YD/T 1358-2005
基本信息
标准号: YD/T 1358-2005
中文名称:路由器设备安全技术要求 —— 中低端路由器(基于 IPv4)
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:634679
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1358-2005.Security requirements of medium-end and low-end router.
1范围
YD/T 1358规定了支持IPv4协议的单播应用的中低端路由器设备的安全技术要求,包括数据转发平面安全、控制平面安全、管理平面安全等。
YD/T 1358适用于支持IPv4协议的单播应用的中低端路由器设备,不适用于支持IPv4协议的组播应用的中低端路由器设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336-2001信息技术安全性评估准则
YD/T 1096-2001路由器设备技术规范一低端路由器
YD/T 1098-2001路由器测试规范一低端路由器
3术语和定义
下列术语和定义适用于本标准。
3.1
访问控制Access Control
防止未经授权使用资源。
3.2
授权Authorization
授予权限,包括根据访问权进行访问的权限。
3.3
密钥管理Key Management
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。
3.4
安全审计Security Audit
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、 探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。
1范围
YD/T 1358规定了支持IPv4协议的单播应用的中低端路由器设备的安全技术要求,包括数据转发平面安全、控制平面安全、管理平面安全等。
YD/T 1358适用于支持IPv4协议的单播应用的中低端路由器设备,不适用于支持IPv4协议的组播应用的中低端路由器设备。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336-2001信息技术安全性评估准则
YD/T 1096-2001路由器设备技术规范一低端路由器
YD/T 1098-2001路由器测试规范一低端路由器
3术语和定义
下列术语和定义适用于本标准。
3.1
访问控制Access Control
防止未经授权使用资源。
3.2
授权Authorization
授予权限,包括根据访问权进行访问的权限。
3.3
密钥管理Key Management
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。
3.4
安全审计Security Audit
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、 探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。
标准图片预览
标准内容
中华人民共和国通信行业标准
YD/T1358-2005
路由器设备安全技术要求
中低端路由器(基于IPv4)
Security requirements of medium-end and kow- end router2005-06-21发布
2005-11-D1实施
中华人民共和国信息产业部
1范围
2规范性引用文件
3术语和定义·
4符号和缩略语
5概述
6数据转发平面安全
6.1安全威胁·
6.2安余功能
7控制平面安全
7.1安全威胁
7.2安全动能·
8誉理平面安全
8.1安全成胁·
8.2安全功能
附录A(资料性附录】
举考文献
硬件系统和操作系统的安全要求KNKAa-
YD/T135B-2005
本标准是“支持TPv4的峰出爵”系列标准之一,本系列的结构和杯推名称预计如下:1.YT>/T1096-20K1路出器设备技术规范低编峰出器:
2.YT)/T1099-2(K01路自器测试范—低路自器:3.YTD/T109了-2(HOt略日器设备技不规范—克端略出器:4.YTD/T1156-2001略由器测试划范——商端路出器:5.路出器设备安全技术害求一一中低端陷由器(基于TPA:6中低带络由器安全测试方
了、路由器设备安全技术要求——商端路出器(基于TPv4J3:
8,高端路出器安全测试方法3
随若技术发展:将翻定后续标准,本标链与中低端路自器安全测试方法配套龄用,本标准的附求A为资料性附录。
本标准由中国迹信标游化划会提山并问口。本标准起草单位:中兴通讯股份有限公司华为技术有限公司
国家计算机网络与信息安全管理中心中国信集团公司
本标雅土要起草人:苗幅友冯伟孟宪民许志军 黄元飞 史凡
YD/T135B-2005
1范围
路由器设备安全技术要求
中低端路由器(基于IPy4)
YD/F1358-2005
本标准现定支持P4协议的单播感用的中低端由器设备的安全技术要求,包括教据转发平面安全、控制平面安全、管理面安伞等,本标准适用丁支持Pv4协议的单播应用的中低增路由器投备,不适用于支持止v4迹议的播成用的中端路由器设备。
2据范性引用文性
下列文件中的净款通过本标准的引用而成为本标准的条款。凡是注日期的用文件:其随后所有的修总单(不包括勘误的内窄)或修订版购不适用丁本标准,然而,鼓贴根据本标准达成协议的各方研究楚否可他用这些文件的册新版本,凡是不注日期的引用义件,其尼新版本适用于本标准。GBrT18336-2001bZxz.net
YD/T 1096-20U1
YD/T 1098-20I
3术语和定义
信息技术安全性评帖推则
