IPv6網(wǎng)絡(luò)設(shè)備安全技術(shù)要求 第3部分：數(shù)據(jù)中心交換機(jī) 征求意見稿

7IPv6網(wǎng)絡(luò)設(shè)備安全技術(shù)要求和測試方法第2部分：交換機(jī)本文件適用于支持IPv6能力的交換機(jī)設(shè)備的設(shè)計、開發(fā)GB/T41266-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全GB/T41267-2022網(wǎng)絡(luò)關(guān)鍵設(shè)備安全1）本文中的交換機(jī)主要指以太網(wǎng)交換機(jī)，以太網(wǎng)交換機(jī)是4縮略語ACL：訪問控制列表（AccessControlList）AES：高級加密標(biāo)準(zhǔn)（AdvancedEncryptionStandaAH：認(rèn)證頭（AuthenticationHeader）BGP4+：IPv6邊界網(wǎng)關(guān)協(xié)議（BorderGatewayProtocolforIP8CLI：命令行接口（command-lineinterCGA：加密生成地址（CryptographicallyGeneratedAdCPU：中央處理器（CentralProcessingDAD：重復(fù)地址探測（DuplicateAddressDetetioDUT：被測設(shè)備(DeviceUnderTeHMAC：散列消息驗證碼（HashedMessageAuthenticationCode）HTTPS：超文本傳輸安全協(xié)議（HypertextTransferProtocolSecuICMPv6：互聯(lián)網(wǎng)控制管理協(xié)議版本6（InternetControlManagementPIPv6：互聯(lián)網(wǎng)協(xié)議版本6（InternetIPsec：互聯(lián)網(wǎng)協(xié)議安全（InterneIS-IS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemtoILAND：局域網(wǎng)拒絕服務(wù)（LocalAreaNetworkMAC：媒質(zhì)訪問控制（MediaAccessControl）MD5：消息摘要版本5（MessageDigestVersion5）NA：鄰居通告（NeighborAdvertisement）ND：鄰居發(fā)現(xiàn)（NeighborDiscovery）NUD：鄰居不可達(dá)探測（NeighborUnreachabilityDetection）NS：鄰居請求（NeighborSolicitation）OpenFlow：開放流協(xié)議（OpenOSPF：開放最短路徑優(yōu)先版本3（OpenShortestPathFRA：路由器通告（RouterAdvertiseRADIUS：遠(yuǎn)程身份驗證撥號用戶服務(wù)（RemoteAuthenticationDial-InUserServRIPng：下一代路由信息協(xié)議（RoutingInformationProtocolNextGeneRS：路由器請求（RouterSolicitRSA：RSA算法（Rivest，ShamirandAdlemanAlgoSHA：安全散列算法（SecureHashAlgSLLA：源鏈路層地址（SourceLink-LayerASNMP：簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProTCP：傳輸控制協(xié)議（TransmissionControlProTLS：傳輸層安全（TransportLayerSecurUDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocoURPF：單播反向路徑轉(zhuǎn)發(fā)（UnicaseReversePathForwarding）VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）5概述9b)控制平面：主要包括路由協(xié)議等與建立會話連接、控制轉(zhuǎn)發(fā)路徑等有關(guān)的功能；應(yīng)用層應(yīng)用層表示層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層可信信道標(biāo)識和鑒權(quán)管理平面控制平面數(shù)據(jù)平面安全審計資源分配系統(tǒng)功能保護(hù)安全管理安全策略脆弱性威脅6.1.1標(biāo)識和鑒別交換機(jī)應(yīng)支持MAC地址防漂移功能，防止在IPv6網(wǎng)絡(luò)中產(chǎn)生環(huán)路或非法用交換機(jī)應(yīng)具有端口線速轉(zhuǎn)發(fā)的能力，對于超過端口處理能力的IPv6流量可以采用按比例丟交換機(jī)應(yīng)能夠處理IPv6報文目的地址為其自身的各種類型畸形交換機(jī)應(yīng)支持對ND非法報文(NS/NA/RS/RA/Redirb)非分片報文且未命中本機(jī)路由的丟棄。