首页 > 通信行业标准(YD) > YD/T 1524-2006 互联网域名、IP 地址拦截技术要求
YD/T 1524-2006

基本信息

标准号: YD/T 1524-2006

中文名称:互联网域名、IP 地址拦截技术要求

标准类别:通信行业标准(YD)

标准状态:现行

出版语种:简体中文

下载格式:.zip .pdf

下载大小:216182

相关标签: 互联网 域名 地址 技术

标准分类号

关联标准

出版信息

相关单位信息

标准简介

YD/T 1524-2006.Technical Requirements for Internet Filtering According to Domain Name and IP Address.
1范围
YD/T 1524规定了互联网网络设备拦截、过滤、传送P地址/互联网域名的技术要求。本标准涉及的互联网网络设备包括DSLAM、宽带网络接人服务器、路由器等。
YD/T 1524主要适用于互联网网络设备。
2规范性引用文件
下列文件中的条款通过本标准的引用面成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1096. 2001路由器设备技术规范——低端路由器
YDT 1097-2001路由器设备技术规范——高端路由器
YD/T 1099- 2005以太网交换机技术要求
YD/T 1148-2005网络接人服务器技术要求——宽带网络接人服务器
YD/T 1255- 2003具有路由功能的以太网交换机技术要求
YD/T 1358-2005路由器设备安全技术要求——中低端路由器(基于IPv4)
YDT 1359-2005路由器设备安全技术要求——高端路由器(基于IPv4)
IETF RFC 2131 ( 1997 )动态主机配置协议(DHCP)
IETF RPC 2827 ( 2000 )网络入口过滤:防止使用IP源地址欺骗的拒绝服务
IETF RFC 2828 ( 2000 )互联网安全术语表
IETF RFC 3046 ( 2001 )DHCP中继代理信息选项