路山器设·备技术规范一低端路由器略山器测试规范一一低端路由罐下列术治和定义适用于事标准。3.1
访问控制Acce6sonirol
防止本经浮使用穿源
授权Authorlzatkan
授子权限,包括根站访问权进行访问的权限。3.3
密钥性理KeyManagement
提据安全策略产生、分发、在储、快用、更换、销毁和恢女奔3.4
安金审计SecurtyAuclt
对系统的记录及治动独立的复查与检查,以便检测系统控制基否充分,确保系筑控制与现行策略租操作程序保扩一致、探测违背安全性的行为,并介绍控趣、策略和程序中所显示的任何变化。3.5
数字签名Digitel Signature
HKNKAa-
YD/T1358-2005
的在数势单元后血的数据,欧对数据单元进行密码变换得到的数握。允许数据的接收者证明数据的来源和完整性,供护数据不获的避,并保证教据的不可再认性。3.6
否认自apudiation
参与通信的实体们认参加了全部或部分的通信过段。3.7
可用性Availability
根据需要,信息允许有权实体访回和使用的特性。3.8
保密性Canfidanliality
信息对非授权个人、实体或进轻是不可矫、不可用的特性3.9
数据完整性Data[ntegrity
数据免遭非法更改或破坏的特性。3.10
安全服务SecurityService
由通信系统担供的,对系统或数据传递挺供充分安全保障的一种服务。3.11
安全策略Security户olicy
提供安全服务的一规则
安全机制 Security Mecharism
实现安全服务的过程,
拒绝鹿务DonialofServica
阻止授权访问资源驶迟时润数确操作、3.14
防重放Anti-Replay
防止对数据的重放攻试,
信惠遮露InfomatianDisclosure指信息被泄滞或透延给非授权的个人或实体。3.16
完整性破坏 Integrity Compromise(ctamags)数据的:致性通过对数据进行非授权的增加、整数、重排序或伤造而受到拥害。3.17
非法使用egalUse
贷源被非授权的实体惑者授权的实体以非授权的方式或错误的方式愈用,4桁号和缝略语
下列符号和缩略语适用于标准
CR-IDP
Triple Data Encrption StandardAccesa Conuml Lise
Advanced Tincryptim StandurdAddress Resolurtinn ProtncndApplicatton-SpeaificTntegrated CircuitBorler Gateway Protocol
order (iateway Protncol version 4Commitled Access Rate
Cipher Hlnck Chaining
Challenge-andshakeAuthencicatlcm ProtocalClatk pf Service
Central Processing L.nit
Ccmstraint-based Rohuling Tahel Ditrihuticm ProtenlTomain Name Service
Denial af Service
Digital Signature Standard
Exterior Gateway Protocol
Fle Transfer Pratocol
Hashed Message Authentication CodeHyper Text Transport ProtocodLtemet Control Messages PrhocolInteruationat ataEncrption AlgorithmIneerior Gateway Prntncol
Intemet Key Fxchange
Jntemet Pratent
Intemel Prarxcol Securily
Interediate Syxtem tn Tntermediate System PrnecailLayer 2 Tunnehing Pntocol
LzTP Acces Concentrator
Label Distribution Protoco!
L2TP Network Server
Label Saritched Path
Label Switch Router
Media Aocess Control
YD/T1358-2005
三重数据加密标准
访问控制测表
先进加密标准
地址辑析议
专用集盛电路
逆界网关协设
边界网关协议版术4
承诺接人速率
密码块链
质询握于认证协议
业务类别
中央处理器
基于约束路中的标记分发协议
域名服务
拒绝服务
数字签名标准
外部网关协议
文件传输协设议
散列消息认证
超文本传输协设
因特网文控制协议
际教活容算法
内阿关协议
因特网密钥交换
因特网协议
因特网协设安全
中问系统到中系统协议
一层隧道协议
1.2TP榜人弟中器
标记分发协设
L2TP时络服务器
标记交换路径
标记交换路由器
媒介访间控制
YDT1368-2005
KSVP-TE
Message Digest version 5
Modular Exponentiatiou GroupMult-Protoxul Lubel Switching Nctwork Adcdruns TranslationNctwork Address Por I'ransliationNetwurk Titme Pretocol
消息摘要版本5
模求激组
多协议标记交换
网辨地址转换
网络地址端二转换
网路时间协议
Upcration.AdminisIryliunLMaintenanceandProvikioning操作、管理、能护和配胃Cpen Shurtest Path First
Password Authenicatiun PrulocolPerfcet Forward Seurecy
