国家标准 GB/T32922一2016 信息安全技术 PSecVPN安全接入基本要求与实施指南 nformationsecuritytechnoogy一Baseineamdimplementation guideofIPSeeVPNseeuringaeeess 2016-08-29发布 2017-03-01实施国家质量监督检验检疫总局发布国家标准化管理委员会国家标准
GB/T32922一2016 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位;国家信息中心,华为技术有限公司、中安网脉(北京)技术股份有限公司、网神信息技术(北京)股份有限公司、北京天融信科技股份有限公司、迈普通信技术股份有限公司本标淮主要起草人;罗海宁,周民、吕品、冷默、黄敏、徐浩、张锐卿,任献永、徐惠清,那国安
GB/T32922一2016 引言本标准主要内容包括IPSecVPN安全接人基本要求和基于IPSecVPN技术建设安全接人平台或系统的实施指南,其中“基本要求”对IPSecVPN安全接人应用过程中有关网关、客户端以及安全管理方面提出技术要求,“实施指南”主要适用于采用IPSeeVPN技术开展安全接人应用的机构,指导其进行基于IPSecVPN技术的安全接人平台或系统的需求分析、方案设计、配置实施、测试与备案、运行管同时,本标准也可为相关设备厂商进行产品的设计和开发提供参考理本标准是在国家电子政务外网IPSecVPN安全接人应用实践基础上归纳总结并提出的技术标准，也可广泛适用于IPSecVPN各种应用场景
GB/T32922一2016 信息安全技术IPSeeVPN安全接入基本要求与实施指南范围本标准明确了采用IPSecVPN技术实现安全接人的场景,提出了IPSeeVPN安全接人应用过程中有关网关、客户端以及安全管理等方面的要求,同时给出了IPSecVPN安全接人的实施过程指导本标准适用于采用IPSecVPN技术开展安全接人应用的机构,指导其进行基于IPSecVPN技术开展安全接人平台或系统的需求分析、方案设计、配置实施、测试与备案,运行管理,也适用于设备厂商参考其进行产品的设计和开发规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20518一2006信息安全技术公钥基础设施数字证书格式信息安全技术术语 GB/T250692010 GM/T0003-2012(所有部分sM2椭圆曲线公钥密码算法 GM/T0004一2012sM3密码杂凑算法 aM1/T0016一2012智能密码钥匙密码应用接口规范 GM/T0017一2012智能密码钥匙密码应用接口数据格式规范 (GM/T0022一2014IPsecVPN技术规范 GM/T0023一2014IPsecVPN网关产品规范术语和定义 GB/T25069-2010界定的以及下列术语和定义适用于本文件 3.1 第二层隧道协议layer2tunnelingprotocol L2TP -种支持VPN的隧道协议,本身不提供加密功能 3.2 P安全协议IPseeurity IPSee 套用于保护IP通信的安全协议,是IPv4的一个可选协议系列也是IPv6的组成部分之 3.3 虚拟专用网yirtualprivatenetwork VPN -种在公共通信基础网络上通过逻辑方式隔离出来的网络 S
GB/T32922一2016 3.4 安全联盟seeurityassoeiation SA 两个通信实体经协商建立起来的一种协定,描述实体如何利用安全服务来进行安全的通信 3.5 因特网密钥交换协议interne'keyexechange IKE IPsec体系结构中的一种主要协议,由因特网安全联盟和密钥管理协议、密钥交换协议组成 3.6 失效对端检测deadpeerdeteetion DPD -种基于数据流的、用于检测PSec连接状态的方法数字证书可辨别名distin iinguishedlname DN 又称为数字证书实体特征名,用来识别公钥的实体名称,通常包括实体的通用名、组织单位、组织和国家信息缩略语 S 下列缩略语适用于本文件数字证书认证中心(certificateauthority CA cE 用户端边缘设备(customeredge) 数字证书可辨识名(distinguished name DD 失效对端检测(deadperdeteetion) R6 因特网密钥交换协议(internetkeyexchange' me IP安全协议(internetprotocolsecurity) De 轻量级目录访问协议IightdirectoryaccessprotocolD MLs collahelswitching) 多协议标签交换( multiprotoco