1、ICS 3304050M 19 Y口中华人民共和国通信行业标准YDT 2046-2009接入网安全技术要求备Technical requirements for security of xDSL CPE2009-12-11发布 2010-01-01实施中华人民共和国工业和信息化部发布前123456789目 次言II范围1规范性引用文件1缩略语1xDSL用户端设备分类”。2概述3用户平面安全361类型l的xDSL用户端设备用户平面安全362类型2的xDSL用户端设备用户平面安全363类型3的xDSL用户端设备用户平面安全464类型4的xDSL用户端设备用户平面安全6控制平面安全671 IGMP
2、Snooping和IGMP Snooping代理功能“672防火墙TCP连接控制673 VolP业务的用户接入安全6管理平面安全681远程管理安全682本地管理安全783防火墙日志管理7可靠性要求791设备一般要求792设备电气安全7R|J 吾本标准是接入网安全系列标准之一,该系列标准预计结构及名称如下:1YDT2046-2009接入网安全技术要求xDsL用户端设备2YDT2047-2009接入网设备安全测试方法一xDSL用户端设备3YDT 2048-2009接入网安全技术要求DsL接入复用器(DSLAM设备)4YDIT 2049-2009接入网设备安全测试方法一DSL接入复用器(DSLAM)
3、设各5TD,r 2050-2009接入网安全技术要求无源光网络(PDN)设备6TDT 2051-2009接入网设备安全测试方法一无源光网络(PDN)设备7TDT 1910-2009接入网安全技术要求综合接入系统8接入网设备安全测试方法一综合接入系统在本标准的制定过程中注意了与以下标准的协调统一:1YDT 1323-2004接入网技术要求不对称数字用户线(ADsL)2YDT 12392002接入网技术要求甚高速数字用户线(VDSL)3YDT 1530-2006接入网技术要求频谱扩展的第二代不对称数字用户线(ADSL2+)4YDrI1188-2008接入网技术要求不对称数字用户线(ADSLADSL
4、2+)用户端设备5YDT 1996-2009接入网技术要求第二代甚高速数字用户线(VDSL2)本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、上海贝尔股份有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人:赵苹、程强、刘谦、陈洁、敖立、党梅梅、葛坚、李云洁、袁立权、牛乐宏、姚亦峰。接入网安全技术要求-XDSL用户端设备1范围本标准规定了xDSL用户端设备的用户平面、控制平面、管理平面的安全性要求,以及设备可靠性要求。本标准适用于公众电信网的xDSL用户端设备。专用电信网的xDSL用户端设备也可参考使用。2规范性
5、引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YDT 1082-2000 接入网设备过电压过电流防护及基本环境适应性技术条件YDT 1132-2001 防火墙设备技术要求YDT 1244-2002 数字用户线(xDSL)设备电磁兼容性要求和测量方法YDT 1706-2007 接入网技术要求数字用户线(DSL)承载宽带业务ITuT X805 端到端通信系统安全框架IEEE 8021a
6、g 链接故障管理IEEE 8021D 媒体访问控制网桥IEEE 80210 虚拟桥接局域网IEEE 8021X 基于端口的网络接入控制IEEE 8023 局域网和城域网第三部分:CSMACD接入方法和物理层规范IETF RFC3947 在IKE中协商NAT穿透IETF I啦C3948 UDP封装IPsec ESP报文TR-069 CPE WAN管理协议3缩略语下列缩略语适用于本标准。ADSL Asymmetric Digital Subscriber LineADSL2+Asymmetric Digital Subscriber Line Transceivers 2 plusALGARPA:
7、n讧CPEDHCPApplication Layer GatewayAddress Resolution ProtocolAsynchronous Transfer ModeCustomer Premises EquipmentDynamic Host Configuration Protocol不对称数字用户线频谱扩展的第二代不对称数字用户线应用层网关地址解析协议异步传输模式客户驻地设备动态主机配置协议YD厂r 20462009DoS Denial ofServiceDSL Digital Subscriber LineICMP Intemet Control Message Protoco
