GB/T38799-2020
基于公用电信网的宽带客户网络设备安全技术要求宽带客户网关
Technicalrequirementforsecurityofbroadbandcustomernetworkequipmentbasedonpublictelecommunicationnetwork—Broadbandcustomergateway
- 中国标准分类号(CCS)M33
- 国际标准分类号(ICS)33.040.50
- 实施日期2020-11-01
- 文件格式PDF
- 文本页数9页
- 文件大小513.59KB
以图片形式预览基于公用电信网的宽带客户网络设备安全技术要求宽带客户网关
基于公用电信网的宽带客户网络设备安全技术要求宽带客户网关
国家标准 GB/T38799一2020 基于公用电信网的宽带客户网络设备 安全技术要求宽带客户网关 Technicealrequirementforseeurityofbroadbandeustomernetworkequipment basedopublieteeommumieationmetwork一Broadbandceustomergatewasy 2020-04-28发布 2020-11-01实施 国家市场监督管理总局 发布 国家标涯花警理委员会国家标准
GB/T3879g一2020 目 次 前言 范围 2 规范性引用文件 缩略语 用户平面安全要求 4.1安全管理功能 4.2访问控制列表 4.3VPN功能 4.4NAT功能 4.5防火墙功能 4.6防攻击功能 4.7网络访问的安全性 4.8WLAN安全性 控制平面安全要求 5.1PPP用户认证 5.2日志功能 管理平面安全要求 6.1Tenet访问 6.2web管理 6.3连接认证功能 可靠性要求 电气安全要求 8
GB/38799一2020 前 言 本标准按照GB/T1.1一2009给出的规则起草
请注意本文件的某些内容可能涉及专利
本文件的发布机构不承担识别这些专利的责任
本标准由工业和信息化部提出
本标准由全国通信标准化技术委员会(SAC/Tc485)归口 本标准起草单位;信息通信研究院
本标准主要起草人:沈天用、程强
GB/38799一2020 基于公用电信网的宽带客户网络设备 安全技术要求宽带客户网关 范围 本标准规定了基于公用电信网的宽带客户网络中宽带客户网关设备的用户平面安全要求、控制平 面安全要求、管理平面安全要求、设备可靠性和电气安全要求
本标准适用于基于公用电信网的宽带客户网络中的网关
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
YD/T965电信终端设备的安全要求和试验方法 ETFRFC1918互联网私有地址分配(Addressalloeationforprivateinternets) 3 缩略语 下列缩略语适用于本文件
ARP:地址解析协议(AddressResolutionProtocol BG;P;边界路由协议(BorderGatewayProtocol) CHAP;质询握手认证协议(Challenge-HandshakeAuthenticationProtocol DHCP:动态主机控制协议(DynamicHostConfigurationProtocol DMZ;隔离区(DemilitarizedZone) DNs:域名系统(DomainNamesystem) Dos:拒绝服务(DenialofService) EGP;外部网关协议(ExternalGatwayProtocol) FTP:文件传输协议(FileTransferProtocol HTTP:超文本传输协议(HypertextTransferProtocolD) ICMP:因特网控制报文协议(InternetControl lMessaes Protocol) GMP:互联网组管理协议(InternetGropManagementProtocol GP;内部路由协议(InteriorGatewayProtocol) P;互联网协议(InternetProtocolD Psec:P安全协议(IPsecurityProtocoD 2T Protocol rumnelhng L2TP;二层隧道协议(Layer" LAC;链路接人控制(LinkAccessControl LAN:局域网(LocalAreaNetwork) LNS:L2TP网络服务器(L2TPNetworkServer) LSP;标记交换路径(L.abelSwitchPath MAC;媒质接人控制层(MediumAccessControl)