NAT 网络地址转换(networkaddresstranslation) P巴E 运营商边缘设备(provideredge' PPPp pointprotocol 点对点协议(pointto PPTP 点对点隧道协议(pointtopointtunnelingprotocol 安全联盟(securityassoeiation) n 安全杂凑算法(seeurehashalgorithm) 安全外壳协议secureshel securesocketlayer) 安全套接层(e wpN 虚拟专用拨号网(virtualprivatedialupnetworks VPN 虚拟专用网(virtualprivatenetwork ocSP 在线证书状态协议(onlinecerticifatestatusprotocol
GB/I32922一2016 lSeeVPN安全接入场景 5.1网关到网关的安全接入场景 IPSecVPN网关到网关的对接适用于分支机构安全接人到总部网络或者机构之间的安全接人,如图1所示典型应用案例参见附录A IPSecVPN PSecVPN 内部网络内部网络网关网关网络1 物理链路网络2 图1网关到网关的安全接入场景图网络1和网络2分别部署IPsecVP网关,通过IPsecVP网关建立网络之间的安全传输通道物理链路包括互联网链路、运营商提供的无线接人链路或专线链路等 5.2终端到网关的安全接入场景终端到IPSeeVPN网关的安全接人适用于移动办公用户或者公众用户接人机构内部网络,如图2 所示典型应用案例参见附录A IPSecVN PsecVYPNv 内部网络客户燃网关接入网络物理链路接入终端图2终端到网关的安全接入场景图接人网络部署IPSeeVPN网关,接人终端通过IPSecVPN客户端和IPSecVPN网关建立安全传输通道 IPSeeVPN客户端包含在接人终端上部署的连接网关的软件以及可选用的智能密码钥匙等硬件,接人终端可以是计算机也可以是智能手机、平板电脑等移动智能终端设备物理链路包括互联网链路、运营商提供的无线链路等 IPseeVP安全接入基本要求 IseeVPN网关技术要求 6.1 6.1.1产品要求 IPSeeVPN网关产品选择基本要求如下 a)应符合GM/T00222014,GM/T0023一2014要求 b)应支持符合国家标准规定的对称算法,应支持遵循GM/T00032012SM2或2048位及以上的RsA非对称密码算法,应支特遵循GMT一302sM6或sHA!杂凑算法应支持隧道模式和传输模式
GB/T32922一2016 6.1.2功能要求 IPSecVPN网关功能要求如下 a)VPN功能类型;应支持L.2TPoverIPSec,IPSecoverGRE以及IPSecoverL2TP等 b产品可靠性功能: 应支持双机热备方式及隧道状态同步功能; 2)应支持DPD功能,隧道不可用时可重新建立互通兼容性功能应支持NAT穿越,能够双向穿透NAT设备; 2 异构网关对接时应符合如下要求采用国家标准密钥协商协议时,应遵循GM/T0022一2014,在协商时对接网关应采用自动密钥协商机制,选择一致的协商属性,具体包括加密算法、杂凑算法、认证方式等; 对接网关在密钥协商时支持NAT穿越选项应保持一致; 应支持ESP或AH安全传输协议,对接网关应选择一致的传输协议 IPv6兼容性功能;应支持IPv6基本协议,支持双栈、隧道、NAT64翻译、双栈精简技术等IPv6 过渡技术 IPv6过渡技术参见附录B 数字证书认证功能应符合GB/T20518-2006证书格式; 应支持受信任的cA机构佩发的数字证书认证， 2 3)应支持LDAP.0CSP等在线认证方式; 应支持自动下载CRL 5应支持在线或离线验证证书有效性; 应支持对认证用户分组授权 6 设备管理功能: 应支持对网关的隧道状态、在线用户状态及CPU、内存利用率等关键运行指标的监测和管理; 应支持syslog等格式日志输出,提供采集与配置管理接口 6.1.3性能要求根据IPsecVPN网关的性能不同,从高到低分成A类(10万用户数)、B类(2万用户数).C类 5000用户数)和D类(1000用户数)四类网关,以适配不同的应用场景各类网关的性能要求应不低于如下要求表1IPSeeVPN网关性能指标分类表网关类别性能指标 A类 B类 C类 D类加解密吞吐量(1428字节)" 20Gbit/s 5Gbit/s 1Gbit/s 200Mbit/s 加解密时延(1428字节" 小于1ms 小于10ms 小于20ms 小于50ms 加解密丢包率(1428字节) 10% 5% 0% 10% 50 20 每秒新建隧道数" 100 30