Rauuing Lnfunmaliun ProtocolRauring Infonuliun Proticol wersion 2Resuurve Resetvation ProtocolExterwion to RSVP for LSPTunnelsPoint-l-Puitnt Protocol
Rivest, Shurnir and Adleilan AlgorithmSecute Hush Algorithn
Sevure Hash Algutithm I
Simple Network Mallagerment ProtocolSNMP yesian
SNMP venin 2c
SNMP yenionl 3
Secure Shell
Secure Shell versiolt I
Secure Shell version 2
Secure Sucker Leyer
Truisinission Control ProrocolTrivial File Transfer ProtocolTrunsport Layer Security
Type of Service
User Detagram Protocol
Unicase Reverse Path ForwardingL'ser-based Security Model
Yirluml Lucel Area Network
Virtual Privete Network
VPN Ruuting aod Forwanding
开放品短路径优先协议
口令认证协议
完美前问保密
路中信息协议
路由信息协议版本2
资源预羿协政
用于LSP随道的RSVP护展
点到点协议
RSA算法
安全教列算法
安全散测算法版本
单网络管理协设
SNMP版本1
SNMP版木2c
SNMP版木3
安全外完
SSF版木1
SI版木2
李全套接房
传输控制协议
简单文件传输梦议
传输层安全
服务类型
用广数据报协议
单播反向路径转发
基十用广的安全模型
虚拟局域网
谅拟专用网
VPN略出和转发
5概述
YD/T1358-2005
中低端路由器通带位于网络边缘,用作接人动缘网路出器,对中低端路由器的定义利使用范国除见YL/T1096-200」路由露设备技术规药—低端路由器中低端路由器处于网络达缘,往往专用网络和骨干网络的接人点,所以它是网路攻击从专用网络攻击外部网络(他括骨干网络和其他专用网络)或者利用外部网络收击专网络的必经之路,在接人网络解决安全问题是个网络案全体系的重要纠成部分,路凸器功能在运辑上可以划分为数据转发面、控制面和管理平面3个功能平面。(1)数据转发平面主要指为用户访问利利用网络而提供的功能,如数据转发等。(2)挖制平面也可以梯为信令平面,主要包括路由协议、M协议等,以及与性立会话座接、控制转发路径等石关的功能
(3)节理平面主要指与OAM&H石关的能,如SNMI、管理用户Tehet签录、日志等,支持HCAPS(Fault,Capacity,Adrminigtation,royisioningandSccurity)功能。管理平面消息的传送方式有带内和帮外两种
为了防范不安全年件的发生,中低端路此器应提供定的安全动能,本标准引用GB/1B336-2001中定义的安全功能类井应用到中低端略由器,这紫安全功能类包括:一整别利认证,确认用产的身份及其其实性;一用户教据保护,保护用户数据相关的安个功能和安个策瞬;一系统均能保护,安全教据(完成安全功能所需要的数据,如再户身份和口令)的保护能力:一资源分,对用户也用的资娠进打控制,不允许用户过盈下用资源造成的拒绝雕务一安伞审证,能够提供日志等审计记录,这些过录可以用来分析安全威胁活动和对策:一安伞前理,安全功能、数搬和安伞展性的管理能力;一可信借道瞬径,中低端路由器之问以及中低端辟由器同他设备之间遁信的信道路径要求可信,对下传送敏感数据的通信要同传送止他数据的通信隔离开来:一系统访问,本安全功能类要求控制用户会话的述立。路由器安全根架如图1所示,
Y0./T1358-2005
安专资电
世理不面
制平面
特汉平面
图1路由器安全框据
定用池
热示层
会适题
转营民
两务所
药量品
硬性系究和作系统是中低端略由雀小身安全的更零因案,对硬件系统和噪作系统的要求参见附采A6数据转发平面安全
8.1安全威胁
对数握转发平面的安全感胁主要有以下方面,但并不局限于这些方面:一对缴据流的流垦分折,从而获得敏感信息:一术授权观察,警敏,插人和除数据疏:一拒绝服务攻击,降低设务的转发性能。8.2安全功能
6.2.1鉴别和认证
中低券路由器位于网络迎缘,备要对接人两络的数据源进行检查和确议,保证振文求自可信/合达的用户或设备,
6.2.2用产数据保护
6.2.2.1IPSec助能
PSeC在P层上提供数据保密性、数据源认证:数完整性抗更敢等安全展务,中AH,ESP和IKE等协议势战。
低端路出器支持止Sec协设,对正Sec的特性要求如下:一吨支持手工密钥肾理利让自动密钥管率:一成支持AH和ESP协议对于这两种协议,变支持弹道和传送两控封装快式,建议支持ATT和FSP协设的般套封装:
一AH剂ESP协议成支控HMAC-MDS-%和HMAC-SIAI-96认证算造,TSP协议成支持国家相关部门热定的加密算法,以及DES-CBC,3DES-CBC和AES等加密算法,应支持空加密算法和空认证算法,但两者不惊时使用,
对IKE的特性要求划下:
一第一阶段成支持士模式和野奎模式:一第二阶段应支持快速模试:
一应支持情报模式;
YD/T1358.-2005
一应支持项共享密朗认证方式,建议实现RSA加密Nonce验证和数字证书认证方式:-一应支持HMAC-M5-96和HMAC-SHA1-96认证算法,支持MD5和STIAI散列算法,应支持国家相关部门规定的加密弃法,以及DES-CBC,3DES-CBC和AES等加密算法一密钥交换成支持MoDP-CruuplMoDP-Group2等Die-HellmaE组:一对于快速模式,支持PFS.
