YD/T 1359-2005
基本信息
标准号: YD/T 1359-2005
中文名称:路由器设备安全技术要求——高端路由器(基于IPv4)
标准类别:通信行业标准(YD)
英文名称:Security requirements of high-end router
标准状态:现行
发布日期:2005-06-21
实施日期:2005-11-01
下载格式:pdf zip
标准分类号
中标分类号:通信、广播>>通信网>>M19通信网设备互通技术要求和通信网借口
关联标准
出版信息
出版社:人民邮电出版社
页数:27页
标准价格:20.0
出版日期:2005-11-01
相关单位信息
起草人:冯伟、黄元飞、史凡等
起草单位:华为技术有限公司、中兴通讯股份有限公司、国家计算机网络与信息安全管理中心、中国电信集团公司
归口单位:中国通信标准化协会
提出单位:中国通信标准化协会
发布部门:中华人民共和国信息产业部
标准简介
本标准规定了支持IPv4协议的单播应用的高端路由器设备的安全技术要求,包括数据转发、管理和控制3个平面的标识和验证等8个安全功能要求。本标准适用于支持IPv4协议的单播应用的高端路由器设备。
标准图片预览
标准内容
中华人民共和国通信行业标
YD/T1359-2005
路由器设备安全技术要求
一高端路由器基于IPV4)
Security requirements of high-erd router2005-06-21发布
2005-11-01实施
中华人民共和国信息产业部
1范府
2规池性引用文件·
3 术和定义;
4符号和缩略讯
5概述
6数播转发平面安全
6.1安全威胁
6.2安全功能-
7控制平面突全
7.1安全威胁-
7.2安全功能
8管理平面安全
8.1安全成歇-
8.2安全功能
附录A(资料性附录)
附录B(资料性附录)
附录 C(资料性附爱)
单播逆向路径转发
路由验证
硬件和择作系统
附录卫(资料丝附录】
安全H志的严重等毁定义
参孝文献
YD/T 1359-2005
YD/T 1359-2005
本标准呆“支持IPv4的路用器”系列标准之一,本系列的结构和标准名称预计如下:1.Y1D/T1096-2(01陷出器设备技术规范一低端路由器2.YD/T1(098-2001路国器测试规范—低微路由器:3.YDF11097-2001路山器设备技不热范一—高端略由;4.YD/T1156-2001出器划试热范——高端路由器:5.路由静设备金获术要求—中低端路出器(基工1Pv4中低端路由据全测试方法
路中器设备安全技术要求一高端路出器(垫于IPv4)3:8《高端路由器安全测试方法3
随者接术发展,将制定后续标准,本标筛与高端路中器案全谢试方法配套使用。本标准的隧录A、附录B、附录C和陷录D均为资料性附录。本标准中中国通信标准化协会握出并归。术标准起毕单位:华为技术有限公司中兴通讯股份有限公司
国家计算规网络信息安全管理中心中国电信集4公司
本标准主要起草人:孟寒房许志军黄福友冯伟黄元飞史凡1范曲
高端路册器安全技术要求
YD/T1359-2005
本标准规定了支持IPv4协议的单播应用的高端路由器改备的安全技术要求,包括数据转发、普理和控制3个平训的标试和验过等8个安全功能要求。本标准适用于支持Pv4协设的单播应用的高端路出器设备,实现路也器的路由和转发功能的高端随火墙设备,以及位于核心网络的边缘充当PE设备,实现VPV的接人和控制的高端路归器出可以考使用中标准。2规范性引用文件
下列文件的条数通过本标的引用而成为本标推的条款。凡是注月期的用文作,其随店所有的终改单(不包括勤谈的内容)或修订版均不适用于本标准,然而,敢励根据本标准达成协议的各方研究是否可使用这些文件的缺新版本。凡不注月期的引用义作,其最新版本适用于本标准。GB/T 1B336-2001
YD/T 1097-200F
YD/T 1156--2001wwW.vv99.Net
3术语和定义
偿息技术安全性评估推则
路由器设备技术规范一高端路山器路由器测试规范—高端路由器
下列术语和定义适用于本标准。8.1
访间控制Acces9Control
防止木经投权使用赞源,
摄权Authorization
授予权限,包括根据访问权进行访间的权限。3.9
密钥管理KoyManagement
根据安全策略产牛、分发、存、德用、更换,销和恢支密销。3.4
安全审计SecurityAudit
对系统的记录及活动独立的友查与检查,以便检测系统控制是否充分,响保系统控制与现行策略和操作程库保持:-致,探测违骨安全性的行为,并介纤控制、策略和轻序中所显示的何变化。3.5