GB/T32922一2016 表1(续网关类别性能指标 A类 B类 C类 D类最大并发隧道数" 100000 20000 10000 5000 单隧道最大并发连接数" 10000000 2000000 500000 100000 加解密吞吐量;分别在64字节以太顿长和1428字节(IPv6下为1408字节)以太帧长时,IPSecVPN网关在丢包率为0的条件下内网口达到的双向数据最大流量,性能数据按1428字节测试获得加解密时延;分别在64字节以太长和1428字节(IPv6下为1408字节)以太长时,IPSecVPN网关在丢包率为0的条件下,一个明文数据流经加密变为密文,再由密文解密还原为明文所消耗的平均时间,性能数据按1428字节测试获得加解密丢包率;分别在64字节以太帧长和1428字节(IPw6下为1408字节)以太赖长时,在IPsecVPN网关内网口处于线速情况下,单位时间内错误或丢失的数据包占总发数据包数量的百分比,性能数据按1428字节测试获得每秒新建隧道数;网关在一秒钟的单位时间内能够建立IPSeeVPN隧道数目的最大值最大并发隧道数:;网关同时并存的IPSecVPN隧道数目的最大值单隧道最大并发连接数;网关单条IPsecVPN隧道最大能够并发建立的TcP连接数目 6.2 PSeeVP客户端技术要求 6.2.1IPSeeVP客户端软件要求 IPSecVPN客户端软件要求如下: a)客户端密钥交换协议和安全报文协议应符合GM/T0022一2014中5.1和5.2相关要求应支持从智能情鹳钥匙,电子文件证书中获取证书并利用证书实现与Isee b VPN网关的连接; 应支持国内外主流操作系统 D 应支持IPv4、IPv6等网络协议; 应支持IPsecVPN穿越NAT的技术客户端接人IPSecVPN网关时应符合如下要求采用国家标准密钥协商协议,应遵循GM/T0022一2014,在协商时客户端应与IPSee VPN网关选择一致的协商属性,具体包括加密算法、杂凑算法认证方式等; 2)客户端在密钥协商时是否支持NAT穿越应与IPSecVPN网关保持一致; 3) 应支持扩展认证; 4) 应支持采用DHCPoverIPSec协议获取IP地址; 5 应支持ESP或AH安全传输协议,客户端应与IPSeeVPN网关选择一致的传输协议 6.2.2IPSeeVP客户端硬件要求 IPSecVPN客户端所使用的智能密码钥匙等硬件应支持符合国家标准的算法，并符合 GM/T0016一2012和GM/T0017一2012的相关要求 6.3安全管理要求 6.3.1系统管理要求系统管理要求按照不同安全性要求,分为基本要求和增强要求,具体如下
GB/T32922一2016 基本要求 a 应对IPSecVP设备运行状况、网络流量,用户行为、管理员行为等进行日志记录！ 2) 应对管理员进行角色设置与权限分离; 37 应对网络设备的管理员登录地址进行限制 4 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换 5)应启用IPsecVPN登录失败处理功能,设置采取结束会话,限制非法登录次数和当网络登录连接超时自动退出等措施当对IPSecVPN设备进行远程管理时,应采用SSH,SSL等安全方式保护传输安全 6 b)增强要求:对于安全性要求较高的情况,如安全等级保护第三级及以上的信息系统应用IPSee VPN时,除满足基本要求外,还应符合以下要求应按照业务服务的重要性来指定带宽分配优先级别; 1 2 应根据设备记录数据进行分析,并定期由第三方审计系统生成审计报表; 应对管理员身份认证采取两种或两种以上组合鉴别技术 3 4应由内部人员或上级单位定期进行安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性等 5)IPSeeVPN客户端应采用由国家认证的CA中心所颁发的证书实现IKE协商; IPsecVPN客户端的证书应采用智能密码钥匙等硬件介质 6 6.3.2数字证书管理要求 6.3.2.1设备数字证书管理设备证书应遵循PKI相关标淮,将单位,区域等关键信息在证书DN中列出网关的设备证书的有效期宜大于网关的生命周期 6.3.2.2客户端数字证书管理 IPSecVPN客户端证书宜采用智能密码钥匙等硬件介质承载的证书客户端证书应遵循PKI相关标淮,将用户、单位、区域等关键信息在证书DN中列出客户端证书丢失或损坏时,应当及时到证书颁发部门办理挂失、吊销、重新注册等手续 6.3.3地址管理要求 6.3.3.1地址规划应对IPsecVPN网关及客户端地址进行统一规划,遵循唯一性、连续性和可扩展性原则 6.3.3.2地址分配客户端可从网关的DHCP地址池中获取地址,网关外网口地址宜采用公网地址或对外服务地址、网关内网口地址宜采用私有地址或内部互联地址 6.3.4其他要求密钥管理、数据管理、人员管理和设备管理应符合GM/T0022一2014中6.3的相关要求实施指南 7.1概述基于IPSecVPN技术建设安全接人平台或系统的实施过程可划分为需求分析、方案设计、配置实