6.2.3系统功能保护
对于用户的安全数据,系统要提供妥的保护手段,包括对访间安全效据的用户进行标识和盗别。6.2.4资源分配
6.2.4,1流量控制
常见的减单攻击是通过大最的某科洗量实施的。对该种流量进行控删、限制其进人拥络的窄量,可以缓解这种攻击。中低搅路由器成在其端口上支持采用CAR策路,结合ACL和CoS,控制某种类型的流型使用网络资源:
6.2.5安全审计
对于用流至、中低端路器要求能够提供流量日志能力,相关要求争见8.2.5节有关规定。日.2.6安全管理
能够提供谢本章提供的安全功能和数据的凸理能力,管理方式包括但不限于控制台、远程连接或网络管理接1/系就等方式,
8.2.7可信道/降径
中低端路由器之间以及中低端略由器同其地设备间通信的信道略径要求可信,对于传送感数据的通信要同传送其他数据的通信屑离开米。VI\N能够将VPN内的用产数据同VP外部或其他YPN的数据隔离开来,能够提供可信的通信信道路径:对VEN功能的要求签比2R3货6.2.8系统访问
6.2.8.1过滤功能
感支持RFC1858和RFC3128规定期卫分片色过,以及RFC2827和RFC3704规定的色过滤器。6.2.8.2访问控制列表
访间控制列表最基于报文的内案,如MAC地址,驴地址、协议和常几等,指定的安全规测表对每个进出踏中器的报文通过与这些规测匹配,确是对其处理的动作,议实现基于源MAC地证的访问控别列表,降低系缺的无调开销。应支持基源地址、目的地址、协议类型、源端口号、日的端口号的访问控制列表,建设支持基于LP头部的TS城的访问控制列表,以及在指定时问有效的访问控制列表,应支持对报文匹配筛说进行统计和产生日志等。中低端由器应支持间时配2000项以上的访问控制列表规则,而不使性能明显下降。6.2.B.3-VPN功能
TTKANnKAca-
YD/T1358-2005
VPN利用公共网络资源,建立虚拟专用网络,利用VPN可以实现不间专用网络用户流的隔离。中低端路由器支持利用以下技术实现VPN。(1)1.2TP隧道
应支持通过L2TP隧道技术实现VPN,应支持LAC和LNS攻能,支持CHAP鉴别协议。(2)IPSer隧道
宜支持通过IPSec继道技术实现VPN,对IPSec的要求见6.2.2.1节。(3)MPLSLSP
可基于MPLSLSP实现MPLSVPN,对MPLSVPN的要求如下:一-不管是L2VPN还是L3VPN,数据成严格苯于标签沿者LSP转发:除非需要,个VFN的据不应被发送到该VPN之外,一个VPN的数辑不成进入到另个YPN,一当同时文持VPN服务和因特网服务时,特别是在同个物所接[1.上通过不同的逻接口支持VPN服务和因特网服务时,可基于逻辑接门对接人速率进行限制6.2.8.4NAT
NAT的切衰是为了解快P地用资源函乏,低NAT可以实现内网和外网的隔高,内网可以案地访问外网,尚时可以险凝内网的编比方案利网络结构,保证了内网的安全中低端路由器成支持NAT功能,对NAT的动能特性要求如下:一应支持NAPT:
一成支持HTTP,FTP、LDNS,H.323等应用协设:一应支持5000以1.的并发连接数;一支持输出NAT日志记录。
62.B.5防火墙功能
中低路出器立支持防火增功能,除包过滤、访问控制列表、NAT外,可支持应用代理功能,只允许裁保护的网络访问允许的网举应用,状格格测不仪检查网络层和传输层的信良,还检查应用层协议的信息,实时维护这些TCP或ULIP的状态信息,使用这些状态信息确定访问控制,中任端路出器叫支持基于状态检测的包过滤功能。7控制平面安全
7.1安全成胁
控制乎而的安全戚主要有认下几个方面,但并不限丁些方面:对协议流进行操测或者进行流量分析,从而获得转发既径信息。--获得设备服务的控制权,录露转发路径信息,包括将转发路径信息据露给非受权设备,一个VPN转发略径信息亲薛给另一个VPN等。一利用协议流实施的拒绝服务攻击,如和用ICMP协权的Smurf击:利用路出协议的拒绝服务收击;利用面向连接拟设的半连接攻击等。一非法校备进行身份哄骗,建立路由协议的信任关系,非法获得转发路莅信息一针对路由协议转发路径信息的欺骗。7.2安金功能
72.1整别和认证
YD/T1358.2006
7.2.1.1户户P用户认证
PIT作为数据链略层协议。本身并不具备完著的安全能力。其认证阶段应选用CHAP协议,而不能选用明文I令的PAP协议,以避免用户口令被听。7.2.1.2路由认证
路主安全号路中器执行正常功能的重要基础。动态路由协议可以分为P和两类,对于中低端路由器,甘前!泛采用的IGP有OSPF和IS-IS协议,EGP主要是BGP协议。其中:RIPv2、SIHFv2成支持明文认证和MD5加密认证:IS-5应支持明文认证和5如密认证:BGP-4应支持MD5加密认证,
刘十MPLS,用干建立LSP的标记分配协改主要有RSVP-TE和LDP/CR-LDP两种:LDPCR-LDI
发现交换过捍使用的消息出UDP协议承载。对于基本Helo消息,中低端路由器应只接受与川信SR直接相连的接口上的本Heo消息,愈略咯地址不是到该子网组播组的所有路山器的基本Hello消息:对于扩展Ilello消息,可利用访问列表控制只接受许的源发送来的扩展Heo消息,LDP会话过程使用的消息比TCF协议求载,也通过TCPMD5名选项对会话消息逆行点实性和完整性认证,RSVI-TE
应通过加案的撤列算法支持实体认证,从m实现逐跳认证机制,应支持HMAC-MD5算法和HMAC-SIA1算法。
722用户数爆保护
7.2.2.1路由认证
降同认证往往使用加密散列算法,在提供数据想认证的同时,也提供了整据完整性认证,路由认证功能塞见7.2.1.2节。
72.3系统功能保护
实全数据应得到署保护。
7.2.4宽源分配
7.2.4.1抗常见网络攻击
7.2.4.1.1 URPF
JIRPF尽通过在转发表中挖收到分组的源IP地址和接口,只转发源P地址在业路由表中存在分组的一种技术,这种技术可以提解基于P地址哄确的网络致击。中低端路由解应支持URPF功能。72.4.1.2禁止定向广播抵文转变SmLr攻击是一种利用定向!播报文实范的DS攻击.中低端路出器应在端口禁止定向播报文转发72.4.2关闭一些I户服务
7.2.4.2.1[CM户协议
ICMP用于网终操作和排除故,中恬端路由器需要实现ICMP协设的-一些功能,但设备应具有关闭这些功能的能力。这些化MP消感类型包括:—Type=0
Type - 3
四显应:
月的地不可达;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T1358-2005
路由器设备安全技术要求
