附錄A（資料性附錄）典型應用案例

描述了政務外網基于IPSec VPN的典型應用案例，其他行業可以參照實施。

通過部署IPSec VPN安全接入系統，為政務外網用戶提供從互聯網等公眾網絡可信接入政務外網的安全隧道，滿足不具備專線接入條件的部門接入政務外網和政務用戶出差或移動辦公的接入需求，延伸政務外網的覆蓋范圍。

各級政務外網劃分公用網絡區、專用網絡區等內部區域和互聯網接入區等外部區域。在政務外網互聯網接入區集中部署IPSec VPN服務網關或網關集群，提供IPSec VPN接入網關的接入或移動辦公的接入服務。

政務外網使用IPSec VPN的典型應用，如圖A.1所示。

IPSec VPN網關的部署要點有以下幾個方面：

a) 部署位置：IPSec VPN服務網關的外聯接口一般連接到防火墻等與互聯網邏輯隔離的安全設備，內聯接口連接到政務外網內部區域。IPSec VPN網關應支持與政務外網MPLS VPN多業務域環境的對接。外部接入的IPSec VPN接入網關一般部署在遠端待接入的局域網互聯網出入口處；

b) IP地址：IPSec VPN網關外聯接口IP地址使用互聯網地址，IPSec VPN網關內聯接口IP地址采用政務外網統一分配的地址。遠端接入的IPSec VPN接入網關外聯口IP地址為互聯網地址，內聯口IP地址采用地址池內的地址或者遠端局域網地址。IPSec VPN客戶端的IP地址一般由IPSec VPN網關分配；

c) 接入方式：IPSec VPN網關一般要求支持網關和客戶端兩種接入方式；

d) 性能考慮：IPSec VPN網關的性能需要滿足實際的帶寬及同時接入IPSec VPN網關和客戶端數量要求。根據需要可以部署IPSec VPN網關集群。

按照政務外網中部署IPSec VPN設備的幾類實際需求，劃分四種場景。

典型應用場景一：不具備專線條件的政務部門接入到政務外網

不具備專線條件接入政務外網的政務部門或其他單位使用IPSec VPN網關，通過互聯網鏈路接入政務外網。如圖A.2所示。

IPSec VPN網關按照就近接入原則，通過互聯網接入到本級政務外網的IPSec VPN服務網關，如本級政務外網無IPSec VPN服務網關，可申請接入上一級政務外網的IPSec VPN服務網關。

典型應用場景二：移動辦公用戶接入政務外網

移動辦公用戶以IPSec VPN客戶端方式接入IPSec VPN服務網關，按照屬地化原則接入到政務外網。如圖A.3所示。其他需要以IPSec VPN客戶端方式接入IPSec VPN服務網關的用戶，參照此場景。

圖A.1　政務外網IPSec VPN網關應用場景二

a) 移動辦公用戶分別采用用戶名、口令方式或采用證書方式連接到IPSec VPN服務網關。一般所訪問的應用系統安全保護等級為第二級的，可以使用用戶名、口令的方式連接IPSec VPN服務網關；應用系統安全保護等級為第三級的，要采用證書方式連接到IPSec VPN服務網關；

b) 證書一般應采用政務外網CA頒發的證書；

c) 對于只連接政務外網特定業務系統，不接入政務外網的移動辦公用戶，可采用SSL VPN方式連接到IPSec VPN服務網關，此時，IPSec VPN服務網關需啟用SSL VPN功能；

d) 在VPDN撥號、3G網絡等其他公眾網絡連接情況下，移動辦公用戶需要先連通VPDN或以其他形式連通網絡，再連接IPSec VPN服務網關。

典型應用場景三：某級政務部門IPSec VPN**網關級聯應用**

某級政務部門的IPSec VPN服務網關接受來自本級IPSec VPN接入網關或客戶端的連接，同時又作為IPSec VPN接入網關遠程聯入上一級政務外網IPSec VPN服務網關。此IPSec VPN網關的配置既要滿足接入需求作為服務網關使用同時又要作為接入網關接入到上級服務網關，是一個復合配置。如圖A.4所示。根據實際情況，也可采用本級政務部門同時部署兩臺網關，一臺是上聯的接入網關，另一臺是本地服務網關。