赛格睿特2025年01月22日

1.国密算法对IPSsec VPN网关的要求

国密算法IPSsec VPN是商密产品必需的安全设备。

IPSecVPN作为典型VPN产品的实现技术，为公用网络中通信的数据提供加密、完整性校验、数据身份鉴别和抗重放攻击等安全功能。IPSec VPN网关作为企业建设远程互联网内网的必要安全设备，是保证企业通信网络安全重要组成部分。

作为广泛用于网络通信安全的产品，我国对IPSec VPN产品技术和应用做了专门的标准和规范，包括GM/T 0022-2023《IPSec VPN技术规范》、GM/T 0023-2023《IPSec VPN网关产品规范》、GM/T 0026-2023《安全认证网关产品规范》和GB/T 32922-2016《信息安全技术IPSec VPN安全接入基本要求与实施指南》。作为商用密码产品设计、检测和使用遵循标准，进一步明确和规范了国密算法的支持和使用方法，规定了IPSec VPN功能要求、安全性要求和检测要求，为IPSec VPN网关产品在商用密码的应用部署与安全性检测评估明确了有关内容。

2.硬件IPSec VPN设备使用中的问题

2.1.采购及部署成本高

设备采购：

硬件VPN网关需要购买专门的物理设备，其价格因品牌、性能和功能而异，一般来说少则几千元，高端设备可达数万元甚至更高，对于预算有限的小型企业或创业公司是较大负担。

配套设施：

除设备本身，还需配套硬件环境，如合适的机架空间、稳定电力供应及网络连接设备等，这增加了额外成本。

部署复杂度：

硬件设备部署需专业人员进行网络连接、配置参数等工作，复杂网络环境下，部署时间长且易出错，若请专业技术服务人员，会进一步增加成本。

2.2.能力的扩展性受限

性能瓶颈：

硬件设备处理能力由其硬件规格决定，如CPU性能、内存容量和网络接口带宽等。业务增长、用户数量增多或数据流量增大时，可能出现性能瓶颈，无法满足需求，需更换更高性能设备，成本较高。

功能扩展：

硬件VPN网关功能通常在设计制造时确定，虽可通过软件升级增加部分功能，但硬件架构限制较大，难以像软件解决方案那样灵活添加全新功能模块。

2.3.维护管理的难度大

专业技能要求：

需要网络安全和VPN技术知识的专业人员进行维护管理，包括设备配置、故障排除、安全策略更新等，对企业技术人员要求高，缺乏专业人员时，需依赖外部技术支持，增加维护成本和响应时间。

硬件故障风险：

硬件设备存在硬件故障风险，如电源故障、网络接口损坏或硬盘故障等，会导致VPN服务中断，影响业务正常运行。故障发生时，定位和修复问题耗时较长，需备用设备确保业务连续性，增加成本和管理复杂度。

软件更新挑战：

为保障安全性和性能，需定期更新设备操作系统和VPN软件，但更新过程可能出现兼容性问题，影响设备正常运行，更新前需进行充分测试，增加维护工作量和风险。

2.4.部署的灵活性欠佳

设备依赖性：

依赖特定硬件设备，使用场景受限，出差员工或远程办公人员难以使用个人设备便捷接入，需额外配置或软件客户端，使用不便。

网络适应性：

硬件VPN网关在不同网络环境下部署配置可能存在困难，如复杂网络拓扑、动态IP地址环境或不同网络服务提供商网络，可能需花费大量时间精力进行适配调整，甚至无法满足某些特殊网络需求。

3.賽格雲闗虚拟化IPSEC VPN网关概述

为适应并遵循我国IPSec VPN产品技术和应用标准和规范的要求，针对硬件IPSEC VPN网关可能存在的问题，我司从易用性、便捷性、高效性、复用性，以及易升级、易部署、易配置、易管理等功能性能需求出发，研制开发了国密算法IPSec VPN虚拟化仿真网关产品（賽格雲闗）。该网关产品采用虚拟化仿真技术进行构建，完全遵照IPSec VPN协议标准的配置要求，支持的算法包括SM4、SM3、SM2、AES、3des、camellia、SHA1、SHA2、MD5、DH等系列国际/国密算法，网关虚拟化形态支持vmdk、raw、qcow2、docker等，有机地将国密算法和规范要求融合于产品功能中，在产品的部署和使用中能够实现硬件网关产品功能。

