【非密】VPN安全网关技术白皮书

中华卫士VPN安全网关

技术白皮书

文档版本： V1.0

发布日期： 2021-05-06

声明：

文档版权所有为成都卫士通信息产业股份有限公司，公司保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制文档内容的部分或全部，并不得以任何形式传播。

您购买的产品、服务或特性等应受卫士通公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，卫士通公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明显或暗示的担保。

为成都卫士通信息产业股份有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

目 录

前言 4

1 产品概述 6

1.1 产品简介 6

1.2 产品外观 6

1.2.1 VIS1000F 7

1.2.2 VIS500F 7

1.3 产品组成 7

1.4 应用领域 7

1.5 标准规范 8

2 产品功能 8

3 指标参数 9

4 产品特色与价值 10

5 应用场景 11

6 典型部署 12

6.1 IPSec VPN应用典型部署 12

6.1.1 星形组网 12

6.1.2 网状组网 14

6.1.3 级联组网 15

6.2 SSL VPN应用典型部署 17

7 产品资质 18

8 成功案例 19

8.1 中央某委项目 19

8.2 电科某网项目 20

8.3 中央某办项目 21

8.4 西藏自治区某委项目 22

9 产品清单 23

9.1 IPSec组网 23

9.2 SSL VPN组网 23

9.3 二合一组网 23

1前言

在信息化高度发展、电子商务、电子政务开始被企业和政府等行业普遍应用的今天，不同分支机构之间、不同信息系统之间有着非常迫切的网络互连需求，如我们常见的业务系统、VOIP和网络视频等应用。

对于企业而言，随着企业规模的不断扩大和业务的不断扩充，企业跨地区、跨国发展成为了一种必然趋势，因此企业内部安全的跨地区的网络互连成为了企业内部办公网络的必然需求。而政府、事业单位一直都是中国信息化的先行者。随着“电子政务”的进一步深入，各级政府，各个分支机构、合作单位网络的互联互通和信息交互变得日益频繁。随着移动办公的普及，可提供随时随地可以安全接入的办公网络也逐渐成为了企业或者政府公共网络发展的一个必然趋势。

无论是企业的信息化应用，还是政府的电子政务应用，都离不开一个这样的前提：首先需要建立一个安全的、可靠的、互联互通的基础网络平台。建立这样的基础网络，传统的做法是采用电信运营商提供的专网，比如DDN、帧中继、MPLS等。但是对于大部分企业和政务而言，专网的建设存在了成本高，后期网络维护难度大的问题。

随着Internet的普及和VPN技术的出现，为企业和政府的信息化专网建设提供了发展的良机和更好的选择。VPN（Virtual Private Network，虚拟专网）是利用公共网络资源来构建的虚拟专用网络。它通过特殊设计的硬件或者软件直接在网络中通过隧道、加密、认证等技术来实现远程网络的互联互通，以及确保信息远程传输的安全。通过VPN能提供与专线一样的安全性和功能保障，使得整个企业网络在逻辑上成为一个专用的透明内部网络，具有安全性、可靠性和可管理性等特点。随着国内运营商网络基础设施的不断完善和宽带互联网的普及，使得VPN技术和应用的发展也获得了空前的发展。今天，VPN虚拟专用网已经具备和专线相近的稳定性和安全性。事实上，利用VPN技术来组件自己的“专用网络”，也成为了当下大部分政府和企业的首选组网解决方案。在各种VPN技术中，基于IPSec的VPN技术和基于SSL的VPN技术经过多年的实践、发展和完善，以其方便性、安全性、标准化等优势，得到了广泛应用，也成为了当前实现企业、政府跨区域安全互联的主要技术手段。

早期的IPSec VPN和SSL VPN是单独设备，并且分别在不同场景下为用户提供不同的VPN接入服务。IPSec VPN主要应用在对用户子网和子网之间传输的数据提供机密性、完整性和安全性的保护；SSL VPN则主要应用在移动办公人员接入企业内网，访问企业内网资源的场景下使用。但是随着移动互联网的发展，移动办公逐渐成为了主流，因此IPSec VPN和SSL VPN也逐渐从分离走向了融合。正是在这种背景下，卫士通经过多代卫士通人长期的潜心研发，结合在国密IPSec VPN和国密SSL VPN上的技术积累，研发了满足国密标准的中华卫士VPN安全网关，并成功广泛应用于政府和大中型企事业单位，为客户的业务提供最可靠的安全保障。