8、lHrrP Hypertext Transfer ProtocolIGMP Intemet Group Management ProtocolIKE Internet Key ExchangeIP Intemet ProtocolL2TP Layer 2 Tunneling ProtocolMAC Mediunl Access ControlMTBF Meaning Time Between FailureNAPT Network Address Port TranslationNAT Network Address TranslationPPPoE PPP over EthernetPPTP
9、 Point-to-Point Tunneling ProtocolQoS Quitty ofServiceRSTP Rapid Spanning Tree ProtocolSSL Secure Sockets LayerSTP Spanning Tree ProtocolSYN Synchronize Sequence NumberTCP Transmission Control ProtocolTLS Transport Layer SecurityUDP User Datagram ProtocolURL Universal Resource LoeatorVDSL Very High
10、Speed Digital Subscriber LineVDSL2 Very High Speed Digital Subscriber Line 2vo口 Voice overIPVLAN Virtual LANVPN Vhtual Private NetworkWAN Wide Area NetworkWLAN恤less Loeal Area Network4 xDSL用户端设备分类拒绝服务数字用户线因特网控制消息协议超文本传输协议因特网组管理协议因特网密钥交换互连网协议二层隧道协议媒质访问控制无故障平均工作时间网络地址端口转换网络地址转换以太网承载PPP点对点通道协议服务质量快速生成树
11、协议安全套接字层生成树协议同步序列号传输控制协议传输层安全用户数据报协议通用资源定位甚高速数字用户线第二代甚高速数字用户线P话音虚拟局域网虚拟专网广域网无线局域网xDSL用户端设备是指线路侧接El可以是ADSL、ADSL2+、VDSL、VDSL2的DSL用户端设备。按照所支持的功能,xDSL用户端设备可分为4类。类型1:仅具有桥接功能的xDSL用户端设备,支持Intemet接入业务。类型2:具有路由功能的xDSL用户端设备,仅支持口层以及口层以下各层的相关功能,不支持口层以上和业务应用相关的功能,支持InteractS;业务。2YD,T 2046-2009类型3:即为支持多业务而具有QoS、安
12、全等功能的xDSL用户端设备,但是不支持实现业务相关的功能(例如vo口编解码等)。类型4:支持业务实现功能的xDSL用户端设备,即除了具有类型3 xDSL用户端设备支持的各项功能和业务承载之外,还具有与业务实现相关的各项功能(如为实现VOIP而支持的相关功能等)。5概述ITuT X805定义了一个完整的端到端通信系统的安全框架,定义了应用层、业务层和基础设施层3个网络层次,并为每个网络层次定义了用户、控制和管理3个平面。对每个层次的每个平面都分别从访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私8个方面考虑其安全性。xDSL用户端设备作为基础设施层的网元设备,其安全要求包括
13、:用户平面安全要求、控制平面安全要求、管理平面安全要求和设备可靠性要求。用户平面安全要求使xDSL用户端设备在面I临一些安全威胁时仍能安全地转发业务流。控制平面安全要求能够保证xDSL用户端设备与网络之间、xDSL用户端设备与用户终端之间控制消息和信令的安全传递,防止用户通过协议报文进行攻击。管理平面安全要求能够保iExDSL用户端设备远程和本地管理系统在面临管理方面的安全威胁时的安全性。6用户平面安全61类型1的xDSI用户端设备用户平面安全611帧过滤功能xDSL用户端设备应支持对NETBELTI、BPDU、GVRP、GMRP等MAC帧(见表1)进行过滤,可选支持针对MAC源地址和,或目的
14、地址设置过滤条目。表1 预定义和保留地址的MAC帧处理目的MAC地址 作 用 缺省行为 可选配置 引用标准0l一80-C20000-00 桥组地址(BPDUs) Block NOBe IEEE 802 ID,Table 7-90l-80-C20000-01 PAUSE Block None IEEE 802 3叭80-C20000-02 慢速协议(LACP,EFM OAM PDUs) Block Peer IEEE 8023,Table 43B一10180-C2-00-00-03 EAP over LANs Block Peer IEEE 802。1X,Table 7-20180-C2-00-
15、00-04 保留 Block None IEEE 8021D,Table 7-90180C20000-OF0180-C2000010 所有LAN的桥管理地址 Block None IEEE 8021D,Table 7-100180C2-00-0020 GMRP Block None IEEE 802IDTable 12-10180C2000021 GVRP 丑lock NOlle 1EEE 802IQ,Table 11-10l-80-C2-00-0022- 保留GARP应用地址 Block Forward IEEE 802 1DTable 12101-80一C20000-2FOl-80-C2-
