融合安全网关通过内置的密码卡可创建一对公私钥对，以此作为可信根，从而提供数字证书的认证中心功能，负责数字证书的签发、注销、管理等。具有证书管理角色的管理员可以通过管理后台进行证书管理的操作，主要包括证书的申请、下载、更新、冻结、解冻、注销、查询等操作。

用户通过移动终端上的安全接入客户端连接到网关时，会基于数字证书进行双向的身份认证。一方面，客户端会从网关应答消息中拿到服务端的证书，通过客户端本地受信任证书对服务端证书进行验证，确保服务端的合法性；另一方面，网关设备从终端连接请求中获取到用户的数字证书，和设备内部的证书撤销列表进行比对，从而可以验证用户的有效性。只有确保服务端与用户的双向互信，才会进一步建立数据传输连接，使远程办公更加安全可靠。

身份认证完成后，安全接入客户端会和融合安全网关进行会话密钥协商，并通过协商得到的会话密钥建立安全通道，具体来说客户端将应用数据加密处理后转发给网关设备，网关设备调用密码卡对应用数据解密并将数据转发给内网应用服务器，反之亦然。

硬件环境

软件环境

性能指标

*指标中视频路数为按照4Mbps码流预估结果

路由模式是将融合安全网关串联在客户单位的网络上，位于网络入口与内网应用服务之间。这种模式最常用，网关处于内网与外网通讯的关键路径上，对内网的资源进行保护，这种部署方式的安全性高。

常见部署模式—单臂模式

单臂模式下，将融合安全网关和业务服务器部署在同一网段，不需要对用户现有的网络结构做任何改造，不影响用户业务的正常使用。在客户网络拓扑无法改造的情况下，建议使用该部署模式。