标准规范下载简介

T／TAF 099-2021 政企网关设备安全技术要求.pdf简介：

T/TAF 099-2021 是一个特定的技术标准或者规范，"T"通常代表"技术"，"TAF"可能是"Technical Specification"或者"Technical Requirement"的缩写，"099-2021"可能是该标准或者规范的编号，年份"2021"表示发布或修订的日期。根据你的描述，这可能是一个关于政企网关设备安全的技术要求标准。

政企网关设备安全技术要求通常会涵盖以下内容：

1. 设备安全等级：定义了设备需要达到的安全级别，如信息安全管理体系(ISMS)认证，防火墙规则，数据加密等。

2. 用户权限管理：确保只有授权的用户可以访问网络资源，包括访问控制列表(ACL)和身份验证机制。

3. 安全防护：如防止DDoS攻击，防止恶意软件，提供安全审计和日志记录等。

4. 数据保护：对传输的数据进行加密，保护敏感信息不被窃取或篡改。

5. 系统更新和补丁管理：要求设备提供商定期更新系统以修复安全漏洞。

6. 网络访问控制：限制网络的入/出流量，防止未经授权的连接。

7. 安全策略和应急响应：设备应具备一套完整的安全策略，并能快速响应安全事件。

具体到T/TAF 099-2021，你需要查阅该标准的详细内容才能了解其具体要求。如果你需要了解这个标准的详细信息，可能需要向相关机构或标准制定者查询。

T／TAF 099-2021 政企网关设备安全技术要求.pdf部分内容预览：

电信终端产业协会发布

前言. 引言 范围 规范性引用文件 术语和定义 缩略语 安全技术要求 5.1防火墙功能 5.2VPN功能. 5.3VxLAN功能. 5.4IPv4防攻击 5.5IPv6防攻击， 5.6防ARP攻击 5.7日志功能 付录A（资料性）政企网关设备典型应用场景介绍.

前言·· 引言 范围 2规范性引用文件 3术语和定义 4缩略语 5安全技术要求 5.1防火墙功能 5.2VPN功能. 5.3VxLAN功能. 5.4IPv4防攻击， 5.5IPv6防攻击， 5.6防ARP攻击 5.7日志功能 附录A（资料性）政企网关设备典型应用场景介绍.

政企网关设备安全技术要求

《雷电防护 第2部分：风险管理 GB/T 21714.2-2015》本文件规定了政企网关设备在防火墙功能、VPN功能、VxLAN功能、IPv4防攻击、IPv6防攻击 防ARP攻击、日志功能方面的安全技术要求。本文件适用于政企网关设备的设计和生产厂商、系统集 成商、设备使用方、安全检测和安全认证机构使用

政企网关设备enterprisegatewaydevices

企业网络和电信网络互联的设备，政企网关自身可实现防火 墙、VPN互联等业务功能。政企网关的典型应用场景见附录A。 3.2 访问控制 accesscontrol 选择性地限制对地址空间或其他资源的访问以实现对系统资源的安全保护。 3.3 传输模式transfermode 传输模式是IPSec的一种封装方式，其保护原始IP头部后面的数据，在原始IP头和payload间插 入IPSec头部。

隧道模式tunnelmode

隧道模式是IPSec的一种封装方式，其保护所有IP数据并在IPSec头部前封装新的IP头，不使用 原始IP头部进行路由。 3.5 邻居发现协议neighbordiscoveryprotocol 工作在IPv6网络层，负载在链路上发现其他节点和相应的地址，并确定可用路由和维护关于可用 路径和其他活动节点的信息可达性。 3.6 广播风暴broadcaststorm 指当广播数据充斥网络无法处理并占用大量网络带宽，导致正常业务不能运行甚至彻底瘫痪，这就 发生了“广操风显”