标准图片预览






标准内容

ICS3304040
中华人民共和国通信行业标准
YD/T 1524-2006
互联网域名、IP地址拦截技术要求Technical Reguirernents for Internet Filtering According to DomainNameandlpAddress
2006-12-11发布
2007-01-01实施
中华人民共和国信息产业部发布前宵·
范围·
2规范性引用文件
3定义和缩略语
3.1定义
3.2缩略语-
4互联网域名地址批截功能夏求
接人设备技术要求
5.1IP地址潮源要求
5.2P地址过滤、拦截的要求·
5.3互联网域名过滤、拦截的要求5.4关键字过滤的要求
5.5流量监控的要求
6臂干设备技术要求
6.1IP地址过滤,拦截的要求
6.2流量监控的要求
7互联点专用设备技术要求·
7.1IP地址过滤、拦截的要求-
7.2互联网域名过滤、拦截的要求7.3关键宇过滤的要求··
7.4专用设备可靠性的要求
T KAON KAca-
YD/T 1524-2006
YD/T15242006
本标准量工联网城名,P地址拦裁系烈技术标之一,该系列标准的名称及构划下:1.YDT1524-20061联网城务、JP地址描载技术夏求;2.YD/T1525-2006五联网域名、IP地班拦载设备测试方法,随着技术的发展和设备的进步,该系列标准的范围和内穿还将逐步扩充和完善。本标准断网络百联互通技求术标准工作组提出。本标准出中国通信标雅化协会姆口本标推起章单位:信息产业部电信研究院本标雅主要起草人:赵锋亮
1范围
联网域名、护地址拦截技术要求YD/T 1524--2006
本标准规定了互联网网络设备拦截、过滤、传送地址互联网域名的技术要求,本标准涉及的互联网网络设备包括DSLAM,宽带网络接人服务器、路由器等本标准主要适用于互联网网络设备。2规范性引用文件
下列文件中的条款通过本标谁的引用面成为本标推的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用手本标准,然而,鼓励报据本标准达成协议的各方研究是可使用这些文件的最新版本。凡是不注期的用文件,其最新版本适用丁本标推。YD/T 1096 - 2001
YD/T 1097--2001
YD/T 1099-2005
YD/T 1148-2005
YD/T 1255--2003
YD/T 1358-2005
YD/T 1359-2005
ETFRFC2131(1997)
IETF RFC 2827 1 2000 1
IETFRFC 2828(2000)
ETF RFC 3046 (2001)
3定义和缩略语
3.1箭义
下列定义适用于本标推。
路由器设备技术规范低端路由群路由器设备技术规范一高端路围器以太网交换机技术婴求
网络接人服务器技术要求宽带网络接入服务器奥有路由功能的以太网交换机技术要求路由器设备安金技术要求中低端路由器(于4)路雨器设备安全技术要求高端路比器(于伊v4)动态主机配置协议(DHCP)
网络人口过滤:防止使用卫源地址欺骗的拒绝服务互联网安金术语表
DHCP中继代理信恩选锁
(1)访问控制:防止未经授权使用资源。(2)授权:授予权利,包括根据访问权进行访间的权利。3.2缩略语
下列缩略语造用于本标准。Www.bzxZ.net
Access Control List
Asymetric Digtal Subsctiber Line.BroadBand Network Access ServerDynamic Hest Configurarion ProtocolDigital Subscriber Line
ri KAoNi KAca=
访间控制列表
非对称数字用户线
宽带网络接人服务器
动态主机配置协议
数字用产线
YD/T 1524-2006
RADIUS
Digital Subseriber Line Access MultiplexerEthernet Passive Optical NetworkGigabit Passive Optical NetworkNetwork Address Translation
PPP over Ethernet
Rermote Authorization Dial in User ServiceUniform Resource Locator
Unicast Reverse Path ForwardingVirtual Broadband Access ServerVery High Speed Digiral SutsscriberLineVirtual Iocai Area Network
Wireless Local Area Network
4互联网域名地址拦截功能要求
互联网城名地址拦截示意如图I所示。骨-设备
接人没备
图互联网域名地址拦截示意
