IPv6網絡設備安全技術要求 第3部分：數據中心交換機 征求意見稿

7IPv6網絡設備安全技術要求和測試方法第2部分：交換機本文件適用于支持IPv6能力的交換機設備的設計、開發(fā)GB/T41266-2022網絡關鍵設備安全GB/T41267-2022網絡關鍵設備安全1）本文中的交換機主要指以太網交換機，以太網交換機是4縮略語ACL：訪問控制列表（AccessControlList）AES：高級加密標準（AdvancedEncryptionStandaAH：認證頭（AuthenticationHeader）BGP4+：IPv6邊界網關協(xié)議（BorderGatewayProtocolforIP8CLI：命令行接口（command-lineinterCGA：加密生成地址（CryptographicallyGeneratedAdCPU：中央處理器（CentralProcessingDAD：重復地址探測（DuplicateAddressDetetioDUT：被測設備(DeviceUnderTeHMAC：散列消息驗證碼（HashedMessageAuthenticationCode）HTTPS：超文本傳輸安全協(xié)議（HypertextTransferProtocolSecuICMPv6：互聯網控制管理協(xié)議版本6（InternetControlManagementPIPv6：互聯網協(xié)議版本6（InternetIPsec：互聯網協(xié)議安全（InterneIS-IS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemtoILAND：局域網拒絕服務（LocalAreaNetworkMAC：媒質訪問控制（MediaAccessControl）MD5：消息摘要版本5（MessageDigestVersion5）NA：鄰居通告（NeighborAdvertisement）ND：鄰居發(fā)現（NeighborDiscovery）NUD：鄰居不可達探測（NeighborUnreachabilityDetection）NS：鄰居請求（NeighborSolicitation）OpenFlow：開放流協(xié)議（OpenOSPF：開放最短路徑優(yōu)先版本3（OpenShortestPathFRA：路由器通告（RouterAdvertiseRADIUS：遠程身份驗證撥號用戶服務（RemoteAuthenticationDial-InUserServRIPng：下一代路由信息協(xié)議（RoutingInformationProtocolNextGeneRS：路由器請求（RouterSolicitRSA：RSA算法（Rivest，ShamirandAdlemanAlgoSHA：安全散列算法（SecureHashAlgSLLA：源鏈路層地址（SourceLink-LayerASNMP：簡單網絡管理協(xié)議（SimpleNetworkManagementProTCP：傳輸控制協(xié)議（TransmissionControlProTLS：傳輸層安全（TransportLayerSecurUDP：用戶數據報協(xié)議（UserDatagramProtocoURPF：單播反向路徑轉發(fā)（UnicaseReversePathForwarding）VLAN：虛擬局域網（VirtualLocalAreaNetwork）VPN：虛擬專用網（VirtualPrivateNetwork）5概述9b)控制平面：主要包括路由協(xié)議等與建立會話連接、控制轉發(fā)路徑等有關的功能；應用層應用層表示層傳輸層網絡層數據鏈路層物理層可信信道標識和鑒權管理平面控制平面數據平面安全審計資源分配系統(tǒng)功能保護安全管理安全策略脆弱性威脅6.1.1標識和鑒別交換機應支持MAC地址防漂移功能，防止在IPv6網絡中產生環(huán)路或非法用交換機應具有端口線速轉發(fā)的能力，對于超過端口處理能力的IPv6流量可以采用按比例丟交換機應能夠處理IPv6報文目的地址為其自身的各種類型畸形交換機應支持對ND非法報文(NS/NA/RS/RA/Redirb)非分片報文且未命中本機路由的丟棄。交換機應支持對數據平面的敏感數據(如認證憑據）加密保存，在用戶界面顯示的內容中不能出現交換機應支持僅高等級權限用戶能對數據平面的安完整性和可用性，同時對路由通告者進行身份認證，以免攻擊者通過仿冒路由對等體發(fā)布不正a)OSPFv3應支持使用安全算法b)IS-ISv6應支持使用安全算法進行協(xié)議報c)BGP4+應支持使用安全算法進行協(xié)議報d)開啟不安全算法時可支持提示安全當數據中心交換機支持智能無損存儲網絡時，建立智能無損存儲網絡連接時應支持使用安全算法當交換機支持跨設備鏈路聚合功能時，跨設備鏈路聚合應支布某些指定的路由信息，也可以只接收符合某交換機在IPv6網絡中應支持限制設備允許學習的MAC地址數量，從而控制接入用戶數量，當超過限交換機應支持僅高等級權限用戶能對控制平面的安全a)交換機應支持SSH，保證與管理系統(tǒng)(管理用戶)間b)交換機應支持TLS，保證與日志服務器間數據傳輸安全；交換機訪問控制安全要求應符合GB/T41267-202d)可支持異常報文檢查，非法報文達到設定閾交換機安全審計要求應滿足GB/T41267-2022中GB/TXXXXX.2交換機應支持管理平面的敏感數據(如認證憑據)加密保存，在用戶界面顯示的內容中不能出現敏交換機可支持設備啟動時以硬件可信根為起點，逐級校驗啟動鏈上固件或軟件的數字簽名保證其交換機可支持證書管理功能，支持證書導入/更新、證書過期告警、證書吊銷列表的導入與更新等圖2測試環(huán)境1測試環(huán)境2如圖3所示。測試環(huán)境3如圖4所示。測試環(huán)境4如圖5所示。DUT日志服務器圖5測試環(huán)境4測試環(huán)境5如圖6所示。GB/TXXXXX.2—XXXXAB圖6測試環(huán)境5測試環(huán)境6如圖7所示。ABC123圖7測試環(huán)境6測試環(huán)境7如圖8所示。圖8測試環(huán)境7控制器測試環(huán)境8如圖9所示。2圖9測試環(huán)境87.2.1標識和鑒別園區(qū)交換機802.1X接入認證功能a)預置條件：按照圖9測試環(huán)境8搭建好測試環(huán)境；b)測試方法：在DUT上配置802.1X認證，RAd)結果判定：實際測評結果與相關預園區(qū)交換機MAC接入認證功能a)預置條件：按照圖9測試環(huán)境8搭建好測試環(huán)境；b)測試方法：在DUT上配置MAC認證，RADId)結果判定：實際測評結果與相關預期結果一致則判d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。），）；Flood、TCPv6SYNFlood等攻擊數據d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。d)結果判定：實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。果2。