1、lCS 3304040M 32中华人民 共禾口Y口国通信行业标准YD厂r 1 907-2009I Pv6网络设备安全技术要求边缘路由器Security Requirements of Edge Router Equipment Supporting I Pv62009-06-1 5发布 2009-09-01实施中华人民共和国工业和信息化部发布目 次前言1范围12规范性引用文件13术语、定义和缩略语一14概述-“45数据转发平面安全56控制平面安全”87管理平面安全11附录A(规范性附录)硬件系统和操作系统的安全要求14前 言本标准是“路由器设备安全”系列标准之一,本系列的标准结构和名称预计如下
2、:1YDT 1358-2005路由器设备安全技术要求中低端路由器(基于IPv4)2YDT 1359-2005路由器设备安全技术要求高端路由器(基于IPv4)3YDT 1439-2005路由器设备安全测试方法一高端路由器(基于IPv4)4YDT 1440-2005路由器设备安全测试方法一中低端路由器(基于mv4)5YDT 1907-2009 Pv6网络设备安全技术要求边缘路由器6IPv6网络设备安全测试方法一边缘路由器7YDT 1906-2009 Pv6网络设备安全技术要求核心路由器8IPv6网络设备安全测试方法核心路由器本标准与口v6网络设备安全测试方法一边缘路由器配套使用。与本系列标准相关的
3、标准还有“支持IPv6的路由器设备”系列标准,该系列的标准结构和名称如下:1YDT 14522006 IPv6网络设备技术要求支持IPv6的边缘路由器2YDT 14532006 IPv6网络设备测试方法一支持lPv6的边缘路由器3YDT 1454-2006 IPv6网络设备技术要求支持IPv6的核心路由器4YDT 1455-2006 IPv6网络设备测试方法一支持IPv6的核心路由器本标准的附录A为规范性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院本标准主要起草人:赵锋、马军锋、魏亮IPv6网络设备安全技术要求边缘路由器1范围本标准规定了支持IPv6协议
4、的边缘路由器的安全技术要求,包括数据转发平面安全、控制平面安全、管理平面安全等。本标准下文中所有对路由器的安全规定均指对支持mv6的边缘路由器的规定。本标准适用于支持lPv6的边缘路由器设备。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBT 183362 信息技术安全技术信息技术安全性评估准则第2部分;安全功能要求IETFRFC2827(2000) 网络入口过滤:防范基
5、于疋源地址伪造的拒绝服务攻击IETFRFC3704(2004) 用于Multihome网络的入口过滤3术语、定义和缩略语31术语和定义下列术语和定义适用于本标准。311路由器Routers路由器是通过转发数据包来实现网络互连的设备。路由器可以支持多种协议,可以在多个层次上转发数据包(例如数据链路层、网络层、应用层)。如果没有特殊指明,本标准的正文中路由器特指基于TCPIP协议簇,工作在m层上的网络设备。路由器需要连接两个或多个由IPv6链路本地地址或点到点协议标识的逻辑端口,至少拥有一个物理端口。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表,决定输出端口以及下一跳路由器地址或主
6、机地址,并且重写链路层数据包头。路由表必须动态维护来反映当前的网络拓扑。路由器通常通过与其他路由器交换路由信息来完成动态维护路由表。路由器只提供数据包传输服务。为实现路由选择的通用性和鲁棒性(Robust),路由器的实现应使用最少状态信息来维持上述服务。312边缘路由器Edge Routers位于网络边缘,用作接入边缘网的路由器。除非特别指出,边缘路由器应符合311中路由器的要求。YD,r 1907-2009313访问控制Access Control,防止未经授权使用资源。314授权Authorization授予权限,包括根据访问权进行访问的权限。315密钥管理Key Management根据
