安全网关系统InteGATE

实施InteKEY时，经常碰到需要与管理系统（如OA 、PDM等）集成的情况。由于用户所站角度不同，往往存在不同的需求。有些为数据安全起见，希望管理系统数据仓中的数据以加密形式存放；有些出于方便考虑，希望系统数据仓中的数据以明文形式存放。不论数据仓存放明文还是密文在实际应用中都有可能存在这样那样的安全隐患或不便。单纯依靠加密系统很难灵活适应用户需求。而在管理系统服务器前置InteGATE设备可以很好的解决此问题。可以根据用户需要，控制未安装加密客户端的计算机对系统的访问，既满足企业所需的方便性，又能防止直接获取服务器中的明文。

一、功能

与传统准入控制不同，InteGATE实现的准入控制功能更具针对性，仅控制是否允许访问受控服务器的指定端口。例如：FTP使用21端口进行数据传输，对受控服务器的21端口进行管控后，只有允许访问的计算机可以连接FTP进行数据传输，而不允许访问的计算机则不能连接FTP。

二、特点

InteGATE在部署时，只需要在受控服务器前置即可。实现准入功能的同时可以做到“四不”。

• 不改变网络架构
• 不改变访问方式
• 不更换交换机
• 不安装客户端（使用白名单时不需要安装客户端）

三、基本原理

InteGATE部署在受控服务器前端，所有访问受控服务器的数据包均需经过InteGATE转发。当给受控服务器发数据包时，先由InteGATE代收，经InteGATE分析数据包与准入配置比较，当被认为是允许的访问时，数据包将转给受控服务器。否则直接将数据包丢弃。

允许的访问几种情况：

• 发起数据传输的客户端在动态列表中
• 发起数据传输的客户端在白名单列表中
• 发起数据传输的客户端未使用受控端口连接。如准入设置的受控端口是21，但访问的却是80端口

禁止访问的几种情况：

• 发起数据传输的客户端不在动态列表也不在白名单中
• 发起数据传输的客户端在黑名单中

四、部署方式

InteGATE可以实现快速部署，而且不改变网络架构，只需在受控服务器前置InteGATE设备即可。
部署步骤：
1).将InteGATE设备放置在服务器机架上；
2).将InteGATE接入交换机。拨掉受控服务器的网线，网线原来接受控服务器的一端，接入到InteGATE中；
3).将InteGATE与受控服务器连接。用一根网线将InteGATE与受控服务器连接。

五、配置

1. 登录

InteGATE管理端采用B/S架构，使用浏览器登录InteGATE设备可以管理配置准入系统。

2. 受控服务器管理

受控服务器列表，显示所有受控服务器的IP地址及端口。同时可以添加、修改、删除受控服务器。

3. 准入配置

指定受控服务器的IP、端口。

4. 动态信息

显示所有已装加密客户端并验证匹配的计算机。在动态信息中的计算机将可以正常访问受控服务器的受控端口。

5. 白名单

未安装加密客户端但又希望可以正常访问受控服务器时可以将其添加到白名单中。

6 黑名单

与白名单相反，对于已在动态信息中的计算机，又不允许其访问受控服务器时，可以将其加入到黑名单中。