(高清版)GBT 32922-2023 信息安全技術(shù) IPSec VPN安全接入基本要求與實(shí)施指南

信息安全技術(shù)IPSecVPN安全接入基本要求與實(shí)施指南2023-03-17發(fā)布2023-10-01實(shí)施國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB/T32922—2023前言 I 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5IPSecVPN安全接入場(chǎng)景 5.1網(wǎng)關(guān)到網(wǎng)關(guān)的安全接入場(chǎng)景 5.2終端到網(wǎng)關(guān)的安全接入場(chǎng)景 46IPSecVPN安全接入基本要求 46.1IPSecVPN網(wǎng)關(guān)技術(shù)要求 46.2IPSecVPN客戶端技術(shù)要求 56.3安全管理要求 66.4密碼應(yīng)用要求 7實(shí)施指南 7.1概述 7.2需求分析 87.3方案設(shè)計(jì) 87.4方案驗(yàn)證 7.5配置實(shí)施 7.6運(yùn)行管理 附錄A(資料性)典型應(yīng)用案例 附錄C(資料性)IPv6過(guò)渡技術(shù) 參考文獻(xiàn) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T32922—2016《信息安全技術(shù)IPSecVPN安全接入基本要求與實(shí)施指南》,與GB/T32922-2016相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：——增加了IPSecVPN安全接入點(diǎn)到多點(diǎn)場(chǎng)景(見(jiàn)5.1.2);——更改了IPSecVPN安全接入場(chǎng)景的示意圖(見(jiàn)第5章，2016年版的第5章);——更改了IPSecVPN網(wǎng)關(guān)密碼算法的使用要求(見(jiàn)6.1.1,2016年版的6.1.1);——更改了IPSecVPN網(wǎng)關(guān)VPN功能要求的描述(見(jiàn)6.1.2,2016年版的6.1.2);——更改了IPSecVPN網(wǎng)關(guān)可靠性功能要求的描述(見(jiàn)6.1.2,2016年版的6.1.2);——增加了IPSecVPN網(wǎng)關(guān)在分支多出口場(chǎng)景支持動(dòng)態(tài)選路功能的描述(見(jiàn)6.1.2);——更改了IPSecVPN網(wǎng)關(guān)互通兼容性功能要求的描述(見(jiàn)6.1.2,2016年版的6.1.2);——更改了IPSecVPN網(wǎng)關(guān)IPv6兼容性功能要求的描述(見(jiàn)6.1.2,2016年版的6.1.2);——增加了IPSecVPN網(wǎng)關(guān)易用性功能要求的描述(見(jiàn)6.1.2);——更改了IPSecVPN網(wǎng)關(guān)證書(shū)認(rèn)證功能要求的描述(見(jiàn)6.1.2,2016年版的6.1.2);——更改了IPSecVPN網(wǎng)關(guān)產(chǎn)品的性能要求(見(jiàn)6.1.3,2016年版的6.1.3);——更改了IPSecVPN客戶端技術(shù)要求，合并軟硬件要求子章節(jié)(見(jiàn)6.2,2016年版的6.2);——更改了IPSecVPN網(wǎng)關(guān)和客戶端功能要求中IPSec安全協(xié)議類型的要求(見(jiàn)6.1.2和6.2,2016年版的6.1.2和6.2);——更改了IPSecVPN網(wǎng)關(guān)及客戶端設(shè)備管理要求(見(jiàn)6.3.1,2016年版的6.3.1);——更改了IPSecVPN網(wǎng)關(guān)和客戶端證書(shū)管理要求的描述(見(jiàn)6.3.2,2016年版的6.3.2);——增加了“密碼要求”(見(jiàn)6.4);—更改了實(shí)施指南相關(guān)描述(見(jiàn)第7章，2016年版的第7章);——更改了典型應(yīng)用場(chǎng)景的描述(見(jiàn)附錄A,2016年版的附錄A);——增加了“常見(jiàn)的IPSecVPN功能”附錄(見(jiàn)附錄B),并調(diào)整原附錄B為附錄C;——?jiǎng)h除了傳輸模式IPSec6over4隧道場(chǎng)景(見(jiàn)2016年版的附錄C.2)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：國(guó)家信息中心、華為技術(shù)有限公司、奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、深信服科技股份有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、深圳奧聯(lián)信息安全技術(shù)有限公司、深圳市數(shù)元信安科技有限公司、中國(guó)科學(xué)院信息工程研究所、公安部第一研究所、新華三技術(shù)有限公司、西安交大捷普網(wǎng)絡(luò)科技有限公司、鼎鉉商用密碼測(cè)評(píng)技術(shù)(深圳)有限公司、中國(guó)電力科學(xué)研究院有限公司。本文件主要起草人：徐春學(xué)、焦迪、羅海寧、潘偉、王偉、曹金、李金國(guó)、萬(wàn)志宇、程子棟、本文件及其所代替文件的歷次版本發(fā)布情況為：——2016年首次發(fā)布為GB/T32922—2016;——本次為第一次修訂。1信息安全技術(shù)IPSecVPN安全接入基本要求與實(shí)施指南本文件規(guī)定了IPSecVPN安全接入應(yīng)用過(guò)程中網(wǎng)關(guān)、客戶端、安全管理以及密碼應(yīng)用等方面的基本要求，提供了采用IPSecVPN技術(shù)實(shí)現(xiàn)安全接入的典型場(chǎng)景和實(shí)施過(guò)程指南。本文件適用于采用IPSecVPN技術(shù)開(kāi)展安全接入應(yīng)用的機(jī)構(gòu)，指導(dǎo)其基于IPSecVPN技術(shù)開(kāi)展2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于GB/T15843(所有部分)信息技術(shù)安全技術(shù)實(shí)體鑒別GB/T19713信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書(shū)狀態(tài)協(xié)議GB/T20518信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書(shū)格式GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T32915信息安全技術(shù)二元序列隨機(jī)性檢測(cè)方法GB/T36968信息安全技術(shù)IPSecVPN技術(shù)規(guī)范GB/T37092信息安全技術(shù)密碼模塊安全要求GB/T38636信息安全技術(shù)傳輸層密碼協(xié)議(TLCP)GM/T0023IPSecVPN網(wǎng)關(guān)產(chǎn)品規(guī)范GM/T0050密碼設(shè)備管理設(shè)備管理技術(shù)規(guī)范GM/T0062密碼產(chǎn)品隨機(jī)數(shù)檢測(cè)要求GM/T0089簡(jiǎn)單證書(shū)注冊(cè)協(xié)議規(guī)范3術(shù)語(yǔ)和定義GB/T25069、GB/T36968界定的以及下列術(shù)語(yǔ)和定義適用于本文件。