1产品概述

中华卫士VPN安全网关是成都卫士通信息产业股份有限公司研制的一款综合安全网关产品。

产品配置硬件加密卡，采用国密SM1/SM2/SM3/SM4密码算法为用户提供机密性、完整性保护、访问控制、身份认证等安全防护功能。产品同时具备IPSec VPN及SSL接入功能，既能满足总部及分支机构的安全互联，也能满足远程用户访问内网应用提供安全接入功能。

1.1产品简介

中华卫士VPN安全网关完全符合国家密码管理局制定的GM/T 0022-2014《IPSec VPN技术规范》、GM/T 0023-2014 《IPSec VPN网关产品规范》、GM/T 0024-2014《SSL VPN技术规范》、GM/T 0025-2014《SSL VPN网关产品规范》等标准规范，产品具备高度的合规性。

通过中华卫士VPN网关可以实现企业总部与分支机构、合作伙伴、移动办公人员等多种网络互联需求，对网络中传输的数据提供机密性、完整性等安全防护手段；同时，也可以实现对用户访问应用系统的身份识别，以及基于角色的访问控制，确认用户身份、控制用户权限，加固应用服务，审计用户行为、明确管理责任，保障传输安全，确保用户网络的持续可靠运行。

1.2产品外观

中华卫士VPN安全网关为软硬件一体化的密码类设备，分为千兆高端（VIS1000F）及千兆低端（VIS500F）两款产品。

1.2.1VIS1000F

SJJ19143 VIS1000F前视图

SJJ19143 VIS1000F后视图

1.2.2VIS500F

SJJ19143 VIS500F前视图

SJJ19143 VIS500F后视图

1.3产品组成中华卫士VPN安全网关包括千兆高端、千兆低端两款产品形态，部署于中心及重要分支节点的网络出口位置。

1.4应用领域

中华卫士VPN安全网关可以应用于政府部门、银行、教育、公安和大型企事业单位。

1.5标准规范

中华卫士VPN安全网关遵循如下标准规范：

1)国标

国家市场监督管理总局、中国国家标准化管理委员会

GBT 36968-2018《信息安全技术 IPSec VPN技术规范》

2)密码行业标准

国家密码管理局

GM/T 0022-2014《IPSec VPN技术规范》

GM/T 0023-2014《IPSec VPN网关产品规范》

GM/T 0024-2014《SSL VPN技术规范》

GM/T 0025-2014《SSL VPN网关产品规范》

2产品功能

中华卫士VPN安全网关主要具有以下功能：

算法支持：SM1、SM2、SM3、SM4算法；

提供基于B/S模式的用户接口，基于B/S模式完成IPSec&SSL VPN系统管理配置功能；

支持透明模式和路由模式接入；

对内网服务器的隐藏保护功能；

支持基于证书的双向身份认证；

丰富的日志和故障记录，支持导出syslog；

支持NAT穿越。

基于主从认证模式的身份认证；

支持SOCKS代理、服务映射、IP隧道等多种代理方式；

支持对HTTP-POST和HTTP-BASIC方式的应用系统“零改造”的单点登录；

基于角色的用户资源访问权限控制；

支持二次开发，包含身份认证、单点登录、用户信息获取等。

3指标参数

表1 千兆高端技术指标

表2 千兆低端技术指标

4产品特色与价值

综合网关，满足多种用户场景

具备IPSec VPN及SSL接入功能，既能满足总部及分支机构的安全互联，也能满足远程用户访问内网应用提供安全接入功能。

透明接入，无缝对接用户网络

设备采用透明模式串接入用户网络，不会改变用户原有的网络结构及相关配置。

高速加密，业务体验不受影响

业内顶尖水平的性能指标，为业务数据提供更高速的加解密处理能力，带来流畅的用户体验。

强合规性，吻合政策自主可控

采用一体化设计，整机和关键密码组件均由卫士通研制，且均具备国家商用密码产品认证证书，在技术上完全自主可控，安全可靠。

安全管理，集中监控分级管理

通过VPN统一管理中心，对在网VPN设备进行“集中监控、分级管理”。管理协议遵循高安全性设计原则，同样采用国密算法进行传输保护。

5应用场景

中华卫士VPN安全网关同时提供IPSec VPN及SSL VPN接入方式。

对于IPSec 接入方式，中华卫士VPN安全网关能够提供接入区域子网和中心子网之间安全的互联互通，保障用户数据的机密性、完整性等安全。

对于SSL接入方式，中华卫士VPN安全网关能够提供应用层数据的加密保护，以及资源访问的控制和应用代理等功能。

中华卫士VPN安全网关典型部署图

6典型部署 6.1IPSec VPN应用典型部署 6.1.1星形组网

场景需求：

目前大部分的中大型企事业单位，除了集团总部外，在全国各个区域均会设立分支机构或者办事处。随着信息化程度的提高，企业会在总部部署相应的集中管理的OA系统、ERP系统等应用软件，而各个区域的分支机构或者办事处通过安全接入的方式，实现与集团总部的互联互通，从而实现安全地共享企业软件资源和数据资源。

