| 标准编号 | GB/T 38799-2020 (GB/T38799-2020) | | 中文名称 | 基于公用电信网的宽带客户网络设备安全技术要求 宽带客户网关 | | 英文名称 | Technical requirement for security of broadband customer network equipment based on public telecommunication network - Broadband customer gateway | | 行业 | 国家标准 (推荐) | | 中标分类 | M33 | | 国际标准分类 | 33.040.50 | | 字数估计 | 9,914 | | 发布日期 | 2020-04-28 | | 实施日期 | 2020-11-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 38799-2020
Technical requirement for security of broadband customer network equipment based on public telecommunication network -- Broadband customer gateway
ICS 33.040.50
M33
中华人民共和国国家标准
基于公用电信网的宽带客户网络设备
安全技术要求 宽带客户网关
2020-04-28发布
2020-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 缩略语 1
4 用户平面安全要求 2
4.1 安全管理功能 2
4.2 访问控制列表 2
4.3 VPN功能 3
4.4 NAT功能 3
4.5 防火墙功能 3
4.6 防攻击功能 4
4.7 网络访问的安全性 4
4.8 WLAN安全性 4
5 控制平面安全要求 4
5.1 PPP用户认证 4
5.2 日志功能 5
6 管理平面安全要求 5
6.1 Telnet访问 5
6.2 Web管理 5
6.3 连接认证功能 5
7 可靠性要求 6
8 电气安全要求 6
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由中华人民共和国工业和信息化部提出。
本标准由全国通信标准化技术委员会(SAC/TC485)归口。
本标准起草单位:中国信息通信研究院。
本标准主要起草人:沈天珺、程强。
基于公用电信网的宽带客户网络设备
安全技术要求 宽带客户网关
1 范围
本标准规定了基于公用电信网的宽带客户网络中宽带客户网关设备的用户平面安全要求、控制平
面安全要求、管理平面安全要求、设备可靠性和电气安全要求。
本标准适用于基于公用电信网的宽带客户网络中的网关。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 965 电信终端设备的安全要求和试验方法
3 缩略语
4 用户平面安全要求
4.1 安全管理功能
4.1.1 口令管理
宽带客户网关涉及的口令长度应不少于8个字符,并且应由数字、字母或特殊符号组成,宽带客户
网关可提供检查机制,保证每个口令至少是由前述3类符号中的两类组成。
4.1.2 用户管理
网关应具有普通用户及管理员用户。
普通用户管理权限可以对网关的一些非重要参数进行配置和查询,不能对网关的重要参数进行
配置。
管理员本地维护管理权限可以对网关的重要参数进行配置和查询。
4.2 访问控制列表
应实现的访问控制列表。
应支持基于源 MAC地址、源IP地址、目的IP地址、以太网协议类型、TCP/UDP源端口号、TCP/
UDP目的端口号、TOS域、IP协议类型的访问控制列表。
4.3 VPN功能
4.3.1 L2TP隧道
应支持通过L2TP隧道技术实现VPN,应支持LAC和LNS功能,支持CHAP鉴别协议。
4.3.2 IPSec隧道(可选)
可选支持通过IPSec隧道技术实现VPN。
4.3.3 MPLSVPN(可选)
4.3.3.1 通用要求
不管是L2VPN还是L3VPN,数据应严格基于标签沿着LSP转发。除非需要,一个VPN的数据
不应被发送到该VPN之外,一个VPN的数据不应进入到另一个VPN。
当同时支持VPN服务和因特网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持
VPN服务和因特网服务时,可以基于逻辑接口对接入速率进行限制。
4.3.3.2 L2VPN
VPN之间的 MAC地址和VLAN信息应相互隔离,VPN之间或VPN和 MPLS骨干之间应可以
复用 MAC地址空间和VLAN空间。除非需要,VPN之间或VPN和 MPLS骨干之间的交换信息应相
互隔离。
4.3.3.3 L3VPN
常用的L3VPN技术是BGP/MPLSVPN。BGP/MPLSVPN实质上是通过BGP协议约束路由
信息分配的 MPLS,对L3VPN的要求如下:
---应支持静态路由算法和动态路由算法。对于动态路由算法,应具有接口上过滤路由更新的能
力,IGP和EGP路由协议都应支持 MD5加密认证,并可基于VRF实例限制路由更新速度。