GB/T32922一2016 施、测试与备案、运行管理等五个阶段 7.2需求分析 7.2.1IPSeeVP设备功能与性能需求根据业务系统数量、业务流量等现状,提出满足业务需求的IPSeeVPN设备的功能、性能指标要求 7.2.2管理需求从设备管理、密钥管理、证书管理、权限管理、配置管理、日志管理等方面提出相应的管理需求 7.3方案设计 7.3.1概述方案设计是在需求分析基础上,对建设实施方案进行设计,并完成方案设计文档 7.3.2接入方案设计通过分析业务系统需求,结合机构当前网络拓扑设计IPSeeVPN安全接人的实现方式,包括网关、客户端的部署位置、链路拓扑,连接方式等 7.3.3管理方案设计根据需求分析结果和6.3的要求进行管理方案设计 7.4配置实施 7.4.1实施准备在部署实施前,需做好以下准备设备选型;根据需求分析结果,按6.1要求对IPSecVPN网关进行选型,并要求网关设备厂商 a 按6.2要求提供IPSecVPN客户端软件;IPSecVPN设备应选用国家主管部门认证许可的产品; b数字证书申请;申请IPSecVPN设备证书、管理员证书和客户端证书; IP地址申请;申请IPSsecVPN网关地址池、对外服务IP地址及设备管理IP地址; c) d)备份链路申请;可根据业务系统重要性,向不同的运营商申请备份链路割接与回退方案制定:在实施前,应制定网络割接和设备上线方案,制定应急情况下割接或上线不成功时恢复到原有网络的方案 7.4.2IPSeeVP设备部署根据接人方案完成网关和客户端等设备的部署 PsteVPN网关一般部署在互联网出口,外冈口连接互联网.内网口连接内部网络在接人终猫上安装IPsecVPN客户端软件,如采用数字证书,还应导人证书或连接配备的智能常码钥匙等硬件介质 7.4.3IPSecVPN设备配置 IPSecVPN设备部署完毕后,应完成设备地址配置、证书导人、VPN隧道配置、VPN策略配置、集
GB/T32922一2016 中管理配置、接人用户授权和认证服务器配置等 7.4.4系统联调组织IPSeeVPN网关与网关对接调试,网关与客户端对接调试,应按照6.1.2,6.2,6.3的要求调整网关或客户端配置,还应根据需要与认证、授权,设备集中管理等其他系统进行联调 7.5测试与备案应制定测试方案,设备部署后对网关、客户端各项功能、性能等进行测试测试完成后,应对详细测试结果、测试报告进行备案采用国家商用密码产品时,应按照单位主管部门要求进行产品信息备案 7.6运行管理 7.6.1 系统维护管理系统正式投人运行后,应清除系统中临时数据或参数应建立针对系统日常维护的安全管理和系统维护制度应定期检查IPsecVPN设备的配置信息、日志信息 7.6.2运行监测对IPsecVPN设备进行实时监测,发现运行过程中的问题和故障主要监测内容如下 a)网络状况:网络链路状况,IP地址情况; b)设备状况:VPN隧道状况CPU与内存等可用资源、策略有效性; 系统状况业务系统有效性、证书使用状况 d)用户行为;用户在线情况,访问对象,访问过程、历史登录信息当监测到告警信息时,应记录告警发生时间、告警类型、告警内容等信息,并及时处理和跟踪 7.6.3资源管理对网络拓扑结构,技术方案、系统配置、网络IP地址规划和设备型号,证书信息,所承载的业务系统情况等资源信息进行登记.定期对照核查,及时更新维护 7.6.4备份与恢复应制定备份方案,对IPSecVPN网关设备配置、安全策略配置等重要数据进行定期备份应制定应急预案,定期开展应急恢复演练,应急启动后按照预案应急流程组织应急响应和系统恢复,应急结束后应整理报告并备案,必要时应追究事件责任 7.6.5变更与撤销应建立IPSecVPN网关配置修改、客户端增减、应用资源授权范围调整、接人链路调整等变更事项的业务流程,按照流程变更部署在IPSecVPN安全接人业务撤销时,应清除接人设备的配置信息、用户数据、系统日志等,并回收为用户分配的IP地址等
