T-TAF 099—2021 政企网关设备安全技术要求

ICS 33.050 CCS M 30 团体标准 T/TAF 099-2021 政企网关设备安全技术要求 Security technical requirements for enterprise gateway devices 2021-11-17发布 2021-11-17实施电信终端产业协会发布全国团体标准信息平台 T/TAF 099-2021 I 目次前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 2 5 安全技术要求 ................................ ................................ ......... 3 5.1 防火墙功能 ................................ ................................ .......3 5.2 VPN功能 ................................ ................................ .......... 3 5.3 VxLAN 功能 ................................ ................................ ........ 4 5.4 IPv4 防攻击 ................................ ................................ .......4 5.5 IPv6 防攻击 ................................ ................................ .......4 5.6 防ARP攻击 ................................ ................................ .......4 5.7 日志功能 ................................ ................................ ......... 4 附录A（资料性）政企网关设备典型应用场景介绍 ................................ ............ 6 全国团体标准信息平台 T/TAF 099-2021 II 前言本文件按照 GB/T 1.1 -2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中兴通讯股份有限公司、中国信息通信研究院、新华三技术有限公司、杭州迪普科技股份有限公司、华为技术有限公司。本文件主要起草人：刘鑫、张治兵、周继华、张亚薇、童天予、仇俊杰、叶郁柏、陈鹏、万晓兰。全国团体标准信息平台 T/TAF 099-2021 III 引言随着《网络安全法》及一系列配套政策法规的逐步落地实施，国内政企机构对网络安全的重视程度也日益提高，政企网关是部署在企业边缘网络并提供企业网络和电信网络互联的设备，政企网关自身可实现防火墙、 VPN互联等业务功能。近年来全球范围内网络安全事件日益增加，政企网关安全风险也不断增加。本项目拟建立政企网关设备安全技术要求标准，提出相关安全要求，为保障和提升政企网关设备安全能力提供标准支撑。全国团体标准信息平台 T/TAF 099-2021 1 政企网关设备安全技术要求 1 范围本文件规定了政企网关设备在防火墙功能、 VPN功能、 VxLAN功能、 IPv4防攻击、 IPv6防攻击、防ARP攻击、日志功能方面的安全技术要求。本文件适用于政企网关设备的设计和生产厂商、系统集成商、设备使用方、安全检测和安全认证机构使用。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 -2010 信息安全技术术语 RFC 3145 L2TP断链原因信息（ L2TP Disc onnect Cause Information ） RFC 3193 L2TP over IPSec （Securing L2TP using IPsec ） RFC 3931 L2TP协议 3.0版本（Layer Two Tunneling Protocol - Version 3 (L2TPv3) ） RFC 3972 地址加密生成（ Cryptographically Generated Addresses (CGA) ） 3 术语和定义 GB/T 25069 -2010中界定的以及下列术语和定义适用于本文件。 3.1 政企网关设备 enterprise gateway devices 政企网关是部署在企业边缘网络并提供企业网络和电信网络互联的设备，政企网关自身可实现防火墙、 VPN互联等业务功能。政企网关的典型应用场景见附录 A。 3.2 访问控制 access control 选择性地限制对地址空间或其他资源的访问以实现对系统资源的安全保护。 3.3 传输模式 transfer mode 传输模式是 IPSec的一种封装方式，其保护原始 IP头部后面的数据，在原始 IP头和 payload间插入IPSec头部。 3.4 全国团体标准信息平台 T/TAF 099-2021 2 隧道模式 tunnel mode 隧道模式是 IPSec的一种封装方式，其保护所有 IP数据并在 IPSec头部前封装新的 IP头，不使用原始 IP头部进行路由。 3.5 邻居发现协议 neighbor discovery protocol 工作在 IPv6网络层，负载在链路上发现其他节点和相应的地址，并确定可用路由和维护关于可用路径和其他活动节点的信息可达性。 3.6 广播风暴 broadcast storm 指当广播数据充斥网络无法处理并占用大量网络带宽，导致正常业务不能运行甚至彻底瘫痪，这就发生了“广播风暴”。 4 缩略语下列缩略语适用于本文件。 ARP：地址解析协议（ Address Resolution Protocol ） CHAP：挑战握手身份认证协议（ Challenge Handshake Authentication Protocol ） DHCP：动态主机配置协议（ Dynamic Host Configuration Protocol ） DNS：域名系统（ Domain Name System ） DoS：拒绝服务（ Denial of Service ） FTP：文件传送协议（ File Transfer Protocol） HTTP：超文本传输协议（ Hypertext Transfer Protocol ） HTTPS：超文本传输安全协议（ Hypertext Transfer Protocol Secure ） ICMP: 因特网控制消息协议（ Internet Control Message Protocol ） IKE：因特网密钥交换（ Internet Key Exchange ） IP：因特网协议（ Internet Protocol ） IPSec：互联网络层安全协议（ Internet Protocol Secu rity） L2TP：二层隧道协议（ Layer 2 Tunneling Pr