面向家庭宽带场景的IPv6安全隔离技术要求

4面向家庭宽带场景的IPv6安全隔离技术要求本文件规定了面向家庭宽带场景的IPv6安全隔离的技术要求，主要包括家庭宽带IPv6地址段安全隔离总体原则以及在各类家庭宽带网络设备上进行IPv6安全隔离配置的具体要求等。本文件适用于电信运营商家庭宽带网络，适用的场景包括对现有家庭宽带网络IPv6安全隔离情况进行安全评估和加固，以及对家庭宽带网络进行IPv6地址大规模升级改造。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文3术语和定义GB/T25069界定的及下列术语和定义适用于本文件。通过对某个IPv6地址段内设备与其他IPv6地址段内设备或网络间进行网络访问控制，实现应用层信息安全交换和资源安全共享。下列缩略语适用于本文件。访问控制列表宽带接入服务器BroadbandRemoteAccessS网际协议版本6光线路终端光网络单元OpticalNetworkUnit远程用户拨号认证系统RenoteAuthenticationDialInUserSer5典型家庭宽带组网方案典型的家庭宽带组网方案如图1所示。家庭宽带网络中，城域网控制层设备(如BRAS等)提供宽带接入服务、实现多种业务的汇聚与转发和宽带接入网管理功能：汇聚层设备(如OLT等)提供面向用户的无源光纤网络的光纤接口，完成网络的上行接入，下连用户端接入层设备(如ONU等),实现对用户端接入层设备的控制、管理和测距等功能相当于传统通信网中的交换机或路由器；用户端接入层设备对汇聚层设备发送的广播进行选择性接收，对5用户的摄像头、机顶盒等需要发送的以太网数据进行收集和缓存，按照被分配的发送窗口向汇聚层设备发送该缓存数据。CourxOLTX机顶盒摄像头机顶盒摄像头机顶盒摄像头图1典型家庭宽带组网方案6家庭宽带IPv6地址安全风险家庭宽带场景下，与IPv4设置内网地址不同的是，一方面每个智能设备均有IPv6全球单播地址，另一方面当前IPv6地址段未进行合理的安全隔离配置，导致所有家庭设备可以互相访问，这样会产生较大安全风险。a)同一个城域网控制层设备(如BRAS)下多个汇聚层设备(如OLT)未安全隔离，各家庭的家宽设备可互相访问，可能存在隐私泄露等风险b)不同城域网控制层设备(如BRAS)之间多个汇聚层设备(如OLT)设备未安全隔离，各家庭的家宽设备可互相访问，可能存在隐私泄露等风险；c)同一个汇聚层设备(如OLT)下多个接入层设备(如ONU)未安全隔离，各家庭的家宽设备可互相访问，可能存在隐私泄露等风险：d)不同汇聚层设备(如OLT)之间多个接入层设备(如ONU)未安全隔离，各家庭的家宽设备可互相访问，可能存在隐私泄露等风险e)家庭宽带设备与互联网之间未安全隔离，家宽设备暴露在互联网上，可被所有人访问，增加被攻击的风险；6)家庭宽带网络设备与其管理平台之间如未做任何访问限制，则可能导致各个家庭宽带网络设备与管理平台之间互相访问，增加家庭宽带网络设备被攻击的风险；g)家庭宽带设备网络设备管理平台未做访问限制，如允许所有人访问或开放大量非必要端口，都会1城域网控制层设备(如BRAS)2不同城域网控制层设备(如BRAS)下的家庭宽离城域网控制层设备(如BRAS)3不同汇亲层设备(如OLT)下的家庭宽带(如BRAS)4城域网控制层设备(如BRAS)5城域网控制层设备(如BRAS)61某一IPv6地址段内的所有家宽设备的某个特定端口可被访问，但其他2某个接入层设备(如ONU)可以单向访问其他接入层设备(如ONU)3某个接入层设备(如ONU)被所有人访问，但其他接入层设备(如ON离8算某CCb)设置操作指令为“转发”,表示对这个IPv6地址段的访问是被允许的；e)设置待隔离设备的目的IPv6地址段；d)设置操作指令为“拒绝”或“丢弃”,表示对以上地址段范围内的IPv6地址段的访问均被拒绝。配置示例见附录A.2。口图9允许某个特定端口可被访问安全隔离效果图8.3.2特例2:允许某个接入层设备(如ONU)可以单向访问另一个接入层设备安全隔离技术要求在RAIDUS上对城域网控制层设备进行远程配置下发，允许接入层设备A单向访问接入层设备B,但接入层设备A无法访问接入层设备B所在的地址段内其他接入层设备。配置效果见图10。配置原则是为接入层设备A配置可访问的特例，即接入层设备B的IPv6地址：a)在RAIDUS的用户属性里，配置接入层设备A可以访问的接入层设备B的IPv6地址：b)设置操作指令为“转发”,表示对这个IPv6地址的访问是被允许的：c)设置待隔离设备的目的IPv6地址段，这个地址段是接入层设备B所在的地址段：d)设置操作指令为“拒绝”或“丢弃"”,表示对以上地址段范围内的IPv6地址段的访问均被拒绝。配置示例见附录A.3。第图10允许某个接入层设备(如OJ)可以单向访问另一个接入层设备安全隔离效果图8.3.3特例3:允许某个接入层设备(如ONU)被所有人访问安全隔离技术要求在城域网控制层设备上进行配置，允许某个接入层设备被所有人访问，但是该接入层设备所在的IPv6地址段内的其他接入层设备是互相隔离的。配置效果见图11。配置要点主要是在这个被隔离的地址段内增加一个可访问的特例：a)设置被允许访问的接入层设备的IPv6地址：b)设置操作指令为“转发”,表示对这个IPv6地址的访问是被允许的；e)设置待隔离设备的目的IPv6地址段，可以为全段家宽IPv6地址段，也可以指定某段家宽IPv6地d)设置操作指令为“拒绝”或“丢弃”,表示对以上地址段范围内的IPv6地址段的访问均被拒绝。配置示例见附录A.4。YD/TXxXXX-XXXXA.3允许某两个接入层设备(如ONU)之间可以互通安全隔离现网配置示例*B:R2>config>filter>ipv6-fidst-ip2409:8a20:7f0a:6:/64dst-ip2409:8a20:7