一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過(guò)使用加密的安全服務(wù)以確保在公開(kāi)網(wǎng)絡(luò)上進(jìn)行保密而安全的通信，可在端至端的層面上提供數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)源鑒別、載荷機(jī)密性使用密碼技術(shù)在通信網(wǎng)絡(luò)中構(gòu)建安全通道的技術(shù)。2封裝安全載荷encapsulatingsecuritypayloadIPSec的一種協(xié)議，用于提供IP數(shù)據(jù)包的機(jī)密性、數(shù)據(jù)完整性以及對(duì)數(shù)據(jù)源鑒別以及抗重放攻擊兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來(lái)的一種協(xié)定，它描述了實(shí)體如何利用安全服務(wù)來(lái)進(jìn)行安全的通信。實(shí)現(xiàn)了安全功能的硬件、軟件和/或固件的集合，并且被包含在密碼邊界內(nèi)。下列縮略語(yǔ)適用于本文件。CPU:中央處理單元(CentralProcessingUnit)CRL:證書(shū)撤銷列表(CertificateRevocationList)DHCP:動(dòng)態(tài)主機(jī)配置協(xié)議(DynamicHostConfigurationProtocol)DPD:失效對(duì)端檢測(cè)(DeadPeerDetection)ESP:封裝安全載荷(EncapsulatingSecurityPayload)GRE:通用路由封裝協(xié)議(GenericRoutingEncapsulation)IP:互聯(lián)網(wǎng)通信協(xié)議(InternetProtocol)IPSec:IP安全協(xié)議(InternetProtocolSecurity)IPv4:互聯(lián)網(wǎng)通信協(xié)議第四版(InternetProtocolversion4)IPv6:互聯(lián)網(wǎng)通信協(xié)議第六版(InternetProtocolversion6)L2TP:二層隧道協(xié)議(Layer2TunnelingProtocol)LDAP:輕量級(jí)目錄訪問(wèn)協(xié)議(LightDirectoryAccessProtocol)MPLS:多協(xié)議標(biāo)簽交換(MultiprotocolLabelSwitching)NAT:網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation)NAT64:IPv6到IPv4的網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslationfromIPv6toIPv4)OCSP:在線證書(shū)狀態(tài)協(xié)議(OnlineCertificateStatusProtocol)SA:安全聯(lián)盟(SecurityAssociation)SCEP:簡(jiǎn)單證書(shū)注冊(cè)協(xié)議(SimpleCertificateEnrollmentProtocol)Syslog:系統(tǒng)日志(SystemLog)TCP:傳輸控制協(xié)議(TransmissionControlProtocol)TLCP:傳輸層密碼協(xié)議(TransportLayerCryptographyProtocol)VPN:虛擬專用網(wǎng)(VirtualPrivateNetwork)3GB/T32922—20235IPSecVPN安全接入場(chǎng)景5.1網(wǎng)關(guān)到網(wǎng)關(guān)的安全接入場(chǎng)景5.1.1點(diǎn)到點(diǎn)IPSecVPN網(wǎng)關(guān)到網(wǎng)關(guān)的點(diǎn)到點(diǎn)安全接入場(chǎng)景見(jiàn)圖1,該場(chǎng)景適用于分支機(jī)構(gòu)安全接入到總部網(wǎng)絡(luò)。典型應(yīng)用案例見(jiàn)附錄A。網(wǎng)絡(luò)1(總部網(wǎng)絡(luò))外部網(wǎng)絡(luò)網(wǎng)絡(luò)2(分支機(jī)構(gòu))圖1網(wǎng)關(guān)到網(wǎng)關(guān)(點(diǎn)到點(diǎn))的安全接入場(chǎng)景圖圖1中網(wǎng)絡(luò)1和網(wǎng)絡(luò)2分別部署IPSecVPN網(wǎng)關(guān)，通過(guò)IPSecVPN網(wǎng)關(guān)建立網(wǎng)絡(luò)之間的安全傳輸通道。外部網(wǎng)絡(luò)包括互聯(lián)網(wǎng)網(wǎng)絡(luò)、運(yùn)營(yíng)商提供的無(wú)線接入網(wǎng)絡(luò)或?qū)＞€網(wǎng)絡(luò)等。5.1.2點(diǎn)到多點(diǎn)IPSecVPN網(wǎng)關(guān)到網(wǎng)關(guān)的點(diǎn)到多點(diǎn)安全接入場(chǎng)景見(jiàn)圖2,該場(chǎng)景適用于多個(gè)分支機(jī)構(gòu)安全接入到總部網(wǎng)絡(luò)。典型應(yīng)用案例見(jiàn)附錄A。內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)2(分支機(jī)構(gòu))內(nèi)部網(wǎng)絡(luò)IPSecVPN網(wǎng)關(guān)網(wǎng)絡(luò)1(總部網(wǎng)絡(luò))外部網(wǎng)絡(luò)IPSceVPV網(wǎng)關(guān)內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)3(分支機(jī)構(gòu))圖2網(wǎng)關(guān)到網(wǎng)關(guān)(點(diǎn)到多點(diǎn))的安全接入場(chǎng)景圖圖2中網(wǎng)絡(luò)1、網(wǎng)絡(luò)2和網(wǎng)絡(luò)3分別部署IPSecVPN網(wǎng)關(guān)，通過(guò)IPSecVPN網(wǎng)關(guān)建立網(wǎng)絡(luò)之間的安全傳輸通道。