7、安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。316安全审计SecudtyAudit对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统与现行策略和操作程序保持一致,探测违背安全性的行为,并介绍控制、策略和程序中所显示的任何变化。317数字签名Digital Signature附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。318否认Repudiation参与通信的实体否认参加了全部或部分的通信过程。319可用性Availability根据需要,信息允许有权实体访问和使用的特
8、性。3110保密性Confidentiality信息对非授权个人、实体或进程是不可知、不可用的特性。3111数据完整性Data Jntegrity数据免遭非法更改或破坏的特性。3112安全服务Security Service由通信的系统提供的,对系统或数据传递提供充分的安全保障的一种服务。3113安全策略Security Policy提供安全服务的一套规则。3114安全机制Security Mechanism2YDrr 1907-2009实现安全服务的过程。3115拒绝服务Denial of Service阻止授权访问资源或延迟时间敏感操作。3116防重放Anti-Replay防止对数据的重放
9、攻击。3117信息泄露Information Disclosure指信息被泄露或透漏给非授权的个人或实体。3118 完整性破坏Integrity Compromise(Damage)数据的一致性通过对数据进行非授权的增加、修改、重排序或伪造而受到损害。3119非法使用Illegal Use资源被非授权的实体或者授权的实体以非授权的方式或错误的方式使用。32缩略语下列缩略语适用于本标准。3DES Triple Data Encrypfion Standard 三重数据加密标准ACL Access Con廿ol List 访问控制列表AES Advanced Encryption Standard
10、 先进加密标准ARP Address Resolution Protocol 地址解析协议BGP BGP-4 Border Gateway Protocol 边界网关协议CAR Committed Access Rate 承诺接入速率CBC Cipher Block Chaining 密码块链CHAP ChallengeHandshake Authentication Protocol 质询握手认证协议CoS Class of Service 业务类别CPU Central Processing Unit 中央处理器DNS Domain Name Service 域名服务DoS Denial
11、of Service 拒绝服务DSS Digital Signature Standard 数字签名标准HMAC Hashed Message Authentication Code 散列消息认证码ICMPv6 Internet Control Messages Protocol Version 6 互联网报文控制协议版本6IDEA International Data Encryption Algorithm 国际数据加密算法IKE Internet Key Exchange 互联网密钥交换IPv6 Interact Protocol Version 6 互联网协议版本6IPSec Inte
12、rnet Protocol Security 互联网协议安全3Y D下19072009IsIS Intermediate System to Intermediate System 中间系统到中间系统协议MAC MediaAccess Control 媒介访问控制MD5 Message Digest Version 5 消息摘要版本5MODP Modular Exponentiation Group 模求幂组MPLS Multi-protocol Label Swimhing 多协议标记交换NTP Network Time Protocol 网络时间协议OAM&P Operation。Admi
