首页 > 国家标准(GB) > GB/T 38799-2020 基于公用电信网的宽带客户网络设备安全技术要求 宽带客户网关
GB/T 38799-2020

基本信息

标准号: GB/T 38799-2020

中文名称:基于公用电信网的宽带客户网络设备安全技术要求 宽带客户网关

标准类别:国家标准(GB)

标准状态:现行

出版语种:简体中文

下载格式:.zip .pdf

下载大小:463407

相关标签: 基于 公用 电信网 宽带 客户 网络设备 安全 技术 网关

标准分类号

关联标准

出版信息

相关单位信息

标准简介

GB/T 38799-2020.Technical requirement for security of broadband customer network equipment based on public telecommunication network- Broadband customer gateway.
1范围
GB/T 38799规定了基于公用电信网的宽带客户网络中宽带客户网关设备的用户平面安全要求、控制平面安全要求、管理平面安全要求、设备可靠性和电气安全要求。
GB/T 38799适用于基于公用电信网的宽带客户网络中的网关。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用乐本文件。
YD/T 965电信终端设备的安全要求和试验方法
IETF RFC 1918互 联网私有地址分配( Address allocation for private internets)
3缩略语
下列缩略语适用于本文件。
ARP:地址解析协议( Address Resolution Protocol )
BGP :边界路由协议( Border Gateway Protocol)
CHAP :质询握手认证协议(Challenge- Handshake Authentication Protocol)
DHCP:动态主机控制协议(Dynamic Host Configuration Protocol)
DMZ:隔离区(Demilitarized Zone)
DNS:域名系统(Domain Name System)
DoS:拒绝服务(Denial of Service)
EGP :外部网关协议( External Gatway Protocol)
FTP:文件传输协议(File Transfer Protocol)
HTTP:超文本传输协议(Hypertext Transfer Protocol)
ICMP:因特网控制报文协议( Internet Control Messages Protocol)