中低端路由器(基于IPv4)
Security requirements of medium-end and kow- end router2005-06-21发布
2005-11-D1实施
中华人民共和国信息产业部
1范围
2规范性引用文件
3术语和定义·
4符号和缩略语
5概述
6数据转发平面安全
6.1安全威胁·
6.2安余功能
7控制平面安全
7.1安全威胁
7.2安全动能·
8誉理平面安全
8.1安全成胁·
8.2安全功能
附录A(资料性附录】
举考文献
硬件系统和操作系统的安全要求KNKAa-
YD/T135B-2005
本标准是“支持TPv4的峰出爵”系列标准之一,本系列的结构和杯推名称预计如下:1.YT>/T1096-20K1路出器设备技术规范低编峰出器:
2.YT)/T1099-2(K01路自器测试范—低路自器:3.YTD/T109了-2(HOt略日器设备技不规范—克端略出器:4.YTD/T1156-2001略由器测试划范——商端路出器:5.路出器设备安全技术害求一一中低端陷由器(基于TPA:6中低带络由器安全测试方
了、路由器设备安全技术要求——商端路出器(基于TPv4J3:
8,高端路出器安全测试方法3
随若技术发展:将翻定后续标准,本标链与中低端路自器安全测试方法配套龄用,本标准的附求A为资料性附录。
本标准由中国迹信标游化划会提山并问口。本标准起草单位:中兴通讯股份有限公司华为技术有限公司
国家计算机网络与信息安全管理中心中国信集团公司
本标雅土要起草人:苗幅友冯伟孟宪民许志军 黄元飞 史凡
YD/T135B-2005
1范围
路由器设备安全技术要求
中低端路由器(基于IPy4)
YD/F1358-2005
本标准现定支持P4协议的单播感用的中低端由器设备的安全技术要求,包括教据转发平面安全、控制平面安全、管理面安伞等,本标准适用丁支持Pv4协议的单播应用的中低增路由器投备,不适用于支持止v4迹议的播成用的中端路由器设备。
2据范性引用文性
下列文件中的净款通过本标准的引用而成为本标准的条款。凡是注日期的用文件:其随后所有的修总单(不包括勘误的内窄)或修订版购不适用丁本标准,然而,鼓贴根据本标准达成协议的各方研究楚否可他用这些文件的册新版本,凡是不注日期的引用义件,其尼新版本适用于本标准。GBrT18336-2001bZxz.net
YD/T 1096-20U1
YD/T 1098-20I
3术语和定义
信息技术安全性评帖推则
路山器设·备技术规范一低端路由器略山器测试规范一一低端路由罐下列术治和定义适用于事标准。3.1
访问控制Acce6sonirol
防止本经浮使用穿源
授权Authorlzatkan
授子权限,包括根站访问权进行访问的权限。3.3
密钥性理KeyManagement
提据安全策略产生、分发、在储、快用、更换、销毁和恢女奔3.4
安金审计SecurtyAuclt
对系统的记录及治动独立的复查与检查,以便检测系统控制基否充分,确保系筑控制与现行策略租操作程序保扩一致、探测违背安全性的行为,并介绍控趣、策略和程序中所显示的任何变化。3.5
数字签名Digitel Signature
HKNKAa-
YD/T1358-2005
的在数势单元后血的数据,欧对数据单元进行密码变换得到的数握。允许数据的接收者证明数据的来源和完整性,供护数据不获的避,并保证教据的不可再认性。3.6
否认自apudiation
参与通信的实体们认参加了全部或部分的通信过段。3.7
可用性Availability
根据需要,信息允许有权实体访回和使用的特性。3.8
保密性Canfidanliality
信息对非授权个人、实体或进轻是不可矫、不可用的特性3.9
数据完整性Data[ntegrity
数据免遭非法更改或破坏的特性。3.10
安全服务SecurityService
由通信系统担供的,对系统或数据传递挺供充分安全保障的一种服务。3.11
安全策略Security户olicy
提供安全服务的一规则
安全机制 Security Mecharism
实现安全服务的过程,
拒绝鹿务DonialofServica
阻止授权访问资源驶迟时润数确操作、3.14
防重放Anti-Replay
防止对数据的重放攻试,
信惠遮露InfomatianDisclosure指信息被泄滞或透延给非授权的个人或实体。3.16
完整性破坏 Integrity Compromise(ctamags)数据的:致性通过对数据进行非授权的增加、整数、重排序或伤造而受到拥害。3.17
非法使用egalUse
贷源被非授权的实体惑者授权的实体以非授权的方式或错误的方式愈用,4桁号和缝略语
下列符号和缩略语适用于标准
CR-IDP
Triple Data Encrption StandardAccesa Conuml Lise
Advanced Tincryptim StandurdAddress Resolurtinn ProtncndApplicatton-SpeaificTntegrated CircuitBorler Gateway Protocol
order (iateway Protncol version 4Commitled Access Rate
Cipher Hlnck Chaining
Challenge-andshakeAuthencicatlcm ProtocalClatk pf Service
Central Processing L.nit
Ccmstraint-based Rohuling Tahel Ditrihuticm ProtenlTomain Name Service
Denial af Service
Digital Signature Standard
Exterior Gateway Protocol
Fle Transfer Pratocol
Hashed Message Authentication CodeHyper Text Transport ProtocodLtemet Control Messages PrhocolInteruationat ataEncrption AlgorithmIneerior Gateway Prntncol
Intemet Key Fxchange
Jntemet Pratent
Intemel Prarxcol Securily
Interediate Syxtem tn Tntermediate System PrnecailLayer 2 Tunnehing Pntocol
LzTP Acces Concentrator
Label Distribution Protoco!
