ICS33.050

CCSM30

團(tuán)體標(biāo)準(zhǔn)

T/TAF099-2021

政企網(wǎng)關(guān)設(shè)備安全技術(shù)要求

Securitytechnicalrequirementsforenterprisegatewaydevices

2021-11-17發(fā)布2021-11-17實(shí)施

電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布

T/TAF099-2021

政企網(wǎng)關(guān)設(shè)備安全技術(shù)要求

1范圍

本文件規(guī)定了政企網(wǎng)關(guān)設(shè)備在防火墻功能、VPN功能、VxLAN功能、IPv4防攻擊、IPv6防攻擊、

防ARP攻擊、日志功能方面的安全技術(shù)要求。本文件適用于政企網(wǎng)關(guān)設(shè)備的設(shè)計(jì)和生產(chǎn)廠商、系統(tǒng)集

成商、設(shè)備使用方、安全檢測(cè)和安全認(rèn)證機(jī)構(gòu)使用。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)

RFC3145L2TP斷鏈原因信息（L2TPDisconnectCauseInformation）

RFC3193L2TPoverIPSec（SecuringL2TPusingIPsec）

RFC3931L2TP協(xié)議3.0版本（LayerTwoTunnelingProtocol-Version3(L2TPv3)）

RFC3972地址加密生成（CryptographicallyGeneratedAddresses(CGA)）

3術(shù)語(yǔ)和定義

GB/T25069-2010中界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

政企網(wǎng)關(guān)設(shè)備enterprisegatewaydevices

政企網(wǎng)關(guān)是部署在企業(yè)邊緣網(wǎng)絡(luò)并提供企業(yè)網(wǎng)絡(luò)和電信網(wǎng)絡(luò)互聯(lián)的設(shè)備，政企網(wǎng)關(guān)自身可實(shí)現(xiàn)防火

墻、VPN互聯(lián)等業(yè)務(wù)功能。政企網(wǎng)關(guān)的典型應(yīng)用場(chǎng)景見附錄A。

3.2

訪問控制accesscontrol

選擇性地限制對(duì)地址空間或其他資源的訪問以實(shí)現(xiàn)對(duì)系統(tǒng)資源的安全保護(hù)。

3.3

傳輸模式transfermode

傳輸模式是IPSec的一種封裝方式，其保護(hù)原始IP頭部后面的數(shù)據(jù)，在原始IP頭和payload間插

入IPSec頭部。

3.4

1

T/TAF099-2021

隧道模式tunnelmode

隧道模式是IPSec的一種封裝方式，其保護(hù)所有IP數(shù)據(jù)并在IPSec頭部前封裝新的IP頭，不使用

原始IP頭部進(jìn)行路由。

3.5

鄰居發(fā)現(xiàn)協(xié)議neighbordiscoveryprotocol

工作在IPv6網(wǎng)絡(luò)層，負(fù)載在鏈路上發(fā)現(xiàn)其他節(jié)點(diǎn)和相應(yīng)的地址，并確定可用路由和維護(hù)關(guān)于可用

路徑和其他活動(dòng)節(jié)點(diǎn)的信息可達(dá)性。

3.6

廣播風(fēng)暴broadcaststorm

指當(dāng)廣播數(shù)據(jù)充斥網(wǎng)絡(luò)無法處理并占用大量網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)不能運(yùn)行甚至徹底癱瘓，這就

發(fā)生了“廣播風(fēng)暴”。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

ARP：地址解析協(xié)議（AddressResolutionProtocol）

CHAP：挑戰(zhàn)握手身份認(rèn)證協(xié)議（ChallengeHandshakeAuthenticationProtocol）

DHCP：動(dòng)態(tài)主機(jī)配置協(xié)議（DynamicHostConfigurationProtocol）

DNS：域名系統(tǒng)（DomainNameSystem）

DoS：拒絕服務(wù)（DenialofService）

FTP：文件傳送協(xié)議（FileTransferProtocol）

HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）

HTTPS：超文本傳輸安全協(xié)議（HypertextTransferProtocolSecure）

ICMP:因特網(wǎng)控制消息協(xié)議（InternetControlMessageProtocol）

IKE：因特網(wǎng)密鑰交換（InternetKeyExchange）

IP：因特網(wǎng)協(xié)議（InternetProtocol）

IPSec：互聯(lián)網(wǎng)絡(luò)層安全協(xié)議（InternetProtocolSecurity）

L2TP：二層隧道協(xié)議（Layer2TunnelingProtocol）

MAC：介質(zhì)訪問控制（MediumAccessControl）

NTP：網(wǎng)絡(luò)時(shí)間協(xié)議（NetworkTimeProtocol）

POP3：郵局協(xié)議版本3（PostOfficeProtocol-Version3）

RADIUS：遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)（RemoteAuthenticationDialInUserService）