数字策名DigllalSignature
YD/T1359-2005
附在数据单元后面的数据或对数册单进行码变换得到的数据。充许数据的接收者正明数错的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。9.6
咨Repudlatlon
垒与理信的实体否认登与了全部或部分信过程。3.7
可用性Availablit
根据需暨,信息允许有权实体访问和使用的持性。3.8
保密性Canfidemtlallty
信息对非授极个人、实伴,以进器是不可知、不可用的特性。3.9
数据完整性DataIntegrity
数据免随非法史改或破坏的特性。3.10
安全服务SecurltyService
由逆信的系统提供的,对系统或致据传遵提供充分的安全保除的一种服务。3.11
安全策略SecurtyPolicy
提供安全服务的一套规则,
安全机制SecurityMechanlsm
实现安全服务的过程。
拒绝服务DenlalofService
肌止授权切问资源或延迟时回敏感操作。3.14
防重放Ant-Replay
防止对效据的重放致击。
信息泄露InformationDlscosure指信息装泄端或逐避给非授权的个人或实体。3.16
完整性破坏IntegrltyCompromise(damage)数据的一致性通过对数据进行非授权的增加,静改、重排序或伪造而受到损害。4符号和缔暗语
下列符号和缩略谐适用于本标准。2
CR-LDP
TnpleDES
Access Eontrol List
AdyancedEnetypdon Standard
Authenticuion Header
Asynchronous Transfer Mule
Border Gateway Protocol
Cummiuel Access Race
Cipher Block Chain
Centtal Processmg Uit
Constraint-based Routing E.DPData Encrypuion Stendard
DeffleHellman
Domain Name Syrem
Derial of Service
Extensible Authenticatiun PrclocolRxrericr Gateway Irotocol
Encapsulation Secure PaylradHor warding Infuxmation BaseFile Transter I'rotocol
Hashed Message Authentication CodeHyper Teat Transfer ProtocolLntemet Control Meysuge Prolocolnterior Gateway Prorocol
Latemet Key Exchange
intcmet Pruuxol
PSecurity
Intermediare System to Interumnediatc Sysicm PrtoulLabel Distribution Protocol
Labcl Suiwh Pulh
Iabel Switch Router
Media Access Control
Message Digesl 5
ManegementInformatian Base
Multi-Protocol Label Switch
Maximum Tramsmissiun Unit
Network Address Pont TranslationYD/T 1359-2005
三重数据加密标准
访问控制列表
高级加标准
验证报文头协议
步转移筷式
边界两关协议
承诺接人速率
码块链加密楼式
中央处理器
基于约束略也的LDP协议
数据加密标准
DH 交换
域名系统
拒绝瑕务
可扩展验证协议
外部网关协议
封装安全净荷协议
转发信息库
文件传输协议
敢测消息验证码
超文本传输协议
丘联网控制报文协政
内部网关协设
互联网违钥交换协议
与联网协段
P安全机制
中间系统到中间系续协议
标记分发协议
标记交换略径
标记交换路由器
媒介访间控制
报文摘要5
禁理信息库
多协议标记交换
量人传输单元
刚络地址跨口翻译
YD/T 1359-2005
RSVP-TE
5概述
Network Addresx Translation
Network Tme Protocol
Open Shortest Pauth First
Provider Bdge
