产品展示
摘要:采用SM1、SM2、SM3、SM4算法,为企业、政府等提供通信加密服务。方案具有产品形态丰富、性能高、易部署等特点。依托于多年的IPSec VPN行业经验,可以提供灵活、安全、可定制的通信加密解决方案。
关键词:安全通信,国密应用,远程访问
1.概述
1.1背景
随着网络开放性,终端复杂性的提升,开放网络面临更多网络攻击和威胁。近一年来,发生了多起针对基础设施或大型企业的网络攻击事件。2019年10月,全球大型云服务提供商AWS受到了一系列DDoS攻击的攻击,导致部分服务瘫痪。2020年2月伊朗通信网络基础设施遭遇黑客网络攻击,造成连续多小时中断。2020年4月,我国多个涉外机构受到半岛黑客攻击。2020年5月,委内瑞拉国家电网干线遭到攻击,造成全国大面积停电。
IPSec VPN作为一种成熟、安全的远程接入技术,能有效的抵御窃听、伪造、篡改等网络攻击。同时,相较于搭建物理专用网络所需要的昂贵的经济和人力成本,IPSec VPN技术具有更廉价、更灵活的优势。国家高度重视网络安全,国家密码管理局发布了GM/T 0022-2014《IPSec VPN技术规范》和GM/T 0023-2014《IPSec VPN网关产品规范》行业标准,对国内商用VPN产品在技术上和安全性上提出了指导和要求。
1.2目标
为了满足各行业对远程安全接入产品的迫切的应用需求,我公司制定了IPSec VPN解决方案。解决方案包含一系列的IPSec VPN产品,具有安全、合规、高性能、多规格、部署灵活、管理方便、网络适应性强等特点。
2.需求分析
近年来,网络安全事件频发,网络安全已经成为国家博弈的战场。2018年4月20日至21日,习近平在全国网络安全和信息化工作会议上发表讲话时提出,没有网络安全就没有国家安全。当前,各行各业都在大力进行网络安全建设。VPN技术作为保障网络通信安全的有力手段,已经成为网络安全建设中的必不可少的一环。目前市面上已有大量的网络安全产品,但仍然远远满足不了全面建设网络安全的需求。尤其是随着网络开发性和终端复杂性的提升、通过移动网络实现安全接入的需求也越来越大,市场渴望有更高效、灵活的移动接入方案。
所以,我公司提出IPSec VPN安全接入解决方案,是迎合市场发展,顺应时代潮流的,必将带来良好的社会效益和经济效益。
3.方案架构
3.1产品架构
根据分支规模、种类的不同,IPSec VPN系列包含以下产品:
国产化IPSec VPN:采用国产自主可控平台,千兆级加密性能,适用于中大型分支机构。
通用IPSec VPN:采用X86平台,多核架构,提供超千兆的加密性能,适用于中大型的分支机构。
5G移动IPSec VPN:具有有线、5G和WIFI等多种接口,体积小,功耗低,适用于小型分支、移动分支等。
3.2部署说明
国产化IPSec VPN和通用IPSec VPN通常部署在中大型分支的网络出口处,与部署在小型分支或移动分支的5G移动IPSec VPN构建远程安全传输通道来保障用户网络通信数据安全。
图1 部署图
3.2.1 主要功能
配用国密SM1、SM2、SM3、SM4算法为用户通信数据提供机密性和完整性保护;
图形化管理界面,支持集中监控,便于运维;
支持双机热备,具有高可靠性;
采用隧道内NAT,匿名协商等技术实现动态NAT环境的接入;
支持在开放网络上建立端到端的安全隧道。
3.2.2技术指标
1) 国产化IPSec VPN安全网关
设 备 概 况 | 处理器 | 龙芯 4核 3A3000处理器 | 芯片组 | 龙芯 7A1000 |
操作系统 | 中标麒麟V7.0国产化操作系统 | 内存 | 板贴DDR3内存,标配8GB | |
存储接口 | 标准SATA接口 ×1 M.2接口 ×1 | 网络 | 电口10/100/1000 GE ×6 光口SFP ×4 | |
USB | USB 2.0 ×2 | 控制口 | RJ45 ×1 | |
机型 | 1U机架式 | 尺寸(宽×深×高) | 482㎜ × 320㎜ × 44㎜ | |
重量 | <7Kg | 最大功率 | 120W | |
电源 | 220V AC冗余电源 | 加密模块 | 国产化PCIE商密加密卡 | |
工作温度 | -5℃~50℃ | 存储温度 | -40℃~70℃ | |
性能指标 | 算法支持 | SM1/SM2/SM3/SM4 | 加密性能 | SM1:1Gbps SM3、SM4:3Gbps |