交換機(jī)應(yīng)支持對數(shù)據(jù)平面的敏感數(shù)據(jù)(如認(rèn)證憑據(jù)）加密保存，在用戶界面顯示的內(nèi)容中不能出現(xiàn)交換機(jī)應(yīng)支持僅高等級權(quán)限用戶能對數(shù)據(jù)平面的安完整性和可用性，同時對路由通告者進(jìn)行身份認(rèn)證，以免攻擊者通過仿冒路由對等體發(fā)布不正a)OSPFv3應(yīng)支持使用安全算法b)IS-ISv6應(yīng)支持使用安全算法進(jìn)行協(xié)議報c)BGP4+應(yīng)支持使用安全算法進(jìn)行協(xié)議報d)開啟不安全算法時可支持提示安全當(dāng)數(shù)據(jù)中心交換機(jī)支持智能無損存儲網(wǎng)絡(luò)時，建立智能無損存儲網(wǎng)絡(luò)連接時應(yīng)支持使用安全算法當(dāng)交換機(jī)支持跨設(shè)備鏈路聚合功能時，跨設(shè)備鏈路聚合應(yīng)支布某些指定的路由信息，也可以只接收符合某交換機(jī)在IPv6網(wǎng)絡(luò)中應(yīng)支持限制設(shè)備允許學(xué)習(xí)的MAC地址數(shù)量，從而控制接入用戶數(shù)量，當(dāng)超過限交換機(jī)應(yīng)支持僅高等級權(quán)限用戶能對控制平面的安全a)交換機(jī)應(yīng)支持SSH，保證與管理系統(tǒng)(管理用戶)間b)交換機(jī)應(yīng)支持TLS，保證與日志服務(wù)器間數(shù)據(jù)傳輸安全；交換機(jī)訪問控制安全要求應(yīng)符合GB/T41267-202d)可支持異常報文檢查，非法報文達(dá)到設(shè)定閾交換機(jī)安全審計要求應(yīng)滿足GB/T41267-2022中GB/TXXXXX.2交換機(jī)應(yīng)支持管理平面的敏感數(shù)據(jù)(如認(rèn)證憑據(jù))加密保存，在用戶界面顯示的內(nèi)容中不能出現(xiàn)敏交換機(jī)可支持設(shè)備啟動時以硬件可信根為起點，逐級校驗啟動鏈上固件或軟件的數(shù)字簽名保證其交換機(jī)可支持證書管理功能，支持證書導(dǎo)入/更新、證書過期告警、證書吊銷列表的導(dǎo)入與更新等圖2測試環(huán)境1測試環(huán)境2如圖3所示。測試環(huán)境3如圖4所示。測試環(huán)境4如圖5所示。DUT日志服務(wù)器圖5測試環(huán)境4測試環(huán)境5如圖6所示。GB/TXXXXX.2—XXXXAB圖6測試環(huán)境5測試環(huán)境6如圖7所示。ABC123圖7測試環(huán)境6測試環(huán)境7如圖8所示。圖8測試環(huán)境7控制器測試環(huán)境8如圖9所示。2圖9測試環(huán)境87.2.1標(biāo)識和鑒別園區(qū)交換機(jī)802.1X接入認(rèn)證功能a)預(yù)置條件：按照圖9測試環(huán)境8搭建好測試環(huán)境；b)測試方法：在DUT上配置802.1X認(rèn)證，RAd)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)園區(qū)交換機(jī)MAC接入認(rèn)證功能a)預(yù)置條件：按照圖9測試環(huán)境8搭建好測試環(huán)境；b)測試方法：在DUT上配置MAC認(rèn)證，RADId)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。），）；Flood、TCPv6SYNFlood等攻擊數(shù)據(jù)d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。d)結(jié)果判定：實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。果2。