标准图片预览






标准内容

ICS33.040.50
中华人民共和国国家标准
GB/T38799—2020
基于公用电信网的宽带客户网络设备安全技术要求宽带客户网关
Technical requirement for security of broadband customer network equipmentbased on public telecommunication network-Broadband customer gateway2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
GB/T38799—2020
规范性引用文件
缩略语
用户平面安全要求
安全管理功能
访问控制列表
VPN功能
NAT功能
防火墙功能
防攻击功能
网络访问的安全性
WLAN安全性
5控制平面安全要求
PPP用户认证
日志功能
6管理平面安全要求
Telnet访问
Web管理
连接认证功能
可靠性要求
电气安全要求
本标准按照GB/T1.1-2009给出的规则起草。GB/T38799—2020
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中华人民共和国工业和信息化部提出本标准由全国通信标准化技术委员会(SAC/TC485)归口本标准起草单位:中国信息通信研究院本标准主要起草人:沈天珺、程强。1
1范围
基于公用电信网的宽带客户网络设备安全技术要求宽带客户网关
GB/T38799—2020
本标准规定了基于公用电信网的宽带客户网络中宽带客户网关设备的用户平面安全要求、控制平面安全要求、管理平面安全要求、设备可靠性和电气安全要求,本标准适用于基于公用电信网的宽带客户网络中的网关。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T965电信终端设备的安全要求和试验方法IETFRFC1918互联网私有地址分配(Addressallocation forprivateinternets)aeeiK
36缩略语
下列缩略语适用于本文件。
ARP:地址解析协议(AddressResolutionProtocol)BGP:边界路由协议(BorderGateway Protocol)CHAP:质询握手认证协议(Challenge-HandshakeAuthenticationProtocol)DHCP:动态主机控制协议(DynamicHostConfigurationProtocol)DMZ:隔离区(DemilitarizedZone)DNS:域名系统(DomainNameSystem)DoS:拒绝服务(Denialof Service)EGP:外部网关协议(ExternalGatwayProtocol)FTP:文件传输协议(FileTransferProtocol)HTTP:超文本传输协议(HypertextTransferProtocol)ICMP:因特网控制报文协议(InternetControlMessagesProtocol)IGMP:互联网组管理协议(InternetGroupManagementProtocol)IGP:内部路由协议(InteriorGatewayProtocol)IP:互联网协议(InternetProtocol)IPSec:IP安全协议(IPSecurityProtocol)L2TP:二层隧道协议(Layer2TunnelingProtocol)LAC:链路接人控制(LinkAccessControl)LAN:局域网(LocalAreaNetwork)LNS:L2TP网络服务器(L2TPNetworkServer)LSP:标记交换路径(LabelSwitchPath)MAC:媒质接人控制层(MediumAccessControl)GB/T38799—2020
MD5:MD5消息摘要算法(MessageDigest5Algorithm)MPLS:多协议标签交换(MultiprotocolLabelSwitching)NAPT:网络地址端口转换(NetworkAddressPortTranslation)NAT:网址变换(NetworkAddessTransform)PAP:密码认证协议(PasswordAuthenticationProtocol))PPP:点对点通信协议(PointtoPointProtocol)PPPoE:以太网上点到点协议(Point-to-PointProtocoloverEthernet)RMS:远程管理服务器(RemoteManagementServer)SIP:会话初始协议(SessionInitiationProtocol)SSID:服务集标识(servicesetidentifier)SSL:安全套接层(SecureSocketsLayerProtocol)TCP:传输控制协议(TransmissionControlProtocol)Telnet:终端网络(TerminalNetwork)TLS:传输层安全性(TransportLayerSecurity)TOS:服务类型(TypeofService)UDP:用户数据报协议(UserDatagramProtocol)URL:统一资源定位器(UniformResourceLocator)VLAN:虚拟局域网(VirtualLocalAreaNetwork)VPN:虚拟专用网(VirtualPrivateNetwork)Aca
VRF:VPN路由转发表(VPNRoutingandForwarding)WLAN:无线局域网(WirelessLocalAreaNetwork)HiiKae
4用户平面安全要求
4.1安全管理功能
4.1.1口令管理
宽带客户网关涉及的口令长度应不少于8个字符,并且应由数字、字母或特殊符号组成,宽带客户网关可提供检查机制,保证每个口令至少是由前述3类符号中的两类组成。4.1.2用户管理
网关应具有普通用户及管理员用户。普通用户管理权限可以对网关的一些非重要参数进行配置和查询,不能对网关的重要参数进行配置。
管理员本地维护管理权限可以对网关的重要参数进行配置和查询。4.2
访问控制列表
应实现的访问控制列表。
应支持基于源MAC地址、源IP地址、目的IP地址、以太网协议类型、TCP/UDP源端口号、TCP/UDP目的端口号、TOS域、IP协议类型的访间控制列表。2
4.3VPN功能
4.3.1L2TP隧道
GB/T38799—2020
应支持通过L2TP隧道技术实现VPN,应支持LAC和LNS功能,支持CHAP鉴别协议。4.3.2IPSec隧道(可选)
可选支持通过IPSec隧道技术实现VPN。4.3.3MPLSVPN(可选)
4.3.3.1通用要求
