四川省密码行业协会组织部分商密企业赴宁夏东西部科技合作成果展示中心考察交流
2024-04-22 10:21:25
产品展示
IPSec VPN解决方案
2021-02-23 10:24:28
摘要:采用SM1、SM2、SM3、SM4算法,为企业、政府等提供通信加密服务。方案具有产品形态丰富、性能高、易部署等特点。依托于多年的IPSec VPN行业经验,可以提供灵活、安全、可定制的通信加密解决方案。
关键词:安全通信,国密应用,远程访问
1.概述
1.1背景
随着网络开放性,终端复杂性的提升,开放网络面临更多网络攻击和威胁。近一年来,发生了多起针对基础设施或大型企业的网络攻击事件。2019年10月,全球大型云服务提供商AWS受到了一系列DDoS攻击的攻击,导致部分服务瘫痪。2020年2月伊朗通信网络基础设施遭遇黑客网络攻击,造成连续多小时中断。2020年4月,我国多个涉外机构受到半岛黑客攻击。2020年5月,委内瑞拉国家电网干线遭到攻击,造成全国大面积停电。
IPSec VPN作为一种成熟、安全的远程接入技术,能有效的抵御窃听、伪造、篡改等网络攻击。同时,相较于搭建物理专用网络所需要的昂贵的经济和人力成本,IPSec VPN技术具有更廉价、更灵活的优势。国家高度重视网络安全,国家密码管理局发布了GM/T 0022-2014《IPSec VPN技术规范》和GM/T 0023-2014《IPSec VPN网关产品规范》行业标准,对国内商用VPN产品在技术上和安全性上提出了指导和要求。
1.2目标
为了满足各行业对远程安全接入产品的迫切的应用需求,我公司制定了IPSec VPN解决方案。解决方案包含一系列的IPSec VPN产品,具有安全、合规、高性能、多规格、部署灵活、管理方便、网络适应性强等特点。
2.需求分析
近年来,网络安全事件频发,网络安全已经成为国家博弈的战场。2018年4月20日至21日,习近平在全国网络安全和信息化工作会议上发表讲话时提出,没有网络安全就没有国家安全。当前,各行各业都在大力进行网络安全建设。VPN技术作为保障网络通信安全的有力手段,已经成为网络安全建设中的必不可少的一环。目前市面上已有大量的网络安全产品,但仍然远远满足不了全面建设网络安全的需求。尤其是随着网络开发性和终端复杂性的提升、通过移动网络实现安全接入的需求也越来越大,市场渴望有更高效、灵活的移动接入方案。
所以,我公司提出IPSec VPN安全接入解决方案,是迎合市场发展,顺应时代潮流的,必将带来良好的社会效益和经济效益。
3.方案架构
3.1产品架构
根据分支规模、种类的不同,IPSec VPN系列包含以下产品:
国产化IPSec VPN:采用国产自主可控平台,千兆级加密性能,适用于中大型分支机构。
通用IPSec VPN:采用X86平台,多核架构,提供超千兆的加密性能,适用于中大型的分支机构。
5G移动IPSec VPN:具有有线、5G和WIFI等多种接口,体积小,功耗低,适用于小型分支、移动分支等。
3.2部署说明
国产化IPSec VPN和通用IPSec VPN通常部署在中大型分支的网络出口处,与部署在小型分支或移动分支的5G移动IPSec VPN构建远程安全传输通道来保障用户网络通信数据安全。
图1 部署图
3.2.1 主要功能
配用国密SM1、SM2、SM3、SM4算法为用户通信数据提供机密性和完整性保护;
图形化管理界面,支持集中监控,便于运维;
支持双机热备,具有高可靠性;
采用隧道内NAT,匿名协商等技术实现动态NAT环境的接入;
支持在开放网络上建立端到端的安全隧道。
3.2.2技术指标
1) 国产化IPSec VPN安全网关
设 备 概 况 | 处理器 | 龙芯 4核 3A3000处理器 | 芯片组 | 龙芯 7A1000 |
操作系统 | 中标麒麟V7.0国产化操作系统 | 内存 | 板贴DDR3内存,标配8GB | |
存储接口 | 标准SATA接口 ×1 M.2接口 ×1 | 网络 | 电口10/100/1000 GE ×6 光口SFP ×4 | |
USB | USB 2.0 ×2 | 控制口 | RJ45 ×1 | |
机型 | 1U机架式 | 尺寸(宽×深×高) | 482㎜ × 320㎜ × 44㎜ | |
重量 | <7Kg | 最大功率 | 120W | |
电源 | 220V AC冗余电源 | 加密模块 | 国产化PCIE商密加密卡 | |
工作温度 | -5℃~50℃ | 存储温度 | -40℃~70℃ | |
性能指标 | 算法支持 | SM1/SM2/SM3/SM4 | 加密性能 | SM1:1Gbps SM3、SM4:3Gbps |