---VPN之间的拓扑和编址信息应相互隔离,一个VPN应可以使用所有因特网地址范围,包括
IETFRFC1918定义的私有地址范围,VPN之间或VPN和 MPLS骨干之间应可以复用IP
地址空间。
---应为每个VPN维持一个独立的VRF实例,除非需要,VPN之间或VPN和 MPLS骨干之间
的路由信息及其分发和处理应相互独立,互不干扰。
4.4 NAT功能
宽带客户网关应支持NAT功能,对NAT的功能特性要求如下:
---应支持NAPT;
---应支持HTTP、FTP、DNS、H.323、SIP等应用协议;
---应支持输出NAT日志记录。
4.5 防火墙功能
宽带客户网关应支持防火墙功能,除包过滤、访问控制列表、NAT外,应支持应用代理功能,只允
许被保护的网络访问允许的网络应用。
支持防火墙高中低等级设置,每个安全等级的内容可以修改。
可选支持在本地 Web界面配置防火墙的等级,分为高、中、低三级。
状态检测不仅检查网络层和传输层的信息,还检查应用层协议的信息,实时维护这些TCP或UDP
的状态信息。使用这些状态信息确定访问控制,应支持基于状态检测的包过滤功能。
4.6 防攻击功能
4.6.1 防DoS攻击功能
宽带客户网关应支持防止PingofDeath、SYNFlood等DoS攻击,并建议网关能够防止对自身代
理的应用协议(例如,DNS)进行攻击。
4.6.2 防端口扫描能力
宽带客户网关应能够提供防端口扫描功能,支持防止其他设备或者应用的恶意端口扫描。
4.6.3 限制每端口 MAC地址学习数量功能
宽带客户网关应能配置限制从每个用户LAN端口学习到的源 MAC地址的数量。
4.6.4 非法组播源控制功能
宽带客户网关应支持防止用户做源的组播,可以配置禁止用户端口发出的IGMPQuery和组播数
据报文。
4.6.5 报文抑制
宽带客户网关应能够对特定协议的广播/组播包(例如,DHCP、ARP、ICMP、IGMP等)进行速率抑
制,并能对其他二层广播报文进行速率限制。
4.7 网络访问的安全性
宽带客户网关应支持DMZ功能。
宽带客户网关应支持基于 MAC地址和IP地址进行接入控制(包括LAN和 WLAN)。
宽带客户网关应支持设置黑白名单实现 URL访问控制功能。黑白名单应支持与网关发起的
PPPoE账号绑定。
宽带客户网关应支持基于网关发起的PPPoE账号的上网时间管理。
4.8 WLAN安全性
宽带客户网关应支持配置不同SSID以区分网络,支持启用或者关闭SSID广播功能,以及SSID隐
藏的功能。还应支持对其 WLAN无线信号的发送功率和工作信道的设定。应支持对 WLAN客户端
的认证和 WLAN收发数据的加密。
5 控制平面安全要求
5.1 PPP用户认证
PPP作为数据链路层协议,本身不具备完善的安全能力。应支持PAP方式的用户接入认证。在
通过PPPoE方式接入时,可以通过PAP方法进行用户认证。
应支持CHAP方式的用户接入认证。在通过PPPoE方式接入时,可以通过CHAP方法进行用户
认证。
应支持基于运营商信息的用户接入认证。在拨号过程中,网关从认证过程中提取运营商信息并基
于该信息确定是否进行后续的拨号流程。
可选支持基于PPPoE用户账号的用户接入认证的代理。即宽带客户网关收到用户终端的包含用
户名和密码的PPPoE上网请求后,网关终结PPPoE请求,然后使用截获的用户名和密码向网络侧发起
链接请求。由宽带客户网关给用户终端分配内部网络地址允许用户终端进行网络接入。如果宽带客户
网关收到新的用户终端使用该用户名密码拨号,那么网关直接为用户终端分配内部网络地址,不再向网
络侧发起新的连接,直接使用已有的连接上网。当存在多条不同账号的网络侧PPPoE连接时,对应的
用户侧账号的连接应仅绑定在相应账号的网络侧连接上。
5.2 日志功能
对控制平面的信息要提供日志记录功能,网关应具有独立的防火墙日志,该防火墙日志记录该网络
设备检测到的宽带客户网络中违背该防火墙规则的网络行为,每条记录应打上时间戳。防火墙日志应
至少能够包含100条记录。如果产生的日志数量超过容量,宜采取保留最新的记录,覆盖时间最早的记
录的方式。
防火墙日志应不能被修改。日志也不应被删除,除非被复位至出厂/默认配置。
日志应记录过滤规则、拒绝访问、配置修改等相关安全事件。对日志的要求包括:
---每个安全日志条目应包含事件主体、发生时间和事件描述等;
---应可以保存在本地系统的缓存区内,也可以发送到专用的日志主机上作进一步处理;
---可选实时打印在专用打印机或连接设备的显示终端上;
---应定义日志的严重级别,并能够根据严重程度级别过滤输出;
---应支持和日志主机之间的接口。
6 管理平面安全要求
6.1 Telnet访问
Telnet协议用于通过网络设备进行远程登录。如果对用户提供 Telnet服务,则建议满足下列
规定:
---用户应提供用户名/口令才能进行后续操作,用户地址和操作应计入日志;
---应限制同时访问的用户数;
---在设定的时间内不进行交互,用户应自动被注销;
---可限定用户通过哪些IP地址使用Telnet服务对设备进行访问;
---必要时可关闭Telnet服务。
......
|