GB/T 38799-2020标准规范下载简介
GB/T 38799-2020 基于公用电信网的宽带客户网络设备安全技术要求 宽带客户网关简介:
GB/T 38799-2020 是中华人民共和国国家标准,全称是《基于公用电信网的宽带客户网络设备安全技术要求》,这个标准主要针对的是在公用电信网络中使用的宽带客户网关(Broadband Customer Gateway,简称B-CG)设备的安全技术规定。
宽带客户网关,通常也被称作家庭宽带路由器,是连接家庭宽带网络和用户设备的设备,它负责网络的接入、数据传输以及网络设备的安全管理。这个设备在现代家庭网络中扮演着关键角色,因为它不仅提供互联网接入,还负责数据包的过滤、安全控制,如防火墙功能,保证家庭网络的安全性。
GB/T 38799-2020 标准对宽带客户网关的硬件、软件、数据安全、网络安全、密码管理、设备管理等方面提出了详细的技术要求,包括但不限于设备的防护等级、数据加密能力、安全认证机制、漏洞管理、远程管理功能的安全性等。该标准的实施旨在保障公共电信网络的安全,防止未经授权的访问和数据泄露,保护用户隐私。
总的来说,GB/T 38799-2020 是为了规范和提升宽带客户网关设备在公用电信网中的安全性能,确保网络服务的稳定和安全。
GB/T 38799-2020 基于公用电信网的宽带客户网络设备安全技术要求 宽带客户网关部分内容预览:
国家市场监督管理总局 发布 国家标准化管理委员会
GB/T38799—2020
本标准按照GB/T1.1一2009给出的规则起草, 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任 本标准由中华人民共和国工业和信息化部提出。 本标准由全国通信标准化技术委员会(SAC/TC485)归口。 本标准起草单位:中国信息通信研究院。 本标准主要起草人:沈天珺、程强
GB/T38799—2020
《精神专科医院建设标准 建标176-2016》基于公用电信网的宽带客户网络设备 安全技术要求宽带客户网关
千公用电信网的宽带客户网络设
本标准规定了基于公用电信网的宽带客户网络中宽带客户网关设备的用户平面安全要求、控制平 面安全要求、管理平面安全要求、设备可靠性和电气安全要求 本标准适用于基于公用电信网的宽带客户网络中的网关
GB/T 387992020
4. 1 安全管理功解
宽带客户网关涉及的口令长度应不少于8个字符,并且应由数字、字母或特殊符号组成,宽带客 可提供检查机制,保证每个口令至少是由前述3类符号中的两类组成
网关应具有普通用户及管理员用户。 普通用户管理权限可以对网关的一些非重要参数进行配置和查询,不能对网关的重要参数进行 配置。 管理员本地维护管理权限可以对网关的重要参数进行配置和查询
应实现的访问控制列表。 应支持基于源MAC地址、源IP地址、目的IP地址、以太网协议类型、TCP/UDP源端口号、TCP/ UDP目的端口号、TOS域、IP协议类型的访问控制列表
4.3.1L2TP 隧道
4.3.2IPSec隧道(可选)
选支持通过IPSec隧道技术实现VPN
可选支持通过IPSec隧道技术实现VPN
4.3.3MPLSVPN(可选)
4.3.3. 1通用要求
GB/T38799—2020
不管是L2VPN还是L3VPN,数据应严格基于标签沿着LSP转发。除非需要,b个VPN的数据 不应被发送到该VPN之外,一个VPN的数据不应进入到另一个VPN。 当同时支持VPN服务和因特网服务时,特别是在同一个物理接口上通过不同的逻辑接口支持 VPN服务和因特网服务时,可以基于逻辑接口对接入速率进行限制。KY
4.3.3.2±L2 VPN
VPN之间的MAC地址和VLAN信息应相互隔离,VPN之间或VPN和MPLS骨十之间应可以 复用MAC地址空间和VLAN空间。除非需要,VPN之间或VPN和MPLS骨干之间的交换信息应相 互隔离。
