(高清版)GB∕T 38799-2020 基于公用電信網(wǎng)的寬帶客戶網(wǎng)絡(luò)設(shè)備安全技術(shù)要求 寬帶客戶網(wǎng)關(guān)

M33中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)基于公用電信網(wǎng)的寬帶客戶網(wǎng)絡(luò)設(shè)備安全技術(shù)要求寬帶客戶網(wǎng)關(guān)TB國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB／T38799—2020 2規(guī)范性引用文件 3縮略語 4用戶平面安全要求 4.1安全管理功能 4.2訪問控制列表 4.3VPN功能 4.4NAT功能 4.5防火墻功能 4.6防攻擊功能 4.7網(wǎng)絡(luò)訪問的安全性 4.8WLAN安全性 5控制平面安全要求 5.1PPP用戶認(rèn)證 6管理平面安全要求 6.1Telnet訪問 6.3連接認(rèn)證功能 7可靠性要求 8電氣安全要求 ⅠGB／T38799—2020本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本標(biāo)準(zhǔn)由中華人民共和國(guó)工業(yè)和信息化部提出。本標(biāo)準(zhǔn)由全國(guó)通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC485)歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)信息通信研究院。本標(biāo)準(zhǔn)主要起草人：沈天臖、程強(qiáng)。1GB／T38799—2020基于公用電信網(wǎng)的寬帶客戶網(wǎng)絡(luò)設(shè)備安全技術(shù)要求寬帶客戶網(wǎng)關(guān)本標(biāo)準(zhǔn)規(guī)定了基于公用電信網(wǎng)的寬帶客戶網(wǎng)絡(luò)中寬帶客戶網(wǎng)關(guān)設(shè)備的用戶平面安全要求、控制平面安全要求、管理平面安全要求、設(shè)備可靠性和電氣安全要求。本標(biāo)準(zhǔn)適用于基于公用電信網(wǎng)的寬帶客戶網(wǎng)絡(luò)中的網(wǎng)關(guān)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。YD/T965電信終端設(shè)備的安全要求和試驗(yàn)方法下列縮略語適用于本文件。ARP：地址解析協(xié)議(AddressResolutionProtocol)DMZ：隔離區(qū)(DemilitarizedZone)DoS：拒絕服務(wù)(DenialofService)IP：互聯(lián)網(wǎng)協(xié)議(InternetProtocol)LAC：鏈路接入控制(LinkAccessControl)LAN：局域網(wǎng)(LocalAreaNetwork)LNS:L2TP網(wǎng)絡(luò)服務(wù)器(L2TPNetworkServer)LSP：標(biāo)記交換路徑(LabelSwitchPath)MAC：媒質(zhì)接入控制層(MediumAccessControl)GB／T38799—2020NAPT：網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NetworkAddressPortTranslation)NAT：網(wǎng)址變換(NetworkAddessTransform)PAP：密碼認(rèn)證協(xié)議(PasswordAuthenticationProtocol)SIP：會(huì)話初始協(xié)議(SessionInitiationProtocol)SSID：服務(wù)集標(biāo)識(shí)(servicesetidentifier)Telnet：終端網(wǎng)絡(luò)(TerminalNetwork)URL：統(tǒng)一資源定位器(UniformResourceLocator)VLAN：虛擬局域網(wǎng)(VirtualLocalAreaNetwork)WLAN：無線局域網(wǎng)(WirelessLocalAreaNetwork)4用戶平面安全要求寬帶客戶網(wǎng)關(guān)涉及的口令長(zhǎng)度應(yīng)不少于8個(gè)字符，并且應(yīng)由數(shù)字、字母或特殊符號(hào)組成，寬帶客戶網(wǎng)關(guān)可提供檢查機(jī)制，保證每個(gè)口令至少是由前述3類符號(hào)中的兩類組成。