L2TP Network Server
Label Saritched Path
Label Switch Router
Media Aocess Control
YD/T1358-2005
三重数据加密标准
访问控制测表
先进加密标准
地址辑析议
专用集盛电路
逆界网关协设
边界网关协议版术4
承诺接人速率
密码块链
质询握于认证协议
业务类别
中央处理器
基于约束路中的标记分发协议
域名服务
拒绝服务
数字签名标准
外部网关协议
文件传输协设议
散列消息认证
超文本传输协设
因特网文控制协议
际教活容算法
内阿关协议
因特网密钥交换
因特网协议
因特网协设安全
中问系统到中系统协议
一层隧道协议
1.2TP榜人弟中器
标记分发协设
L2TP时络服务器
标记交换路径
标记交换路由器
媒介访间控制
YDT1368-2005
KSVP-TE
Message Digest version 5
Modular Exponentiatiou GroupMult-Protoxul Lubel Switching Nctwork Adcdruns TranslationNctwork Address Por I'ransliationNetwurk Titme Pretocol
消息摘要版本5
模求激组
多协议标记交换
网辨地址转换
网络地址端二转换
网路时间协议
Upcration.AdminisIryliunLMaintenanceandProvikioning操作、管理、能护和配胃Cpen Shurtest Path First
Password Authenicatiun PrulocolPerfcet Forward Seurecy
Rauuing Lnfunmaliun ProtocolRauring Infonuliun Proticol wersion 2Resuurve Resetvation ProtocolExterwion to RSVP for LSPTunnelsPoint-l-Puitnt Protocol
Rivest, Shurnir and Adleilan AlgorithmSecute Hush Algorithn
Sevure Hash Algutithm I
Simple Network Mallagerment ProtocolSNMP yesian
SNMP venin 2c
SNMP yenionl 3
Secure Shell
Secure Shell versiolt I
Secure Shell version 2
Secure Sucker Leyer
Truisinission Control ProrocolTrivial File Transfer ProtocolTrunsport Layer Security
Type of Service
User Detagram Protocol
Unicase Reverse Path ForwardingL'ser-based Security Model
Yirluml Lucel Area Network
Virtual Privete Network
VPN Ruuting aod Forwanding
开放品短路径优先协议
口令认证协议
完美前问保密
路中信息协议
路由信息协议版本2
资源预羿协政
用于LSP随道的RSVP护展
点到点协议
RSA算法
安全教列算法
安全散测算法版本
单网络管理协设
SNMP版本1
SNMP版木2c
SNMP版木3
安全外完
SSF版木1
SI版木2
李全套接房
传输控制协议
简单文件传输梦议
传输层安全
服务类型
用广数据报协议
单播反向路径转发
基十用广的安全模型
虚拟局域网
谅拟专用网
VPN略出和转发
5概述
YD/T1358-2005
中低端路由器通带位于网络边缘,用作接人动缘网路出器,对中低端路由器的定义利使用范国除见YL/T1096-200」路由露设备技术规药—低端路由器中低端路由器处于网络达缘,往往专用网络和骨干网络的接人点,所以它是网路攻击从专用网络攻击外部网络(他括骨干网络和其他专用网络)或者利用外部网络收击专网络的必经之路,在接人网络解决安全问题是个网络案全体系的重要纠成部分,路凸器功能在运辑上可以划分为数据转发面、控制面和管理平面3个功能平面。(1)数据转发平面主要指为用户访问利利用网络而提供的功能,如数据转发等。(2)挖制平面也可以梯为信令平面,主要包括路由协议、M协议等,以及与性立会话座接、控制转发路径等石关的功能
(3)节理平面主要指与OAM&H石关的能,如SNMI、管理用户Tehet签录、日志等,支持HCAPS(Fault,Capacity,Adrminigtation,royisioningandSccurity)功能。管理平面消息的传送方式有带内和帮外两种