不管是L2VPN还是L3VPN.数据应严格基于标签沿着LSP转发。除非需要,一个VPN的数据不应被发送到该VPN之外,一个VPN的数据不应进人到另一个VPN。当同时支持VPN服务和因特网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持VPN服务和因特网服务时,可以基于逻辑接口对接入速率进行限制。4.3.3.2L2VPNbzxz.net
VPN之间的MAC地址和VLAN信息应相互隔离,VPN之间或VPN和MPLS骨干之间应可以复用MAC地址空间和VLAN空间。除非需要,VPN之间或VPN和MPLS骨干之间的交换信息应相aeeik
互隔离。
4.3.3.3L3VPN
常用的L3VPN技术是BGP/MPLSVPN。BGP/MPLSVPN实质上是通过BGP协议约束路由信息分配的MPLS,对L3VPN的要求如下应支持静态路由算法和动态路由算法。对于动态路由算法,应具有接口上过滤路由更新的能力,IGP和EGP路由协议都应支持MD5加密认证,并可基于VRF实例限制路由更新速度VPN之间的拓扑和编址信息应相互隔离,一个VPN应可以使用所有因特网地址范围,包括IETFRFC1918定义的私有地址范围,VPN之间或VPN和MPLS骨之间应可以复用IP地址空间。
一应为每个VPN维持一个独立的VRF实例,除非需要,VPN之间或VPN和MPLS骨干之间的路由信息及其分发和处理应相互独立,互不干扰。4.4NAT功能
宽带客户网关应支持NAT功能,对NAT的功能特性要求如下:应支持NAPT;
一应支持HTTP、FTP、DNS、H.323、SIP等应用协议;应支持输出NAT日志记录。
4.5防火墙功能
宽带客户网关应支持防火墙功能,除包过滤、访问控制列表、NAT外,应支持应用代理功能,只允许被保护的网络访问允许的网络应用。支持防火墙高中低等级设置,每个安全等级的内容可以修改。可选支持在本地Web界面配置防火墙的等级,分为高、中、低三级,3
GB/T38799—2020
状态检测不仅检查网络层和传输层的信息,还检查应用层协议的信息,实时维护这些TCP或UDP的状态信息。使用这些状态信息确定访问控制,应支持基于状态检测的包过滤功能,4.6防攻击功能
4.6.1防DoS攻击功能
宽带客户网关应支持防止PingofDeath、SYNFlood等DoS攻击,并建议网关能够防止对自身代理的应用协议(例如,DNS)进行攻击。4.6.2防端口扫描能力
宽带客户网关应能够提供防端口扫描功能,支持防止其他设备或者应用的恶意端口扫描。4.6.3限制每端口MAC地址学习数量功能宽带客户网关应能配置限制从每个用户LAN端口学习到的源MAC地址的数量4.6.4非法组播源控制功能
宽带客户网关应支持防止用户做源的组播,可以配置禁止用户端口发出的IGMPQuery和组播数KAca
据报文。
4.6.5报文抑制
iiKaee
宽带客户网关应能够对特定协议的广播/组播包(例如DHCP、ARP、ICMP、IGMP等)进行速率抑制,并能对其他二层广播报文进行速率限制。4.7网络访问的安全性
宽带客户网关应支持DMZ功能。。宽带客户网关应支持基于MAC地址和IP地址进行接人控制(包括LAN和WLAN)宽带客户网关应支持设置黑白名单实现URL访问控制功能。黑白名单应支持与网关发起的PPPoE账号绑定。
宽带客户网关应支持基于网关发起的PPPoE账号的上网时间管理。4.8WLAN安全性
宽带客户网关应支持配置不同SSID以区分网络,支持启用或者关闭SSID广播功能,以及SSID隐藏的功能。还应支持对其WLAN无线信号的发送功率和工作信道的设定。应支持对WLAN客户端的认证和WLAN收发数据的加密
5控制平面安全要求
5.1PPP用户认证
PPP作为数据链路层协议,本身不具备完善的安全能力。应支持PAP方式的用户接人认证。在通过PPPoE方式接入时,可以通过PAP方法进行用户认证应支持CHAP方式的用户接入认证。在通过PPPoE方式接入时,可以通过CHAP方法进行用户认证。
应支持基于运营商信息的用户接人认证。在拨号过程中,网关从认证过程中提取运营商信息并基4
于该信息确定是否进行后续的拨号流程GB/T38799—2020
可选支持基于PPPoE用户账号的用户接入认证的代理。即宽带客户网关收到用户终端的包含用户名和密码的PPPoE上网请求后,网关终结PPPoE请求,然后使用截获的用户名和密码向网络侧发起链接请求。由宽带客户网关给用户终端分配内部网络地址充许用户终端进行网络接入。如果宽带客户网关收到新的用户终端使用该用户名密码拨号,那么网关直接为用户终端分配内部网络地址,不再向网络侧发起新的连接,直接使用已有的连接上网。当存在多条不同账号的网络侧PPPoE连接时,对应的用户侧账号的连接应仅绑定在相应账号的网络侧连接上。5.2日志功能
对控制平面的信息要提供日志记录功能,网关应具有独立的防火墙日志,该防火墙日志记录该网络设备检测到的宽带客户网络中违背该防火墙规则的网络行为,每条记录应打上时间戳。防火墙日志应至少能够包含100条记录。如果产生的日志数量超过容量,宜采取保留最新的记录,覆盖时间最早的记录的方式。
防火墙日志应不能被修改。日志也不应被删除,除非被复位至出厂默认配置日志应记录过滤规则、拒绝访问、配置修改等相关安全事件。对日志的要求包括:每个安全日志条目应包含事件主体、发生时间和事件描述等;一应可以保存在本地系统的缓存区内,也可以发送到专用的日志主机上作进一步处理;可选实时打印在专用打印机或连接设备的显示终端上应定义日志的严重级别,并能够根据严重程度级别过滤输出;iKaeeiK
应支持和日志主机之间的接口。管理平面安全要求
6.1Telnet访问
Telnet协议用于通过网络设备进行远程登录。如果对用户提供Telnet服务,则建议满足下列规定:
用户应提供用户名/口令才能进行后续操作,用户地址和操作应计人日志;一应限制同时访问的用户数;
一在设定的时间内不进行交互,用户应自动被注销;一可限定用户通过哪些IP地址使用Telnet服务对设备进行访问;—一必要时可关闭Telnet服务。6.2Web管理
Web管理基于HTTP协议,宽带客户网关应支持Web管理,应满足下列约定:用户应提供用户名/口令才能进行后续的操作,用户地址和操作应记入日志;一可限定用户通过哪些IP地址使用HTTP对设备进行访问;一必要时可关闭HTTP服务;
一应支持SSL/TLS。
6.3连接认证功能
网关应具有一定的安全措施,保证RMS对网关远程管理和控制的安全性,避免对网关的非法配置。同时网关应具有一定的安全机制,如远程网管应都支持连接认证、支持修改管理认证账号、系统日志和安全日志、管理信息传输的安全机制等,保证远程管理的安全性5
GB/T38799—2020
可靠性要求
宽带客户网关应实现软件升级失败后可以自动回滚,关键配置不丢失,具有远程诊断及远程重启等功能。
电气安全要求
宽带客户网关应符合YD/T965中关于电气安全的要求。n
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。