RTSP：實(shí)時(shí)流協(xié)議（Real-timeStreamingProtocol）

SIP：會(huì)話初始協(xié)議（SessionInitiationProtocol）

SMTP：簡(jiǎn)單郵件傳送協(xié)議（SimpleMailTransferProtocol）

SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）

TCP：傳輸控制協(xié)議（TransmissionControlProtocol）

UDP：用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol）

VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）

2

T/TAF099-2021

VxLAN：虛擬可擴(kuò)展局域網(wǎng)（VirtualxLocalAreaNetwork）

5安全技術(shù)要求

5.1防火墻功能

5.1.1訪問控制功能

a)應(yīng)支持對(duì)常用協(xié)議端口（如80、8080、21、23等）的開啟、關(guān)閉操作。

b)應(yīng)支持基于源MAC/IP地址、時(shí)間段等參數(shù)實(shí)現(xiàn)相應(yīng)的訪問控制策略。

c)應(yīng)支持綁定MAC/IP地址功能。

d)應(yīng)支持對(duì)IPv6的TC（TrafficClass，通信分類）域等參數(shù)實(shí)現(xiàn)相應(yīng)的訪問控制策略。

5.1.2內(nèi)容過濾

a)應(yīng)支持基于URL（UniformResourceLocator，統(tǒng)一資源定位）關(guān)鍵字的過濾功能。

b)應(yīng)支持設(shè)置黑白名單功能。

c)可支持基于文件類型（如.doc，.xls文件等）進(jìn)行過濾。

d)可支持針對(duì)ActiveX、Java、Cookies、Javascript、CGI（CommonGatewayInterface）、ASP（Active

ServerPages）等類型的腳本程序進(jìn)行過濾，具備向管理用戶瀏覽器報(bào)警功能。

5.1.3轉(zhuǎn)發(fā)過濾

a)應(yīng)支持根據(jù)源IP地址及范圍段、目的IP地址及范圍段進(jìn)行報(bào)文過濾。

b)應(yīng)支持根據(jù)IP源端口及范圍段、目的端口及范圍段進(jìn)行報(bào)文過濾。

c)應(yīng)支持根據(jù)IP包的傳輸層協(xié)議類型進(jìn)行報(bào)文過濾，并至少具有TCP/UDP/ICMP的選項(xiàng)。

d)應(yīng)支持對(duì)匹配規(guī)則的報(bào)文進(jìn)行處理模式的選擇，默認(rèn)為禁止模式。

e)應(yīng)支持根據(jù)TOS（TypeofService，服務(wù)類型）/DSCP（DifferentiatedServicesCodepoint，差分