Roule Information Procal
KSVPTrafficEngineeringExtensionSecume Hash Algorithm 1
Service Level Agreement
SimpleNetwurk MnagementProtocolSecure Shell
Transmission Canurol ProtocolType Of Service
Time ToLive
L'ser Daragram Protcxo]
L'nicast Reverae PathForwardUser-based Security Model
View-based Acuesy Control ModelVirtual Private Network
YPN Routing and Forwarding
网络地址翻译
网络时间协议
开放最短路径优先协议
供应商边缘设备
路由信息协议
RSVP流量工程扩广展
安全散列算达1
服务水半协设
简单网络管理协议
安全外光程序协议
传编控制协议
服芳类型
存活时间
用户数据报协放
单播反向路径转发
基于用户的安全模型
基于说阁的访向控例模型
密拟专用网络
VPN路由转发表
陷由器通过转发数据报文来实规网络的互联,一般变持TCP/IP协议。高瑞路由馨一般位于网络的核心,承担网络骨十设上数掘的转发,具有较高的转发性能和较强的路由脂力。高端恪出器在网络中处十重要位互,穿品季到来自网络和其他力面的感协,这些安全成协可以利用设备的跑弱性对设备造成一定的摄害。没备被放击后,网缺的性能和正带读行受判根人的影响。此,商端路由器本身说具备很强的抗改击能力,此外,网络上传薪的人盘文要通过路由器转发(尤其是商端路出器在VPV中作为IE设备以及为企业网提供防火城功能时),匹此高端路白器要为网络提供一定的安全服务,包括为企业的内部网络和公共网提供安全服务
高端路由器主要的功能是平相数据转发,为了完成这个功能,必须通过信令协议伙得网落拓扑等宿息。此外,高端路由器也要为管理员利网络背理系统提供管理接口,方便系统的理和继护。所以本标准将自器的功能则分为数据转发面、挖制平面利誉理平面。一数据转发平雨,转发来自网和用户的数据窥至;-腔制平血,主要虚路由协议等控制功能:一管理乎而,为网络管埋提供接口。为了抵御来自网络和用广的攻击,尚端路由器必须提供一定的安全功能。本标推引用B18336-2001中定义的案全功能并应用到商端略由器,这些安余功能包括:4
一标识和险证,识别并确认州户的身份,验证身份的真实烂一用户数据保护,保护用户数据的范整性、可用性和保离性:YD/T1359-2005
一系统功能保护,对实现系统关链功能包括安全功能所需要的数据(如用户身份和口令)的保护,确保相关数据的光整性、可用性和保疮性:一资源分配,控制用户对资源的动问,不允许用户过量占用密源,整免因为非法占用资谢造系统对合法业务报绝服务:
一安全市计,能够提供日志等审计记录,这货记录可以用来分析安全威断括动和制定安全对策:一安全管理,安全功能、数据和安全届性的管理能力;一可信信道路径,高端略出器之间以及高增略出器同其他设备间逆借的情道腾径娶求可信,对于安全数据的通信要同其他通信随变并求一系统访问,管理和控制用户会话的建立。路由器安全架如图1所示。
些次卡面
特交平肉
天质临
图1踏由安全框架
独示居
会站所
偿赖输任
经铝鞋乐
期期件
为了保证高端路由器及其转发数据的安全,需要为高端路由器制定安全策略,作为指导安会功能实施的领。非在实随过程中,将安全策略映射列数撬转发平面、控制平面和管理平面中的安全功够和实现获术。
硬件系统和操作系统的安全性是商端路由器安全性的重要固索,对硬件系统和操作系统的安全要求可以案考附录C。
6数据转发平面安全
6.1安全成助
数据转发平面负或处理进人设备的流量,因此落士流量的攻击会给略路出器的辖发带亲影响,解奶,人流量政击会造成设备不能止常处理合法演量,而形的报文可触会占用设备大量的处理时间,非授权用户可能使用网练资源,造成设备的可用性降低,甚率期遗,未授权观察、修改、插人,册除报文,对数势疏的流量分析,都会使报文和数据流的保密性和完整5
YD/T1359-2006
性受到影响。
因比,数据转发平面存在的安全成胁士要有以下方面,但并不局限于这此方面:一对数据流逊行流量分析,从而获得用户流量相关信总;一未授权观案,静改,插入,删除用户流量;一利用用户税重实施拒绝照务攻击。6.2安全功能
数据转发平面要据供如下安全功能,6.2.1标识和验证
