4面向家庭寬帶場(chǎng)景的IPv6安全隔離技術(shù)要求本文件規(guī)定了面向家庭寬帶場(chǎng)景的IPv6安全隔離的技術(shù)要求，主要包括家庭寬帶IPv6地址段安全隔離總體原則以及在各類家庭寬帶網(wǎng)絡(luò)設(shè)備上進(jìn)行IPv6安全隔離配置的具體要求等。本文件適用于電信運(yùn)營(yíng)商家庭寬帶網(wǎng)絡(luò)，適用的場(chǎng)景包括對(duì)現(xiàn)有家庭寬帶網(wǎng)絡(luò)IPv6安全隔離情況進(jìn)行安全評(píng)估和加固，以及對(duì)家庭寬帶網(wǎng)絡(luò)進(jìn)行IPv6地址大規(guī)模升級(jí)改造。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文3術(shù)語(yǔ)和定義GB/T25069界定的及下列術(shù)語(yǔ)和定義適用于本文件。通過(guò)對(duì)某個(gè)IPv6地址段內(nèi)設(shè)備與其他IPv6地址段內(nèi)設(shè)備或網(wǎng)絡(luò)間進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制，實(shí)現(xiàn)應(yīng)用層信息安全交換和資源安全共享。下列縮略語(yǔ)適用于本文件。訪問(wèn)控制列表寬帶接入服務(wù)器BroadbandRemoteAccessS網(wǎng)際協(xié)議版本6光線路終端光網(wǎng)絡(luò)單元OpticalNetworkUnit遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)RenoteAuthenticationDialInUserSer5典型家庭寬帶組網(wǎng)方案典型的家庭寬帶組網(wǎng)方案如圖1所示。家庭寬帶網(wǎng)絡(luò)中，城域網(wǎng)控制層設(shè)備(如BRAS等)提供寬帶接入服務(wù)、實(shí)現(xiàn)多種業(yè)務(wù)的匯聚與轉(zhuǎn)發(fā)和寬帶接入網(wǎng)管理功能：匯聚層設(shè)備(如OLT等)提供面向用戶的無(wú)源光纖網(wǎng)絡(luò)的光纖接口，完成網(wǎng)絡(luò)的上行接入，下連用戶端接入層設(shè)備(如ONU等),實(shí)現(xiàn)對(duì)用戶端接入層設(shè)備的控制、管理和測(cè)距等功能相當(dāng)于傳統(tǒng)通信網(wǎng)中的交換機(jī)或路由器；用戶端接入層設(shè)備對(duì)匯聚層設(shè)備發(fā)送的廣播進(jìn)行選擇性接收，對(duì)5用戶的攝像頭、機(jī)頂盒等需要發(fā)送的以太網(wǎng)數(shù)據(jù)進(jìn)行收集和緩存，按照被分配的發(fā)送窗口向匯聚層設(shè)備發(fā)送該緩存數(shù)據(jù)。CourxOLTX機(jī)頂盒攝像頭機(jī)頂盒攝像頭機(jī)頂盒攝像頭圖1典型家庭寬帶組網(wǎng)方案6家庭寬帶IPv6地址安全風(fēng)險(xiǎn)家庭寬帶場(chǎng)景下，與IPv4設(shè)置內(nèi)網(wǎng)地址不同的是，一方面每個(gè)智能設(shè)備均有IPv6全球單播地址，另一方面當(dāng)前IPv6地址段未進(jìn)行合理的安全隔離配置，導(dǎo)致所有家庭設(shè)備可以互相訪問(wèn)，這樣會(huì)產(chǎn)生較大安全風(fēng)險(xiǎn)。a)同一個(gè)城域網(wǎng)控制層設(shè)備(如BRAS)下多個(gè)匯聚層設(shè)備(如OLT)未安全隔離，各家庭的家寬設(shè)備可互相訪問(wèn)，可能存在隱私泄露等風(fēng)險(xiǎn)b)不同城域網(wǎng)控制層設(shè)備(如BRAS)之間多個(gè)匯聚層設(shè)備(如OLT)設(shè)備未安全隔離，各家庭的家寬設(shè)備可互相訪問(wèn)，可能存在隱私泄露等風(fēng)險(xiǎn)；c)同一個(gè)匯聚層設(shè)備(如OLT)下多個(gè)接入層設(shè)備(如ONU)未安全隔離，各家庭的家寬設(shè)備可互相訪問(wèn)，可能存在隱私泄露等風(fēng)險(xiǎn)：d)不同匯聚層設(shè)備(如OLT)之間多個(gè)接入層設(shè)備(如ONU)未安全隔離，各家庭的家寬設(shè)備可互相訪問(wèn)，可能存在隱私泄露等風(fēng)險(xiǎn)e)家庭寬帶設(shè)備與互聯(lián)網(wǎng)之間未安全隔離，家寬設(shè)備暴露在互聯