13、nistration,Maintenance and Provisioning操作、管理、维护和配置OSPF Open ShorteSt Path First 开放最短路径优先协议PAP PasswordAuthentication Protocol 口令认证协议PFS Perfect Forward Secrecy 完美前向保密RIP Routing Information Protocol 路由信息协议PPP Point-to-Point Protocol 点到点协议RSA RivesL Shamir and Adleman Algorithm RSA算法SHA Secure Hash A
14、lgorithm 安全散列算法sHA一1 Secure Hash Algorithm 1 安全散列算法版本1SNMP Simple Network Management Protocol 简单网络管理协议SNMPvl SNMP version 1 SNMP版本1S舯v2cSNIvIP version 2c SNMP版本2cSNMPv3 SNMPVersion 3 SNMP版本3SSH Secure Shell 安全外壳ssHvl SSH Version 1 SSH版本1ssHv2 SSH Version 2 SSH版本2SSL Secure Socket Layer 安全套接层TCP Tran
15、smission Control Protocol 传输控制协议TFrP Trivial File Transfer Protocol 简单文件传输协议TLS Transport Layer Security 传输层安全UDP User Datagram Protocol 用户数据报协议URPF Unicase Reverse Path Forwarding 单播反向路径转发USM User-based Security Model 基于用户的安全模型VLAN Virtual Local Area Network 虚拟局域网VPN Virtual Private Network 虚拟专用网VR
16、F VPN Routing and Forwarding VPN路由和转发4概述边缘路由器通常位于网络边缘,往往是专用网络和骨干网络的接入点,所以它是网络攻击从专用网攻击外部网络(包括骨干网络和其他专用网络)或者利用外部网络攻击专用网络的必经之路,在接入网络解决一些安全问题是整个网络安全体系的重要组成部分。路由器功能在逻辑上可以划分为三个功能平面。4YD厂r 1 907-2009(1)数据转发平面:主要指为用户访问和利用网络而提供的功能,如数据转发等。(2) 控制平面:也可以称为信令平面,主要包括路由协议等与建立会话连接、控制转发路径等有关的功能。(3) 管理平面:主要指与OAM&P有关的功能
17、,如SNMP、管理用户Telnet登录、日志等,支持FCAPS(Fault,Capacity,Administr,ltinn,Provisioning,and Security)功能。管理平面消息的传送方式有两种:带内和带外。为了抵御网络攻击,边缘路由器应提供一定的安全功能。本标准引用GBT 183362中定义的安全功能并应用到边缘路由器中,这些安全功能包括:一标识和鉴别,确认用户的身份及其真实性;一用户数据保护,和保护用户数据相关的安全功能和安全策略;一系统功能保护,安全数据(完成安全功能所需要的数据,如用户身份和口令)的保护能力;一资源分配,对用户对资源的使用进行控制,不允许用户过量占用资
18、源造成的拒绝服务;一安全审计,能够提供日志等审计记录,这些记录可以用来分析安全威胁活动和对策;一安全管理,安全功能、数据和安全属性的管理能力;一可信信道路径,边缘路由器之间以及边缘路由器同其他设备之间通信的信道路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来;一系统访问,本安全功能要求控制用户会话的建立。路由器安全框架如图1所示。管理平丽 ,7控制平面 ,转发平而 j |t 。参 譬爹 蘩 ;j 7il 纠侈,墨,t,pi雾?藜访黪j囊一 |: 爱 冬ji 一囊爱i |i标 )lJ 紊毒蠢 ?露识 产 “雾 蘩 餮管蓄萋 理,誊i 喾和 数。j?I l 。曩二鉴 据别 保护尊