高端路日器提供用户访问控制能力,通过标识和验证功能决定用户的身份,并通过授权系统向每个用户分肥柜的访向权限,相关能力要求多见YD109了-2001路由器设备技术热范一高端路由器622用户数据保护
用获据深护功能实规对用户数据的完性,用用性称探密性保护。完格性、可用性和保密性一段可以通过验证技术和加密技术获得,如;Scc,也可以通过陷离用上流量,不允许一个用户访问势外的用户数据来实现,通过VPN能够实现符属于不同管理域的用户进行隔离,献够防止一个管理城的用户访问另外一个前理城的数据,也是用户数据保护的一种垂要机起:6.2.2.1IPSec
EPSeo在P层为正报文挺供案全保证,Sec提供了机密性、数据源验证、数据完整性、防重放等安全服。利用PSec,可以提供完普的安全保护崩力。Scc是一个P安全体系,由IPSe握架AH和ESP安全协议以及KE密钥管理协议组成,对于在转发平面支持IPSec的高期路由馨可同文括AH.ESP两种协议,应支隧道利传输两种封装模式,
AH协议应支持HMAC-SHA1-96验证算法,可支持HMAC-MD5-6验证算法,ESP协议应支持HMAC-SHAL-96验证第法,可支持HMAC-MI>5-96验正算法,支持空加谢算法,3DES-CBC加密算法,可支持DES-CBC、AES-CBC和国家规症的标准分继加案算运。满端路由器成支持IKE的下到特性:·一支持安全联盟的手工管理和KE自动管理,手工管理安全联监时,可支持以「六进制配留算法所需密朝:应支持任益长度字符事形式配贯密钢;一支持预共享密验证,可支持数字证书验证和RSA加密NunCe验证:应支持3DES加密算法:成支持HA完整性验证算法,可支持MDS完整性验证算法,同耐还可支持DES、AES加密算法和国内的分组加密算法;一在IKE的DH交换中应支持MODP-Gruup、MODP-GIoup2-阶段2交换中应支持究美前问保护转性::一阶段1应支持主模式和野商模式,阶段2应文持快模式,还应支持信息交换【ntonmaionaExchange);
一高端路由器可支持NAT穿越:
一在KB阶段1中应该能指定发起模式:6
Y/T1359-2005
一在KE阶段2协商中城支持D_IPV4.ADDRESS和ID_IPV4_SUBNET身份裁荷,6.2.9联统功能保护
对于用户的安全数据,系统要提供要誉的保护手段,包括对访间安全数据的用户进行标识和验证。6.2.4资源分
用户能够下用的网络资潮数显利方式对网络的可用性有很大的影响,所以高端路由器必须要提供资源分配能力,包括抗人盗盘攻击能力,抗形包处理能力和宽量控制能力等,试问控制列表和流量控制能落有效限制非法的用产资源访问。6.2.4.1常见网络攻击抵抗能力
针对已知的各种改击,高端路由器设应能够进行处理,并且不影响路由器正常的数据转发。当高端略由器检到改击发生,应该尘成件警。下而几种常见的攻击,高端路由器应也能够处理6.2.4.1.1抗大流量攻击能力
略由器设备在网络中运行时,经常会过到某些大流量收击,这些攻击主要包括两种形式:一种大流量属于路过流量,该路过流量远远超过了正常业务流量,占用路由器大量的资源:另外一种大流量更具有危害性,这些流量的日的地址就是路由器设备本身,通带会导致路由器伙备无法处理这样庞大的流重,导致整个路出器设备陷于婉瘦或者崩遗,进步导致网络路由需荡,用户业务受到影响。对于第一种情况,高端路由器设备应能够处现路由馨的增口宜线速转发流最。如不能进行线递转发时,可按一定的比率丢弃报文,但是应保路由器的控制报文(划IBGP、OSPF、IS-IS和RIP报文等)和管理报文(她Talner和SNMP等)业誉发送和接收。对于第一种情况,路由器应能够处埋这些异常攻齿减益,采取丢弃报文策略,同时生成告警口志。路由器在这种情况应保证继续为用广提供服务,不能出现遗现象。同时路由还成完成正需的路由快设和管理报的正常发达和接收处理。6.2.4.1.2抗畸形包处理
由于网略环境的安杂性以及患商攻击、用广好奇和病毒等,也可能由于传输线路本身被干扰和湿序处理错误等原因,会导致网络上出现各种各样的错误报文和略形报文。这些报文如果不售妥菩处理,往往会造成路由器设备痛、筋微,失去服务能力,路由器设备不断发生崩溃恢豆的过程可他宁致整个网络处于不稳定状态,所有高端路出暴设断应能够具有良好的畸形报文处理能力::商端路由器应脂够检测超短长摄文并采政丢弃策略,同附对这种报文进行统计:一·商端路由器设备应能郸检测到链路层错误报文非来取去弃策略,同时要求进行志记录和统计:二高端路由器设备应能够检测网露层报文销误并采取丢弃策略,同时必须逊行错误报文统计:一高路由器设备对各种略由器必须处理的上层协议报文错误成能够检测出来并采取丢弃策略,同附继行统计:
一高端路由器设备不能由于器误撤文畸形报文而前溃:一商端路由器设备本身不应发出错误抵立喷形抵文。6.2.4.1.3定向广播报文攻击防范S血urf收击是一种利用定向广播报文的分布式DaS攻击方法,如果没务不能提供适当的防护措施,往往会造成设务射赞,高端路由器对丁定向广播报文应能够提供策略控制,禁止该类报文转发或者以广播形式转发,对于分布式DS攻击,高增路由器应能够抚供简单策略时止这种分布式DoS攻击向其他YD/T 1359-2005
投备扩散,以免造成对其他设备的冲击(其施设备指这些流量改击报文将要达到的设备)6.2.4.1.4IP地址哄骗防范
网络中通常会有大量的源地址哄喘改击。为了检测这种攻击,可应用单播逆向路径转发(URPF)技术限制这类报文在网络中出现。商路由应支持URPF功能,包括URPF应该在略由器的接口起作用。关于IPP的具体技术参专附录A。6.2.4.2滤量控制
高端路由器转发大量的网络案量,其中一些流量的日标可能是改击网络上其他设备,高端路由器应提供流量控制能力,为网结提供安全保护服务。对流量控制需要通过访问控制列表的方式实现,关于访问控制列表的具体要求考6.2.B.1节,本标准要求在启动大基访间控制列表情说下不能影响帝端路由器的线速转发能力。6.2.4.2.1疏量监管
流量监情也就是题常所说的CAR,是流分类之后的动作之一:通过CAR可议限制从网络边沿进人的各炎业务的最大流量,控制网络整体资源的使用,从而保证网络整体的可靠运行。针对可能被攻击的流郡应制定服务水平协放(SLA),如浓制ICMP协议或者HTTP的流在合理的范围。SLA中包盒每种业务流的随量梦数:承连率、筛值速率、承诺突发流量和峰值突发流量,对随出SL人定的流量报文叮指定给手通过、丢弃或降级等处理。此处降级是指商丢弃的可嫌性(标记为丢弃优光级降低),降级报文在网络拥塞时将被优先丢弃,从而保证在SL人纳定范围内的报文享受到SLA预定的服务。6.2.4.2.2帮能流量控制技术
为了荫止黑客流量攻击、特别是分布式攻击,商踏路由器设备可实现智能沈量控制技未。对于由给定的品始地和错束地站所成的一个地证段,通过对到达地址费中所有地的总获据究平期速率和总突发长度的配置、以及对到地址段中单个卫地证即单个数据流的平均速率及突发长度的配置。根据分类结果进行单个卫地址的处理,可针对每一个流或某些流进行测举,不满足约定的报文将被丢弃;然后对整个卫地址段内的流进行测举,不满足约定的报文特被丢弃。6.2.5安全审计
对于用户随量,商端路由器要求能够提供流量日志建力,相关要求参考7.25节有关安金日志、流采样和用户流统计方面的规定。
6.2.6安全管理
要能够提供对本节提山的安全功能和数据管理能力,管理为式包括但不限于控制台、远程连接或网络管理接口/系统等方式。
6.2.7可信信道降径
高端略出器之间以及高端路由器其他设备间通信的信过路径要求可信,对于传送敏求数据的通信要同传送其仙数据的遭信陷离开来。VPN能够将VPN内用户数据VPN外部或其他VPN内的歌据隔离开来,能够提供可信的通信信道/路径,载专6.2.8.3节,
6.2.8系统访问
争考标认和验证安全功能,
6.2.8.1访问控制列表
YD/T1359-2005
访问控制列表(ACI.)于提俱静态报文过滤动能。所调静态,是指按照预先设定的系列规必对进人的报文进行四配,并对报文执行预先设定的动作。生设实现苯于源MAC地址的访问控制列表,降低系统的无开销:ACL在定义上应分为两级,第一级称为规则纽,第二级称为规则。使用时以规则组为单位,每个规则组由一系列规则组戚,规划和规测组共同完成对过某安报文的访间控制功能,AC工规则组应支持使用教字或者字符市作为标以,以健于使旧,ACI。现则组呼支持设定内部规则在查找时的匹配序,至少实现按照配置堰序变找,
ACI.规划是对报文进行分炎的实际依据居。ACL规则中定义源址、月的地址,协议类型,源端I1号,月的端口孕等元索,同时指定匹配时应执行的动作:充许或者禁止,ACL规则还宜提供选,支持对ICMF批文过滤:支持对报文优先级过涨:支持仪在指定的时间段对报文过滤,支持对报文匹配情说统计数和记入日志龄。
在高端路出器中,每端日宜支持1k项或每接口板宜支特4k以上的ACL规则,而不侦性能明显下降。6.2.8.2网络地址辨口翻译
NAT可以解决P地证签源缺乏间题,通过习AT可以实现内网和外网的隔离,同时内网可以正帝的问外网
