多通道安全接入網關包括多鏈路接入、鏈路動态切換、加密隧道安全傳輸、身份認證鑒權、系統安全管理五個業務子系統。系統組成如圖所示。

        多鏈路接入子系統主要爲内部提供網絡接入。在多種物(wù)理鏈路接入的基礎上，融合專線、ADSL線路、4G、5G等多種網絡接入方式，實現安全多接入網關的多鏈路網絡接入。

        鏈路動态切換子系統以多鏈路接入爲基礎，應用拟态防護技術，動态變換用戶接入互聯網的網絡要素，通過透明切換接入鏈路，對外(wài)弱化網絡空間的行爲特征。同時，對接入鏈路狀态進行監控與故障恢複，确保内部用戶的可靠網絡連接。

        加密隧道安全傳輸子系統通過構建跨地域、分(fēn)布式的安全數據轉發模塊，保證網絡通信的動态匿名性。網絡數據通過邏輯路由感知(zhī)動态選擇數據轉發模塊，并通過UDP、GRE等加密隧道保證數據的安全性。同時，對異地數據轉發模塊狀态進行實時狀态監控，主動感知(zhī)恢複故障，保證數據完全可靠傳輸。

身份認證鑒權子系統主要對内部用戶進行身份認證與接入鏈路邏輯組控制。終端接入分(fēn)系統時進行可信接入控制，認證用戶身份并賦予接入鏈路使用權限，系統通過用戶組邏輯，隔離(lí)不同用戶的網絡通信網絡數據。

        系統安全管理子系統對整個安全多接入網關進行安全管理與硬件設備的集中(zhōng)管控，可對系統的運行參數進行動态的配置管理，并且查看整個系統的運行狀态。主要包括系統參數配置、接入鏈路賬号管理、系統平台安全防護和設備集中(zhōng)管控。

       多通道安全接入網關架構如下(xià)圖所示。多鏈路接入、鏈路動态切換、加密隧道安全傳輸子系統位于DPDK+VNB的用戶層，身份認證鑒權、系統安全管理子系統位于應用層。其中(zhōng)，系統通過系統安全管理配置平台的運行參數；内部主機通過身份認證鑒權獲取IP資(zī)源和用戶邏輯組；多鏈路接入融合專線、ADSL線路、4G、5G等多種接入方式，并将帶寬資(zī)源分(fēn)配給對應用戶組中(zhōng)的内部主機；鏈路動态切換通過系統下(xià)發的變換規則動态透明切換分(fēn)配上網鏈路，并通過加密隧道與異地數據轉發模塊進行安全數據傳輸。

功能指标：

l   具備整合主流運營商(shāng)的多種異構接入鏈路通道的能力

l   支持多形式網絡接入，包含靜态/動态IP、ADSL、4G、5G等

l   支持雙機熱備、負載均衡與線路冗餘等

l   支持内部多用戶同時接入，提供互聯網服務

l   支持二層MSTP隔離(lí)

l   具備爲網絡空間提供縱向可信接入和數據傳輸安全保護的能力

l   具備爲網絡空間提供内部數據流轉控制的能力

l   具備掩護和隐藏網絡空間地理位置的能力

l   具備高吞吐和低時延的網絡特性

l   具備管理平面和數據平面分(fēn)離(lí)的特性，數據平面不開(kāi)放(fàng)任何服務端口且兼容标準TCP/IP協議棧

l   支持認證的特定協議建立連接，防止未授權訪問行爲

l   具備爲網絡空間提供橫向可信連通和數據傳輸安全保護的能力

l   具備對用戶進行業務分(fēn)組，并按照業務分(fēn)組對出口鏈路選擇、路由、管理的能力

l   支持節點調度，單台設備可與多個安全數據轉發模塊協同工(gōng)作

l   支持線路監測管理技術，實現對線路質量的全面監測，線路故障及時告警

l   支持爲隐蔽專線内的各業務通道按比例實現帶寬的智能彈性管理，以提高線路利用率

l   具備本地及遠程的多種管理方式

l   具備管理日志(zhì)、用戶日志(zhì)、調度日志(zhì)、線路日志(zhì)等日志(zhì)記錄功能

l   具備流量鏡像能力，能支持原始網絡流量鏡像的二次審計

l   可對安全數據轉發模塊進行統一(yī)管理和調度，支持管理操作指令下(xià)發執行

l   支持HTTPS、console、ssh、telnet、SNMP等管理接口

l   具備二次開(kāi)發接口，支持後續定制開(kāi)發

l   支持安全數據接口采集系統的安全日志(zhì)、狀态日志(zhì)和威脅告警

l   支持E5 2600 V3/V4 CPU

l   支持8個接入模塊定靈活配置

l   電(diàn)源支持1+1包含

性能指标：

l   設備LAN網絡接口≥24個，其中(zhōng)萬兆接口≥2個，用戶接入接口≥8個，流量鏡像接口≥4個，支持VLAN劃分(fēn)

l   多通道安全接入網關設備WAN網絡接口≥8個千兆接口，支持光電(diàn)互換模塊

l   設備支持在線用戶≥1000個，支持對用戶進行邏輯業務分(fēn)組，分(fēn)組數量≥8個

l   設備雙機熱備切換時延≤5秒

l   設備在隧道模式下(xià)，局域網側性能吞吐≥500Mbps，Overlay網絡性能損耗≤20%

l   設備與安全數據轉發模塊之間支持建立≥3條二層隔離(lí)的通道，支持包括UDP在内的≥2種隧道封裝協議，支持包括AES在内的≥6種加密算法，用于承載用戶的不同業務

l   單機設備并發鏈接數≥100萬

l   安全數據轉發模塊數據轉發延遲≤500ms

l   單台多通道安全接入網關可協同工(gōng)作的安全數據轉發模塊數量≥32個

l   設備線路故障發現告警時延≤1秒

l   在全流量鏡像模式下(xià)，多通道安全接入網關設備開(kāi)銷損耗≤5%