16、xxxx-xy CFM Forward Block IEEE 8021ag-D6,Table 8-9612 MAC地址表深度控制功能为了防止MAC泛洪攻击,xDSL用户端设备应当可以配置并限制从每个用户端口学习到的源MAC地址的数量。62类型2的xDSL用户端设备用户平面安全6 21概述除应支持61的功能要求之外,还应支持622、623、624、625和626所述功能。1YD,T 204620096_22广播帧速率抑制功能为了防止形成广播风暴,xDSL用户端设备应对协议特定的广播多播包(例如DHCP、ARP、IGMP等)进行抑制。应具备对其它二层广播报文进行速率限制的功能。623 NAT穿越当
17、xDSL用户端设备支持并且实现NATNAPT功能时,应支持对IPSec、L2TP和PPTP等VPN协议的透传,可选提供基于IPSec的VPN ClientSJj能;应支持与xDSL用户端设备相连的VPN客户设备发起IPSec会话;应支持与xDSL用户端设备相连的多个用户同时发起独立的IPSec会话;应支持与xDSL用户端设备相连的VPN客户设备采用UDP封装IPSec报文,详见IETF RFC3948:应支持与xDSL用户端设备相连的VPN客户设备协商IKE的NAT穿越,详见IETF RFC3947。624 RSTP、STP协议为了防止形成以太环网,多端口的xDSL用户端设备应支持RSTP协议
18、,RSTP协议要求见IEEE 8021D媒体访问控制网桥。可选支持STP协议。63类型3的xDSL用户端设备用户平面安全631概述除应支持61和62的功能要求之外,还应支持632、633所述功能。632防火墙功能6321概述应支持防火墙功能,包括接入控制能力、报文过滤能力、防端口扫描能力、防止非法报文攻击能力,保证业务流能正常通过防火墙。建议防火墙功能支持对7层协议栈中的有状态包检测和包过滤功能。建议防火墙功能符合YDrr 1132-2001防火墙设备技术要求的要求。6322防火墙等级设定支持防火墙高、中、低等级设置,每个安全等级的内容可以修改。可选在本地w曲界面配置防火墙的等级,分为高,中、
19、低三级。6323报文丢弃应支持丢弃以下类型的报文:源与目的地址相同的报文;源地址为广播的报文:非法碎片IP报文。6324防火墙过滤功能应支持基于以下防火墙过滤规则:源、目的IP地址及子网掩码;源、目的MAC地址;IP源端口及范围段、目的端口及范围段;Ethertype: 以太网包的传输层协议类型进行报文过滤,要求有IPoEPPPoEARP的选项;IP包的传输层协议类型进行报文过滤,要求有TP,【DPIc但仃P+uDP,ANY的选项;4YDT 2046-2009对匹配规则的报文进行处理模式的选择,对匹配规则的报文的处理模式有允许和禁止两种,默认为禁止模式。6325防非法报文攻击功能设备应支持防D
20、oS攻击功能,对收到的数据包进行解析,并判断是否是DoS攻击,对于DoS攻击的报文进行防DoS攻击处理。该保护适用于所有终结在本设备的口和桥接的IP的情况。DoS攻击的类型包括:Ping ofDeath;SYN Flooding;ARP Flooding;Spoofing;LAND!Smurf;其他。停止攻击后,设备能恢复正常工作,攻击过程中,设备不能死机。SYN Flood是指攻击设备不断地成倍发送只有SYN标志的TCP连接请求,以消耗尽被攻击设备的资源。Ping ofDeath是指利用一些超大字节的ICMP报文对设备进行攻击,使得设备系统崩溃死机或者重启。6326防端口扫描功能宽带客户网关
21、应支持防端口扫描功能,防止攻击者通过端口扫描试探设备上打开的端口和服务。6327支持端口映射功能应支持端口映射的设置,支持的端口映射功能包括:前转的目的口地址采用私网地址;可以组合源目的P地址、协议类型(TCP、U】)P)、端口或者端口范围,映射到指定的LAN设备的某个端口;支持默认应用列表,支持通用的应用协议的配置,如FTP、HTTP等;默认应用列表端口映射规则可查看、可修改。端121映射(可选)支持PortTrigger功能,当NAT网关设备收到内部网络的数据包满足触发条件时,这个触发条件一般是协议端口符合预设的端口范围,就会根据预设的开放端口进行端口映射,以提供外部网络访问这些端口的能力
22、。6328基于用户账号的防火墙配置(可选)用户账号与防火墙策略的绑定。不同用户账号可以自动启用对应的防火墙策略。633 MkC地址可控功能为了防止MAC泛洪攻击,xDSL用户端设备应当可以配置并限制从每个用户端口学习到的源MAC地址的数量。地址表深度不小于256。634 13MZ功能xDSL用户端设备应支持DMZ功能。635 URL访问控制功能xDSL用户端设备应支持设置黑自名单,实现URL访问控制功能。黑白名单应支持与账号绑定。YD厂r 2046200964类型4的xDSL用户端设备用户平面安全641概述除应支持61、62和63的功能要求之外,还应支持642所述功能。642逃生功能(可选)x
