IPSec VPN解决方案
摘要:采用SM1、SM2、SM3、SM4算法,为企业、政府等提供通信加密服务。方案具有产品形态丰富、性能高、易部署等特点。依托于多年的IPSec VPN行业经验,可以提供灵活、安全、可定制的通信加密解决方案。关键词:安全通信,国密应用,远程访问1.概述1.1背景随着网络开放性,终端复杂性的提升,开放网络面临更多网络攻击和威胁。近一年来,发生了多起针对基础设施或大型企业的网络攻击事件。2019年10月,全球大型云服务提供商AWS受到了一系列DDoS攻击的攻击,导致部分服务瘫痪。2020年2月伊朗通信网络基础设施遭遇黑客网络攻击,造成连续多小时中断。2020年4月,我国多个涉外机构受到半岛黑客攻击。2020年5月,委内瑞拉国家电网干线遭到攻击,造成全国大面积停电。IPSec VPN作为一种成熟、安全的远程接入技术,能有效的抵御窃听、伪造、篡改等网络攻击。同时,相较于搭建物理专用网络所需要的昂贵的经济和人力成本,IPSec VPN技术具有更廉价、更灵活的优势。国家高度重视网络安全,国家密码管理局发布了GM/T 0022-2014《IPSec VPN技术规范》和GM/T 0023-2014《IPSec VPN网关产品规范》行业标准,对国内商用VPN产品在技术上和安全性上提出了指导和要求。1.2目标为了满足各行业对远程安全接入产品的迫切的应用需求,我公司制定了IPSec VPN解决方案。解决方案包含一系列的IPSec VPN产品,具有安全、合规、高性能、多规格、部署灵活、管理方便、网络适应性强等特点。2.需求分析近年来,网络安全事件频发,网络安全已经成为国家博弈的战场。2018年4月20日至21日,习近平在全国网络安全和信息化工作会议上发表讲话时提出,没有网络安全就没有国家安全。当前,各行各业都在大力进行网络安全建设。VPN技术作为保障网络通信安全的有力手段,已经成为网络安全建设中的必不可少的一环。目前市面上已有大量的网络安全产品,但仍然远远满足不了全面建设网络安全的需求。尤其是随着网络开发性和终端复杂性的提升、通过移动网络实现安全接入的需求也越来越大,市场渴望有更高效、灵活的移动接入方案。所以,我公司提出IPSec VPN安全接入解决方案,是迎合市场发展,顺应时代潮流的,必将带来良好的社会效益和经济效益。3.方案架构3.1产品架构根据分支规模、种类的不同,IPSec VPN系列包含以下产品:国产化IPSec VPN:采用国产自主可控平台,千兆级加密性能,适用于中大型分支机构。通用IPSec VPN:采用X86平台,多核架构,提供超千兆的加密性能,适用于中大型的分支机构。5G移动IPSec VPN:具有有线、5G和WIFI等多种接口,体积小,功耗低,适用于小型分支、移动分支等。3.2部署说明国产化IPSec VPN和通用IPSec VPN通常部署在中大型分支的网络出口处,与部署在小型分支或移动分支的5G移动IPSec VPN构建远程安全传输通道来保障用户网络通信数据安全。图1 部署图3.2.1 主要功能配用国密SM1、SM2、SM3、SM4算法为用户通信数据提供机密性和完整性保护;图形化管理界面,支持集中监控,便于运维;支持双机热备,具有高可靠性;采用隧道内NAT,匿名协商等技术实现动态NAT环境的接入;支持在开放网络上建立端到端的安全隧道。