外部網(wǎng)絡(luò)包括互聯(lián)網(wǎng)網(wǎng)絡(luò)、運(yùn)營(yíng)商提供的無(wú)線接入網(wǎng)絡(luò)或?qū)＞€網(wǎng)絡(luò)等。45.2終端到網(wǎng)關(guān)的安全接入場(chǎng)景終端到IPSecVPN網(wǎng)關(guān)的安全接入場(chǎng)景見(jiàn)圖3,該場(chǎng)景適用于移動(dòng)辦公用戶或者公眾用戶安全接入到機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)。典型應(yīng)用案例見(jiàn)附錄A。內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)接入終端圖3終端到網(wǎng)關(guān)的安全接入場(chǎng)景圖圖3中機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)部署IPSecVPN網(wǎng)關(guān)，接入終端通過(guò)IPSecVPN客戶端和IPSecVPN網(wǎng)關(guān)建立安全傳輸通道。IPSecVPN客戶端包含在接入終端上部署的連接網(wǎng)關(guān)的軟件以及密碼模塊，接入終端可是計(jì)算機(jī)，也可是智能手機(jī)、平板電腦等移動(dòng)智能終端設(shè)備，密碼模塊可是智能密碼鑰匙等產(chǎn)品。外部網(wǎng)絡(luò)包括互聯(lián)網(wǎng)網(wǎng)絡(luò)、運(yùn)營(yíng)商提供的無(wú)線網(wǎng)絡(luò)等。6IPSecVPN安全接入基本要求6.1IPSecVPN網(wǎng)關(guān)技術(shù)要求IPSecVPN網(wǎng)關(guān)產(chǎn)品選擇的基本要求如下：a)符合GB/T36968、GM/T0023的相關(guān)規(guī)定；b)支持使用SM4分組密碼算法、SM2橢圓曲線公鑰密碼算法、SM3密碼雜湊算法；c)支持隧道模式；d)具備NAT穿越功能，能雙向穿透NAT設(shè)備。IPSecVPN網(wǎng)關(guān)功能要求如下。a)VPN功能：1)宜支持IPSec承載的GRE(GREoverIPSec),見(jiàn)附錄B;2)可支持IPSec承載的L2TP(L2TPoverIPSec)、GRE承載的IPSec(IPSecoverGRE),見(jiàn)附錄B。b)可靠性功能：1)具備DPD功能，在檢測(cè)到對(duì)等體異常時(shí)可重新發(fā)起協(xié)商；2)具備基于鏈路質(zhì)量動(dòng)態(tài)選路的功能，在分支機(jī)構(gòu)或總部網(wǎng)絡(luò)有多個(gè)外部網(wǎng)絡(luò)出口時(shí)能基于鏈路質(zhì)量動(dòng)態(tài)選擇最優(yōu)的IPSecVPN隧道進(jìn)行傳輸；3)宜具備熱備功能，當(dāng)支持熱備功能時(shí)應(yīng)具備IPSecVPN配置同步、安全聯(lián)盟(SA)同步等c)互通兼容性功能：應(yīng)具備符合GB/T36968相關(guān)規(guī)定的網(wǎng)關(guān)對(duì)接過(guò)程，選擇一致的協(xié)商屬5d)IPv6兼容性功能：應(yīng)支持IPv6基本協(xié)議，可支持IPv4/IPv6雙棧、隧道、NAT64、雙棧精簡(jiǎn)技術(shù)等IPv6過(guò)渡技術(shù)。IPv6過(guò)渡技術(shù)見(jiàn)附錄C。e)易用性功能：應(yīng)具備與地址動(dòng)態(tài)變化的IPSecVPN網(wǎng)關(guān)建立IPSecVPN隧道的功能。f)證書(shū)認(rèn)證功能：1)具備在線或離線驗(yàn)證證書(shū)有效性的功能，在線驗(yàn)證方式可采用LDAP、OCSP等，離線驗(yàn)證方式可采用CRL查詢等，使用OCSP方式時(shí)應(yīng)符合GB/T19713的相關(guān)規(guī)定；2)具備符合GM/T0089相關(guān)規(guī)定的SCEP證書(shū)更新管理功能；3)可具備對(duì)認(rèn)證用戶分組授權(quán)的功能。g)運(yùn)維管理功能：1)具備對(duì)VPN隧道狀態(tài)、在線用戶狀態(tài)、CPU利用率、內(nèi)存利用率等關(guān)鍵運(yùn)行指標(biāo)的監(jiān)測(cè)和管理功能；2)具備Syslog等格式的日志輸出功能，并提供采集與配置管理接口；3)宜具備被集中管理平臺(tái)集中配置管理的功能。根據(jù)IPSecVPN網(wǎng)關(guān)的性能不同，分成A類(12萬(wàn)隧道數(shù))、B類(6萬(wàn)隧道數(shù))、C類(15000隧道數(shù))、D類(7000隧道數(shù))、E類(4000隧道數(shù))和F類(500隧道數(shù))六類網(wǎng)關(guān)，以適配不同的應(yīng)用場(chǎng)景。各類網(wǎng)關(guān)的性能要求應(yīng)滿足表1的規(guī)定。表1IPSecVPN網(wǎng)關(guān)性能要求性能指標(biāo)網(wǎng)關(guān)類別A類B類C類D類E類加解密吞吐率"/Gb/s1加解密時(shí)延'/ms每秒新建隧道數(shù)最大并發(fā)隧道數(shù)600004000單隧道最大并發(fā)連接數(shù)200000050000020000050000在1428字節(jié)(IPv6是1408字節(jié))以太幀長(zhǎng)時(shí)，IPSecVPN網(wǎng)關(guān)在丟包率為0的條件下內(nèi)網(wǎng)口上達(dá)到的雙向數(shù)據(jù)最大流量。在1428字節(jié)(IPv6是1408字節(jié))以太幀長(zhǎng)時(shí)，IPSecVPN網(wǎng)關(guān)在丟包率為0的條件下，一個(gè)明文數(shù)據(jù)流經(jīng)加密變?yōu)槊芪?，再由密文解密還原為明文所消耗的平均時(shí)間。IPSecVPN網(wǎng)關(guān)在一秒鐘的時(shí)間單位內(nèi)能建立IPSecVPN隧道數(shù)目的最大值。dIPSecVPN網(wǎng)關(guān)支持同時(shí)并存的IPSecVPN隧道數(shù)目的最大值。IPSecVPN網(wǎng)關(guān)單條IPSecVPN隧道最大能并發(fā)建立的TCP連接數(shù)目。IPSecVPN客戶端技術(shù)要求如下。a)支持符合GB/T36968相關(guān)規(guī)定的密鑰交換協(xié)議和安全報(bào)文協(xié)議。b)具備從智能密碼鑰匙、電子文件證書(shū)等獲取證書(shū)并利用證書(shū)連接IPSecVPN網(wǎng)關(guān)的功能。c)支持IPv4、IPv6網(wǎng)絡(luò)協(xié)議。6d)具備IPSecVPN穿越NAT功能。