工作在IPv6网络层，负载在链路上发现其他节点和相应的地址，并确定可用路由和维护关于 径和其他活动节点的信息可达性

指当广播数据充斥网络无法处理并占用大量网络带宽，导致正常业务不能运行甚至彻底瘫痪，这就 发生了“广播风暴”。

VxLAN：虚拟可扩展局域网（VirtualxLocalAreaNetwork）

5.1.1访问控制功能

a）应支持对常用协议端口（如80、8080、21、23等）的开启、关闭操作。 b) 应支持基于源MAC/IP地址、时间段等参数实现相应的访问控制策略。 C 应支持绑定MAC/IP地址功能。 d）应支持对IPv6的TC（TrafficClass，通信分类）域等参数实现相应的访问控制策略

5. 1. 2 内容过激

应支持设置黑白名单功能。 可支持基于文件类型（如.doc，.xls文件等）进行过滤。 可支持针对ActiveX、Java、Cookies、Javascript、CGI（CommonGatewayInterface）、ASP（Active ServerPages）等类型的脚本程序进行过滤，具备向管理用户浏览器报警功能。

a）应支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤 ）应支持根据IP源端口及范围段、目的端口及范围段进行报文过滤。 ）应支持根据IP包的传输层协议类型进行报文过滤，并至少具有TCP/UDP/ICMP的选项。 1 应支持对匹配规则的报文进行处理模式的选择，默认为禁止模式。 应支持根据TOS（TypeofService，服务类型）/DSCP（DifferentiatedServicesCodepoint，差分 服务编码点）字段对报文进行过滤的功能。 宜支持协议状态检测防火墙功能，可支持对ICMP、HTTP、HTTPS、FTP、SMTP、POP3、 DNS、RADIUS、SIP、NTP、H.323、SNMP、RTSP等协议的状态检测

风关设备应至少支持L2TP、IPSec、SSLVPN其中

? 应支持LAC（L2TPAccessConcentrator，L2TP访问集申器），符合RFC3145规定。 b) 应支持CHAP方式的隧道认证。 C 应支持LNS（L2TPNetworkServer，L2TP网络服务器）侧本端CHAP认证。 d) 应支持结合IPSec加密的L2TP隧道，符合RFC3193规定。 宜支持AVP（AttributeValuePair，属性值对）隐藏传输功能 宜支持L2TPv3，符合RFC3931规定。

5. 2. 2 IPSec

GB∕T 26949.4-2016 工业车辆 稳定性验证 第4部分：托盘堆垛车、双层堆垛车和操作者位置起升高度不大于1 200 mm的拣选车5. 2. 3 SSL VPN

a) 应支持TLSv1.2及以上协议。 b) 应支持基于角色的权限管理。 c) 应支持基于用户名/密码的认证。 d) 宜支持基于证书的认证。 e) 宜支持传输层密码协议TLCP（Transportlayercryptographyprotocol）

5. 5IPv6 防攻击

a 应支持抵抗常见的DoS攻击。 b 应支持路由通告RA（RouterAdvertisement）攻击检测功能。 C 应支持邻居发现协议NDP（NeighborDiscoveryProtocol）攻击检测功能。 宜支持安全邻居发现SND（SecureNeighborDiscovery）协议，确保IPv6邻居安全可靠，符 合RFC3972相关规定

5. 6 防 ARP 攻击

a）应支持IP地址与MAC地址的静态绑定来防ARP欺骗攻击。 b）宜支持通过DHCP分配地址时自动进行IP地址和MAC地址绑定来防ARP欺骗攻击。 c）应支持ARP广播风暴抑制功能，可设置广播报文限制的阈值

应支持记录以下类型日志： 关键操作日志：指用户关键操作行为，例如：用户登录/注销、增/删账户、修改关键配置 重启/关闭设备等。

b）应支持日志本地存储和网络传输，且在本地存储和网络传输过程中应对日志进行保护，防止日 志内容被未经授权的查看和算改

附录A （资料性） 政企网关设备典型应用场景介绍 政企网关设备是电信运营商根据中小型企业网络场景需求所定制的网关产品，通过连接各种企业网 络业务终端（包括PC、IP摄像头、IAD、存储设备、IT设备、机顶盒STB等）为用户提供全面的企业 网络业务能力。企业网络业务终端在通过政企网关实现设备互联的同时DBCJ 003-2019 长沙市非机动车交通组织设计指南(试行).pdf，还通过政企网关访问公众网络， 并与公众网络上的业务平台和其它各类终端配合，