T-TAF 099-2021 政企网关设备安全技术要求

Securitytechnicalrequirements电信终端产业协会发布I II III 1 1 1 2 3 3 3 4 4 4 4 4 6请注意本文件中的某些内容可能涉及专利。本文件的发布1政企网关设备安全技术要求防ARP攻击、日志功能方面的安全技术要求。本文件适用于政GB/T25069-2010信息安全技术RFC3145L2TP断链原因信息（L2TPDisconnectCauseInforRFC3193L2TPoverIPSec（SecuringL2TPusingIPseRFC3931L2TP协议3.0版本（LayerTwoTunnelingProtocol-VersRFC3972地址加密生成（CryptographicallyGeneratedAddresses(CGA)）政企网关设备enterprisegatewayde墙、VPN互联等业务功能。政企网关的典型应用2邻居发现协议neighbordiscoverypro4缩略语ARP：地址解析协议（AddressResolutionProtocol）CHAP：挑战握手身份认证协议（ChallengeHandshakeAuthenticationProtDHCP：动态主机配置协议（DynamicHostConfigurationProtocol）DoS：拒绝服务（DenialofServFTP：文件传送协议（FileTransferProtocoHTTP：超文本传输协议（HypertextTransferProtocHTTPS：超文本传输安全协议（HypertextTransferProtocolSecuICMP:因特网控制消息协议（InternetControlMessageProtocoIKE：因特网密钥交换（InternetKeyExchanIP：因特网协议（InternetProtIPSec：互联网络层安全协议（InternetProtocolSecuriL2TP：二层隧道协议（Layer2TunnelingProtocoMAC：介质访问控制（MediumAccessContNTP：网络时间协议（NetworkTimeProtocol）POP3：邮局协议版本3（PostOfficeProtocol-VersionRADIUS：远程用户拨号认证系统（RemoteAuthenticationDialInUserServiRTSP：实时流协议（Real-timeStrSIP：会话初始协议（SessionInitiaSMTP：简单邮件传送协议（SimpleMailTransfeSNMP：简单网络管理协议（SimpleNetworkManagemenTCP：传输控制协议（TransmissionControlProUDP：用户数据报协议（UserDatagramProtocol）VPN：虚拟专用网（VirtualPrivateNetwork）3VxLAN：虚拟可扩展局域网（VirtualxLocalAreaNetwork）b)应支持基于源MAC/IP地址、时间段等参数实现相应的访问控制策略。d)应支持对IPv6的TC（Traffia)应支持基于URL（UniformResourceLocator，统一资源定位）关键字的过滤功能。ServerPages）等类型的脚本程序进行过滤，具备向管理a)应支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤。b)应支持根据IP源端口及范围段、目的端口及范围段进行报文过滤。c)应支持根据IP包的传输层协议类型进行报文过滤，并至少具有TCP/Ud)应支持对匹配规则的报文进行处理模式的选择，默认为禁止模式。f)宜支持协议状态检测防火墙功能，可支持对ICMP、HTTP、HTTPS、FTP、SMTP、POP3、5.2.1L2TP），a)应支持ESP(Encapsulatingsecutiypayload)或者AH(A4c)应支持预共享密钥方式和X.509数字证书等认证方式来进f)应支持PFS（PerfectForwardSecrecy，完e)宜支持传输层密码协议TLCP（Trb)应支持ARP抑制功能，防止网络中出现大量BUM（Broadcast&Unknown-unicast&Multicast）b)应支持路由通告RA（RouterAdvertisement）攻击检测功能。c)应支持邻居发现协议NDP（NeighborDiscd)宜支持安全邻居发现SND（SecureNeb)宜支持通过DHCP分配地址时自动进行Ic)应支持ARP广播风暴抑制功能，可设置广播报文限制的阈