e)具備IPSecVPN隧道分離功能，允許用戶使用相同或不同的網(wǎng)絡(luò)連接同時(shí)接入到不同的安全f)客戶端接入IPSecVPN網(wǎng)關(guān)時(shí)：1)支持封裝安全載荷(ESP)協(xié)議；2)可具備對(duì)IPSecVPN接入用戶的身份鑒別功能；3)可具備采用DHCPoverIPSec協(xié)議獲取IP地址的功能。g)使用符合GB/T37092規(guī)定的密碼模塊實(shí)現(xiàn)密碼運(yùn)算和密鑰管理。6.3安全管理要求6.3.1設(shè)備管理要求IPSecVPN網(wǎng)關(guān)及客戶端設(shè)備管理要求如下：a)賬戶管理：1)具備默認(rèn)賬戶管理功能，允許刪除或重命名默認(rèn)賬戶，允許修改默認(rèn)賬戶的默認(rèn)口令；2)具備及時(shí)刪除或停用多余及過(guò)期賬戶的功能；3)具備賬戶權(quán)限管理功能，允許設(shè)置操作員、管理員和審計(jì)員三類管理用戶，授予每個(gè)管理用戶所需的最小權(quán)限，實(shí)現(xiàn)不同管理用戶的權(quán)限分離和相互制約。b)用戶身份鑒別：1)具備對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別的功能，用戶身份標(biāo)識(shí)應(yīng)具有全局唯一性；2)具備檢查身份鑒別信息復(fù)雜度和有效期的功能；3)具備雙因素身份鑒別功能，對(duì)管理用戶身份鑒別采取兩種或兩種以上組合鑒別技術(shù)，其中至少一種鑒別技術(shù)使用符合GB/T15843(所有部分)的密碼技術(shù)來(lái)實(shí)現(xiàn)。c)用戶登錄管理：1)具備用戶登錄地址限制功能，阻止來(lái)自非授權(quán)區(qū)域的用戶登錄；2)具備用戶登錄失敗處理功能，允許設(shè)置結(jié)束會(huì)話、限制非法登錄次數(shù)、鎖定賬戶和網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施。1)具備日志記錄功能，對(duì)運(yùn)行狀況、告警與錯(cuò)誤、調(diào)試與操作等記錄日志；2)具備日志存儲(chǔ)功能，避免日志記錄受到未預(yù)期的刪除、修改、或覆蓋，日志記錄存儲(chǔ)時(shí)間在6個(gè)月以上。e)遠(yuǎn)程運(yùn)維管理：1)宜具備符合GM/T0050相關(guān)規(guī)定的遠(yuǎn)程運(yùn)維管理功能；2)宜具備采用TLCP等安全方式保護(hù)傳輸安全的功能，采用TLCP時(shí)應(yīng)滿足GB/T38636的相關(guān)規(guī)定。6.3.2證書(shū)管理要求6.3.2.1證書(shū)管理通用要求應(yīng)使用符合GB/T20518相關(guān)規(guī)定的證書(shū)。6.3.2.2網(wǎng)關(guān)證書(shū)管理要求IPSecVPN網(wǎng)關(guān)證書(shū)管理要求如下：a)IPSecVPN網(wǎng)關(guān)證書(shū)應(yīng)將單位、區(qū)域等關(guān)鍵信息在證書(shū)DN中列出；7b)IPSecVPN網(wǎng)關(guān)證書(shū)部署時(shí)不宜使用自簽證書(shū)。6.3.2.3客戶端證書(shū)管理要求IPSecVPN客戶端證書(shū)管理要求如下：a)客戶端證書(shū)宜采用符合GB/T37092相關(guān)規(guī)定的介質(zhì)來(lái)承載；b)客戶端證書(shū)應(yīng)將用戶、單位、區(qū)域等關(guān)鍵信息在證書(shū)DN中列出；c)客戶端證書(shū)丟失或損壞時(shí)，應(yīng)及時(shí)到證書(shū)頒發(fā)部門(mén)辦理掛失、吊銷、重新注冊(cè)等手續(xù)。6.3.3地址管理要求應(yīng)對(duì)IPSecVPN網(wǎng)關(guān)及客戶端地址進(jìn)行統(tǒng)一規(guī)劃，遵循唯一性、連續(xù)性和可擴(kuò)展性原則。IPSecVPN網(wǎng)關(guān)與外部網(wǎng)絡(luò)相連的外網(wǎng)口地址宜采用對(duì)外服務(wù)地址，IPSecVPN網(wǎng)關(guān)與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)網(wǎng)口地址宜采用內(nèi)部互聯(lián)地址。6.4密碼應(yīng)用要求6.4.1算法配用要求IPSecVPN網(wǎng)關(guān)及客戶端使用的密碼算法包括非對(duì)稱密碼算法、對(duì)稱密碼算法、密碼雜湊算法，對(duì)算法的使用應(yīng)符合GB/T36968的相關(guān)規(guī)定。6.4.2隨機(jī)數(shù)安全要求IPSecVPN網(wǎng)關(guān)及客戶端使用的隨機(jī)數(shù)應(yīng)符合GB/T32915的相關(guān)規(guī)定，并應(yīng)按照GM/T0062的相關(guān)規(guī)定進(jìn)行隨機(jī)數(shù)檢測(cè)。6.4.3密鑰管理要求IPSecVPN網(wǎng)關(guān)及客戶端使用的密鑰種類應(yīng)包括設(shè)備密鑰、工作密鑰和會(huì)話密鑰，應(yīng)對(duì)各類密鑰關(guān)規(guī)定。IPSecVPN網(wǎng)關(guān)及客戶端采用密鑰交換協(xié)議協(xié)商產(chǎn)生工作密鑰和會(huì)話密鑰，采用安全報(bào)文協(xié)議提供報(bào)文數(shù)據(jù)的機(jī)密性和數(shù)據(jù)源鑒別服務(wù)。密鑰交換協(xié)議和安全報(bào)文協(xié)議應(yīng)符合GB/T36968的相關(guān)規(guī)定，安全報(bào)文協(xié)議應(yīng)采用ESP協(xié)議，默認(rèn)密碼套件應(yīng)使用SM2算法、SM3算法和SM4算法。6.4.5算法合規(guī)性管理要求IPSecVPN網(wǎng)關(guān)可提供協(xié)議和接口接受對(duì)其密碼算法合規(guī)性的遠(yuǎn)程驗(yàn)證，該協(xié)議和接口應(yīng)對(duì)驗(yàn)證者身份進(jìn)行鑒別，并通過(guò)安全通道傳輸命令和數(shù)據(jù)。7實(shí)施指南7.1概述基于IPSecVPN技術(shù)建設(shè)安全接入平臺(tái)或系統(tǒng)的實(shí)施過(guò)程可劃分為五個(gè)階段：8a)需求分析；b)方案設(shè)計(jì)；c)方案驗(yàn)證；d)配置實(shí)施；e)運(yùn)行管理。7.2需求分析a)明確IPSecVPN安全接入的應(yīng)用場(chǎng)景需求；b)明確對(duì)IPSecVPN協(xié)議、算法的需求；c)明確互通兼容性的需求；d)明確性能需求。