網(wǎng)關(guān)應(yīng)具有普通用戶及管理員用戶。普通用戶管理權(quán)限可以對(duì)網(wǎng)關(guān)的一些非重要參數(shù)進(jìn)行配置和查詢，不能對(duì)網(wǎng)關(guān)的重要參數(shù)進(jìn)行配置。管理員本地維護(hù)管理權(quán)限可以對(duì)網(wǎng)關(guān)的重要參數(shù)進(jìn)行配置和查詢。4.2訪問控制列表應(yīng)實(shí)現(xiàn)的訪問控制列表。應(yīng)支持基于源MAC地址、源IP地址、目的IP地址、以太網(wǎng)協(xié)議類型、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)、TOS域、IP協(xié)議類型的訪問控制列表。23GB／T38799—20204.3VPN功能4.3.1L2TP隧道應(yīng)支持通過L2TP隧道技術(shù)實(shí)現(xiàn)VPN,應(yīng)支持LAC和LNS功能，支持CHAP鑒別協(xié)議。IPSecVPN4.3.3MPLSVPN（可選）不管是L2VPN還是L3VPN,數(shù)據(jù)應(yīng)嚴(yán)格基于標(biāo)簽沿著LSP轉(zhuǎn)發(fā)。除非需要，一個(gè)VPN的數(shù)據(jù)不應(yīng)被發(fā)送到該VPN之外，一個(gè)VPN的數(shù)據(jù)不應(yīng)進(jìn)入到另一個(gè)VPN。當(dāng)同時(shí)支持VPN服務(wù)和因特網(wǎng)服務(wù)時(shí)，特別是在同一個(gè)物理接口上通過不同的邏輯接口支持VPN服務(wù)和因特網(wǎng)服務(wù)時(shí)，可以基于邏輯接口對(duì)接入速率進(jìn)行限制。VPN之間的MAC地址和VLAN信息應(yīng)相互隔離，VPN之間或VPN和MPLS骨干之間應(yīng)可以復(fù)用MAC地址空間和VLAN空間。除非需要，VPN之間或VPN和MPLS骨干之間的交換信息應(yīng)相互隔離。常用的L3VPN技術(shù)是BGP/MPLSVPN。BGP/MPLSVPN實(shí)質(zhì)上是通過BGP協(xié)議約束路由信息分配的MPLS,對(duì)L3VPN的要求如下：—應(yīng)支持靜態(tài)路由算法和動(dòng)態(tài)路由算法。對(duì)于動(dòng)態(tài)路由算法，應(yīng)具有接口上過濾路由更新的能力，IGP和EGP路由協(xié)議都應(yīng)支持MD5加密認(rèn)證，并可基于VRF實(shí)例限制路由更新速度?！猇PN之間的拓?fù)浜途幹沸畔?yīng)相互隔離，一個(gè)VPN應(yīng)可以使用所有因特網(wǎng)地址范圍，包括IETFRFC1918定義的私有地址范圍，VPN之間或VPN和MPLS骨干之間應(yīng)可以復(fù)用IP地址空間?！獞?yīng)為每個(gè)VPN維持一個(gè)獨(dú)立的VRF實(shí)例，除非需要，VPN之間或VPN和MPLS骨干之間的路由信息及其分發(fā)和處理應(yīng)相互獨(dú)立，互不干擾。4.4NAT功能寬帶客戶網(wǎng)關(guān)應(yīng)支持NAT功能，對(duì)NAT的功能特性要求如下：—應(yīng)支持NAPT;—應(yīng)支持HTTP、FTP、DNS、H.323、SIP等應(yīng)用協(xié)議；—應(yīng)支持輸出NAT日志記錄。4.5防火墻功能寬帶客戶網(wǎng)關(guān)應(yīng)支持防火墻功能，除包過濾、訪問控制列表、NAT外，應(yīng)支持應(yīng)用代理功能，只允許被保護(hù)的網(wǎng)絡(luò)訪問允許的網(wǎng)絡(luò)應(yīng)用。支持防火墻高中低等級(jí)設(shè)置，每個(gè)安全等級(jí)的內(nèi)容可以修改。GB／T38799—2020狀態(tài)檢測(cè)不僅檢查網(wǎng)絡(luò)層和傳輸層的信息，還檢查應(yīng)用層協(xié)議的信息，實(shí)時(shí)維護(hù)這些TCP或UDP的狀態(tài)信息。使用這些狀態(tài)信息確定訪問控制，應(yīng)支持基于狀態(tài)檢測(cè)的包過濾功能。4.6防攻擊功能理的應(yīng)用協(xié)議（例如，DNS)進(jìn)行攻擊。4.6.2防端口掃描能力寬帶客戶網(wǎng)關(guān)應(yīng)能夠提供防端口掃描功能，支持防止其他設(shè)備或者應(yīng)用的惡意端口掃描。MAC寬帶客戶網(wǎng)關(guān)應(yīng)能配置限制從每個(gè)用戶LAN端口學(xué)習(xí)到的源MAC地址的數(shù)量。