23、DSL用户端设备可选支持vo业务的IP网络故障逃生、断电逃生功能,即当口网络故障或CPE断电时,能够切换至tjPSTN线路。7控制平面安全71 IGMP Snooping和IGMP Snooping代理功能类型3和类型4的xDSL用户端设备应支持本节规定的功能。711 IGMP Snooping代理功能xDSL用户端设备应支持IGMP Snoopingl代理_功能,该功能定义见YDT 1706-2007接入网技术要求数字用户线(DSL)承载宽带业务的3:8。多端口的xDSL用户端设备应支持IGMP Snooping功能。712非法组播源控制功能xDSL用户端设备应防止用户做源的组播。可以禁止用
24、户端121发出的IGMP Queryjg组播数据报文。72防火墙TCP连接控制类型3和类型4的xDSL用户端设备应支持本节规定的功能。防火墙应能丢弃超出设备所能接受的会话连接。防火墙应支持能够丢弃或者拒绝来自wAN侧到LAN侧设备的TCP连接请求和访问。73 VolP业务的用户接入安全对于类型4的xDSL用户端设备可以通过惟一的标识码向软交换注册并且认证,认证功能可选。当xDSL用户端设备向软交换传送数据时,应保证用户信息的安全性、保密性和完整性。8管理平面安全81远程管理安全类型1和类型2的xDSL用户端设备可选支持远程管理安全功能,类型3和类型4的xDSL用户端设备应支持远程管理安全功能。
25、811远程管理访问控制功能8111 WAN侧隔离缺省情况下不允许通过wN侧以TdnetHTTPFTP方式(TR-069协议除外)访问网关设备本身进行设备数据配置。8112服务访问控制支持ACL规则的配置,可以配置授权的地址范围(默认为任何D地址),可以配置访问的接口(wANLAN),可以配置接入方式w曲但TP,Iblnet,SNh但ssH,默认情况下不允许通过WAN侧访问设备。8113黑白名单访问控制规则可以以黑名单或者自名单方式生效。812设备认证6YD厂T 20462009当采用TR-069方式对xDSL用户端设备进行远程管理时,远程管理服务器对xDSL用户端设备进行远程管理之前应能与其进
26、行设备认证,认证方式包括:基于HTTP的基本认证;基于HTTP的摘要认证;基于SSLTLS的证书认证。813恢复出厂配置如系统需要,设备应能远程控制恢复出厂配置。814版本升级的安全要求升级时本地应备份旧版本,当升级不成功或异常中断时恢复到前一版本。82本地管理安全xDSL用户端设备应具有两种权限进行不同的本地维护管理功能:普通用户管理权限和管理员本地维护管理权限。用户进行网络管理时所使用的登录口令的长度应不少于8个字符,并且应由数字、字符或特殊符号组成,xDSL用户端设备可选提供检查机制,保证每个口令至少是由前述的三类符号中的两类组成。普通用户管理权限可以对xDSL用户端设备的一些非重要参数
27、进行配置与查询,包括设备基本信息、普通用户管理密码、WLAN相关参数、MAC地址过滤、voIP相关信息等。管理员本地维护管理权限可以对xDSL用户端设备的重要参数进行配置与查询,包括用户管理权限可配置的参数、远程管理服务器URL、网络侧相关参数(DSL、ATM、PPPoE、IP、桥接或路由工作模式等相关参数)和用户侧参数(根据不同类型的xDSL用户端设备,不同的参数,例如DHCP、路由、ALG、NAT、IGMP、QoS、防火墙等相关参数)。83防火墙日志管理类型3和类型4的xDSL用户端设备应支持此功能。应提供独立的防火墙日志,记录所有违背防火墙规则操作,每个条目都应打上时间戳。日志应至少包括
28、100条条目或者大小为10kbyte的文本。日志不应该被清除,除非是设备复位到默认或者出厂配置。9可靠性要求91设备一般要求xDSL用户端设备应能在一天24h,连续7dI作的情况下,不需要重启而能正常工作。xDSL用户端设备的MTBF应至少为1年。设备的生命周期至少能达N7年。92设备电气安全921过压、过流保护xDSL用户端设备应安装过压、过流保护器。过压、过流保护器在外接电源异常时保护设备的核心部分。xDSL用户端设备应满足YDT 1082-2000接入网设备过电压过电流防护及基本环境适应性技术条件的要求,其中对于要求性能不劣化的过压、过流测试项目,经过压、过流测试后的设备应能达到相关的DSL传输性能要求。922电磁兼容应满足YDT1244-2002数字用户线(xDSL)设备电磁兼容性要求和测量方法的要求。7中华人民共和国通信行业标准接入网安全技术要求xDSL用户端设备YD,r 20462009人民邮电出版社出版发行北京市祟文区夕照寺街14号A座邮政编码:100061北京新瑞铭印刷有限公司印刷版权所有不得翻印开本:880x 1230 116印张:075字数:20千字2010年1月第1版20lO年1月北京第1次印刷ISBN978-7-115-197610-38定价:8元本书如有印装质量问题。请与本杜联系电话:(010)67114922