從設(shè)備管理、密鑰管理、證書(shū)管理、權(quán)限管理、配置管理、日志管理等方面提出相應(yīng)的管理需求：a)設(shè)備管理：對(duì)設(shè)備組網(wǎng)、設(shè)備狀態(tài)、CPU/內(nèi)存/磁盤(pán)使用率、版本號(hào)等設(shè)備信息的管理，以及對(duì)設(shè)備資源不足、授權(quán)異常、網(wǎng)絡(luò)異常等設(shè)備異常狀態(tài)的管理；b)密鑰管理和證書(shū)管理：對(duì)密鑰及證書(shū)的生成、使用、更新等過(guò)程的管理；c)權(quán)限管理：對(duì)操作員、管理員和審計(jì)員三類管理用戶權(quán)限的管理，需為不同管理用戶賦予最小管理權(quán)限；程的管理。7.3方案設(shè)計(jì)方案設(shè)計(jì)是在需求分析基礎(chǔ)上，對(duì)建設(shè)實(shí)施方案進(jìn)行設(shè)計(jì)，并完成方案設(shè)計(jì)文檔。根據(jù)用戶的網(wǎng)絡(luò)現(xiàn)狀，部署設(shè)計(jì)可分為新建網(wǎng)絡(luò)及改造網(wǎng)絡(luò)兩種場(chǎng)景。對(duì)于新建網(wǎng)絡(luò)場(chǎng)景，部署設(shè)計(jì)包括：a)依據(jù)需求分析結(jié)果，結(jié)合業(yè)務(wù)系統(tǒng)整體網(wǎng)絡(luò)建設(shè)目標(biāo)，參考5.1、5.2的IPSecVPN典型安全接入場(chǎng)景設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浼軜?gòu)，確認(rèn)IPSecVPN安全接入的實(shí)現(xiàn)方式；b)對(duì)通信鏈路進(jìn)行統(tǒng)一規(guī)劃，對(duì)重要業(yè)務(wù)系統(tǒng)的通信鏈路進(jìn)行備份；c)對(duì)帶寬資源進(jìn)行統(tǒng)一規(guī)劃，各個(gè)部分的網(wǎng)絡(luò)通信帶寬要能滿足業(yè)務(wù)高峰期需要；d)明確IPSecVPN網(wǎng)關(guān)、IPSecVPN客戶端、IPSecVPN集中管理平臺(tái)的部署位置、鏈路拓?fù)?、連接方式等；e)關(guān)鍵接入節(jié)點(diǎn)的IPSecVPN網(wǎng)關(guān)考慮硬件冗余，保證系統(tǒng)的可用性；f)對(duì)IPSecVPN網(wǎng)關(guān)、IPSecVPN客戶端的IP地址進(jìn)行統(tǒng)一規(guī)劃。對(duì)于改造網(wǎng)絡(luò)場(chǎng)景，在按照新建網(wǎng)絡(luò)場(chǎng)景下的部署設(shè)計(jì)開(kāi)展工作前，需優(yōu)先完成以下內(nèi)容：a)梳理當(dāng)前網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)，改造網(wǎng)絡(luò)的部署設(shè)計(jì)方案需包含改造網(wǎng)絡(luò)的平滑過(guò)渡方案；9b)如果當(dāng)前網(wǎng)絡(luò)中已部署有IPSecVPN網(wǎng)關(guān)，需考慮可繼續(xù)利用的已有IPSecVPN網(wǎng)關(guān)與新增的IPSecVPN網(wǎng)關(guān)之間的兼容性；c)梳理當(dāng)前網(wǎng)絡(luò)中使用的IP地址，避免新規(guī)劃IP地址與已使用IP地址沖突。7.3.3功能設(shè)計(jì)與性能設(shè)計(jì)依據(jù)用戶業(yè)務(wù)需求，對(duì)IPSecVPN安全接入系統(tǒng)的功能與性能進(jìn)行設(shè)計(jì)，包括：a)功能設(shè)計(jì)：明確VPN功能、可靠性功能、互通兼容性功能、IP協(xié)議兼容性功能、證書(shū)認(rèn)證功能、b)性能設(shè)計(jì)：明確加解密吞吐率、加解密時(shí)延、最大并發(fā)隧道數(shù)、每秒新建隧道數(shù)等指標(biāo)要求。依據(jù)用戶業(yè)務(wù)安全性要求，對(duì)IPSecVPN安全接入系統(tǒng)自身的安全性進(jìn)行設(shè)計(jì)，包括：a)根據(jù)安全管理要求，明確IPSecVPN網(wǎng)關(guān)、IPSecVPN客戶端、集中管理平臺(tái)間的身份鑒別和授權(quán)措施，為不同的IPSecVPN網(wǎng)關(guān)及客戶端設(shè)計(jì)不同的身份鑒別信息；b)根據(jù)密碼要求，明確IPSecVPN網(wǎng)關(guān)及客戶端的協(xié)議、算法、密鑰管理等指標(biāo)要求；c)明確IPSecVPN網(wǎng)關(guān)及客戶端的密鑰及證書(shū)更新周期等指標(biāo)要求；d)明確對(duì)IPSecVPN網(wǎng)關(guān)進(jìn)行遠(yuǎn)程管理時(shí)所采用的加密措施。7.4方案驗(yàn)證在方案設(shè)計(jì)完成后需對(duì)方案進(jìn)行驗(yàn)證測(cè)試，測(cè)試通過(guò)后方可進(jìn)行配置實(shí)施。測(cè)試工作包括測(cè)試方a)制定測(cè)試方案，按照對(duì)應(yīng)的安全接入場(chǎng)景和部署設(shè)計(jì)搭建仿真環(huán)境，連接測(cè)試工具儀器設(shè)備；b)設(shè)備部署后對(duì)IPSecVPN網(wǎng)關(guān)和客戶端的功能、性能、安全性等進(jìn)行測(cè)試；c)測(cè)試完成后，對(duì)部署包、初始配置、詳細(xì)測(cè)試過(guò)程文檔、測(cè)試7.5配置實(shí)施在部署實(shí)施前，需做好以下準(zhǔn)備工作。a)設(shè)備選型包括：1)根據(jù)7.2需求分析結(jié)果，按6.1要求對(duì)IPSecVPN網(wǎng)關(guān)進(jìn)行選型，如使用IPSecVPN客戶端，則按6.2要求對(duì)IPSecVPN客戶端進(jìn)行選型；2)選用由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求的產(chǎn)品。b)設(shè)備檢查：對(duì)IPSecVPN網(wǎng)關(guān)及客戶端外觀、附件進(jìn)行檢查，確保設(shè)備完好、附件齊全。c)證書(shū)申請(qǐng)：向受信任的證書(shū)認(rèn)證機(jī)構(gòu)申請(qǐng)相應(yīng)的IPSecVPN網(wǎng)關(guān)及客戶端證書(shū)、管理員證書(shū)等。d)IP地址申請(qǐng)：申請(qǐng)IPSecVPN網(wǎng)關(guān)地址池、對(duì)外服務(wù)IP地址及設(shè)備管理IP地址。e)備份鏈路申請(qǐng)：根據(jù)業(yè)務(wù)系統(tǒng)重要性，向網(wǎng)絡(luò)運(yùn)營(yíng)商申請(qǐng)備份鏈路。f)帶外管理網(wǎng)絡(luò)申請(qǐng)：根據(jù)管理需求規(guī)劃，申請(qǐng)帶外管理網(wǎng)絡(luò)線路。g)訪問(wèn)控制策略制定：確定允許或拒絕用戶通過(guò)IPSecVPN訪問(wèn)業(yè)務(wù)系統(tǒng)對(duì)應(yīng)的IP地址、服務(wù)h)上線與回退方案制定：在實(shí)施前，制定網(wǎng)絡(luò)割接和設(shè)備上線方案，以及失敗時(shí)恢復(fù)到原有網(wǎng)絡(luò)狀態(tài)的回退方案。