3.2.2技术指标1) 国产化IPSec VPN安全网关设备概况处理器龙芯 4核 3A3000处理器芯片组龙芯 7A1000操作系统中标麒麟V7.0国产化操作系统内存板贴DDR3内存,标配8GB存储接口标准SATA接口 ×1M.2接口 ×1网络电口10/100/1000 GE ×6光口SFP ×4USBUSB 2.0 ×2控制口RJ45 ×1机型1U机架式尺寸(宽×深×高)482㎜ × 320㎜ × 44㎜重量<7Kg最大功率120W电源220V AC冗余电源加密模块国产化PCIE商密加密卡工作温度-5℃~50℃存储温度-40℃~70℃性能指标算法支持SM1/SM2/SM3/SM4加密性能SM1:1GbpsSM3、SM4:3Gbps最大并发隧道数>10000条策略数>20000条每秒新建隧道数>300条并发网络流>70万条2) 通用型IPSec VPN安全网关设备概况处理器X86 4核处理器机型1U机架式操作系统嵌入式Linux操作系统内存16 GB存储接口标准SATA接口 ×2mSATA接口 ×1网络电口10/100/1000 GE ×6 光口SFP×2USBUSB 2.0 ×2控制口RJ45 ×1重量<5Kg尺寸(宽×深×高)480㎜ × 450㎜ × 44㎜电源220V AC冗余电源(选配)最大功率80W工作温度-5℃~50℃存储温度-40℃~70℃性能指标算法支持SM1/SM2/SM3/SM4加密性能SM1:1GbpsSM3、SM4:3Gbps最大并发隧道数>20000条策略数>40000条每秒新建隧道数>500条并发网络流>100万条3) 5G移动IPSec VPN终端设备概况处理器ARM 双核处理器机型非机架式操作系统嵌入式Linux操作系统内存板载1 GB存储接口板载SSD 256M网络电口10/100/1000 GE ×2USBUSB 2.0 ×1无线全网通3G/4G ×1WIFI ×1 可选ST模式或AP模式重量<1Kg尺寸(宽×深×高)110㎜ × 85㎜ × 40㎜电源12V DC最大功耗5W工作温度-25℃~50℃存储温度-40℃~70℃性能指标算法支持SM1/SM2/SM3/SM4吞吐率SM1:10MSM3、SM4:20M最大并发隧道数>100条策略数>100条每秒新建隧道数>5条并发网络流>3000条4.方案特色4.1 合规1. 符合GM/T 0022-2014《IPSec VPN技术规范》、GM/T 0023-2014《IPSec VPN网关产品规范》、GM/T 0028-2014 《密码模块安全技术要求》等相关规范要求;2. 具备商密产品型号证书。4.2 超高的安全性1.使用SM1、SM2、SM3、SM4商密算法;2.基于数字证书的密钥协商;3.使用硬件身份令牌进行身份鉴别;4.领先的性能;5.采用DPDK+VPP高性能数据平面,在同规格产品中具有明显性能优势;6.支持5G高速无线通信。4.3 更灵活的部署1.支持网关模式、桥模式、单臂模式部署;2.5G移动IPSec VPN具有有线、5G和WIFI等多种接口,能通过不同的网络进行VPN互联;3.支持匿名协商、隧道内NAT等技术,能适应复杂的网络应用场景。4.4 便捷的管理1.支持接入集中管控,方便维护升级;2.B/S架构的管理系统,支持多种操作系统和浏览器。5.适用领域本解决方案适用于能源、交通、水利、制造、金融、医疗、教育、政务、军工等多个领域,并已经在交通、政务、军工、公安、医疗等多个领域有了成功案例。6.应用案例6.1 成都武侯区卫计局实现武侯区内公立医院、私立医院、卫生站与数据中心间数据传输安全。项目覆盖了武侯区内1个数据中心、13家公立医院、17个卫生站、30多家私立医院以及若干个诊所。项目作为成都市医疗系统网络安全建设示范性项目,将在全成都范围内进行产业化推广。6.2 陕西烽火通信集团有限公司实现维修站与总部之间的实时音视频安全接入。移动5G安全接入系统的应用,使得专家不用到现场也能及时了解待维修设备的故障情况,对现场的维修工程师给予技术指导。基于IPSec VPN技术的通信保护技术,能够保证音视频信息在传输过程中不被攻击者窃取,防止秘密泄露。 中创为(成都)量子通信技术有限公司联系人:李磊 电 话:17711358862