賽格雲闗灵活的参数配置

4.賽格雲闗虚拟化IPSEC VPN模式支持

国密算法IPSEC VPN虚拟化仿真网关賽格雲闗以虚拟化软件仿真的形式，通过在内网边界部署和/或在终端设备上安装客户端软件，能够完整模拟现实网络通信环境中的IPSec VPN网关和客户端专用网通信安全的构建，典型的应用场景支持站到站模式和端到站模式的安全互联场景，以及端到端的场景。其中，端到站、站到站之间的IPSec VPN通信支持隧道模式，端到端之间的IPSec VPN通信支持隧道模式或者传输模式。

賽格雲闗部署模式示意图

5.商用密码典型应用安全实践解决方案

典型商密应用与安全检测实践活动主要包括密码技术与科学专业、网络安全专业等院校教学实训活动，以及商用密码测评机构需要具有的环境资质建设和用户网络环境安全设计建设的模拟验证试验活动。

5.1.院校专业教学实践应用

院校教学训练实践活动中的网络拓扑环境编排和密码应用部署，是密码技术与科学专业、网络安全专业教学实践活动必备的环境建设，利用賽格雲闗虚拟化的IPSec VPN网关不仅能够快速构建网络环境和密码加密场景，同时，能够有效降低硬件成本，灵活进行配置，完全满足教学实践活动中模拟仿真环境场景的构建。

賽格雲闗在教培实践活动网络拓扑环境中的部署与应用

5.2.密评检测机构环境构建

国家密码管理局2023年11月1日起实施的“商用密码检测机构管理办法”明确要求，取得商用密码检测机构资质，应当符合有关条件包括“具有与从事商用密码检测活动相适应的场所”“具有与从事商用密码检测活动相适应的设备设施”，申请商用密码检测机构资质的书面申请书提交的材料要求包括“工作环境和设备设施配置情况”。因此，如果想要申请商用密码检测机构资质，建设密码检测环境是必不可少。IPSec VPN网关作为商用密码应用部署的必备组件，其在商用密码检测机构资质时的设备设施建设是必须具备的。賽格雲闗虚拟化的IPSec VPN网关在被检测环境构建中，所具备的快速高效的部署和简捷易用易的配置操作能力，能够为检测机构资质申请提供设备设施的支持。

国密算法IPSec VPN通信数据分析验证

5.3.网络安全建设模拟验证

作为重点行业、重要企业、敏感单位，其网络安全的保障是不言而喻的，密码设备设施的应用部署，是保障网络通信安全十分重要的手段。针对网络通信环境安全架构建设，通过模拟仿真试验，验证建设方案设计的安全性是不可或缺的过程，验证建设方案设计的可行性、安全防护的有效性、安全能力的可达性等是建设方案实施的前提。賽格雲闗虚拟化IPSec VPN网关作为网络安全的重要组件，能够实现对应的网关能力，具备灵活配置和调整的能力，支持网关节点通信数据的采集，用于通信数据加密安全性的检测分析，为建设方案试验验证构建模拟仿真环境和安全防护能力验证提供支持。

6.賽格雲闗有效提升设备资源的利用率

提高网络安全性和高效率：

虚拟化仿真网关能够在虚拟化环境中提供网络入口和出口服务，通过将物理网络划分成多个虚拟网络，实现不同虚拟网络之间的隔离和互联，从而有效提高网络的灵活性和可扩展性，简化网络管理，并降低成本。

增强系统灵活性和实用性：

通过使用IT虚拟化技术将多种网元设备功能承载到通用标准服务器上，能够解耦传统专用设备为单独的软件和硬件，引入虚拟化技术来虚拟化物理资源，将网关设备虚拟化仿真模拟，显著提高了网关系统的灵活性和实用性。

提高网络性能比和可靠性：

虚拟化网关通过软件定义网络技术实现网络流量管理和控制，可以实现流量的路由、负载均衡和安全监控等功能，提高网络的性能和可靠性。在链路故障时，虚拟化网关可以自动切换到备用链路，保证高可靠性和高可用性。

增强环境灵活性和扩展性：

虚拟化网关可以根据需求动态分配和调整资源，实现灵活的资源管理。企业可以根据业务需求快速创建、启动、暂停或迁移虚拟机，从而提高系统的可用性和灵活性。

提高资源利用率：

通过虚拟化技术，可以将物理服务器的资源划分为多个虚拟机，每个虚拟机可以独立运行操作系统和应用程序，从而提高硬件资源的利用率。这种划分使得多个虚拟机可以共享同一台物理服务器的计算、存储和网络资源。

简化网络的配置：

在传统方式下，本地数据中心需要配置多条VPN连接来对接不同的VPC。而使用虚拟化网关后，可以通过ER功能简化网络配置，减少VPN连接的配置工作。

降低运营的成本：

虚拟化仿真网关通过整合服务器资源、提高硬件资源的利用率，减少对物理服务器的需求，从而降低了资本支出和运营成本。