最大并发隧道数 | >10000条 | 策略数 | >20000条 | |
每秒新建隧道数 | >300条 | 并发网络流 | >70万条 |
2) 通用型IPSec VPN安全网关
设 备 概 况 | 处理器 | X86 4核处理器 | 机型 | 1U机架式 |
操作系统 | 嵌入式Linux操作系统 | 内存 | 16 GB | |
存储接口 | 标准SATA接口 ×2 mSATA接口 ×1 | 网络 | 电口10/100/1000 GE ×6 光口SFP×2 | |
USB | USB 2.0 ×2 | 控制口 | RJ45 ×1 | |
重量 | <5Kg | 尺寸(宽×深×高) | 480㎜ × 450㎜ × 44㎜ | |
电源 | 220V AC冗余电源(选配) | 最大功率 | 80W | |
工作温度 | -5℃~50℃ | 存储温度 | -40℃~70℃ | |
性能指标 | 算法支持 | SM1/SM2/SM3/SM4 | 加密性能 | SM1:1Gbps SM3、SM4:3Gbps |
最大并发隧道数 | >20000条 | 策略数 | >40000条 | |
每秒新建隧道数 | >500条 | 并发网络流 | >100万条 |
3) 5G移动IPSec VPN终端
设 备 概 况 | 处理器 | ARM 双核处理器 | 机型 | 非机架式 |
操作系统 | 嵌入式Linux操作系统 | 内存 | 板载1 GB | |
存储接口 | 板载SSD 256M | 网络 | 电口10/100/1000 GE ×2 | |
USB | USB 2.0 ×1 | 无线 | 全网通3G/4G ×1 WIFI ×1 可选ST模式或AP模式 | |
重量 | <1Kg | 尺寸(宽×深×高) | 110㎜ × 85㎜ × 40㎜ | |
电源 | 12V DC | 最大功耗 | 5W | |
工作温度 | -25℃~50℃ | 存储温度 | -40℃~70℃ | |
性能指标 | 算法支持 | SM1/SM2/SM3/SM4 | 吞吐率 | SM1:10M SM3、SM4:20M |
最大并发隧道数 | >100条 | 策略数 | >100条 | |
每秒新建隧道数 | >5条 | 并发网络流 | >3000条 |
4.方案特色
4.1 合规
1. 符合GM/T 0022-2014《IPSec VPN技术规范》、GM/T 0023-2014《IPSec VPN网关产品规范》、GM/T 0028-2014 《密码模块安全技术要求》等相关规范要求;
2. 具备商密产品型号证书。
4.2 超高的安全性
1.使用SM1、SM2、SM3、SM4商密算法;
2.基于数字证书的密钥协商;
3.使用硬件身份令牌进行身份鉴别;
4.领先的性能;
5.采用DPDK+VPP高性能数据平面,在同规格产品中具有明显性能优势;
6.支持5G高速无线通信。
4.3 更灵活的部署
1.支持网关模式、桥模式、单臂模式部署;
2.5G移动IPSec VPN具有有线、5G和WIFI等多种接口,能通过不同的网络进行VPN互联;
3.支持匿名协商、隧道内NAT等技术,能适应复杂的网络应用场景。
4.4 便捷的管理
1.支持接入集中管控,方便维护升级;
2.B/S架构的管理系统,支持多种操作系统和浏览器。
5.适用领域
本解决方案适用于能源、交通、水利、制造、金融、医疗、教育、政务、军工等多个领域,并已经在交通、政务、军工、公安、医疗等多个领域有了成功案例。
6.应用案例
6.1 成都武侯区卫计局
实现武侯区内公立医院、私立医院、卫生站与数据中心间数据传输安全。项目覆盖了武侯区内1个数据中心、13家公立医院、17个卫生站、30多家私立医院以及若干个诊所。项目作为成都市医疗系统网络安全建设示范性项目,将在全成都范围内进行产业化推广。
6.2 陕西烽火通信集团有限公司
实现维修站与总部之间的实时音视频安全接入。移动5G安全接入系统的应用,使得专家不用到现场也能及时了解待维修设备的故障情况,对现场的维修工程师给予技术指导。基于IPSec VPN技术的通信保护技术,能够保证音视频信息在传输过程中不被攻击者窃取,防止秘密泄露。
中创为(成都)量子通信技术有限公司
联系人:李磊
电 话:17711358862
电话:028-62135834
地址:成都市高新区云华路333号1栋5单元202
邮箱:schcia@schcia.org.cn
关注微信公众号
© 2019-2022 四川省密码行业协会 版权所有 备案/许可证编号:蜀ICP备2020035411号-1 技术支持:协伴云
版权所有 © 四川省密码行业协会
技术支持:协伴云|商协会管理系统