最大并发隧道数 | >10000条 | 策略数 | >20000条 | |
每秒新建隧道数 | >300条 | 并发网络流 | >70万条 |
2) 通用型IPSec VPN安全网关
设 备 概 况 | 处理器 | X86 4核处理器 | 机型 | 1U机架式 |
操作系统 | 嵌入式Linux操作系统 | 内存 | 16 GB | |
存储接口 | 标准SATA接口 ×2 mSATA接口 ×1 | 网络 | 电口10/100/1000 GE ×6 光口SFP×2 | |
USB | USB 2.0 ×2 | 控制口 | RJ45 ×1 | |
重量 | <5Kg | 尺寸(宽×深×高) | 480㎜ × 450㎜ × 44㎜ | |
电源 | 220V AC冗余电源(选配) | 最大功率 | 80W | |
工作温度 | -5℃~50℃ | 存储温度 | -40℃~70℃ | |
性能指标 | 算法支持 | SM1/SM2/SM3/SM4 | 加密性能 | SM1:1Gbps SM3、SM4:3Gbps |
最大并发隧道数 | >20000条 | 策略数 | >40000条 | |
每秒新建隧道数 | >500条 | 并发网络流 | >100万条 |
3) 5G移动IPSec VPN终端
设 备 概 况 | 处理器 | ARM 双核处理器 | 机型 | 非机架式 |
操作系统 | 嵌入式Linux操作系统 | 内存 | 板载1 GB | |
存储接口 | 板载SSD 256M | 网络 | 电口10/100/1000 GE ×2 | |
USB | USB 2.0 ×1 | 无线 | 全网通3G/4G ×1 WIFI ×1 可选ST模式或AP模式 | |
重量 | <1Kg | 尺寸(宽×深×高) | 110㎜ × 85㎜ × 40㎜ | |
电源 | 12V DC | 最大功耗 | 5W | |
工作温度 | -25℃~50℃ | 存储温度 | -40℃~70℃ | |
性能指标 | 算法支持 | SM1/SM2/SM3/SM4 | 吞吐率 | SM1:10M SM3、SM4:20M |
最大并发隧道数 | >100条 | 策略数 | >100条 | |
每秒新建隧道数 | >5条 | 并发网络流 | >3000条 |
4.方案特色
4.1 合规
1. 符合GM/T 0022-2014《IPSec VPN技术规范》、GM/T 0023-2014《IPSec VPN网关产品规范》、GM/T 0028-2014 《密码模块安全技术要求》等相关规范要求;
2. 具备商密产品型号证书。
4.2 超高的安全性
1.使用SM1、SM2、SM3、SM4商密算法;
2.基于数字证书的密钥协商;
3.使用硬件身份令牌进行身份鉴别;
4.领先的性能;
5.采用DPDK+VPP高性能数据平面,在同规格产品中具有明显性能优势;
6.支持5G高速无线通信。
4.3 更灵活的部署
1.支持网关模式、桥模式、单臂模式部署;
2.5G移动IPSec VPN具有有线、5G和WIFI等多种接口,能通过不同的网络进行VPN互联;
3.支持匿名协商、隧道内NAT等技术,能适应复杂的网络应用场景。
4.4 便捷的管理
1.支持接入集中管控,方便维护升级;
2.B/S架构的管理系统,支持多种操作系统和浏览器。
5.适用领域
本解决方案适用于能源、交通、水利、制造、金融、医疗、教育、政务、军工等多个领域,并已经在交通、政务、军工、公安、医疗等多个领域有了成功案例。
6.应用案例
6.1 成都武侯区卫计局
实现武侯区内公立医院、私立医院、卫生站与数据中心间数据传输安全。项目覆盖了武侯区内1个数据中心、13家公立医院、17个卫生站、30多家私立医院以及若干个诊所。项目作为成都市医疗系统网络安全建设示范性项目,将在全成都范围内进行产业化推广。
6.2 陕西烽火通信集团有限公司
实现维修站与总部之间的实时音视频安全接入。移动5G安全接入系统的应用,使得专家不用到现场也能及时了解待维修设备的故障情况,对现场的维修工程师给予技术指导。基于IPSec VPN技术的通信保护技术,能够保证音视频信息在传输过程中不被攻击者窃取,防止秘密泄露。
中创为(成都)量子通信技术有限公司
联系人:李磊
电 话:17711358862