GB/T32922一2016 附录A 资料性附录典型应用案例本附录描述了政务外网基于IPSecVPN的典型应用案例,其他行业可以参照实施通过部署IPSecVPN安全接人系统,为政务外网用户提供从互联网等公众网络可信接人政务外网的安全隧道,满足不具备专线接人条件的部门接人政务外网和政务用户出差或移动办公的接人需求,延伸政务外网的覆盖范围各级政务外网划分公用网络区、专用网络区等内部区域和互联网接人区等外部区域在政务外网互联网接人区集中部署IPSecVPN服务网关或网关集群,提供IPSeeVPN接人网关的接人或移动办公的接人服务政务外网使用IPSecVPN的典型应用,如图A.1所示 PsecVN 玫务外网蛙域网服务网笑移动办公路由器路由器互联网政务外网行干网逻辑隔离 PsecVPN 接入网关图A.1政务外网IseeVP典型应用示意图 IPSecVPN网关的部署要点有以下几个方面 a 部署位置;IPSeecVPN服务网关的外联接口一般连接到防火墙等与互联网逻辑隔离的安全设备,内联接口连接到政务外网内部区域 IPSecVPN网关应支持与政务外网MPLSVPN多业务域环境的对接外部接人的IPSeeVPN接人网关一般部署在远端待接人的局域网互联网出人口处: bIP地址;IPSeeVPN网关外联接口lP地址使用互联网地址,IPSeeVPN网关内联接口IP地址采用政务外网统一分配的地址远端接人的IPSecVPN接人网关外联口IP地址为互联网地址,内联口IP地址采用地址池内的地址或者远端局域网地址 IPSecVPN客户端的IP地址一般由IPSecVPN网关分配接人方式:IPSecVPN网关一般要求支持网关和客户端两种接人方式; d性能考虑;IPSecVPN网关的性能需要满足实际的带宽及同时接人IPSecVPN网关和客户端数量要求根据需要可以部署IPSeeVPN网关集群按照政务外网中部署IPSecVPN设备的几类实际需求,划分四种场景典型应用场景一;不具备专线条件的政务部门接入到政务外网不具备专线条件接人政务外网的政务部门或其他单位使用PsecVPN网关,通过互联网链路接人政务外网如图A.2所示 IIsceVPN网关按照就近接人原则,通过互联网接人到本级政务外网的Isee.vPN服务网关,如本级政务外网无I!secVPN服务网关,可申请接人上一级政务外网的IpseVPN服务网关
GB/T32922一2016 IPSecVPN 接入网笑部门局域网 "菜那业务政务部门A 路由器互联网政务部门B 业务B 致务外网城以网中器PE 逻辑隔岗 N IPSec 接入入网关部门局域网业务C 图A.2政务外网IPSecVP网关典型应用场景一典型应用场景二;移动办公用户接入政务外网移动办公用户以IPSecVPN客户端方式接人IPsecVPN服务网关,按照属地化原则接人到政务外网如图A.3所示其他需要以IPsecVPN客户端方式接人IPSecVPN服务网关的用户,参照此场景 IPSsecVPN网关移动办公《使集群用证书或用户名、口令政务外网城域网路由器各由器互联网攻务外网骨干网 3G基站 VPDN服务器移动办公惜VPDN客户端逻辑隔离其他公园承载号图A.3政务外网IPseePN网关应用场景二部署要点如下移动办公用户分别采用用户名口令方式或采用证书方式连接到IPSecVP服务网关一般 a 所访问的应用系统安全保护等级为第二级的,可以使用用户名、口令的方式连接IPSecVPN 服务网关;应用系统安全保护等级为第三级的,要采用证书方式连接到IPSecVPN服务网关 b 证书一般应采用政务外网CA颁发的证书; 对于只连接政务外网特定业务系统,不接人政务外网的移动办公用户,可采用SSLVPN方式连接到IPSecVPN服务网关,此时,IPSecVPN服务网关需启用SsLVPN功能在VPDN拨号、3G网络等其他公众网络连接情况下,移动办公用户需要先连通VPDN或以其他形式连通网络,再连接IPSecVPN服务网关典型应用场景三;某级政务部门IPseePN网关级联应用某级政务部门的IPSecVPN服务网关接受来自本级IPSeeVPN接人网关或客户端的连接,同时又作为IPsecVPN接人网关远程联人上一级政务外网IPSecVPN服务网关此IPsecVPN网关的配置既要满足接人需求作为服务网关使用同时又要作为接人网关接人到上级服务网关,是一个复合配置如图A.4所示根据实际情况,也可采用本级政务部门同时部署两台网关，一台是上联的接人网关,另一台是本地服务网关 1o
GB/T32922一2016 PSseeVPN网关政务外网城域网路由器路由器政务外网骨干网逻辑隔岗互联网 evN网关 IPSec 交换机局域网逻辑隔离 PSsecVN 网关局城网某单位图A.4政务外网seeVP网关应用场景三 11