19、一图1路由器安全框架硬件系统和操作系统是边缘路由器本身的安全的重要因素,对硬件系统和操作系统的要求参见附录A。5数据转发平面安全51安全威胁对数据转发平面的安全威胁主要有以下方面,但并不局限于这些方面洄每YD厂r 19072009一对数据流的流量分析,从而获得敏感信息;一未授权观察、修改、插入、删除数据流;一拒绝服务攻击,降低设备的转发性能。52安全功能521标识和鉴别边缘路由器位于网络边缘,需要对接入网络的数据源进行检查和确认,保证报文来自可信,合法的用户或设备。522用户数据保护5221 IPsec功能sec在坤层上提供数据保密性、数据源认证、数据完整性和抗重放等安全服务,由AH、EsP和
20、KE等协议组成。边缘路由器可支持Scc协议,对PSec的特性要求如下:一应支持手工密钥管理,可选支持IKE自动密钥管理;一应支持AH和ESP协议,对于这两种协议,应支持隧道和传送两种封装模式,可支持AH和ESP协议的嵌套封装:一AH和ESP协议应支持HMACMD596和HMACSHAI96认证算法,ESP协议应支持3DES-CBC和AES等加密算法,可支持国家相关部门规定的加密算法,应支持空加密算法和空认证算法,但二者不应同时使用。边缘路由器可支持IKE,对IKE的特性要求如下:一第一阶段应支持主模式和野蛮模式;一第二阶段应支持快速模式;一应支持情报模式;一应支持预共享密钥认证方式, 可实现R
21、SAJJU密nonce验证和数字证书认证方式;一应支持HMACMD596和HMACSHAl96认证算法,支持MD5和SHAl散列算法,应支持3DESCBC和AES等加密算法,可支持国家相关部门规定的加密算法;一密钥交换应支持MODP-Groupl、MODP-Group2等Diffie-Hellman组;一对于快速模式,支持PFS。523系统功能保护对于用户的安全数据,系统要提供妥善的保护手段,包括对访问安全数据的用户进行标识和鉴别。524资源分配边缘路由器应能够提供有效的控制机制(如队列调度机制、接入带宽控制)保障网络带宽的合理利用,特别是要能够抵御来自网络的各种侵占网络资源类的攻击,如Pin
22、gFlooding、TCPSYNFlooding等,要确保网络在遭受攻击的情况下仍旧能够为合法用户提供必需的数据转发服务。边缘路由器应能够抵御以下的常见攻击类型,但并不局限于这些方面。一大流量攻击:大流量可以分成两种类型,一种是流经流量,即需要路由器转发的流量,对于这类攻击,边缘路由器宜具有端口线速转发的能力,对于超过端口处理能力的流量可以采用按比例丢弃的策略;另一种流量的目的地就是边缘路由器本身,这类攻击可能会占用被攻击设备的大量CPU处理时间和6YD厂r 1 907-2009内存,严重的甚至会造成设备崩溃,导致中断无法为用户提供正常服务。对这类攻击流量,边缘路由器可采取过滤和丢弃策略,同时
23、应将必要的信息(如报文类型、源地址以及攻击时间等)记录到安全日志中。一口地址哄骗:针对网络中源地址哄骗报文,边缘路由器可实现单播逆向路径转发(u下)技术来过滤这类报文,禁止其在网络中传播。边缘路由器应能够提供相应机制来控制同一用户建立TCP会话的数量,以防止用户过度消耗网络资源:而且应能够根据用户类型对能够建立的TCP会话数量进行配置。边缘路由器应实现基于ACL的用户流量控制,通i立CAR操作,对用户数据流进行整形,然后依据与用户签订的SLA协定,为用户分配带宽资源。SLA协议包含承诺速率、峰值速率,承诺突发流量、峰值突发流量等,对于超出SLA协定的流量可以采取降级、丢弃等操作。5_25安全审
