T∕TAF 099-2021 政企网关设备安全技术要求

ICS33.050CCSM30团体标准T/TAF099-2021政企网关设备安全技术要求Securitytechnicalrequirementsforenterprisegatewaydevices2021-11-17发布2021-11-17实施电信终端产业协会发布T/TAF099-2021I目次前言..................................................................................II引言.................................................................................III1范围.................................................................................12规范性引用文件.......................................................................13术语和定义...........................................................................14缩略语...............................................................................25安全技术要求.........................................................................35.1防火墙功能.......................................................................35.2VPN功能..........................................................................35.3VxLAN功能........................................................................45.4IPv4防攻击.......................................................................45.5IPv6防攻击.......................................................................45.6防ARP攻击.......................................................................45.7日志功能.........................................................................4附录A（资料性）政企网关设备典型应用场景介绍............................................6T/TAF099-2021II前言本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中兴通讯股份有限公司、中国信息通信研究院、新华三技术有限公司、杭州迪普科技股份有限公司、华为技术有限公司。本文件主要起草人：刘鑫、张治兵、周继华、张亚薇、童天予、仇俊杰、叶郁柏、陈鹏、万晓兰。T/TAF099-2021III引言随着《网络安全法》及一系列配套政策法规的逐步落地实施，国内政企机构对网络安全的重视程度也日益提高，政企网关是部署在企业边缘网络并提供企业网络和电信网络互联的设备，政企网关自身可实现防火墙、VPN互联等业务功能。近年来全球范围内网络安全事件日益增加，政企网关安全风险也不断增加。本项目拟建立政企网关设备安全技术要求标准，提出相关安全要求，为保障和提升政企网关设备安全能力提供标准支撑。T/TAF099-20211政企网关设备安全技术要求1范围本文件规定了政企网关设备在防火墙功能、VPN功能、VxLAN功能、IPv4防攻击、IPv6防攻击、防ARP攻击、日志功能方面的安全技术要求。本文件适用于政企网关设备的设计和生产厂商、系统集成商、设备使用方、安全检测和安全认证机构使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语RFC3145L2TP断链原因信息（L2TPDisconnectCauseInformation）RFC3193L2TPoverIPSec（SecuringL2TPusingIPsec）RFC3931L2TP协议3.0版本（LayerTwoTunnelingProtocol-Version3(L2TPv3)）RFC3972地址加密生成（CryptographicallyGeneratedAddresses(CGA)）3术语和定义GB/T25069-2010中界定的以及下列术语和定义适用于本文件。3.1政企网关设备enterprisegatewaydevices政企网关是部署在企业边缘网络并提供企业网络和电信网络互联的设备，政企网关自身可实现防火墙、VPN互联等业务功能。政企网关的典型应用场景见附录A。3.2访问控制accesscontrol选择性地限制对地址空间或其他资源的访问以实现对系统资源的安全保护。3.3传输模式transfermode传输模式是IPSec的一种封装方式，其保护原始IP头部后面的数据，在原始IP头和payload间插入IPSec头部。