GB/T32922一2016 s 附录资料性附录 I6过渡技术实现IPv4与IPv6共存期的应用互访和平滑演进是实现IPv4向IPv6成功过渡的基础在整个网络过渡时期.将会有多种不同技术得到应用,以满足过渡时期的不同需求根据实现机制的不同,过说技术主要包括双栈、隧道技术和翻译技术在实际应用中，一般会综合考虑网络、用户,业务、升级成本等诸多因素,将三种过渡技术结合使用,以制定合理的网络过渡解决方案 IPSec隧道在穿越不同种的网络时有以下场景场景一;传输模式ISee6over4隧道传输模式IPSec6over4隧道是在IPv6overIPv4隧道基础上嵌套IPSec隧道,以此增强传输隧道的安全性在IPv4网络向IPv6网络过渡的初期,IPv4网络已被大量部署,而IPv6网络只是散布在世界各地的一些孤岛利用隧道技术可以在IPv4网络上创建隧道,从而实现IPv6孤岛之间的互连在IPv4网络上用于连接IPv6孤岛的隧道称为IPv6overIPv4隧道为了保证IPv6报文安全地通过IPv4网络可以利用IPSec技术提供保护如图B.1所示,IPv6报文到达IPSecVPN后,设备会利用IPv6overIPv4技术为报文封装IPv4报文头,然后利用IPSec技术为报文增加IPSe报文头封装后的报文可以安全穿越IPv4网络,到达对端设备后再进行解封装,然后IPv6报文会被继续转发到目的端,从而实现了隔离IPv6网络安全地互通 DalStack DulStacd PSccVN网关 IPSecVPN网关 IPv4 IP6 IPv6 P6host IPv6host Pv6Data IP6Data P6Header IP6Header P4Header P6Data IPv6overIPy4 P6Header IPSee IP6Header IPv6Daa IP4Header IPSec 图B.1传输模式IPSee6oer4隧道组网图传输模式IPsec6over隧道封装IPv6报文分为两个阶段;首先借助IPv6overIPv4技术为报文封装IPv4报文头,然后在IPv！报文头后插人IPSec报文头由于这两个阶段相对独立,所以IPSee Gover4隧道可以根据IPv6overIPv4隧道的不同分类,适用于多种网络过渡初期场景根据创建隧道方式的不同,常用IPv6overIPv隧道模式如下所示 Pv6overIPv4GRE隧道 IPv6overIPv4手动隧道 IPv6over IPv4自动隧道 6to4隧道 6RD隧道 1SATAP隧道 12
GB/T32922一2016 场景二:隧道模式IPSee6over4隧道隧道模式IPSec6over4可以同时实现IPv6overIPv4隧道和IPSec隧道,增强了传输隧道的安全性如图B.2所示,IPv6报文到达IPSecVPN网关后,设备会利用IPSee6over!技术为报文封装新的 IPv4报文头,并插人IPSec报文头封装后的报文可以安全穿越IPv4网络,到达对端设备后再进行解封装,然后IPv6报文会被继续转发到目的端,从而实现了隔离IPv6网络安全地互通 DualStack DulSiack ISecVPN网关 PSecV网关 Pv4 IPv6 IP6 P6host IP6host P6Header Pv6Data IP6Hteader P6Data PScc6ver4 P4Header PSec IP6Hleader P6Data" 图B.2隧道模式IPSee6oer叫4隧道原理图隧道模式IPSec6over!隧道不同于传输模式IPSec6over!隧道,它并不借助IPv6overIPv！技术为报文封装IPv4报文头,而是同时为IPv6报文增加IPv报文头和IPSec报文头隧道的两端为 runnel接口,不同物理接口的流量可以按照静态路由或策略路由找到对应的Tunnel接口,经过加密或解密处理后继续转发 13
GB/T32922一2016 参考文献 [1门 GB/T20269-2006信息安全技术信息系统安全管理要求 2 GB/T202702006信息安全技术网络基础安全技术要求 [ GB/T20271一2006信息安全技术信息系统通用安全技术要求围 GB/T20272一2006信息安全技术操作系统安全技术要求白 GB/T202822006信息安全技术信息系统安全工程管理要求 [d1 GB/T22239一2008信息安全技术信息系统安全等级保护基本要求 [ 信息安全技术信息系统安全等级保护定级指南 GB/T222402008 s 信息技术安全技术IT网络安全第1部分;网络安全管理 GB/T25068.12012 凹" 信息技术安全技术IT网络安全第2部分网络安全体系结构 GB/T25068.22012 [10 安全技术IT网络安全第3部分;使用安全网关的网 GB/T25068.32010信息技术间通信安全保护 [1]GBy/T25068.4一2010信息技术安全技术I网络安全第4部分远程接人的安全保护 [12]GB/T25068.52010信息技术安全技术IT网络安全第5部分;使用虚拟专用网的跨网通信安全保护 [13]GB/T284562012IPsec协议应用测试规范 [14]GB/T29240-2012信息安全技术终端计算机系统通用安全技术要求与测试评价方法 [15]商用密码产品使用管理规定(国家密码管理局,2007年5月) 14