24、计 对于用户流量,边缘路由器要求能够提供流量日志能力,相关的要求参考725节有关规定。5-26安全管理边缘路由器应能够提供对本章提供的安全功能和数据的管理能力,管理方式包括但不限于控制台、远程连接或网络管理接D系统等方式。52-7可信信道,路径边缘路由器间以及边缘路由器同其他设备间通信的信谴i,路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来。VPN能够将VPN内的用户数据同VPN,b部或其他VPN的数据隔离开来,能够提供可信的通信信道,路径,对VPN功能的要求参考6282节。5-28系统访问5281过滤功能应支持IETF RFC 2827和IETF RFC 3704规定的包
25、过滤器。5282访问控韦0歹U表访问控制列表是基于数据包头,如MAC地址、口地址、协议和端口等,指定的安全规则表,对每个进出路由器的报文通过与这些规则匹配,确定对其处理动作。路由器支持访问控制列表的要求如下:一应支持基于源地址、目的地址、协议类型、源端口号、目的端口号的访问控制列表:一可支持基于IPv6头部的流量类别域和流标签域的访问控制列表;一可支持基于源MAC地址的访问控制列表,降低系统的无谓开销;一可支持在指定时间有效的访问控制列表;一应支持对报文匹配情况进行统计和产生日志等。边缘路由器应支持同时配置2,000项以上的访问控制列表规则,而不使性能明显下降。5283 VPN功能VPN利用公
26、共网络的资源,建立虚拟的专用网络,利用VPN可以实现不同专用网络用户流量的隔离。边缘路由器支持利用以下技术实tgVPN。一L2TP隧道7YD厂r t907-2009应支持通过L2TP隧道技术实现VPN一口sec隧道可支持通过IPSec隧道技术实现VPN一d口LS LSP应支持LAC和LNS功能,支持CHAP鉴别协议。对IPSec的要求见5221节。可基于MPLS LSP实现MPLS VPN,对MPLS VPN的要求如下:一不管是L2 VPN还是L3 VPN,数据应严格基于标签沿着LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外,一个VPN的数据不应进入到另一个N;一当同时支持N服
27、务和互联网服务时,特别是在同一个物理接I:1上通过不同的逻辑接121支持,N服务和互联网服务时,可基于逻辑接口对接入速率进行限制。5284防火墙功能边缘路由器可支持防火墙功能,除包过滤、访问控制列表外,可支持应用代理功能,只允许被保护的网络访问允许的网络应用,状态检测应检查网络层和传输层信息,还可检查应用层协议的信息,实时维护这-此TCP或UDP的状态信息,使用这些状态信息,确定访问控制,边缘路由器可支持基于状态检测的包过滤功能。6控制平面安全61安全威胁对控制平面的安全威胁主要有以下几个方面,但并不局限于这些方面:一对协议流进行探测、或者进行流量分析,从而获得转发路径信息;一获得设备服务的控
28、制权,暴露转发路径信息,包括将转发路径信息暴露给非授权设备,一个VPN转发路径信息暴露给另一个VPN等;一利用协议流实施的拒绝服务攻击;一非法设备进行身份哄骗,建立路由协议的信任关系一针对路由协议转发路径信息的欺骗。62安全功能621鉴别与认证6211 ND用户认证当用户通过邻居发现(ND)协议自动配置IPv6地址时可采用本地认证、RADIUS认证等。6212 PPP用户认证非法获得转发路径信息路由器应能对该类用户进行认证,认证方式。pPP作为一种数据链路层防议,本身并不具备完善的安全能力。其认证阶段应选用CHAP协议,而不能选用明文口令的PAP协议,以避免用户口令被侦听。6213路由认证路由
29、的安全是路由器执行正常功能的重要基础。动态路由协议可以分为IGP和EGP两类,对于边缘路由器,目前广泛采用的IGP有OSPFv3FIISISv6协议,EGP主要是BGP4+协议。其中:一RIPng应支持协议报文的MD5认证,在实现上应依赖P认证头和口安全载荷封装头来提供交互实体的鉴别和路由交互信息的完整性和保密性;YD丌1907-2009一OSPFv3应支持协议报文的MD5认证,在实现上应依赖m认证头和m安全载荷封装头来提供交互实体的鉴别和路由交互信息的完整性和保密性;一ISISv6应支持明文认证和MD5认证,应实现基于链路、Levell和levee域的认证;一BGP-4+应支持协议报文MD5
