1.  方案背景

随着信息产业的发展，基于计算机网络的分布式安全系统应用更加普通，对数据通信安全和电子交易安全有了更高的要求，同时，随着国有商用密码大力推广，符合国家商用密码管理条例的东进IpSecSSL VPN综合接入网关有着广泛的市场前景。

2.  应用场景

东进IpSecSSL VPN综合接入网关是一款符合国家相关技术规范的应用级的一体化的加密设备，主要是为应用程序、业务系统提供应用数据、交互报文的数据加密、解密服务，同时，为应用系统提供安全的密钥存储、密钥生成、密钥使用、密钥分发等密钥生命周期管理服务。

东进IpSecSSL VPN综合接入网关与应用程序、业务系统强相关，完全接受应用程序以及业务系统的控制，因此，东进IpSecSSL VPN综合接入网关提供了应用级别的开发API，应用系统或者业务系统通过调用API来调度东进IpSecSSL VPN综合接入网关完成数据的加密、解密以及密钥管理等操作。因此，东进IpSecSSL VPN综合接入网关的主要应用场景非常广泛，典型的应用场景主要有：

• 应用系统需要对业务中的敏感数据进行加密，如交易中的卡号、用户信息等进行加密保护

• 应用系统需要对业务中的交互报文进行整体加密

• ...... 

3.  产品定义

东进IpSecSSL VPN综合接入网关是一款支持国密算法、符合《GM/T 0025-2014 SSL VPN网关产品规范》等相关国家规范和技术要求的专用数据东进IpSecSSL VPN综合接入网关，具有采用国密标准的密码算法芯片、融合的系统架构、自主研发的嵌入式架构、灵活易用的开发接口、兼容国际密码算法标准等特点，为客户提供安全、可靠、易用的密码服务；同时提供简单、易用的管理维护工具，极大的提高东进IpSecSSL VPN综合接入网关的安全性、可维护性。

4.  产品功能

• 支持三层密钥体系：本地主密钥、成员主密钥、数据密钥，本地主密钥存储在加密机中由硬件设备保护，成员主密钥存储在加密机中导出时由主密钥加密，数据密钥由加密机生产存在在主机上并用成员主密钥或本地主密钥加密。

• 提供完善的密钥管理功能包括：密钥产生、加密传输、存储、导入、删除、销毁。删除密钥支持指定索引号对称和非对称密钥的删除。

• 密钥生成与管理：东进IpSecSSL VPN综合接入网关支持通过物理噪声源生成256位SM2密钥对和1024/2048位RSA密钥对。

• 对称加解密：支持SM1、SM4国密算法和3DES、AES国际算法的数据加密和解密运算。

• 消息鉴别码的产生和验证：支持基于SM4算法、SM1算法的MAC产生及验证。

• 数据摘要的产生和验证：支持SM3、SHA1、SHA256杂凑算法。

• 数字签名的产生和验证：可以根据需要使用内部存储的RSA/SM2私钥或外部RSA/SM2私钥进行数字签名和验签。

• 数字信封功能：支持基于RSA/SM2密码算法的数字信封，并支持由内部密钥保护到外部密钥保护的数字信封转换。

• 具有随机数产生功能，使用硬件产生随机数，产生的随机数符合国家密码管理局颁布的《随机数检测规范》。

• 具有安全的密钥保护机制：密钥加密存储、受到非法入侵时自动销毁、断电情况下能长期维持，保护时间长达10年。 

5.  产品特点

• 采用国家商用密码局认证的国密算法芯片，支持国密算法

• 支持东进IpSecSSL VPN综合接入网关集群，适应云计算的大趋势

• 具备客户端访问东进IpSecSSL VPN综合接入网关IP地址过滤功能(白名单)

• 提供多种开发接口，简单、方便的与应用系统集成

• 提供安全、方便、易用的维护监控系统，大大降低设备的维护成本

6.  部署模式

1.  双臂模式部署

说明：

双臂模式下，东进IpSecSSL VPN综合接入网关作为网络的入口设备，承接远端用户的统一访问和认证，完成身份认证以及协议转换工作。

2.  单臂模式部署

说明：

单模式下，东进IpSecSSL VPN综合接入网关与应用系统共同部署局域网内，承接远端用户的统一访问和认证，完成身份认证以及协议转换工作。

7. 产品应用场景

7.1 反向代理应用场景

反向代理模式下，东进IpSecSSL VPN网关接受客户端的连接请求，然后网关将请求转发给内部的web服务器，并将从web服务器上得到的结果返回给客户端。其中，客户端计算机是和网关建立TCP连接，而网关则和内部的web服务器建立TCP连接。

客户端计算机上不需要安装任何控件或程序，客户端只需要将网关当做一个标准的Web服务器直接访问即可。客户端可以支持多种认证模式，例如使用证书对用户进行认证，使用用户密码进行认证，还可以多种认证进行组合。

反向代理模式具有隐藏内部服务器 IP 地址的优点，而且能够提供负载均衡服务。并且，对内部服务器也屏蔽了访问终端的 IP 地址来源信息。

7.2 透明模式应用场景(SSL VPN隧道)

透明模式下，东进IpSecSSL VPN网关将使用SSL协议来承载所有的IP数据，因此只要IP网络在路由上可达，终端用户就可以经过网关访问内部网络的资源。

远程用户能够通过网关安全地接入到内部网络，并保证内部网络的安全，网关能够控制用户的访问权限，即能够通过SEW网关限制用户访问的IP服务类型。网关是通过配置其内部的用户，用户组信息，资源信息，并通过角色将用户和资源绑定，从而对进出的数据进行访问控制的。

7.3 NC模式应用场景(IPSEC VPN隧道)

NC 模式应用场景，东进IpSecSSL VPN网关主要实现对等网关部署，适用于两（多）个机构/部门和两（多）个单位之间的安全互联。被保护的服务器不需要做任何修改，网关和网关之间建立安全隧道，采用IPSEC 协议进行传输加密。

8.  适应产品

本方案适应以下产品：

• 东进IpSecSSL VPN综合接入网关