数产用户线接人复
以太网无源光网络
T兆以太网无源光网络
网络地址翻译
在以太网上传输PPP
远程认证拨号用户服务
统一资源定位器
单播反向路径检查
虚拟宽带接入服务器
甚高速数字用产线
虚拟局域网
无线网
互联点
专用设备
百联网域名地址拦截包括P地址潮源功能、卫地址过滤和拦载功能,互联网域名过滤和拦截功能、互联网域名稚P地址传送功能、关键字过滤功能以及流量监控功能。·P地址溯源功能:将用产源地址美联到用户标识的功能。·IP地堆过滤和拦截功能:基于ACL的过滤以及URPF功能。·互联网域名过滤和挫截功能:对用户发送的HT数据包中的域名进行过的功能。·关键学过滤功能:传送甲包时基于关键字的过滤功能。,流量监控功能:在设备上对数据流进行镜像的功能。互联网域名地堆拦截点选择在接人设备、骨千设备和互联点专用设备上实施。其中接人设备位于互联网接人层,应当实现地址潮源要球,建地址过滤拦载要求,互联网域名过滤拦截要求,互联网域名和P地址传送要求,关键字过滤功能和流量蓝控要求。骨干设备位于互联网骨干层,应当实现P地班过滤和拦截要求、IP地址传送要求和流量监控要求,互联设备应当实现IP地址过滤拦截要求、互联网域名过滤和拦截要求,关键字过滤要求和专用设备可靠性要求。接人设备、骨干设备上部分功能可以根据规范前置专设备实现。2
5接入设备技术要求
5.1IP地址潮源要求
5.1.1技术要求
5.1.1.1 VBAS
YD/T1524-2006
VBAS协议采用变询方式,当BNAS收到用户主机的认证请求色时,由BNAS主动发起,尚IPDSLAM查询新的用户MAC地所对成的物理端门:IPDSLAM接到该查询数据包,返回BNAS相应的结果数据包。
5.1.1.2 DHCP 中继代理
对DHCP协议的要求参见IFTFRFC2131。IETPRFC3046定义了DHCP中继option82的两个sub-option,代理电路ID(实现中继代理的节点终绩的电路D):,代理远端(远端节点终给的球路D)DSLAM的DHCP中继代理必须支持suboption1“代理电路ID”,其缩码惟标明接人节点和接DHCP消息的环路避辑端口。
接人节点必须提供支持“代理远端D”的选项进一步标明接人的逻辑端口。该正包盒最大63个字符的运营商可配置申,可以惟一标明接收到DHCPDiscovey消息的环路远端的用户。5.1.1.3PPPoE中继代理
此方式用于设备采用PPPOE方式时端门报告。PPPOE中继代理解析所有PPPOE发现阶段的包,例如,PADI.PADO、PADR、PADS和PADT包,但是不修改这些包的源,国的地址。一旦收到客户端发出的PADI或PADR包,中继代理在上行转发的报文中加人个PPPOETAG。TAC中包含了接收到PADI或PADR包的环路识别码。如果加入TAO店,PAD或PADR消息的长度超过1SOO字节,中介代理将不间BNG发送此报文,转而询客片端发送Generic-EmorTAG。其中,满口识别TAG的格武如图2所示。Loxo105 (Vendor-Spectic)
TAG LENGTH
Jox000001E9 (3$61 decimal, 1.e.\ADSLForam\IANA eatry :110x01
Tleagth
IAnem Circuit ID value (can't)10x02
Hength
[ Agen! Rema ID vglue(con't]I Ageat Circuit JD valne....I AHen Renie JD vaiur...
图2端口识别TAG的格式
5.1.1.4VLAN堆登
GPON/EPON的OLT和ONU/ONT设备可以支持VLAN推叠片,向BNAS提供ONUONT端口与IP地址的绑定信息。在这种方式下,ONUONT的UN端口为进人的流量加上VLAN标签,ONUIONT的3
-Ti KAoNi KAca-
YD/T15242006
PON接可以及OLT的上联接扩应支持VLANTrunK通过1:I的VLAN配置,PON系统在BNAS中标识的每个用户端口为独立的VLAN。5.1.2支持IP地址溯源功能的段备要求5.1.2.1DSLAM
本节所指的DSLAM包含ADSL、VDSL局端设备、DSL接人复准设备、综合接人设备。DSLAM应向BNAS提供用户所在的物理端口编号信惠。DSLAM所采用的报告方法应支持VBASDHCP中继代理、PPPoE继代理中的一种。5.1.2.2EPON/GPON设备
EPON/GPON局端设备腔向BNAS提供用户IP地址与ONU/ONT端口的绑定信息,ONU端口信息应包括ONU标识以及ONU端口标。端设备所采用的报替方法应支持DHCP中继代理、PPPoE中继代理种VLAN堆叠中的种。
5.12.3以太网接入设备
当采用远程认证服务器时,以太网接人设备应通过网元管理系统提供用户端口、与地址的绑定信息:当采用本地认证服务时,以太网接人设备应通过网元管理系统提供用广账产、用户端口正地址的绑定信息。
