GB/T 32922-2023信息安全技术IPSec VPN安全接入基本要求与实施指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T32922—2023

代替GB/T32922—2016

信息安全技术IPSecVPN安全接入

基本要求与实施指南

Informationsecuritytechnology—Baselineandimplementation

guideofIPSecVPNsecuringaccess

2023-03-17发布2023-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T32922—2023

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

安全接入场景

5IPSecVPN………………3

网关到网关的安全接入场景

5.1………………………3

终端到网关的安全接入场景

5.2………………………4

安全接入基本要求

6IPSecVPN…………4

网关技术要求

6.1IPSecVPN…………4

客户端技术要求

6.2IPSecVPN………………………5

安全管理要求

6.3………………………6

密码应用要求

6.4………………………7

实施指南

7…………………7

概述

7.1…………………7

需求分析

7.2……………8

方案设计

7.3……………8

方案验证

7.4……………9

配置实施

7.5……………9

运行管理

7.6……………10

附录资料性典型应用案例

A()…………13

附录资料性常见的功能

B()IPSecVPN……………16

附录资料性过渡技术

C()IPv6…………17

参考文献

……………………18

GB/T32922—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技术安全接入基本要求与实施指南与

GB/T32922—2016《IPSecVPN》,

相比除结构调整和编辑性改动外主要技术变化如下

GB/T32922—2016,,:

增加了安全接入点到多点场景见

———IPSecVPN(5.1.2);

更改了安全接入场景的示意图见第章年版的第章

———IPSecVPN(5,20165);

更改了网关密码算法的使用要求见年版的

———IPSecVPN(6.1.1,20166.1.1);

更改了网关功能要求的描述见年版的

———IPSecVPNVPN(6.1.2,20166.1.2);

更改了网关可靠性功能要求的描述见年版的

———IPSecVPN(6.1.2,20166.1.2);

增加了网关在分支多出口场景支持动态选路功能的描述见

———IPSecVPN(6.1.2);

更改了网关互通兼容性功能要求的描述见年版的

———IPSecVPN(6.1.2,20166.1.2);

更改了网关兼容性功能要求的描述见年版的

———IPSecVPNIPv6(6.1.2,20166.1.2);

增加了网关易用性功能要求的描述见

———IPSecVPN(6.1.2);

更改了网关证书认证功能要求的描述见年版的

———IPSecVPN(6.1.2,20166.1.2);

更改了网关产品的性能要求见年版的

———IPSecVPN(6.1.3,20166.1.3);

更改了客户端技术要求合并软硬件要求子章节见年版的

———IPSecVPN,(6.2,20166.2);

更改了网关和客户端功能要求中安全协议类型的要求见和

———IPSecVPNIPSec(6.1.26.2,

年版的和

20166.1.26.2);

更改了网关及客户端设备管理要求见年版的

———IPSecVPN(6.3.1,20166.3.1);

更改了网关和客户端证书管理要求的描述见年版的

———IPSecVPN(6.3.2,20166.3.2);

增加了密码要求见

———“”(6.4);

更改了实施指南相关描述见第章年版的第章

———(7,20167);

更改了典型应用场景的描述见附录年版的附录

———(A,2016A);

增加了常见的功能附录见附录并调整原附录为附录

———“IPSecVPN”(B),BC;

删除了传输模式隧道场景见年版的附录

———IPSec6over4(2016C.2)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位国家信息中心华为技术有限公司奇安信网神信息技术北京股份有限公司北

:、、()、

京天融信网络安全技术有限公司深信服科技股份有限公司成都卫士通信息产业股份有限公司深圳

、、、

奥联信息安全技术有限公司深圳市数元信安科技有限公司中国科学院信息工程研究所公安部第一

、、、

研究所新华三技术有限公司西安交大捷普网络科技有限公司鼎铉商用密码测评技术深圳有限公

、、、()

司中国电力科学研究院有限公司

、。

本文件主要起草人徐春学焦迪罗海宁潘伟王伟曹金李金国万志宇程子栋王鹏彪

:、、、、、、、、、、

赵国全罗俊但波翟鹏任飞田之泮何建锋万晓兰姜敏邹超刘松李海涛

、、、、、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2016GB/T32922—2016;

本次为第一次修订

———。

Ⅰ

GB/T32922—2023

信息安全技术IPSecVPN安全接入

基本要求与实施指南

1范围

本文件规定了安全接入应用过程中网关客户端安全管理以及密码应用等方面的基

IPSecVPN、、

本要求提供了采用技术实现安全接入的典型场景和实施过程指南

,IPSecVPN。

本文件适用于采用技术开展安全接入应用的机构指导其基于技术开展

IPSecVPN,IPSecVPN

安全接入平台或系统的需求分析方案设计方案验证配置实施运行管理

、、、、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

所有部分信息技术安全技术实体鉴别

GB/T15843()

信息技术安全技术公钥基础设施在线证书状态协议

GB/T19713

信息安全技术公钥基础设施数字证书格式

GB/T20518

信息安全技术术语

GB/T25069

信息安全技术二元序列随机性检测方法

GB/T32915

信息安全技术技术规范

GB/T36968IPSecVPN

信息安全技术密码模块安全要求

GB/T37092