3.4T/TAF099-20212隧道模式tunnelmode隧道模式是IPSec的一种封装方式，其保护所有IP数据并在IPSec头部前封装新的IP头，不使用原始IP头部进行路由。3.5邻居发现协议neighbordiscoveryprotocol工作在IPv6网络层，负载在链路上发现其他节点和相应的地址，并确定可用路由和维护关于可用路径和其他活动节点的信息可达性。3.6广播风暴broadcaststorm指当广播数据充斥网络无法处理并占用大量网络带宽，导致正常业务不能运行甚至彻底瘫痪，这就发生了“广播风暴”。4缩略语下列缩略语适用于本文件。ARP：地址解析协议（AddressResolutionProtocol）CHAP：挑战握手身份认证协议（ChallengeHandshakeAuthenticationProtocol）DHCP：动态主机配置协议（DynamicHostConfigurationProtocol）DNS：域名系统（DomainNameSystem）DoS：拒绝服务（DenialofService）FTP：文件传送协议（FileTransferProtocol）HTTP：超文本传输协议（HypertextTransferProtocol）HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure）ICMP:因特网控制消息协议（InternetControlMessageProtocol）IKE：因特网密钥交换（InternetKeyExchange）IP：因特网协议（InternetProtocol）IPSec：互联网络层安全协议（InternetProtocolSecurity）L2TP：二层隧道协议（Layer2TunnelingProtocol）MAC：介质访问控制（MediumAccessControl）NTP：网络时间协议（NetworkTimeProtocol）POP3：邮局协议版本3（PostOfficeProtocol-Version3）RADIUS：远程用户拨号认证系统（RemoteAuthenticationDialInUserService）RTSP：实时流协议（Real-timeStreamingProtocol）SIP：会话初始协议（SessionInitiationProtocol）SMTP：简单邮件传送协议（SimpleMailTransferProtocol）SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）TCP：传输控制协议（TransmissionControlProtocol）UDP：用户数据报协议（UserDatagramProtocol）VPN：虚拟专用网（VirtualPrivateNetwork）T/TAF099-20213VxLAN：虚拟可扩展局域网（VirtualxLocalAreaNetwork）5安全技术要求5.1防火墙功能5.1.1访问控制功能a)应支持对常用协议端口（如80、8080、21、23等）的开启、关闭操作。b)应支持基于源MAC/IP地址、时间段等参数实现相应的访问控制策略。c)应支持绑定MAC/IP地址功能。d)应支持对IPv6的TC（TrafficClass，通信分类）域等参数实现相应的访问控制策略。5.1.2内容过滤a)应支持基于URL（UniformResourceLocator，统一资源定位）关键字的过滤功能。b)应支持设置黑白名单功能。c)可支持基于文件类型（如.doc，.xls文件等）进行过滤。d)可支持针对ActiveX、Java、Cookies、Javascript、CGI（CommonGatewayInterface）、ASP（ActiveServerPages）等类型的脚本程序进行过滤，具备向管理用户浏览器报警功能。5.1.3转发过滤a)应支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤。b)应支持根据IP源端口及范围段、目的端口及范围段进行报文过滤。c)应支持根据IP包的传输层协议类型进行报文过滤，并至少具有TCP/UDP/ICMP的选项。d)应支持对匹配规则的报文进行处理模式的选择，默认为禁止模式。e)应支持根据TOS（TypeofService，服务类型）/DSCP（DifferentiatedServicesCodepoint，差分服务编码点）字段对报文进行过滤的功能。f)宜支持协议状态检测防火墙功能，可支持对ICMP、HTTP、HTTPS、FTP、SMTP、POP3、DNS、RADIUS、SIP、NTP、H.323、SNMP、RTSP等协议的状态检测。5.2VPN功能政企网关设备应至少支持L2TP、IPSec、SSLVPN其中一种VPN功能。5.2.1L2TPa)应支持LAC（L2TPAccessConcentrator，L2TP访问集中器），符合RFC3145规定。b)应支持CHAP方式的隧道认证。c)应支持LNS（L2TPNetworkServer，L2TP网络服务器）侧本端CHAP认证。d)应支持结合IPSec加密的L2TP隧道，符合RFC3193规定。e)宜支持AVP（AttributeValuePair，属性值对）隐藏传输功能。f)宜支持L2TPv3，符合RFC3931规定。5.2.2IPSeca)应支持ESP(Encapsulatingsecutiypayload)或者AH(Authenticationheader)+ESP模式。T/TAF099-20214b)应支持传输模式和隧道模式。c)应支持预共享密钥方式和X.509数字证书等认证方式来进行VPN认证。d)应支持通过IKE进行密钥交换。e)应支持主模式协商方式。f)应支持PFS（PerfectForward