向端路由器产品可支持NAT动能,同时对丁不的网结位置要求在启动NAT后不催大幅降低网络性能,对十处于骨干网的高端路出器,NAT功能宜支持15Ok或以上的并发连按数,以保证启用NAT忌用广可以正带的访间因特网。
NAT宜支持如下动能:
:一支持网络地址翻译和网络地址端口潮弹:一支持崛合编址力式,对丁来白私网侧的非私网地址的报义方技进行转发;一支持黑名单,对于黑名单中的地址本进行地址转换和转发一变持对不同级别用户并发连接数的限制;一支持下列用网关协议:FTP、INS、H.323等一支持输出NAT日志。
6.2.8.3VPN
利用公共网整构建的专明网络称为医拟专用网络(VPN),用丁构建VPN的网绪过括因特网、顿中继、ATM等。在公共网络上组建的VPN握供的安全性、可靠性和可替理性等就像企业私有网路一样。VPN技术通过避道将VPN内的数据同公网上的数据陷离,公网上的数据无法进人组成VPN的场所,因此就限制广公网用户攻击VPN内的设备物业务。高端路由器设备应能设备处于网络不同证置,支持相应的VPN技术和特性,对于基于MPLS实现的VPN
-不管是I.2VPN还是T3VPN,数脸严格基丁标签沿若LSP转发,除非需要,一个VPN的数据十应进入到另一个VPN:
当支持VPN股务和因特网服务时,特别是在间一个物理接口上通过不同的逻辑接口支持VPN服务和因特网服务叶,“可基丁逻辑接口对接人建率进行限制9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T1359-2005
路由器设备安全技术要求
一高端路由器基于IPV4)
Security requirements of high-erd router2005-06-21发布
2005-11-01实施
中华人民共和国信息产业部
1范府
2规池性引用文件·
3 术和定义;
4符号和缩略讯
5概述
6数播转发平面安全
6.1安全威胁
6.2安全功能-
7控制平面突全
7.1安全威胁-
7.2安全功能
8管理平面安全
8.1安全成歇-
8.2安全功能
附录A(资料性附录)
附录B(资料性附录)
附录 C(资料性附爱)
单播逆向路径转发
路由验证
硬件和择作系统
附录卫(资料丝附录】
安全H志的严重等毁定义
参孝文献
YD/T 1359-2005
YD/T 1359-2005
本标准呆“支持IPv4的路用器”系列标准之一,本系列的结构和标准名称预计如下:1.Y1D/T1096-2(01陷出器设备技术规范一低端路由器2.YD/T1(098-2001路国器测试规范—低微路由器:3.YDF11097-2001路山器设备技不热范一—高端略由;4.YD/T1156-2001出器划试热范——高端路由器:5.路由静设备金获术要求—中低端路出器(基工1Pv4中低端路由据全测试方法
路中器设备安全技术要求一高端路出器(垫于IPv4)3:8《高端路由器安全测试方法3
随者接术发展,将制定后续标准,本标筛与高端路中器案全谢试方法配套使用。本标准的隧录A、附录B、附录C和陷录D均为资料性附录。本标准中中国通信标准化协会握出并归。术标准起毕单位:华为技术有限公司中兴通讯股份有限公司
国家计算规网络信息安全管理中心中国电信集4公司
本标准主要起草人:孟寒房许志军黄福友冯伟黄元飞史凡1范曲
高端路册器安全技术要求
YD/T1359-2005
本标准规定了支持IPv4协议的单播应用的高端路由器改备的安全技术要求,包括数据转发、普理和控制3个平训的标试和验过等8个安全功能要求。本标准适用于支持Pv4协设的单播应用的高端路出器设备,实现路也器的路由和转发功能的高端随火墙设备,以及位于核心网络的边缘充当PE设备,实现VPV的接人和控制的高端路归器出可以考使用中标准。2规范性引用文件
下列文件的条数通过本标的引用而成为本标推的条款。凡是注月期的用文作,其随店所有的终改单(不包括勤谈的内容)或修订版均不适用于本标准,然而,敢励根据本标准达成协议的各方研究是否可使用这些文件的缺新版本。凡不注月期的引用义作,其最新版本适用于本标准。GB/T 1B336-2001
YD/T 1097-200F
YD/T 1156--2001wwW.vv99.Net
3术语和定义
偿息技术安全性评估推则
路由器设备技术规范一高端路山器路由器测试规范—高端路由器
下列术语和定义适用于本标准。8.1
访间控制Acces9Control
防止木经投权使用赞源,
摄权Authorization
授予权限,包括根据访问权进行访间的权限。3.9
密钥管理KoyManagement