采用本地认证服务的以太网接人设备应在本地保存用产登陆国志信息。5.1.2.4WLAN接入控制器
WLAN接人控制器应向BNAS提供用户P地址与用产所属BSSID的绑定信息。WLAN接人控制器所采用的报告方法应支持DHCP中继代理或PPPOE中继代理:5.1.2.53.5GHz及LMDS固定无线接入设备3.5GHz及LMDS固定无线接入设备局端设备应向BNAS提供用户IP地址与远端站端口的绑定信息。远端站端口信息应包括远鞋站标识以及远端站端口标识。端设备所采用的报告方法应支持DHCP中继代理、PPPoE中继代理和VLAN堆叠中的种。5.1.2.6宽带网络接入服务器(BNAS)设备BNAS设备应根据接人设备的种类提供基于源MAC地址、源IP地址、接口、VIAN的绑定。BNAS设备在间RADIUS服务器进行认证时应提供上述信息,RADIUS服务器应能基于上述信息对用户进行认证。BNAS设备应在本地保存上述绑定表项。BNAS应丢弃不符合绑定关系的数据包。5.2IP地堆过滤,拦截的要求
在接人设备上,IP地堆过滤和拦截功能主要通过ACL和URFF实现心支持P地址过滤、拦截的BNAS,中低端路由器、以太网接人设备应实现基于源P地址(或源F子网)、自的量地址(国的伊于网)、协议、源端二和目的嘴口的包过滤,并结合转发方向(数据转发人端口,出端口)及相应的规测(拒绝、转发)过滤数据包。支持P地址过滤、拦截的中低端路由器应支持URPF功能,通过在转发表中查找收到分组的源P地址和接口,只转发源P地灶在转发表中存在的数据包,从葡防止伪造源地址的网络攻击:中低端路由器建议支持严格的URPF功能。5.3蓝联网域名过滤、拦截的要求支持互联网域名过滤、拦截的接人设备应能配置互联网域名列表,应可以依据设庭的互联网域4
YD/T1524-2006
名对数据协议头的域名宇段进行匹配检查,并依据预设的规则对四配中的数据包(或所处的数据流)进行处理,设备上还应支持批量下发域名列表的功能。该功能可在BNAS、中低端路出器上实现,也可通过在BNAS、中任端路器之前设置专门的捡查过滤设备实现5.4关键字过滤的要求
在支持关键字过滤的接人设备中应能配置关键字策略列表,应能依据设定的关键学对数据包内睿进行匹配检查,并根据预设的规则对匹配中的数据包(或所处的数据流)进行处理,设备上还应支持批量下发关键学列表功能。该功能可祥低端路由器上实现,也可通过在中低端璐由器之前设骨专门的检查过滤设备实现。
5.5流量监控的要求
在中低蜡路由器中应能配置端口镜像,应能配置基于物理端口的镜像,可以配置基于逻辑端口的镜像和基于访问控制列表的流镜像。6骨干设备技术要求
6.1户地址过滤、拦截的要求
在骨平设备上,P地址过滤、栏截功能主要通过ACL和URPF实现。支持IP地址过滤、拦截的高端路由器应实现基于源理地址(或源P子网)且的IP地址(目的P子网)协议,源端口和日的端口的包过滤,并结合转发方间(数据转发人端口、出端口)及相应的规(拒绝、转发)过滤数据包。支持IP地址过滤,栏截的高端路由器建议支持URPF功能,通过在转发表中查找收到分组的源地址和接口,只转发源卫地址在转发表中存在的数据包,从面防止基于源IP地址的网络攻击。建议高端路由器支持严格的URPF功能,即只转发源力地址与转发表表项、接收端口匹配的数据包。6.2流量蓝控的要求
在高端路由器中应能配置端口镜像,应能配置基于物理端口的镜像,可以配置基于逻辑端口的镜像和基于访问控制列表的流镜像。7写联点专用设备技术要求
7.11F地址过滤、拦截的要求
对于串接在骨干路由器中的网络互联点过滤设备,应能够提供大容量的访间控制列表,访间控制列表的条目至少应为10万条。设备应支持包括源甲地址,日的卫地址、协议、源端口,同的端口在内的五光组过滤,应能别MPLS封装的包
设备应提供配置接口,实现访问控制列表内容的快速添加、除。7.2互联网域名过滤、载的要求
网络互联点过滤设备应提供数据复制接口,实时复制数据并交由后台系统分析处理。后台系统应能依据设定的URL表对数据内容进行分析,并依据匹配的数据流生成相应的ACL表项反馈到网络互联点过滤设备,以进行相应的访问控制处理。7.3美键字过滤的要求
网络互联点过滤设备应提供数据复制接口:实时复制数据并交由后台系统分析处理。后台系统5
iKAoNiKAca=
YD/T1524-2006
应能依据设定的关键词对数据内容进行分析,并依据匹配的数据流生成相应的ACL表项反馈到网络互联点过滤设备,以进行相应的访问控制处理。7.4专用设备可靠性的要求
设备因过滤或分流而产生的延迟不应影响骨干路由器之间正常的数据交换。在设备发生故障或突然掉电的情况下,设备应能继续透传数据包。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。