4.3.3.3L3 VPN
常用的L3VPN技术是BGP/MPLSVPN。BGP/MPLSVPN实质上是通过BGP协议约束路由 息分配的MPLS,对L3VPN的要求如! 应支持静态路由算法和动态路由算法。对于动态路由算法,应具有接口上过滤路由更新的能 力,IGP和EGP路由协议都应支持MD5加密认证,并可基于VRF实例限制路由更新速度。 VPN之间的拓扑和编址信息应相互隔离,一个VPN应可以使用所有因特网地址范围,包括 IETFRFC1918定义的私有地址范围,VPN之间或VPN和MPLS骨干之间应可以复用IP 地址空间。仪 应为每个VPN维持一个独立的VRF实例,除非需要,VPN之间或VPN和MPLS骨干之间 的路由信息及其分发和处理应相互独立,互不王扰
宽带客户网关应支持NAT功能,对NAT的功能特性要求如下 应支持NAPT; 应支持HTTP、FTP、DNS、H.323、SIP等应用协议; 应支持输出NAT日志记录,
宽带客户网关应支持防火墙功能,除包过滤、访向控制列表、NAT外,应支持应用代理功能, 被保护的网络访问允许的网络应用。 支持防火墙高中低等级设置,每个安全等级的内容可以修改。 可选支持在本地Web界面配置防火墙的等级,分为高、中、低三级
GB/T 38799—2020
状态检测不仅检查网络层和 实时维护这些TCP或UDF 的状态信息。使用这些状态信息确定 态检测的包过滤功能
4.6.1防DoS攻击功能
4.6.2防端口扫描能力
宽带客户网关应能够提供防端口扫描功能,支持防止其他设备或者应用的恶意端口扫描
4.6.3限制每端口MAC地址学习数量功能
宽带客户网关应能配置限制从每个用户LAN端口学
4.6.4非法组播源控制功能
宽带客户网关应支持防止用户做源的组播,可以配置禁止用户端口发出的IGMPQuery 据报文。
宽带客户网关应能够对特定协议的 、ARP、ICMP、IGM 制,并能对其他二层广播报文进行速率限制
4.7网络访问的安全性
宽带客户网关应支持DMZ功能。N 宽带客户网关应支持基于MAC地址和IP地址进行接入控制(包括LAN和WLAN)。 宽带客户网关应支持设置黑白名单实现URL访问控制功能。黑白名单应支持与网 PPPoE账号绑定。 宽带客户网关应支持基于网关发起的PPPoE账号的上网时间管理。
宽带客户网关应支持配置不同SSID以区分网络,支持启用或者关闭SSID广播功能GB/T 20001.7-2017标准下载,以及SSID 功能。还应支持对其WLAN无线信号的发送功率和工作信道的设定。应支持对WLAN客户 证和WLAN收发数据的加密
PPP作为数据链路层协议,本身不具备完善的安全能力。应支持PAP方式的用户接人认证。在 通过PPPoE方式接人时,可以通过PAP方法进行用户认证。 应支持CHAP方式的用户接人认证。在通过PPPoE方式接人时,可以通过CHAP方法进行用户 认证。 应支持基于运营商信息的用户接入认证。在拨号过程中,网关从认证过程中提取运营商信息并基
Web管理基于HTTP协议,宽带客户网关应支持Web管理,应满足下列约定: 用户应提供用户名/口令才能进行后续的操作,用户地址和操作应记人日志; 可限定用户通过哪些IP地址使用HTTP对设备进行访问; 必要时可关闭HTTP服务; 应支持SSL/TLS
网关应具有一定的安全措施,保证RMS对网关远程管理和控制的安全性,避免对网关的非法 同时网关应具有一定的安全机制,如远程网管应都支持连接认证、支持修改管理认证账号、系级 和安全日志、管理信息传输的安全机制等,保证远程管理的安全性。
GB/T 387992020
宽带客户网关应实现软件升级失败后可以自动回滚,关键配置不丢失JJG (粤) 025-2014标准下载,具有远程诊断及远程重启等 功能。
宽带客户网关应实现软件升级失败后可以自动回滚,关键配置不丢失,具有远程诊断及远程重启
户网关应符合YD/T965中关于电气安全的要求