为了防范不安全年件的发生,中低端路此器应提供定的安全动能,本标准引用GB/1B336-2001中定义的安全功能类井应用到中低端略由器,这紫安全功能类包括:一整别利认证,确认用产的身份及其其实性;一用户教据保护,保护用户数据相关的安个功能和安个策瞬;一系统均能保护,安全教据(完成安全功能所需要的数据,如再户身份和口令)的保护能力:一资源分,对用户也用的资娠进打控制,不允许用户过盈下用资源造成的拒绝雕务一安伞审证,能够提供日志等审计记录,这些过录可以用来分析安全威胁活动和对策:一安伞前理,安全功能、数搬和安伞展性的管理能力;一可信借道瞬径,中低端路由器之问以及中低端辟由器同他设备之间遁信的信道路径要求可信,对下传送敏感数据的通信要同传送止他数据的通信隔离开来:一系统访问,本安全功能类要求控制用户会话的述立。路由器安全根架如图1所示,
Y0./T1358-2005
安专资电
世理不面
制平面
特汉平面
图1路由器安全框据
定用池
热示层
会适题
转营民
两务所
药量品
硬性系究和作系统是中低端略由雀小身安全的更零因案,对硬件系统和噪作系统的要求参见附采A6数据转发平面安全
8.1安全威胁
对数握转发平面的安全感胁主要有以下方面,但并不局限于这些方面:一对缴据流的流垦分折,从而获得敏感信息:一术授权观察,警敏,插人和除数据疏:一拒绝服务攻击,降低设务的转发性能。8.2安全功能
6.2.1鉴别和认证
中低券路由器位于网络迎缘,备要对接人两络的数据源进行检查和确议,保证振文求自可信/合达的用户或设备,
6.2.2用产数据保护
6.2.2.1IPSec助能
PSeC在P层上提供数据保密性、数据源认证:数完整性抗更敢等安全展务,中AH,ESP和IKE等协议势战。
低端路出器支持止Sec协设,对正Sec的特性要求如下:一吨支持手工密钥肾理利让自动密钥管率:一成支持AH和ESP协议对于这两种协议,变支持弹道和传送两控封装快式,建议支持ATT和FSP协设的般套封装:
一AH剂ESP协议成支控HMAC-MDS-%和HMAC-SIAI-96认证算造,TSP协议成支持国家相关部门热定的加密算法,以及DES-CBC,3DES-CBC和AES等加密算法,应支持空加密算法和空认证算法,但两者不惊时使用,
对IKE的特性要求划下:
一第一阶段成支持士模式和野奎模式:一第二阶段应支持快速模试:
一应支持情报模式;
YD/T1358.-2005
一应支持项共享密朗认证方式,建议实现RSA加密Nonce验证和数字证书认证方式:-一应支持HMAC-M5-96和HMAC-SHA1-96认证算法,支持MD5和STIAI散列算法,应支持国家相关部门规定的加密弃法,以及DES-CBC,3DES-CBC和AES等加密算法一密钥交换成支持MoDP-CruuplMoDP-Group2等Die-HellmaE组:一对于快速模式,支持PFS.
6.2.3系统功能保护
对于用户的安全数据,系统要提供妥的保护手段,包括对访间安全效据的用户进行标识和盗别。6.2.4资源分配
6.2.4,1流量控制
常见的减单攻击是通过大最的某科洗量实施的。对该种流量进行控删、限制其进人拥络的窄量,可以缓解这种攻击。中低搅路由器成在其端口上支持采用CAR策路,结合ACL和CoS,控制某种类型的流型使用网络资源:
6.2.5安全审计
对于用流至、中低端路器要求能够提供流量日志能力,相关要求争见8.2.5节有关规定。日.2.6安全管理
能够提供谢本章提供的安全功能和数据的凸理能力,管理方式包括但不限于控制台、远程连接或网络管理接1/系就等方式,
8.2.7可信道/降径
中低端路由器之间以及中低端略由器同其地设备间通信的信道略径要求可信,对于传送感数据的通信要同传送其他数据的通信屑离开米。VI\N能够将VPN内的用产数据同VP外部或其他YPN的数据隔离开来,能够提供可信的通信信道路径:对VEN功能的要求签比2R3货6.2.8系统访问
6.2.8.1过滤功能
感支持RFC1858和RFC3128规定期卫分片色过,以及RFC2827和RFC3704规定的色过滤器。6.2.8.2访问控制列表
访间控制列表最基于报文的内案,如MAC地址,驴地址、协议和常几等,指定的安全规测表对每个进出踏中器的报文通过与这些规测匹配,确是对其处理的动作,议实现基于源MAC地证的访问控别列表,降低系缺的无调开销。应支持基源地址、目的地址、协议类型、源端口号、日的端口号的访问控制列表,建设支持基于LP头部的TS城的访问控制列表,以及在指定时问有效的访问控制列表,应支持对报文匹配筛说进行统计和产生日志等。中低端由器应支持间时配2000项以上的访问控制列表规则,而不使性能明显下降。6.2.B.3-VPN功能