部署方案：

分析该场景的客户诉求，主要包括如下几点：

1.集团总部能够支持集中对接各个分支机构或者办事处的安全网络接入；

2.集团总部和分支结构能够实现网络互通，资源共享；

3.对于分支机构或者办事处，能够满足多样化的安全接入场景，包括固定接入、移动接入等。

因此在该场景下，我们提供了如下的部署方案：

集团总部：

在集团总部，部署卫士通中心侧VPN安全网关。目前卫士通的VPN安全网关中心侧的产品均为标准的1U机架式设备，能够实现在用户现有机房中的快速上架部署。

如果用户对于业务保护的可靠性有更高的要求，目也可以在集团总部部署两台卫士通VPN安全网关，并且开通双机热备功能，从而能够实现对用户业务的高可靠性的保障。

分支机构：

由于分支结构一般规模较小，因此在该部署场景中，我们推荐采用卫士通IPSec VPN微型安全网关。根据不同的部署场景，我们可以提供标准的1U机架式设备、非标准的盒式设备。

应用效果：

1.分支结构或者办事处的网络和集团总部的网络形成了一个虚拟子网。分支机构或者办事处的电脑可以通过分支机构或者办事处的网络安全的访问到集团总部的共享软件和数据资源；

2.在分支机构，能够满足各种场景的安全接入要求：有线接入、Wi-Fi移动办公接入等。

3.如果部署了双机热备，可以保障在链路或者设备出现故障的时候，用户业务的可靠性。

6.1.2网状组网

场景需求：

对于某些大型企事业单位或者政府，不仅仅存在了规模较大的分支机构或者区域和集团或者中央的安全互通需求，同时也存在着各个分支结构或者区域之间的安全互通需求。在这种场景下，因此需要采用LAN2LAN的网状网部署，从而实现各个分支机构或者区域之间的安全互通，资源共享。

部署方案：

在这种场景下，每个区域对隧道的建立都有更高的要求，在这种场景下客户对业务的安全接入需求如下：

1.每个区域都是平等关系，没有集团和分支的区别，虽然不同区域的地址位置不用，但是都是在同一个虚拟私网；

2.每个区域都能和其他区域实现安全互通，资源共享；

因此在该场景下，我们提供如下的部署方案：

分支机构或者区域

在每个分支机构或者区域的出口部署卫士通的中心端VPN安全网关产品。根据整体接入规模的差异，可以根据实际需求选择千兆高端、千兆中端、百兆中端和百兆低端的产品形态。在每个区域间两两建立IPSec VPN隧道，形成一个网状IPSec隧道网。每条隧道均保护区域的子网，子网内的用户终端可以实现相互访问。

如果用户对其业务有较高的可靠性要求，也可以部署两台设备，组成双机热备组。

应用效果：

1.处于不同地理位置的不同区域之间实现了安全的网络互通，以及资源共享；

2.如果部署了双机热备，可以保障在链路或者设备出现故障的时候，用户业务的可靠性。

6.1.3级联组网

场景需求：

对于某些大型企事业单位或者政府部门，他们的组织结构存在了多层级关系，比如中央、省、市、街道等，每个层级都存在了独立子网。每层级之间存在了安全网络互通, 资源共享的要求。

部署方案：

在多层级的应用场景中，客户的典型需求如下：

1.上一级子网和下一级子网存在了安全网络互通的需求；

2.子网内的设备不能跨级直接互通；

3.跨级子网设备的访问需要通过中间级子网；

在该场景下，中心级子网由于是总的汇聚级，因此其要求部署的中心VPN安全网关的吞吐能力高，支持的隧道数多。中间级子网部署的一级VPN安全网关也需要具有一定能力的汇聚能力，因此对其吞吐能力和支持的隧道数有一定要求。对于末端子网内部署的VPN网关设备相对要求其流吐能力和支持隧道能力较低，但是要求其支持丰富的接入方式。

因此在该场景下，我们提供如下的部署方案：

中心级子网

中心级子网部署卫士通的千兆高端VPN安全网关平台。如果用户要求其较高的可靠性，可以部署两台设备，组成双机热备组。

中间级子网

中间级子网部署卫士通的百兆中端或者百兆低端VPN安全网关平台。产品的选择根据其业务流量的大小和VPN接入规模而定。如果用户对其业务有较高的可靠性要求，也可以部署两台设备，组成双机热备组。

