(高清版)GB∕T 38799-2020 基于公用電信網的寬帶客戶網絡設備安全技術要求 寬帶客戶網關

M33中華人民共和國國家標準基于公用電信網的寬帶客戶網絡設備安全技術要求寬帶客戶網關TB國家市場監(jiān)督管理總局國家標準化管理委員會GB／T38799—2020 2規(guī)范性引用文件 3縮略語 4用戶平面安全要求 4.1安全管理功能 4.2訪問控制列表 4.3VPN功能 4.4NAT功能 4.5防火墻功能 4.6防攻擊功能 4.7網絡訪問的安全性 4.8WLAN安全性 5控制平面安全要求 5.1PPP用戶認證 6管理平面安全要求 6.1Telnet訪問 6.3連接認證功能 7可靠性要求 8電氣安全要求 ⅠGB／T38799—2020本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別這些專利的責任。本標準由中華人民共和國工業(yè)和信息化部提出。本標準由全國通信標準化技術委員會(SAC/TC485)歸口。本標準起草單位：中國信息通信研究院。本標準主要起草人：沈天臖、程強。1GB／T38799—2020基于公用電信網的寬帶客戶網絡設備安全技術要求寬帶客戶網關本標準規(guī)定了基于公用電信網的寬帶客戶網絡中寬帶客戶網關設備的用戶平面安全要求、控制平面安全要求、管理平面安全要求、設備可靠性和電氣安全要求。本標準適用于基于公用電信網的寬帶客戶網絡中的網關。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。YD/T965電信終端設備的安全要求和試驗方法下列縮略語適用于本文件。ARP：地址解析協議(AddressResolutionProtocol)DMZ：隔離區(qū)(DemilitarizedZone)DoS：拒絕服務(DenialofService)IP：互聯網協議(InternetProtocol)LAC：鏈路接入控制(LinkAccessControl)LAN：局域網(LocalAreaNetwork)LNS:L2TP網絡服務器(L2TPNetworkServer)LSP：標記交換路徑(LabelSwitchPath)MAC：媒質接入控制層(MediumAccessControl)GB／T38799—2020NAPT：網絡地址端口轉換(NetworkAddressPortTranslation)NAT：網址變換(NetworkAddessTransform)PAP：密碼認證協議(PasswordAuthenticationProtocol)SIP：會話初始協議(SessionInitiationProtocol)SSID：服務集標識(servicesetidentifier)Telnet：終端網絡(TerminalNetwork)URL：統(tǒng)一資源定位器(UniformResourceLocator)VLAN：虛擬局域網(VirtualLocalAreaNetwork)WLAN：無線局域網(WirelessLocalAreaNetwork)4用戶平面安全要求寬帶客戶網關涉及的口令長度應不少于8個字符，并且應由數字、字母或特殊符號組成，寬帶客戶網關可提供檢查機制，保證每個口令至少是由前述3類符號中的兩類組成。網關應具有普通用戶及管理員用戶。普通用戶管理權限可以對網關的一些非重要參數進行配置和查詢，不能對網關的重要參數進行配置。管理員本地維護管理權限可以對網關的重要參數進行配置和查詢。4.2訪問控制列表應實現的訪問控制列表。應支持基于源MAC地址、源IP地址、目的IP地址、以太網協議類型、TCP/UDP源端口號、TCP/UDP目的端口號、TOS域、IP協議類型的訪問控制列表。23GB／T38799—20204.3VPN功能4.3.1L2TP隧道應支持通過L2TP隧道技術實現VPN,應支持LAC和LNS功能，支持CHAP鑒別協議。IPSecVPN4.3.3MPLSVPN（可選）不管是L2VPN還是L3VPN,數據應嚴格基于標簽沿著LSP轉發(fā)。除非需要，一個VPN的數據不應被發(fā)送到該VPN之外，一個VPN的數據不應進入到另一個VPN。當同時支持VPN服務和因特網服務時，特別是在同一個物理接口上通過不同的邏輯接口支持VPN服務和因特網服務時，可以基于邏輯接口對接入速率進行限制。VPN之間的MAC地址和VLAN信息應相互隔離，VPN之間或VPN和MPLS骨干之間應可以復用MAC地址空間和VLAN空間。除非需要，VPN之間或VPN和MPLS骨干之間的交換信息應相互隔離。