在IPSecVPN網(wǎng)關(guān)及客戶端部署時(shí)，需做好以下操作：a)理解接入方案并按方案要求完成IPSecVPN網(wǎng)關(guān)和客戶端的部署；b)進(jìn)入機(jī)房部署IPSecVPN網(wǎng)關(guān)時(shí)遵守機(jī)房管理制度；c)對(duì)用于IPSecVPN網(wǎng)關(guān)部署的操作終端進(jìn)行安全狀態(tài)檢查；d)IPSecVPN網(wǎng)關(guān)上電后進(jìn)行設(shè)備狀態(tài)檢查，按照設(shè)備操作手冊(cè)核查指示燈、聲音等狀態(tài)指示以確認(rèn)設(shè)備的工作狀態(tài)；e)IPSecVPN網(wǎng)關(guān)一般部署在網(wǎng)絡(luò)出口，外網(wǎng)口連接外部網(wǎng)絡(luò)，內(nèi)網(wǎng)口連接內(nèi)部網(wǎng)絡(luò)，在IPSecVPN網(wǎng)關(guān)接入外部網(wǎng)絡(luò)前，配備安全防護(hù)設(shè)備或系統(tǒng)進(jìn)行安全防護(hù)；f)在IPSecVPN網(wǎng)關(guān)導(dǎo)入實(shí)施準(zhǔn)備步驟中申請(qǐng)的證書(shū)；g)在接人終端上使用IPSecVPN客戶端時(shí)，導(dǎo)入實(shí)施準(zhǔn)備步驟中申請(qǐng)的證書(shū)；h)IPSecVPN網(wǎng)關(guān)部署完成后，在集中管理平臺(tái)上完成IPSecVPN網(wǎng)關(guān)的統(tǒng)一配置、管理、隧道狀態(tài)監(jiān)控。IPSecVPN網(wǎng)關(guān)及客戶端部署完成后，需做好以下配置：a)網(wǎng)絡(luò)參數(shù)：配置網(wǎng)絡(luò)接口IP地址、缺省網(wǎng)關(guān)地址、VPN主機(jī)和子網(wǎng)路由、域名等；b)管理參數(shù)：配置IPSecVPN網(wǎng)關(guān)用于接受遠(yuǎn)程運(yùn)維管理的IP地址和協(xié)議端口、集中管理平臺(tái)的IP地址和協(xié)議端口、管理用戶賬戶及其身份鑒別方式、用戶登錄失敗鎖定策略等；文封裝、NAT穿越、身份鑒別方式等參數(shù)，配置需進(jìn)行IPSec處理的IP數(shù)據(jù)報(bào)文五元組及處理對(duì)應(yīng)的SA;d)安全參數(shù)：配置密鑰更新周期、訪問(wèn)控制地址和端口列表、訪問(wèn)控制時(shí)間段和資源列表等；e)客戶端用戶參數(shù)：當(dāng)使用客戶端模式時(shí)，在IPSecVPN客戶端中配置用戶名和口令、用戶身份鑒別方式、用戶授權(quán)信息、用戶配置信息、身份鑒別和授權(quán)服務(wù)器的IP地址和協(xié)議端口、用戶有效期等，其中用戶配置信息包括接入用戶IP地址、網(wǎng)關(guān)IP地址、域名服務(wù)器地址和DHCP服務(wù)器地址等。IPSecVPN網(wǎng)關(guān)及客戶端配置完成，需組織IPSecVPN網(wǎng)關(guān)與網(wǎng)關(guān)、網(wǎng)關(guān)與客戶端的對(duì)接調(diào)試，并根據(jù)需要與集中管理平臺(tái)等其他系統(tǒng)進(jìn)行聯(lián)調(diào)，包括：a)網(wǎng)關(guān)與網(wǎng)關(guān)的對(duì)接調(diào)試：包括網(wǎng)關(guān)與網(wǎng)關(guān)直接連接、網(wǎng)關(guān)與網(wǎng)關(guān)通過(guò)路由器連接、網(wǎng)關(guān)與網(wǎng)關(guān)之間存在NAT等情況，需調(diào)試密鑰協(xié)商、雙向加密隧道建立和雙向流量加密互通等功能，并進(jìn)行加密流量的性能測(cè)試；b)網(wǎng)關(guān)與客戶端的對(duì)接調(diào)試：包括密鑰協(xié)商、加密隧道建立、流量加密、用戶身份鑒別與授權(quán)、用戶訪問(wèn)控制等功能的調(diào)試，以及客戶端與網(wǎng)關(guān)加密流量的性能測(cè)試；c)網(wǎng)關(guān)與集中管理平臺(tái)的調(diào)試：包括IPSecVPN網(wǎng)關(guān)與集中管理平臺(tái)之間的網(wǎng)關(guān)注冊(cè)功能、網(wǎng)關(guān)連接功能、網(wǎng)關(guān)配置功能以及配置數(shù)據(jù)是否生效等內(nèi)容。7.6運(yùn)行管理7.6.1系統(tǒng)維護(hù)管理系統(tǒng)維護(hù)管理包括：a)IPSecVPN網(wǎng)關(guān)及客戶端正式投入運(yùn)行前，及時(shí)清除設(shè)備中的臨時(shí)數(shù)據(jù)及臨時(shí)參數(shù)等，關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；b)建立針對(duì)IPSecVPN網(wǎng)關(guān)及客戶端日常維護(hù)的安全管理制度和系統(tǒng)維護(hù)制度；c)按7.6.2定期檢查IPSecVPN網(wǎng)關(guān)及客戶端的網(wǎng)絡(luò)狀況、設(shè)備狀況、業(yè)務(wù)狀況、系統(tǒng)狀況等；d)按7.6.3登記并歸檔保存與IPSecVPN實(shí)施和維護(hù)過(guò)程中的資源信息；e)按7.6.4制定數(shù)據(jù)備份與恢復(fù)策略，制定應(yīng)急預(yù)案并定期開(kāi)展應(yīng)急演練；f)按7.6.5建立IPSecVPN業(yè)務(wù)變更與撤銷的流程。運(yùn)行監(jiān)測(cè)包括：a)網(wǎng)絡(luò)狀況：網(wǎng)絡(luò)鏈路狀況、網(wǎng)絡(luò)性能狀況、IP地址情況等；b)設(shè)備狀況：VPN隧道狀況、CPU與內(nèi)存等可用資源、策略有效性等；c)業(yè)務(wù)狀況：業(yè)務(wù)告警狀態(tài)、業(yè)務(wù)發(fā)送/接收速率、隧道持續(xù)時(shí)間、最近一次建立時(shí)間、最近一次斷開(kāi)時(shí)間、斷開(kāi)原因、當(dāng)日斷開(kāi)次數(shù)、關(guān)鍵事件和錯(cuò)誤記錄等；d)系統(tǒng)狀況：業(yè)務(wù)系統(tǒng)有效性、密鑰及證書(shū)使用狀況、證書(shū)到期狀況等；f)管理員行為：管理員登錄信息、操作記錄、歷史登錄信息等。當(dāng)監(jiān)測(cè)到告警信息時(shí)，記錄告警發(fā)生時(shí)間、告警類型、告警內(nèi)容等信息，并及時(shí)處理和跟蹤。定期檢查IPSecVPN網(wǎng)關(guān)及客戶端的密鑰及證書(shū)有效性，確保密鑰及證書(shū)及時(shí)更新。