30、认证,应通过使用TCPMD5签名选项来保护BG哙话。对于MPLS,用于建立LSP的标记分配协议主要有RSVP-TE,RILDPCR-LDP两种。一UDP,CRLDP发现交换过程使用的消息由UDP协议承载,对于基本Hello消息,边缘路由器应只接受与可倍LSR直接相连的接口上的基本Hello消息,忽略地址不是到该子网组播组的所有路由器的基本Hello消息;对于扩展Hello消息,可利用访问列表控制只接受允许的源发送来的扩展Hello消息。u)哙话过程使用的消息由TCP协议承载,应通过TCP MD5签名选项对会话消息进行真实性和完整性认证。一RSVP-1E应通过加密的散列算法支持实体的认证,从而实
31、现逐跳的认证机制,应支持HMACMD5算法和HMAC-SHAl算法。622用户数据保护6221路由认证路由认证往往使用加密散列算法,在提供数据源认证的同时,也提供了数据完整性认证,路由认证功能参见6213节。623系统功能保护安全数据应得到妥善的保护。624资源分配6241抗常见网络攻击62411 URPFURPF是通过在转发表中查找收到分组的源口地址和接口,只转发源m地址在m路由表中存在的分组的一种技术,这种技术可以缓解基于坤地址哄骗的网络攻击,边缘路由器应支持ITRPF功能。6242关闭一些IP服务62421 ICMPv6协议ICMPv6用于网络操作和排障,边缘路由器需要实现ICMPv6协
32、议的一些功能,但设备应具有关闭这些功能的能力。这些ICMP消息类型包括:一Type=1目的地不可达;一Type=2分组过大;一Type=3超时:一Type=4参数错误:一Type=128回显请求;一Type=129回显应答。62422其他服务对于下列TCP和uDP小端口服务,应缺省关闭这些服务,或者不提供这些服务:一Echo:9YD厂r 1907-_2009Chargen;Finger;一NTP。625安全审计对控制平面的信息要提供日志记录功能,特别是对设备的路由表等重要数据有影响的控制数据,关于日志可以参考725节。边缘路由器可以支持端口镜像功能,通过配置,将系统中某个端口的部分或全部流量镜
33、像到其他端口,出方向的报文和入方向的报文可以分别镜像到不同的端口。端口镜像时,对报文不作修改,有如下两种镜像方式:一一对一端口镜像;一多对一端口镜像。626安全管理6261 口令管理边缘路由器涉及的口令长度应不少于8个字符,并且应由数字、字符或特殊符号组成,边缘路由器可提供检查机制,保证每个口令至少是由前述的3类符号中的两类组成。627可信信道,路径边缘路由器之间以及边缘路由器同其他设备之间的控制信息通信的信i彭路径要求可信,对于传送敏感数据的通信要同传送其他数据的通信隔离开来。628系统访问6281路由过滤路由过滤可以控制路由协议对路由信息的发布和接收,可以只发布某些指定的路由,也可以只接收
34、符合某些条件的路由,这样可以在满足需要的前提下减少路由器的资源消耗,达到更好的性能,避免路由攻击。在接收和发布路由信息时,应支持按P地址、自治系统路径、团体属性等进行过滤。6282 MPLS VPN62821 L2 VPNVPN之间MAC地址和VLAN信息应相互隔离,VPN之间或VPN和MPLS骨干之间应可以复用MAC地址空间和VLAN空间。一除非需要,VPN之间或VPN和MPLS骨干之间的交换信息应相互隔离。62822 L0 VPN常用的L3 VPN技术是BGPMPLS VPN,BGPMPLS VPN实质上是通过BGP协议约束路由信息分配的MPLS,对L3 VPN要求如下:一应支持静态路由算
35、法和动态路由算法。对于动态路由算法,建议具有在接口上过滤路由更新的能力,IGP和EGP路由协议都应支持MD5认证,并可基于VRF实例限制路由更新的速度;一VPN之间的拓扑和编址信息应相互隔离,一个VPN应可以使用所有互联网地址范围,VPN之间或VPN和MPLS骨干之间应可以复用IP地址空间:一应为每个VPN维持一个独立的VRF实例,除非需要,VPN之间或VPN和MPLS骨干之间的路由信息及其分发和处理应相互独立,互不干扰。10YD仃1907-20096283防火墙功能防火墙功能请参见5284节。7管理平面安全71安全威胁对管理平面的安全威胁主要有以下方面,但并不局限于这些方面:一对数据流进行流