根据安全策略产牛、分发、存、德用、更换,销和恢支密销。3.4
安全审计SecurityAudit
对系统的记录及活动独立的友查与检查,以便检测系统控制是否充分,响保系统控制与现行策略和操作程库保持:-致,探测违骨安全性的行为,并介纤控制、策略和轻序中所显示的何变化。3.5
数字策名DigllalSignature
YD/T1359-2005
附在数据单元后面的数据或对数册单进行码变换得到的数据。充许数据的接收者正明数错的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。9.6
咨Repudlatlon
垒与理信的实体否认登与了全部或部分信过程。3.7
可用性Availablit
根据需暨,信息允许有权实体访问和使用的持性。3.8
保密性Canfidemtlallty
信息对非授极个人、实伴,以进器是不可知、不可用的特性。3.9
数据完整性DataIntegrity
数据免随非法史改或破坏的特性。3.10
安全服务SecurltyService
由逆信的系统提供的,对系统或致据传遵提供充分的安全保除的一种服务。3.11
安全策略SecurtyPolicy
提供安全服务的一套规则,
安全机制SecurityMechanlsm
实现安全服务的过程。
拒绝服务DenlalofService
肌止授权切问资源或延迟时回敏感操作。3.14
防重放Ant-Replay
防止对效据的重放致击。
信息泄露InformationDlscosure指信息装泄端或逐避给非授权的个人或实体。3.16
完整性破坏IntegrltyCompromise(damage)数据的一致性通过对数据进行非授权的增加,静改、重排序或伪造而受到损害。4符号和缔暗语
下列符号和缩略谐适用于本标准。2
CR-LDP
TnpleDES
Access Eontrol List
AdyancedEnetypdon Standard
Authenticuion Header
Asynchronous Transfer Mule
Border Gateway Protocol
Cummiuel Access Race
Cipher Block Chain
Centtal Processmg Uit
Constraint-based Routing E.DPData Encrypuion Stendard
DeffleHellman
Domain Name Syrem
Derial of Service
Extensible Authenticatiun PrclocolRxrericr Gateway Irotocol
Encapsulation Secure PaylradHor warding Infuxmation BaseFile Transter I'rotocol
Hashed Message Authentication CodeHyper Teat Transfer ProtocolLntemet Control Meysuge Prolocolnterior Gateway Prorocol
Latemet Key Exchange
intcmet Pruuxol
PSecurity
Intermediare System to Interumnediatc Sysicm PrtoulLabel Distribution Protocol
Labcl Suiwh Pulh
Iabel Switch Router
Media Access Control
Message Digesl 5
ManegementInformatian Base
Multi-Protocol Label Switch
Maximum Tramsmissiun Unit
Network Address Pont TranslationYD/T 1359-2005
三重数据加密标准
访问控制列表
高级加标准
验证报文头协议
步转移筷式
边界两关协议
承诺接人速率
码块链加密楼式
中央处理器
基于约束略也的LDP协议
数据加密标准
DH 交换
域名系统
拒绝瑕务
可扩展验证协议
外部网关协议
封装安全净荷协议
转发信息库
文件传输协议
敢测消息验证码
超文本传输协议
丘联网控制报文协政
内部网关协设
互联网违钥交换协议
与联网协段
P安全机制
中间系统到中间系续协议
标记分发协议
标记交换略径
标记交换路由器
媒介访间控制
报文摘要5
禁理信息库
多协议标记交换
量人传输单元
刚络地址跨口翻译