(lián)網(wǎng)上，可被所有人訪問(wèn)，增加被攻擊的風(fēng)險(xiǎn)；6)家庭寬帶網(wǎng)絡(luò)設(shè)備與其管理平臺(tái)之間如未做任何訪問(wèn)限制，則可能導(dǎo)致各個(gè)家庭寬帶網(wǎng)絡(luò)設(shè)備與管理平臺(tái)之間互相訪問(wèn)，增加家庭寬帶網(wǎng)絡(luò)設(shè)備被攻擊的風(fēng)險(xiǎn)；g)家庭寬帶設(shè)備網(wǎng)絡(luò)設(shè)備管理平臺(tái)未做訪問(wèn)限制，如允許所有人訪問(wèn)或開放大量非必要端口，都會(huì)1城域網(wǎng)控制層設(shè)備(如BRAS)2不同城域網(wǎng)控制層設(shè)備(如BRAS)下的家庭寬離城域網(wǎng)控制層設(shè)備(如BRAS)3不同匯親層設(shè)備(如OLT)下的家庭寬帶(如BRAS)4城域網(wǎng)控制層設(shè)備(如BRAS)5城域網(wǎng)控制層設(shè)備(如BRAS)61某一IPv6地址段內(nèi)的所有家寬設(shè)備的某個(gè)特定端口可被訪問(wèn)，但其他2某個(gè)接入層設(shè)備(如ONU)可以單向訪問(wèn)其他接入層設(shè)備(如ONU)3某個(gè)接入層設(shè)備(如ONU)被所有人訪問(wèn)，但其他接入層設(shè)備(如ON離8算某CCb)設(shè)置操作指令為“轉(zhuǎn)發(fā)”,表示對(duì)這個(gè)IPv6地址段的訪問(wèn)是被允許的；e)設(shè)置待隔離設(shè)備的目的IPv6地址段；d)設(shè)置操作指令為“拒絕”或“丟棄”,表示對(duì)以上地址段范圍內(nèi)的IPv6地址段的訪問(wèn)均被拒絕。配置示例見附錄A.2?？趫D9允許某個(gè)特定端口可被訪問(wèn)安全隔離效果圖8.3.2特例2:允許某個(gè)接入層設(shè)備(如ONU)可以單向訪問(wèn)另一個(gè)接入層設(shè)備安全隔離技術(shù)要求在RAIDUS上對(duì)城域網(wǎng)控制層設(shè)備進(jìn)行遠(yuǎn)程配置下發(fā)，允許接入層設(shè)備A單向訪問(wèn)接入層設(shè)備B,但接入層設(shè)備A無(wú)法訪問(wèn)接入層設(shè)備B所在的地址段內(nèi)其他接入層設(shè)備。配置效果見圖10。配置原則是為接入層設(shè)備A配置可訪問(wèn)的特例，即接入層設(shè)備B的IPv6地址：a)在RAIDUS的用戶屬性里，配置接入層設(shè)備A可以訪問(wèn)的接入層設(shè)備B的IPv6地址：b)設(shè)置操作指令為“轉(zhuǎn)發(fā)”,表示對(duì)這個(gè)IPv6地址的訪問(wèn)是被允許的：c)設(shè)置待隔離設(shè)備的目的IPv6地址段，這個(gè)地址段是接入層設(shè)備B所在的地址段：d)設(shè)置操作指令為“拒絕”或“丟棄"”,表示對(duì)以上地址段范圍內(nèi)的IPv6地址段的訪問(wèn)均被拒絕。配置示例見附錄A.3。第圖10允許某個(gè)接入層設(shè)備(如OJ)可以單向訪問(wèn)另一個(gè)接入層設(shè)備安全隔離效果圖8.3.3特例3:允許某個(gè)接入層設(shè)備(如ONU)被所有人訪問(wèn)安全隔離技術(shù)要求在城域網(wǎng)控制層設(shè)備上進(jìn)行配置，允許某個(gè)接入層設(shè)備被所有人訪問(wèn)，但是該接入層設(shè)備所在的IPv6地址段內(nèi)的其他接入層設(shè)備是互相隔離的。配置效果見圖11。配置要點(diǎn)主要是在這個(gè)被隔離的地址段內(nèi)增加一個(gè)可訪問(wèn)的特例：a)設(shè)置被允許訪問(wèn)的接入層設(shè)備的IPv6地址：b)設(shè)置操作指令為“轉(zhuǎn)發(fā)”,表示對(duì)這個(gè)IPv6地址的訪問(wèn)是被允許的；e)設(shè)置待隔離設(shè)備的目的IPv6地址段，可以為全段家寬IPv6地址段，也可以指定某段家寬IPv6地d)設(shè)置操作指令為“拒絕”或“丟棄”,表示對(duì)以上地址段范圍內(nèi)的IPv6地址段的訪問(wèn)均被拒絕。配置示例見附錄A.4。YD/TXxXXX-XXXXA.3允許某兩個(gè)接入層設(shè)備(如ONU)之間可以互通安全隔離現(xiàn)網(wǎng)配置示例*B:R2>config>filter>ipv6-fidst-ip2409:8a20:7f0a:6:/64dst-ip2409:8a20:7