36、量分析,从而获得设备有关的系统配置信息;一未授权观察、修改、插入、删除数据流;一未授权地访问管理接口,控制整个设备;一利用管理信息流实施拒绝服务攻击。72安全功能721标识和鉴别对设备的管理用户都需要标识和鉴别,标识和鉴别是系统访问的基础,对有关SbMP管理、Web管理、远程登录管理中用户认证的要求参见728节。722用户数据保护对于边缘路由器。一般使用以下远程管理方式。一SNMP应支持SNMPv3,支持USM等安全机制。一远程登录可支持SSHvl和SSHv2,通过认证算法和加密算法实现对管理用户数据的保密性和完整性保护。一web管理可通过支持SSLIZs安全协议,实现对管理用户数据的完整性保
37、护。有关这3种远程管理方式的详细要求参见7281、7282、7284等节。723系统功能保护与管理相关的安全数据应得到妥善的保护。724资源分配管理数据是系统运行的重要数据,系统要保证管理系统获得足够的运行资源,但是不能因此显著影响控制平面和数据转发平面的正常工作。此外,通过管理平面提供的设备补丁下载功能应该得到严格的管理,不应该被用来对设备资源实施恶意占用。725安全审计日志应记录过滤规则拒绝访问、配置修改等安全相关事件,告警记录发生的安全违章事件,并可以一定的方式提示管理员,审计可对记录的安全事件进行回顾和检查,分析和报告安全信息,管理员基于该信息了解安全策略的执行情况,并据此进行修改。安
38、全日志、安全告警等安全记录往往是安全审计的素材。对日志的要求:一每个安全日志条目应包含事件的主体、发生时间和事件描述等:一应可以保存在本地系统的缓存区内,也可以发送到专用的日志主机上作进一步处理;YD厂r 1 9072009一应可以实时打印在专用打印机或连接路由器的显示终端上,以备最坏的情况下使用(如日志主机因安全危害而不能使用);一应定义日志的严重程度级别,并能够根据严重程度级别过滤输出;一应支持和日志主机之间的接口。对告警的要求:一应定义告警的严重程度级别,并根据严重程度级别确定是否以一定的方式(如声光显示)提示管理员;一应支持告警输出到打印机或显示终端,可根据严重程度级别输出到不同的显示
39、终端;一告警应保存在本地或通过网络存储到其他主机。726安全管理7261 口令管理有关口令管理的要求参见6261节。727可信信道,路径7271带外管理由于带内管理面临的潜在的安全问题,边缘路由器可通过如独立的管理端口、VPN虚接1:3等方式支持专用的管理网络,将管理通信流和其他通信流量隔离。边缘路由器可提供关闭带内接口的能力,以实现只通过专用管理网络管理设备。728系统访问7281 SNMP的安全性SNMP是一种应用非常广泛的网络管理协议,主要用于设备的监控和配置的更改等,目前使用的SNMP协议有3个版本,分别是SNMPvl、SNMPv2c和SNMPv3。边缘路由器应支持安全性较好的SNMP
40、v3作为网管协议。此外,建议边缘路由器实现对网管站的访问控制,限定用户通过哪些m地址使用StCMP舜t设备进行访问。7282 Telnet访问Tdnetl办议用于通过网络对设备进行远程登录。在边缘路由器中,如果对用户提供Tclnct服务,则应满足下列约定:一用户应提供用户名,口令才能进行后续的操作,用户地址和操作应记入日志;一应限制同时访问的用户数目;一在设定的时间内不进行交互,用户应自动被注销:一可限定用户通过哪些P地址使用Telnet服务对设备进行访问:一必要时可关闭Tclnct服务;7283串口访问边缘路由器应支持串口访问功能,应满足下列约定:一用户应提供用户名Il l令才能进行后续的操
41、作;一在设定的时间内不进行交互,用户应自动被注销。7284 SSH访问12YD厅1907-2009SSH是在不安全的网络上为远程登录会话和其他网络服务提供安全性的一种协议,对SSHJla务的要求如下:一应支持ssHvl和ssHv2两种版本;一用户应通过身份认证才能进行后续的操作,用户地址和操作记入日志,边缘路由器应支持口令认证,可支持公钥认证,可实现基于主机认证;一ssH月务器可采用认证超时机制,在超时范围内没有通过认证应断开连接,可限制客户端在一个会话上认证尝试的次数; 一SSHv2应支持用于会话的加密密钥和认证密钥的动态管理,支持Diffie-HeLIman组14的密钥交换,在密钥交换过程