定期檢查IPSecVPN網(wǎng)關(guān)及客戶端的系統(tǒng)版本，確保漏洞及時(shí)修復(fù)。資源管理包括以下內(nèi)容。a)對(duì)IPSecVPN實(shí)施和維護(hù)過(guò)程中產(chǎn)生的電子文檔、紙質(zhì)文檔、配置信息、程序文件等資源信息進(jìn)行統(tǒng)一登記、集中歸檔保存。資源信息包括：1)IPSecVPN需求分析、方案設(shè)計(jì)過(guò)程中產(chǎn)生的相關(guān)方案及過(guò)程文檔；2)IPSecVPN配置實(shí)施過(guò)程中產(chǎn)生的部署拓?fù)鋱D、資產(chǎn)信息、網(wǎng)絡(luò)配置、管理配置、安全配置、用戶配置等過(guò)程信息；4)IPSecVPN測(cè)試過(guò)程中產(chǎn)生的測(cè)試文檔、測(cè)試結(jié)果、測(cè)試報(bào)告等；5)IPSecVPN運(yùn)行管理過(guò)程中產(chǎn)生的制度文件、監(jiān)測(cè)記錄、配置變更記錄等。b)定期對(duì)歸檔保存的資源信息進(jìn)行檢查，保證資源信息的正確性、一致性和可用性。c)資源信息存放在安全可控的存儲(chǔ)環(huán)境中，并定期對(duì)存儲(chǔ)環(huán)境進(jìn)行安全檢查。d)IPSecVPN維護(hù)過(guò)程中需對(duì)系統(tǒng)資源的授權(quán)、審批、登記等使用情況統(tǒng)一管理。安排特定人員依據(jù)本單位管理制度對(duì)IPSecVPN進(jìn)行系統(tǒng)資源變更及資源信息管理，對(duì)發(fā)生變化的資源信息及時(shí)進(jìn)行更新歸檔。備份與恢復(fù)管理包括如下內(nèi)容：a)對(duì)VPN業(yè)務(wù)執(zhí)行所依賴的數(shù)據(jù)(包括配置、權(quán)限、用戶信息、證書(shū)及密鑰等)進(jìn)行識(shí)別評(píng)估，對(duì)需備份的數(shù)據(jù)形成備份清單，制定數(shù)據(jù)備份策略，明確備份方式、備份頻率、存儲(chǔ)介質(zhì)等信息；b)定期對(duì)備份清單對(duì)應(yīng)的數(shù)據(jù)進(jìn)行備份，并對(duì)備份過(guò)程進(jìn)行詳細(xì)記錄，包括備份日期、備份過(guò)程、參與人員及備份結(jié)果等相關(guān)信息；c)備份對(duì)象多副本保存，并存儲(chǔ)在安全可控的環(huán)境中；d)IPSecVPN產(chǎn)生或使用的密鑰多副本備份存儲(chǔ)，保證存儲(chǔ)密鑰環(huán)境的安全性，定期對(duì)密鑰存儲(chǔ)環(huán)境進(jìn)行檢查，并及時(shí)解決檢查中發(fā)現(xiàn)的安全隱患；e)結(jié)合IPSecVPN運(yùn)維及業(yè)務(wù)需求制定數(shù)據(jù)恢復(fù)策略，保證備份數(shù)據(jù)的完整性、有效性及可用性；f)制定應(yīng)急恢復(fù)預(yù)案，定期開(kāi)展應(yīng)急演練。預(yù)案啟動(dòng)后，按照應(yīng)急流程組織響應(yīng)及系統(tǒng)恢復(fù)，應(yīng)急結(jié)束后，及時(shí)整理報(bào)告并備案，必要時(shí)應(yīng)追究事件責(zé)任。7.6.5變更與撤銷建立IPSecVPN網(wǎng)關(guān)配置修改、客戶端增減、應(yīng)用資源授權(quán)范圍調(diào)整、接入鏈路調(diào)整、業(yè)務(wù)撤銷等變更與撤銷事項(xiàng)的業(yè)務(wù)流程。流程包括審批、實(shí)施和反饋三個(gè)方面，具體包括：a)建立變更與撤銷審批流程：審批內(nèi)容包括變更與撤銷操作人員、操作對(duì)象、操作內(nèi)容、審批人員b)按照審批通過(guò)的內(nèi)容實(shí)施變更與撤銷事項(xiàng)：在撤銷IPSecVPN安全接入業(yè)務(wù)時(shí)，清除接入設(shè)備的配置信息、用戶數(shù)據(jù)、系統(tǒng)日志等，并回收為用戶分配的IP地址；c)建立變更與撤銷實(shí)施完成反饋制度：在IPSecVPN網(wǎng)關(guān)配置變更與撤銷完成后，對(duì)相關(guān)人員進(jìn)行匯報(bào)與反饋。(資料性)典型應(yīng)用案例A.1概述本附錄描述了IPSecVPN的典型應(yīng)用案例，各行業(yè)可參照實(shí)施。通過(guò)部署IPSecVPN安全接入系統(tǒng)，為分支機(jī)構(gòu)提供從互聯(lián)網(wǎng)等公眾網(wǎng)絡(luò)可信接入總部網(wǎng)絡(luò)的安全隧道。使用IPSecVPN的典型應(yīng)用見(jiàn)圖A.1。服務(wù)網(wǎng)關(guān)路山器五聯(lián)網(wǎng)總部網(wǎng)絡(luò)肯十網(wǎng)邏輯陋離接入網(wǎng)關(guān)總部網(wǎng)絡(luò)城域網(wǎng)路由器移動(dòng)辦公圖A.1IPSecVPN典型應(yīng)用邏輯示意圖IPSecVPN網(wǎng)關(guān)的部署要點(diǎn)包括。a)部署位置：IPSecVPN服務(wù)網(wǎng)關(guān)的外聯(lián)接口一般連接到防火墻等與互聯(lián)網(wǎng)邏輯隔離的安全設(shè)備，內(nèi)聯(lián)接口連接到總部網(wǎng)絡(luò)內(nèi)部區(qū)域。IPSecVPN服務(wù)網(wǎng)關(guān)支持與總部網(wǎng)絡(luò)MPLSVPN等多業(yè)務(wù)域環(huán)境的對(duì)接。外部接入的IPSecVPN接入網(wǎng)關(guān)一般部署在遠(yuǎn)端待接入的局域網(wǎng)互聯(lián)網(wǎng)出入口處。b)IP地址：IPSecVPN服務(wù)網(wǎng)關(guān)外聯(lián)接口IP地址使用互聯(lián)網(wǎng)地址，IPSecVPN服務(wù)網(wǎng)關(guān)內(nèi)聯(lián)接口IP地址采用總部網(wǎng)絡(luò)統(tǒng)一分配的地址。遠(yuǎn)端接入的IPSecVPN接入網(wǎng)關(guān)外聯(lián)口IP地址為互聯(lián)網(wǎng)地址，內(nèi)聯(lián)口IP地址采用地址池內(nèi)的地址或者遠(yuǎn)端局域網(wǎng)地址。IPSecVPN客戶端的IP地址一般由IPSecVPN服務(wù)網(wǎng)關(guān)分配。c)接入方式：IPSecVPN服務(wù)網(wǎng)關(guān)一般要求支持網(wǎng)關(guān)和客戶端兩種接入方式。d)性能考慮：IPSecVPN服務(wù)網(wǎng)關(guān)的性能需滿足實(shí)際的帶寬及同時(shí)接入IPSecVPN接入網(wǎng)關(guān)和客戶端數(shù)量要求。根據(jù)需要可部署IPSecVPN網(wǎng)關(guān)集群。