服務(wù)編碼點(diǎn)）字段對(duì)報(bào)文進(jìn)行過濾的功能。

f)宜支持協(xié)議狀態(tài)檢測(cè)防火墻功能，可支持對(duì)ICMP、HTTP、HTTPS、FTP、SMTP、POP3、

DNS、RADIUS、SIP、NTP、H.323、SNMP、RTSP等協(xié)議的狀態(tài)檢測(cè)。

5.2VPN功能

政企網(wǎng)關(guān)設(shè)備應(yīng)至少支持L2TP、IPSec、SSLVPN其中一種VPN功能。

5.2.1L2TP

a)應(yīng)支持LAC（L2TPAccessConcentrator，L2TP訪問集中器），符合RFC3145規(guī)定。

b)應(yīng)支持CHAP方式的隧道認(rèn)證。

c)應(yīng)支持LNS（L2TPNetworkServer，L2TP網(wǎng)絡(luò)服務(wù)器）側(cè)本端CHAP認(rèn)證。

d)應(yīng)支持結(jié)合IPSec加密的L2TP隧道，符合RFC3193規(guī)定。

e)宜支持AVP（AttributeValuePair，屬性值對(duì)）隱藏傳輸功能。

f)宜支持L2TPv3，符合RFC3931規(guī)定。

5.2.2IPSec

a)應(yīng)支持ESP(Encapsulatingsecutiypayload)或者AH(Authenticationheader)+ESP模式。

3

T/TAF099-2021

b)應(yīng)支持傳輸模式和隧道模式。

c)應(yīng)支持預(yù)共享密鑰方式和X.509數(shù)字證書等認(rèn)證方式來進(jìn)行VPN認(rèn)證。

d)應(yīng)支持通過IKE進(jìn)行密鑰交換。

e)應(yīng)支持主模式協(xié)商方式。

f)應(yīng)支持PFS（PerfectForwardSecrecy，完全前向保密）功能（IKE協(xié)商第二階段）。

g)應(yīng)支持AES128/SM4以上強(qiáng)度的加密算法。支持多種哈希驗(yàn)證算法（SHA-256或SM3等）。

h)應(yīng)支持DPD（Deadpeerdetection，斷線檢測(cè)）協(xié)議。

5.2.3SSLVPN

a)應(yīng)支持TLSv1.2及以上協(xié)議。

b)應(yīng)支持基于角色的權(quán)限管理。

c)應(yīng)支持基于用戶名/密碼的認(rèn)證。

d)宜支持基于證書的認(rèn)證。

e)宜支持傳輸層密碼協(xié)議TLCP（Transportlayercryptographyprotocol）。

5.3VxLAN功能

a)應(yīng)支持MAC廣播限速功能。

b)應(yīng)支持ARP抑制功能，防止網(wǎng)絡(luò)中出現(xiàn)大量BUM（Broadcast&Unknown-unicast&Multicast）

報(bào)文。

c)應(yīng)支持VxLAN的MAC表項(xiàng)管理功能，如MAC表項(xiàng)老化時(shí)間設(shè)置等功能。

d)宜支持VxLANOverIPSecVPN功能。

5.4IPv4防攻擊

a)應(yīng)支持抵抗常見的DoS攻擊。

b)應(yīng)支持防ICMP重定向攻擊功能。

c)宜支持DHCPsnooping功能，減緩偽造DHCPServer的攻擊。

5.5IPv6防攻擊

a)應(yīng)支持抵抗常見的DoS攻擊。

b)應(yīng)支持路由通告RA（RouterAdvertisement）攻擊檢測(cè)功能。

c)應(yīng)支持鄰居發(fā)現(xiàn)協(xié)議NDP（NeighborDiscoveryProtocol）攻擊檢測(cè)功能。

d)宜支持安全鄰居發(fā)現(xiàn)SND（SecureNeighborDiscovery）協(xié)議，確保IPv6鄰居安全可靠，符

合RFC3972相關(guān)規(guī)定。

5.6防ARP攻擊

a)應(yīng)支持IP地址與MAC地址的靜態(tài)綁定來防ARP欺騙攻擊。

b)宜支持通過DHCP分配地址時(shí)自動(dòng)進(jìn)行IP地址和MAC地址綁定來防ARP欺騙攻擊。

c)應(yīng)支持ARP廣播風(fēng)暴抑制功能，可設(shè)置廣播報(bào)文限制的閾值。

5.7日志功能

a)應(yīng)支持記錄以下類型日志：

1)關(guān)鍵操作日志：指用戶關(guān)鍵操作行為,例如：用戶登錄/注銷、增/刪賬戶、修改關(guān)鍵配置、

重啟/關(guān)閉設(shè)備等。

4

T/TAF099-2021

2)安全事件日志：指對(duì)影響設(shè)備運(yùn)行安全的事件，例如：網(wǎng)絡(luò)攻擊等。

b)應(yīng)支持日志本地存儲(chǔ)和網(wǎng)絡(luò)傳輸，且在本地存儲(chǔ)和網(wǎng)絡(luò)傳輸過程中應(yīng)對(duì)日志進(jìn)行保護(hù)，防止日

志內(nèi)容被未經(jīng)授權(quán)的查看和篡改。

5

T/TAF099-2021

附錄A

（資料性）

政企網(wǎng)關(guān)設(shè)備典型應(yīng)用場(chǎng)景介紹

政企網(wǎng)關(guān)設(shè)備是電信運(yùn)營(yíng)商根據(jù)中小型企業(yè)網(wǎng)絡(luò)場(chǎng)景需求所定制的網(wǎng)關(guān)產(chǎn)品，通過連接各種企業(yè)網(wǎng)

絡(luò)業(yè)務(wù)終端（包括PC、IP攝像頭、IAD、存儲(chǔ)設(shè)備、IT設(shè)備、機(jī)頂盒STB等）為用戶提供全面的企業(yè)

網(wǎng)絡(luò)業(yè)務(wù)能力。企業(yè)網(wǎng)絡(luò)業(yè)務(wù)終端在通過政企網(wǎng)關(guān)實(shí)現(xiàn)設(shè)備互聯(lián)的同時(shí)，還通過政企網(wǎng)關(guān)訪問公眾網(wǎng)絡(luò)，

并與公眾網(wǎng)絡(luò)上的業(yè)務(wù)平臺(tái)和其它各類終端配合，進(jìn)一步為用戶提供更廣泛的企業(yè)網(wǎng)絡(luò)業(yè)務(wù)能力。