42、中协商密钥交换算法、对称加密算法和认证算法等,并对服务器端进行主机认证:一应支持HMAC-SHAl认证算法,可支持HMAC-SHAl-96认证算法,可实现HMAC-MD5、眦cMD596等认证算法;一应支持3DESCBC对称加密算法,可实现BlowfishBC、IDEA-CBC、CASTl28-CBC、AES256-CBCAEsl28CBC等对称加密算法;一对于非对称加密算法,应支持SSH-DSS,可实现SSH-RSA;一可限定用户通过哪些m地址使用SSH服务对设备进行访问;一应支持必要时关闭SSH服务。7285 Web管理Web管理基于HTrP协议,边缘路由器可支持Web管理,可满足下列约定
43、;一用户应提供用户名El令才能进行后续的操作,用户地址和操作应记入日志;一可限定用户通过哪些地址使用H兀甲对设备进行访问;一必要时可关闭HTrPIIa务;一应支持sSL,ILS。7286软件升级路由器一般使用FrPTFrP协议实现设备的软件升级,软件升级包括软件版本、设备配置等,有本地和远程两种途径。软件升级通过建立F1w唧P服务器和客户端的连接来实现,FrPfrP-TP协议应支持口令认证功能。对于远程软件升级,可支持SSHv2,实现文件的安全传送。13YD厂r 1907-2009附录A(规范性附录)硬件系统和操作系统的安全要求A1硬件系统硬件系统主要包括硬件系统设计、密钥及系统程序保护设计等
44、方面。A11硬件系统设计一在安全性要求比较高的场合,对与安全有关的元器件可尽量采用具有自主知识产权的国产元器件,国内无法生产的元器件可进行安全性测试后使用。一可采用模块式的硬件结构,将涉及安全的功能模块与通用模块分割处置,部分关键模块可使用物理遮盖的方法进行保护,或者采用国家有关管理部门批准使用的安全硬件系统。一对硬件系统的设置可采用强身份认证机制保护。一对于管理平面,可提供一个专用的管理接口,以用于建立专用的管理网络,实现管理和业务网络的物理隔离。一各类安全告警信号可使用多种标示方式,如由打印机打印,在显示终端上显示,且能用不同彩色或其他方式显示出各类安全告警信号的严重程度。A12密钥及系统
45、程序保护设计一对安全性要求较高的场合,边缘路由器的密钥存储、运算和系统关键程序可在硬件系统中单独设计,与系统其他部分物理分割,推荐使用遮盖或胶封等方法进行物理保护。一对于以明文存储的密钥可进行分割存储,其他密钥或证书可加密存储,并提供单独的存储空间。一可提供密钥销毁功能。可通过菜单操作或某种直观的操作直接销毁硬件中存储的密钥和算法或系统的关键程序。在更进一步的安全要求下,可提供设备开箱自毁功能,即在外力强迫打开机箱时,系统提供对密钥、算法和关键程序的销毁功能。A2操作系统一推荐使用专用的操作系统,并对操作系统进行固化,禁止一些不常用的服务和应用,采用的操作系统不应有后门。建议不使用通用操作系统
46、。一对加密ASIC所使用的驱动程序应经过国家有关管理部门的测试,并可在边缘路由器内定义到具体的内存、进程上下文。一对命令集的结构进行续密的设计以及对输入的参数进行全面的检查处理。一对路由器资源的访问要能够进行权限限制和级别限制,如对管理员用户进行分级,为不同的管理员用户定义不同的管理能力,“网络管理员”用户可显示和修改配置和接口参数,而“操作员”用户只能够清除连接和计数器。一对各个进程及使用资源进行审计,应提供基于用户的审计功能,用户审计功能应记录用户的登录行为、用户对设备的操作行为等。一应具有备份版本、配置、日志记录等功能。14中华人民共和国通信行业标准Pv6网络设备安全技术要求边缘路由器YD厂r 19072009人民邮电出版社出版发行北京市崇文区夕照寺街14号A座邮政编码:100061北京新瑞铭印刷有限公司印刷版权所有不得翻印开本:8801230 116印张:125字数:32千字2009年8月第1版2009年8月北京第1次印刷ISBN9787-115-187009一112定价:t2元本书如有印装质量问题,请与本社联系电话:(01 o)67114922