A.2典型應(yīng)用場(chǎng)景一：不具備專線條件的分支機(jī)構(gòu)接入到總部網(wǎng)絡(luò)不具備專線條件接入總部網(wǎng)絡(luò)的分支機(jī)構(gòu)使用IPSecVPN網(wǎng)關(guān)通過(guò)互聯(lián)網(wǎng)鏈路接入總部網(wǎng)絡(luò)，見(jiàn)IPSecIPSecVPN接入網(wǎng)關(guān)分支局城網(wǎng)/分支機(jī)構(gòu)A互聯(lián)剛分支機(jī)構(gòu)B業(yè)務(wù)B總部網(wǎng)絡(luò)城域網(wǎng)|路由器(PE)分支局城網(wǎng)/服務(wù)網(wǎng)關(guān)(集群)/IPSecVPN接入網(wǎng)關(guān)邏輯隔離路由器業(yè)務(wù)A圖A.2IPSecVPN網(wǎng)關(guān)典型應(yīng)用場(chǎng)景一場(chǎng)景一中的部署要點(diǎn)包括。a)對(duì)于分支機(jī)構(gòu)存在多條互聯(lián)網(wǎng)出口線路的情況，分支機(jī)構(gòu)IPSecVPN網(wǎng)關(guān)可建立多條VPN隧道接入總部網(wǎng)絡(luò)，當(dāng)其中一條互聯(lián)網(wǎng)鏈路出現(xiàn)擁堵、中斷等故障時(shí)，業(yè)務(wù)流量可通過(guò)其他VPN隧道正常傳輸，從而保障業(yè)務(wù)可用。b)IPSecVPN網(wǎng)關(guān)按照就近接入原則，通過(guò)互聯(lián)網(wǎng)接入到本級(jí)總部網(wǎng)絡(luò)的IPSecVPN服務(wù)網(wǎng)關(guān)，例如本級(jí)總部網(wǎng)絡(luò)無(wú)IPSecVPN服務(wù)網(wǎng)關(guān)，可申請(qǐng)接入上一級(jí)總部網(wǎng)絡(luò)的IPSecVPN服c)分支機(jī)構(gòu)IPSecVPN網(wǎng)關(guān)支持接入集中管理，狀態(tài)檢測(cè)、策略下發(fā)、版本升級(jí)等操作。A.3典型應(yīng)用場(chǎng)景二：移動(dòng)辦公用戶接入總部網(wǎng)絡(luò)移動(dòng)辦公用戶以IPSecVPN客戶端方式接入IPSecVPN服務(wù)網(wǎng)關(guān)，訪問(wèn)總部網(wǎng)絡(luò)移動(dòng)辦公應(yīng)用服務(wù)網(wǎng)關(guān)(集樣),總部網(wǎng)絡(luò)城域網(wǎng)路由器立聯(lián)網(wǎng)VPDN服務(wù)器其他公用承載網(wǎng)移動(dòng)辦公戶名、口令)邏輯隔離路山器圖A.3IPSecVPN網(wǎng)關(guān)應(yīng)用場(chǎng)景二場(chǎng)景二中的部署要點(diǎn)包括。a)針對(duì)需通過(guò)互聯(lián)網(wǎng)實(shí)時(shí)接入總部網(wǎng)絡(luò)訪問(wèn)的移動(dòng)終端用戶，使用IPSecVPN方式連接到IPSecVPN服務(wù)網(wǎng)關(guān)，提供移動(dòng)接入終端到IPSecVPN網(wǎng)關(guān)的身份鑒別、傳輸加密、訪問(wèn)控制等能力。b)移動(dòng)辦公用戶采用用戶名/口令方式、支持國(guó)密算法的證書(shū)或密碼模塊等主身份鑒別方式，另外可選擇結(jié)合短信碼、動(dòng)態(tài)令牌碼等輔助身份鑒別方式連接到IPSecVPN服務(wù)網(wǎng)關(guān)。一般所訪問(wèn)的應(yīng)用系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)的，可使用用戶名/口令+輔助身份鑒別的方式連接IPSecVPN服務(wù)網(wǎng)關(guān)；應(yīng)用系統(tǒng)安全保護(hù)等級(jí)為第三級(jí)的，采用(國(guó)密)證書(shū)+輔助身份鑒別方式連接到IPSecVPN服務(wù)網(wǎng)關(guān)。c)證書(shū)一般采用由總部網(wǎng)絡(luò)信任的證書(shū)認(rèn)證機(jī)構(gòu)所頒發(fā)的證書(shū)。d)在VPDN撥號(hào)、4G/5G網(wǎng)絡(luò)等其他公眾網(wǎng)絡(luò)連接情況下，移動(dòng)辦公用戶需先連通VPDN或以其他形式連通網(wǎng)絡(luò)，再通過(guò)IPSecVPN方式連接IPSecVPN服務(wù)網(wǎng)關(guān)。A.4典型應(yīng)用場(chǎng)景三：分支機(jī)構(gòu)VPN組網(wǎng)不具備專線組網(wǎng)條件的分支機(jī)構(gòu)可基于互聯(lián)網(wǎng)搭建IPSecVPN專網(wǎng)，分支機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)搭建IPSecVPN加密隧道接入專網(wǎng)，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)安全互訪，見(jiàn)圖A.4?？偛烤W(wǎng)絡(luò)城域網(wǎng)總部網(wǎng)絡(luò)城域網(wǎng)路出器總部網(wǎng)絡(luò)骨十網(wǎng)邏輯隔離互聯(lián)網(wǎng)交換機(jī)局域網(wǎng)邏輯隔離網(wǎng)關(guān)局域網(wǎng)某分支機(jī)構(gòu)S路由器路由器圖A.4IPSecVPN網(wǎng)關(guān)應(yīng)用場(chǎng)景三場(chǎng)景三中的部署要點(diǎn)包括。a)分支機(jī)構(gòu)的IPSecVPN網(wǎng)關(guān)基于互聯(lián)網(wǎng)建立IPSecVPN加密傳輸通道與專網(wǎng)IPSecVPN網(wǎng)關(guān)對(duì)接完成基本的安全組網(wǎng)功能。IPSecVPN網(wǎng)關(guān)支持基于互聯(lián)網(wǎng)鏈路、運(yùn)營(yíng)商提供的無(wú)線接入鏈路或?qū)＞€鏈路等方式建立加密通道，實(shí)現(xiàn)靈活組網(wǎng)。b)IPSecVPN網(wǎng)關(guān)根據(jù)組網(wǎng)要求支持所需的密碼算法。(資料性)常見(jiàn)的IPSecVPN功能B.1GREoverIPSecGRE是一種三層VPN封裝技術(shù)。GRE可對(duì)某些網(wǎng)絡(luò)層協(xié)議(例如：IPX、AppleTalk、IP等)的報(bào)文進(jìn)行封裝，使封裝后的報(bào)文能在另一種網(wǎng)絡(luò)中(例如：IPv4)傳輸，從而解決了跨越異種網(wǎng)絡(luò)的報(bào)文傳輸問(wèn)題。GREoverIPSec可利用GRE和IPSec的優(yōu)勢(shì)，通過(guò)GRE將組播、廣播和非IP報(bào)文封裝成普通的IP報(bào)文，通過(guò)IPSec為封裝后的IP報(bào)文提供安全的通信，進(jìn)而可提供在總部和分支之間安全地傳送廣播、組播的業(yè)務(wù)，例如：視頻會(huì)議或動(dòng)態(tài)路由協(xié)議消息等。B.2L2TPo