IPSecVPN安全接入基本要求与实施指南GB/T32922-2016

1. IPSec VPN简介

IPSec是Internet Protocol Security的缩写，是一种用于保护网络通信的协议。它包括两个部分：认证头（AH）和封装安全荷载（ESP）。AH提供完整性保护和防重放保护，而ESP提供加密、完整性保护和防重放保护。IPSec VPN则是基于IPSec协议的远程访问技术，它可以保证远程用户和远程网络之间的数据传输安全。

2. IPSec VPN安全接入基本要求

2.1 认证要求

IPSec VPN应支持至少两种认证方式，如预共享密钥、数字证书或RADIUS认证等。

2.2 安全策略要求

IPSec VPN应支持自定义安全策略，包括加密算法、完整性算法、协商模式和生存期等。

2.3 访问控制要求

IPSec VPN应支持基于用户身份、源IP地址和目的IP地址的访问控制，同时支持ACL等高级访问控制方式。

3. IPSec VPN实施指南

3.1 网络拓扑规划

网络拓扑规划是实施IPSec VPN的第一步，应根据企业实际情况设计合理的网络拓扑结构。

3.2 设备配置与管理

IPSec VPN设备的配置和管理非常重要，应保证设备的稳定性和可靠性。同时，应定期对设备进行维护和升级。

3.3 安全接入设置

在实施IPSec VPN时，应根据企业实际需求设置相应的安全接入策略，包括认证方式、安全策略和访问控制等。

4. 总结

IPSec VPN是确保远程访问安全的一种重要技术，但它的实施也需要遵循一定的规范和标准。本文介绍了IPSec VPN的基本要求和实施指南，希望能对企业安全接入工作有所帮助。