4.6.4非法組播源控制功能據(jù)報(bào)文。寬帶客戶網(wǎng)關(guān)應(yīng)能夠?qū)μ囟▍f(xié)議的廣播／組播包（例如，DHCP、ARP、ICMP、IGMP等）進(jìn)行速率抑制，并能對(duì)其他二層廣播報(bào)文進(jìn)行速率限制。4.7網(wǎng)絡(luò)訪問的安全性寬帶客戶網(wǎng)關(guān)應(yīng)支持DMZ功能。寬帶客戶網(wǎng)關(guān)應(yīng)支持基于MAC地址和IP地址進(jìn)行接入控制（包括LAN和WLAN)。寬帶客戶網(wǎng)關(guān)應(yīng)支持設(shè)置黑白名單實(shí)現(xiàn)URL訪問控制功能。黑白名單應(yīng)支持與網(wǎng)關(guān)發(fā)起的PPPoE賬號(hào)綁定。PPPoE4.8WLAN安全性寬帶客戶網(wǎng)關(guān)應(yīng)支持配置不同SSID以區(qū)分網(wǎng)絡(luò)，支持啟用或者關(guān)閉SSID廣播功能，以及SSID隱藏的功能。還應(yīng)支持對(duì)其WLAN無線信號(hào)的發(fā)送功率和工作信道的設(shè)定。應(yīng)支持對(duì)WLAN客戶端的認(rèn)證和WLAN收發(fā)數(shù)據(jù)的加密。5控制平面安全要求5.1PPP用戶認(rèn)證PPP作為數(shù)據(jù)鏈路層協(xié)議，本身不具備完善的安全能力。應(yīng)支持PAP方式的用戶接入認(rèn)證。在PPPoEPAPCHAPPPPoECHAP認(rèn)證。應(yīng)支持基于運(yùn)營(yíng)商信息的用戶接入認(rèn)證。在撥號(hào)過程中，網(wǎng)關(guān)從認(rèn)證過程中提取運(yùn)營(yíng)商信息并基45GB／T38799—2020于該信息確定是否進(jìn)行后續(xù)的撥號(hào)流程。鏈接請(qǐng)求。由寬帶客戶網(wǎng)關(guān)給用戶終端分配內(nèi)部網(wǎng)絡(luò)地址允許用戶終端進(jìn)行網(wǎng)絡(luò)接入。如果寬帶客戶網(wǎng)關(guān)收到新的用戶終端使用該用戶名密碼撥號(hào)，那么網(wǎng)關(guān)直接為用戶終端分配內(nèi)部網(wǎng)絡(luò)地址，不再向網(wǎng)用戶側(cè)賬號(hào)的連接應(yīng)僅綁定在相應(yīng)賬號(hào)的網(wǎng)絡(luò)側(cè)連接上。對(duì)控制平面的信息要提供日志記錄功能，網(wǎng)關(guān)應(yīng)具有獨(dú)立的防火墻日志，該防火墻日志記錄該網(wǎng)絡(luò)設(shè)備檢測(cè)到的寬帶客戶網(wǎng)絡(luò)中違背該防火墻規(guī)則的網(wǎng)絡(luò)行為，每條記錄應(yīng)打上時(shí)間戳。防火墻日志應(yīng)至少能夠包含100條記錄。如果產(chǎn)生的日志數(shù)量超過容量，宜采取保留最新的記錄，覆蓋時(shí)間最早的記防火墻日志應(yīng)不能被修改。日志也不應(yīng)被刪除，除非被復(fù)位至出廠／默認(rèn)配置。日志應(yīng)記錄過濾規(guī)則、拒絕訪問、配置修改等相關(guān)安全事件。對(duì)日志的要求包括：—每個(gè)安全日志條目應(yīng)包含事件主體、發(fā)生時(shí)間和事件描述等；—應(yīng)可以保存在本地系統(tǒng)的緩存區(qū)內(nèi)，也可以發(fā)送到專用的日志主機(jī)上作進(jìn)一步處理；—可選實(shí)時(shí)打印在專用打印機(jī)或連接設(shè)備的顯示終端上；—應(yīng)定義日志的嚴(yán)重級(jí)別，并能夠根據(jù)嚴(yán)重程度級(jí)別過濾輸出；—應(yīng)支持和日志主機(jī)之間的接口。6管理平面安全要求規(guī)定：—用戶應(yīng)提供用戶名／口令才能進(jìn)行后續(xù)操作，用戶地址和操作應(yīng)計(jì)入日志；—應(yīng)限制同時(shí)訪問的用戶數(shù)；—在設(shè)定的時(shí)間內(nèi)不進(jìn)行交互，用戶應(yīng)自動(dòng)被注銷；Telnet服務(wù)。HTTPWeb—用戶應(yīng)提供用戶名／口令才能進(jìn)行后續(xù)的操作，用戶地址和操作應(yīng)記入日志；—可限定用戶通過哪些IP地址使用HTTP對(duì)設(shè)備進(jìn)行訪問；—必要時(shí)可關(guān)閉HTTP服務(wù)；—應(yīng)支持SSL/TLS。6.3連接認(rèn)證功能網(wǎng)關(guān)應(yīng)具有