TTKANnKAca-
YD/T1358-2005
VPN利用公共网络资源,建立虚拟专用网络,利用VPN可以实现不间专用网络用户流的隔离。中低端路由器支持利用以下技术实现VPN。(1)1.2TP隧道
应支持通过L2TP隧道技术实现VPN,应支持LAC和LNS攻能,支持CHAP鉴别协议。(2)IPSer隧道
宜支持通过IPSec继道技术实现VPN,对IPSec的要求见6.2.2.1节。(3)MPLSLSP
可基于MPLSLSP实现MPLSVPN,对MPLSVPN的要求如下:一-不管是L2VPN还是L3VPN,数据成严格苯于标签沿者LSP转发:除非需要,个VFN的据不应被发送到该VPN之外,一个VPN的数辑不成进入到另个YPN,一当同时文持VPN服务和因特网服务时,特别是在同个物所接[1.上通过不同的逻接口支持VPN服务和因特网服务时,可基于逻辑接门对接人速率进行限制6.2.8.4NAT
NAT的切衰是为了解快P地用资源函乏,低NAT可以实现内网和外网的隔高,内网可以案地访问外网,尚时可以险凝内网的编比方案利网络结构,保证了内网的安全中低端路由器成支持NAT功能,对NAT的动能特性要求如下:一应支持NAPT:
一成支持HTTP,FTP、LDNS,H.323等应用协设:一应支持5000以1.的并发连接数;一支持输出NAT日志记录。
62.B.5防火墙功能
中低路出器立支持防火增功能,除包过滤、访问控制列表、NAT外,可支持应用代理功能,只允许裁保护的网络访问允许的网举应用,状格格测不仪检查网络层和传输层的信良,还检查应用层协议的信息,实时维护这些TCP或ULIP的状态信息,使用这些状态信息确定访问控制,中任端路出器叫支持基于状态检测的包过滤功能。7控制平面安全
7.1安全成胁
控制乎而的安全戚主要有认下几个方面,但并不限丁些方面:对协议流进行操测或者进行流量分析,从而获得转发既径信息。--获得设备服务的控制权,录露转发路径信息,包括将转发路径信息据露给非受权设备,一个VPN转发略径信息亲薛给另一个VPN等。一利用协议流实施的拒绝服务攻击,如和用ICMP协权的Smurf击:利用路出协议的拒绝服务收击;利用面向连接拟设的半连接攻击等。一非法校备进行身份哄骗,建立路由协议的信任关系,非法获得转发路莅信息一针对路由协议转发路径信息的欺骗。7.2安金功能
72.1整别和认证
YD/T1358.2006
7.2.1.1户户P用户认证
PIT作为数据链略层协议。本身并不具备完著的安全能力。其认证阶段应选用CHAP协议,而不能选用明文I令的PAP协议,以避免用户口令被听。7.2.1.2路由认证
路主安全号路中器执行正常功能的重要基础。动态路由协议可以分为P和两类,对于中低端路由器,甘前!泛采用的IGP有OSPF和IS-IS协议,EGP主要是BGP协议。其中:RIPv2、SIHFv2成支持明文认证和MD5加密认证:IS-5应支持明文认证和5如密认证:BGP-4应支持MD5加密认证,
刘十MPLS,用干建立LSP的标记分配协改主要有RSVP-TE和LDP/CR-LDP两种:LDPCR-LDI
发现交换过捍使用的消息出UDP协议承载。对于基本Helo消息,中低端路由器应只接受与川信SR直接相连的接口上的本Heo消息,愈略咯地址不是到该子网组播组的所有路山器的基本Hello消息:对于扩展Ilello消息,可利用访问列表控制只接受许的源发送来的扩展Heo消息,LDP会话过程使用的消息比TCF协议求载,也通过TCPMD5名选项对会话消息逆行点实性和完整性认证,RSVI-TE
应通过加案的撤列算法支持实体认证,从m实现逐跳认证机制,应支持HMAC-MD5算法和HMAC-SIA1算法。
722用户数爆保护
7.2.2.1路由认证
降同认证往往使用加密散列算法,在提供数据想认证的同时,也提供了整据完整性认证,路由认证功能塞见7.2.1.2节。
72.3系统功能保护
实全数据应得到署保护。
7.2.4宽源分配
7.2.4.1抗常见网络攻击
7.2.4.1.1 URPF
JIRPF尽通过在转发表中挖收到分组的源IP地址和接口,只转发源P地址在业路由表中存在分组的一种技术,这种技术可以提解基于P地址哄确的网络致击。中低端路由解应支持URPF功能。72.4.1.2禁止定向广播抵文转变SmLr攻击是一种利用定向!播报文实范的DS攻击.中低端路出器应在端口禁止定向播报文转发72.4.2关闭一些I户服务
7.2.4.2.1[CM户协议
ICMP用于网终操作和排除故,中恬端路由器需要实现ICMP协设的-一些功能,但设备应具有关闭这些功能的能力。这些化MP消感类型包括:—Type=0
Type - 3
四显应:
月的地不可达;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。