常用的L3VPN技術是BGP/MPLSVPN。BGP/MPLSVPN實質上是通過BGP協議約束路由信息分配的MPLS,對L3VPN的要求如下：—應支持靜態(tài)路由算法和動態(tài)路由算法。對于動態(tài)路由算法，應具有接口上過濾路由更新的能力，IGP和EGP路由協議都應支持MD5加密認證，并可基于VRF實例限制路由更新速度?！猇PN之間的拓撲和編址信息應相互隔離，一個VPN應可以使用所有因特網地址范圍，包括IETFRFC1918定義的私有地址范圍，VPN之間或VPN和MPLS骨干之間應可以復用IP地址空間。—應為每個VPN維持一個獨立的VRF實例，除非需要，VPN之間或VPN和MPLS骨干之間的路由信息及其分發(fā)和處理應相互獨立，互不干擾。4.4NAT功能寬帶客戶網關應支持NAT功能，對NAT的功能特性要求如下：—應支持NAPT;—應支持HTTP、FTP、DNS、H.323、SIP等應用協議；—應支持輸出NAT日志記錄。4.5防火墻功能寬帶客戶網關應支持防火墻功能，除包過濾、訪問控制列表、NAT外，應支持應用代理功能，只允許被保護的網絡訪問允許的網絡應用。支持防火墻高中低等級設置，每個安全等級的內容可以修改。GB／T38799—2020狀態(tài)檢測不僅檢查網絡層和傳輸層的信息，還檢查應用層協議的信息，實時維護這些TCP或UDP的狀態(tài)信息。使用這些狀態(tài)信息確定訪問控制，應支持基于狀態(tài)檢測的包過濾功能。4.6防攻擊功能理的應用協議（例如，DNS)進行攻擊。4.6.2防端口掃描能力寬帶客戶網關應能夠提供防端口掃描功能，支持防止其他設備或者應用的惡意端口掃描。MAC寬帶客戶網關應能配置限制從每個用戶LAN端口學習到的源MAC地址的數量。4.6.4非法組播源控制功能據報文。寬帶客戶網關應能夠對特定協議的廣播／組播包（例如，DHCP、ARP、ICMP、IGMP等）進行速率抑制，并能對其他二層廣播報文進行速率限制。4.7網絡訪問的安全性寬帶客戶網關應支持DMZ功能。寬帶客戶網關應支持基于MAC地址和IP地址進行接入控制（包括LAN和WLAN)。寬帶客戶網關應支持設置黑白名單實現URL訪問控制功能。黑白名單應支持與網關發(fā)起的PPPoE賬號綁定。PPPoE4.8WLAN安全性寬帶客戶網關應支持配置不同SSID以區(qū)分網絡，支持啟用或者關閉SSID廣播功能，以及SSID隱藏的功能。還應支持對其WLAN無線信號的發(fā)送功率和工作信道的設定。應支持對WLAN客戶端的認證和WLAN收發(fā)數據的加密。5控制平面安全要求5.1PPP用戶認證PPP作為數據鏈路層協議，本身不具備完善的安全能力。應支持PAP方式的用戶接入認證。在PPPoEPAPCHAPPPPoECHAP認證。應支持基于運營商信息的用戶接入認證。在撥號過程中，網關從認證過程中提取運營商信息并基45GB／T38799—2020于該信息確定是否進行后續(xù)的撥號流程。鏈接請求。由寬帶客戶網關給用戶終端分配內部網絡地址允許用戶終端進行網絡接入。如果寬帶客戶網關收到新的用戶終端使用該用戶名密碼撥號，那么網關直接為用戶終端分配內部網絡地址，不再向網用戶側賬號的連接應僅綁定在相應賬號的網絡側連接上。對控制平面的信息要提供日志記錄功能，網關應具有獨立的防火墻日志，該防火墻日志記錄該網絡設備檢測到的寬帶客戶網絡中違背該防火墻規(guī)則的網絡行為，每條記錄應打上時間戳。防火墻日志應至少能夠包含100條記錄。如果產生的日志數量超過容量，宜采取保留最新的記錄，覆蓋時間最早的記防火墻日志應不能被修改。日志也不應被刪除，除非被復位至出廠／默認配置。日志應記錄過濾規(guī)則、拒絕訪問、配置修改等相關安全事件。對日志的要求包括：—每個安全日志條目應包含事件主體、發(fā)生時間和事件描述等；—應可以保存在本地系統(tǒng)的緩存區(qū)內，也可以發(fā)送到專用的日志主機上作進一步處理；—可選實時打印在專用打印機或連接設備的顯示終端上；—應定義日志的嚴重級別，并能夠根據嚴重程度級別過濾輸出；—應支持和日志主機之間的接口。6管理平面安全要求規(guī)定：—用戶應提供用戶名／口令才能進行后續(xù)操作，用戶地址和操作應計入日志；—應限制同時訪問的用戶數；—在設定的時間內不進行交互，用戶應自動被注銷；Telnet服務。HTTPWeb—用戶應提供用戶名／口令才能進行后續(xù)的操作，用戶地址和操作應記入日志；—可限定用戶通過哪些IP地址使用HTTP對設備進行訪問；—必要時可關閉HTTP服務；—應支持SSL/TLS。6.3連接認證功能網關應具有