末端级子网

末端级子网部署卫士通的微型VPN安全网关平台。

应用效果：

1.各级子网能够支持和其上一级子网网络互通；

2.跨子网的终端访问，需要通过其上一级子网的数据转发，从而保障了跨子网访问的业务安全性。

3.末端子网可以支持多种丰富的终端接入方式，同时也支持移动办公的安全访问需求；

4.如果部署了双机热备，可以保障在链路或者设备出现故障的时候，用户业务的可靠性。

6.2SSL VPN应用典型部署

用户需求：

不同终端移动用户安全接入企业网络；

保证用户身份合法性及传输数据的机密性；

授权访问不同类型应用资源。

解决方案：

远程接入综合安全管控平台是卫士通自主设计的移动办公解决方案，能够实现用户的随时、随地、快速接入，安全便捷办公。

方案特色：

灵活接入：客户端支持PC、手机、平板等多平台，同时支持用户名口令、短信、终端特征码、USBKEY、TF卡等多种组合认证方式；

安全办公：平台核心网络由卫士通防火墙、安全隔离网闸、安全交换机、集中管控平台等全产品链组成，平台更稳定，安全有保障。

经济运行：部署简单，能够替代传统的企业电信专线模式，更经济，更舒心。

7产品资质

商用密码产品认证证书

8成功案例 8.1中央某委项目

项目背景：

中央某委的VPN网络基于中央某委原有的电子政务专网，通过在中央某委网络部署的中心端，连接下级的省级、市级、县级的各级政务内网。该网络最终建成后，网络部署容量接近一万台。

解决方案：

在中央某委部署环境中，在中央某委中心端部署中华卫士VPN安全网关，中心端部分设备通过目的NAT方式接入政务专网；同时，根据省、市、县网络的规模不同，选择不同的接入侧VPN设备满足不同规模网络的VPN接入需求。

8.2电科某网项目

项目背景：

电科某网项目主要为中国电科集团所属的集团总部、研究所、企业提供其业务的内部安全保障。根据客户需求，为了保障业务的安全性，要求各级子网相互隔离。

解决方案：

在电科某网项目中，基于运营商公网建立VPN隧道，VPN设备采用了三级级联的部署方式：

•中心端部署两台中心侧VPN安全网关，分别接入联通和电信两条链路。两条链路互为备份，当主用链路发生异常时，自动切换到备份链路。二级中心子网部署一台VPN安全网关，在三级中心子网则安装IPSec VPN客户端。

•VPN客户端不能直接访问集团中心子网的业务（安全控制因素），需通过二级中心中转。

•三级子网VPN设备与二级子网VPN设备建立IPSec通道，二级子网VPN与集团子网VPN建立安全通道。

8.3中央某办项目

项目背景：

中央某办的主要业务包括了视频和数据。在该项目，客户期望对其不同业务提供分别保护。同时，为了保障其中心节点的高可靠性，要求支持双机热备。

解决方案：

在中央某办项目中，基于其403专网建立VPN隧道，对其不同的业务通过划分不同的VLAN进行区分，并且在不同的VLAN子网间建立单独的VPN隧道对其业务进行保护：

•中心端部署两台中心侧VPN安全网关。两台中心侧VPN安全网关之间通过心跳线连接，构建双机热备的虚拟备份组。分支端部署接入侧VPN安全网关。

•对不同的业务终端划分在不同的VLAN虚拟子网中，以进行业务区分；

•每个分支的安全网关均与中心的安全网关根据VLAN子网建立独立的VPN隧道。

8.4西藏自治区某委项目

项目背景：

西藏自治区某委要求与下级的县、乡直属部门用户通过SSL VPN客户端安全接入某委网络中心，并实现对应用系统的授权访问。

解决方案：

在西藏自治区某委网络中心和各个县乡直属部门进行如下部署：

•共在3800台国产化操作系统终端机上部署了SSL VPN客户端，并且运行稳定；

•客户端通过USB-KEY的方式对接入用户的身份进行严格认证，SSL VPN服务端对传输数据进行强加密，保障信息化系统日常工作的高安全性；

•利用SSL VPN代理、单点登录等功能，便捷的实现了县直部门访问自助区某委的应用系统；

•SSL VPN代替了传统的专线方式，部署简单、节约成本。

9产品清单 9.1IPSec组网

9.2SSL VPN组网

9.3二合一组网

乡镇安全生产白皮书

FitServer R4200服务器产品技术白皮书

非煤矿山安全工作总结

非煤矿山安全谚语

信息安全技术岗位职责