GB/T38799一2020 MD5;MD5消息摘要算法(MessageDigest5Algorithm) MPLs,多协议标签交换(MaltiprotcolLabeswitchimng) NAPT:网络地址端口转换(NetworkAddressPortTranslation NAT:网址变换(NetworkAddessTransform) AuthenticationProtocolD PAP:密码认证协议(Password oPointProtocol PPP:点对点通信协议(Point PPPoE:以太网上点到点协议(Point-to-PointProtocoloverEthernet) RMS;远程管理服务器(RemoteManagementServer) Protocol SIP;会话初始协议(Ses Sion identifier SSID:服务集标识(service SSL;安全套接层(SecureSocketsLayerProtocol TCP:传输控制协议(TransmissionControlProtocol Telnet:终端网络TerminalNetwork TLS:传输层安全性TransportLayerSecurity TOS:;服务类型(TypeofService UDP:用户数据报协议(UserDatagramProtocol URL:统一资源定位器(UniformResourceIocator VLAN;虚拟局域网(VirtualLocalAreaNetwork VPN:虚拟专用网(VirtualPrivateNetwork) VRF;VPN路由转发表(VPNRoutingandForwarding wLAN:无线局域网(wirelessLocalAreaNetwork 用户平面安全要求 4.1安全管理功能 4.1.1口令管理 宽带客户网关涉及的口令长度应不少于8个字符,并且应由数字、字母或特殊符号组成,宽带客户 网关可提供检查机制,保证每个口令至少是由前述3类符号中的两类组成
4.1.2用户管理 网关应具有普通用户及管理员用户
普通用户管理权限可以对网关的一些非重要参数进行配置和查询,不能对网关的重要参数进行 配置
管理员本地维护管理权限可以对网关的重要参数进行配置和查询
4.2访问控制列表 应实现的访问控制列表
应支持基于源MAC地址、源P地址、目的IP地址、以太网协议类型、TCP/UDP源端口号、TCP/ UDP目的端口号、TOS域IP协议类型的访问控制列表
GB/38799一2020 4.3VPN功能 4.3.1L2IP隧道 应支持通过L2TP隧道技术实现VPN,应支持LAC和LNS功能,支持CHAP鉴别协议
4.3.2IPSec隧道(可选 可选支持通过IPSec隧道技术实现VPN
4.3.3MIPIsVPN(可选 4.3.3.1 通用要求 不管是L2VPN还是L3VPN,数据应严格基于标签沿着I.SP转发
除非需要,一个VPN的数据 不应被发送到该VPN之外,,一个VPN的数据不应进人到另一个VPN
当同时支持VP服务和因特网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持 vP服务和因特网服务时,可以基于逻辑接口对接人速率进行限制
4.3.3.2L2VPN VPN之间的MMAC地址和VLAN信息应相互隔离,VPN之间或VPN和MPLs骨干之间应可以 复用MAC地址空间和VIAN空间
除非需要,VPN之间或VPN和MPIs骨干之间的交换信息应相 互隔离
4.3.3.3L3VPN 常用的L3VPN技术是BGP/MPL.sVPN
BGP/MPI.SVPN实质上是通过BGP协议约束路由 信息分配的MPL.S,对L3VPN的要求如下 应支持静态路由算法和动态路由算法
对于动态路由算法,应具有接口上过滤路由更新的能 力,IGP和EGP路由协议都应支持MD5加密认证,并可基于VRF实例限制路由更新速度 VPN之间的拓扑和编址信息应相互隔离,一个VPN应可以使用所有因特网地址范围,包括 IETFRFC1918定义的私有地址范围,VPN之间或VPN和MPIS骨干之间应可以复用IP 地址空间
应为每个VPN维持一个独立的VRF实例,除非需要,VPN之间或VPN和MPLS骨干之间 的路由信息及其分发和处理应相互独立,互不干扰
4.4NAT功能 宽带客户网关应支持NAT功能,对NAT的功能特性要求如下 应支持NAPT; 应支持HTTP,FTP,DNNS,H.323,SIP等应用协议 应支持输出NAT日志记录
4.5防火墙功能 宽带客户网关应支持防火墙功能,除包过滤、访问控制列表、NAT外,应支持应用代理功能,只允 许被保护的网络访问允许的网络应用
支持防火墙高中低等级设置,每个安全等级的内容可以修改
可选支持在本地web界面配置防火墙的等级,分为高、中、低三级
GB/T38799一2020 状态检测不仅检查网络层和传输层的信息,还检查应用层协议的信息,实时维护这些TCP或UDP 的状态信息
使用这些状态信息确定访问控制,应支持基于状态检测的包过滤功能
4.6防攻击功能 4.6.1防Ds攻击功能 宽带客户网关应支持防止PingofDeath.sYNFlaood等Ds攻击,并建议网关能够防止对自身代 理的应用协议(例如,DNS)进行攻击
4.6.2防端口扫描能力 宽带客户网关应能够提供防端口扫描功能,支持防止其他设备或者应用的恶意端口扫描 4.6.3限制每端口MAC地址学习数量功能 宽带客户网关应能配置限制从每个用户LAN端口学习到的源MAC地址的数量
4.6.4非法组播源控制功能 宽带客户网关应支持防止用户做源的组播,可以配置禁止用户端口发出的IGMPQuery和组播数 据报文
4.6.5报文抑制 宽带客户网关应能够对特定协议的广播/组播包(例如,DHCP,ARP,ICMP,IGMP等)进行速率抑 制,并能对其他二层广播报文进行速率限制
4. 网络访问的安全性 宽带客户网关应支持DMZ功能
宽带客户网关应支持基于MAC地址和IP地址进行接人控制(包括LAN和wLAN)
宽带客户网关应支持设置黑白名单实现URL访问控制功能
黑白名单应支持与网关发起的 PPPoE账号绑定
宽带客户网关应支持基于网关发起的PPPoE账号的上网时间管理
4.8wLAN安全性 宽带客户网关应支持配置不同sSID以区分网络,支持启用或者关闭sSID广播功能以及SSID隐 藏的功能
还应支持对其wLAN无线信号的发送功率和工作信道的设定
应支持对wLAN客户端 的认证和wLAN收发数据的加密
5 控制平面安全要求 5.1PpPP用户认证 PPP作为数据链路层协议,本身不具备完善的安全能力
应支持PAP方式的用户接人认证
在 通过PPPoE方式接人时,可以通过PAP方法进行用户认证
应支持CHAP方式的用户接人认证
在通过PPPoE方式接人时,可以通过CHAP方法进行用户 认证
应支持基于运营商信息的用户接人认证
在拨号过程中,网关从认证过程中提取运营商信息并基
GB/38799一2020 于该信息确定是否进行后续的拨号流程
可选支持基于PPPoE用户账号的用户接人认证的代理
即宽带客户网关收到用户终端的包含用 户名和密码的PPPoE上网请求后,网关终结PPPoE请求,然后使用截获的用户名和密码向网络侧发起 链接请求
由宽带客户网关给用户终端分配内部网络地址允许用户终端进行网络接人
如果宽带客户 网关收到新的用户终端使用该用户名密码拨号,那么网关直接为用户终端分配内部网络地址,不再向网 络侧发起新的连接,直接使用已有的连接上网
当存在多条不同账号的网络侧PPPoE连援时,对应的 用户侧账号的连接应仅绑定在相应账号的网络侧连接上
5.2日志功能 对控制平面的信息要提供日志记录功能网关应具有独立的肪火墙日志,该防火墙日志记录该网络 设备检测到的宽带客户网络中违背该防火墙规则的网络行为,每条记录应打上时间戳
防火墙日志应 至少能够包含100条记录
如果产生的日志数量超过容量,宜采取保留最新的记录,覆盖时间最早的记 录的方式
防火墙日志应不能被修改
日志也不应被删除,除非被复位至出厂/默认配置
日志应记录过滤规则拒绝访问、配置修改等相关安全事件
对日志的要求包括 -每个安全日志条目应包含事件主体、发生时间和事件描述等 应可以保存在本地系统的缓存区内,也可以发送到专用的日志主机上作进一步处理 -可选实时打印在专用打印机或连接设备的显示终端上; 应定义日志的严重级别,并能够根据严重程度级别过滤输出; 应支持和日志主机之间的接口
管理平面安全要求 6.1Ienet访问 Telnet协议用于通过网络设备进行远程登录
如果对用户提供Telnet服务,则建议满足下列 规定 用户应提供用户名/口令才能进行后续操作,用户地址和操作应计人日志 应限制同时访问的用户数; 在设定的时间内不进行交互,用户应自动被注销, -可限定用户通过哪些P地址使用Telnet服务对设备进行访问 必要时可关闭Tenet服务
6.2Web管理 web管理基于HTTP协议,宽带客户网关应支持web管理,应满足下列约定 用户应提供用户名/口令才能进行后续的操作,用户地址和操作应记人日志 可限定用户通过哪些P地址使用HTTP对设备进行访问 必要时可关闭HTTP服务; 应支持ssL/TILs
6.3连接认证功能 网关应具有一定的安全措施,保证RMS对网关远程管理和控制的安全性,避免对网关的非法配 置
同时网关应具有一定的安全机制,如远程网管应都支持连接认证,支持修改管理认证账号、系统日 志和安全日志、管理信息传输的安全机制等,保证远程管理的安全性
GB/T38799一2020 可靠性要求 宽带客户网关应实现软件升级失败后可以自动回滚,关键配置不丢失,具有远程诊断及远程重启等 功能
8 电气安全要求 宽带客户网关应符合YD/T965中关于电气安全的要求
基于公用电信网的宽带客户网络设备安全技术要求
宽带客户网关是连接用户设备和互联网的一个重要的网络设备。它可以实现网络接入、数据转发等功能。在公用电信网中,宽带客户网关扮演着重要的角色。 为了确保宽带客户网络设备的安全性,GB/T38799-2020提出了一系列的安全技术要求。这些要求旨在确保宽带客户网关在设计、开发和部署过程中满足网络安全的需求。 首先,宽带客户网关需要具备防火墙和访问控制的能力。这些措施可以帮助防止未经授权的访问,并降低黑客攻击的风险。此外,宽带客户网关还需要支持安全的VPN连接,以确保数据传输的机密性和完整性。 其次,宽带客户网关需要具备漏洞管理和应急响应的能力。这些措施可以及时发现和修复网络设备中存在的漏洞,并对紧急事件进行响应。同时,宽带客户网关需要支持日志记录和审计跟踪功能,以便跟踪和分析安全事件。 最后,GB/T38799-2020还提出了其他一些安全技术要求,如密码策略、会话管理、身份认证和授权等。这些措施可以提高宽带客户网关的安全性和稳定性。 总之,宽带客户网关是宽带网络中必不可少的网络设备,而GB/T38799-2020提出的安全技术要求可以帮助确保宽带客户网络设备的安全性。我们应该认真遵守这些要求,并采取适当的安全措施,以保护用户信息和网络安全。