YD/T 1359-2005
RSVP-TE
5概述
Network Addresx Translation
Network Tme Protocol
Open Shortest Pauth First
Provider Bdge
Roule Information Procal
KSVPTrafficEngineeringExtensionSecume Hash Algorithm 1
Service Level Agreement
SimpleNetwurk MnagementProtocolSecure Shell
Transmission Canurol ProtocolType Of Service
Time ToLive
L'ser Daragram Protcxo]
L'nicast Reverae PathForwardUser-based Security Model
View-based Acuesy Control ModelVirtual Private Network
YPN Routing and Forwarding
网络地址翻译
网络时间协议
开放最短路径优先协议
供应商边缘设备
路由信息协议
RSVP流量工程扩广展
安全散列算达1
服务水半协设
简单网络管理协议
安全外光程序协议
传编控制协议
服芳类型
存活时间
用户数据报协放
单播反向路径转发
基于用户的安全模型
基于说阁的访向控例模型
密拟专用网络
VPN路由转发表
陷由器通过转发数据报文来实规网络的互联,一般变持TCP/IP协议。高瑞路由馨一般位于网络的核心,承担网络骨十设上数掘的转发,具有较高的转发性能和较强的路由脂力。高端恪出器在网络中处十重要位互,穿品季到来自网络和其他力面的感协,这些安全成协可以利用设备的跑弱性对设备造成一定的摄害。没备被放击后,网缺的性能和正带读行受判根人的影响。此,商端路由器本身说具备很强的抗改击能力,此外,网络上传薪的人盘文要通过路由器转发(尤其是商端路出器在VPV中作为IE设备以及为企业网提供防火城功能时),匹此高端路白器要为网络提供一定的安全服务,包括为企业的内部网络和公共网提供安全服务
高端路由器主要的功能是平相数据转发,为了完成这个功能,必须通过信令协议伙得网落拓扑等宿息。此外,高端路由器也要为管理员利网络背理系统提供管理接口,方便系统的理和继护。所以本标准将自器的功能则分为数据转发面、挖制平面利誉理平面。一数据转发平雨,转发来自网和用户的数据窥至;-腔制平血,主要虚路由协议等控制功能:一管理乎而,为网络管埋提供接口。为了抵御来自网络和用广的攻击,尚端路由器必须提供一定的安全功能。本标推引用B18336-2001中定义的案全功能并应用到商端略由器,这些安余功能包括:4
一标识和险证,识别并确认州户的身份,验证身份的真实烂一用户数据保护,保护用户数据的范整性、可用性和保离性:YD/T1359-2005
一系统功能保护,对实现系统关链功能包括安全功能所需要的数据(如用户身份和口令)的保护,确保相关数据的光整性、可用性和保疮性:一资源分配,控制用户对资源的动问,不允许用户过量占用密源,整免因为非法占用资谢造系统对合法业务报绝服务:
一安全市计,能够提供日志等审计记录,这货记录可以用来分析安全威断括动和制定安全对策:一安全管理,安全功能、数据和安全届性的管理能力;一可信信道路径,高端略出器之间以及高增略出器同其他设备间逆借的情道腾径娶求可信,对于安全数据的通信要同其他通信随变并求一系统访问,管理和控制用户会话的建立。路由器安全架如图1所示。
些次卡面
特交平肉
天质临
图1踏由安全框架
独示居
会站所
偿赖输任
经铝鞋乐
期期件
为了保证高端路由器及其转发数据的安全,需要为高端路由器制定安全策略,作为指导安会功能实施的领。非在实随过程中,将安全策略映射列数撬转发平面、控制平面和管理平面中的安全功够和实现获术。
硬件系统和操作系统的安全性是商端路由器安全性的重要固索,对硬件系统和操作系统的安全要求可以案考附录C。
6数据转发平面安全
6.1安全成助
数据转发平面负或处理进人设备的流量,因此落士流量的攻击会给略路出器的辖发带亲影响,解奶,人流量政击会造成设备不能止常处理合法演量,而形的报文可触会占用设备大量的处理时间,非授权用户可能使用网练资源,造成设备的可用性降低,甚率期遗,未授权观察、修改、插人,册除报文,对数势疏的流量分析,都会使报文和数据流的保密性和完整5
YD/T1359-2006
性受到影响。
因比,数据转发平面存在的安全成胁士要有以下方面,但并不局限于这此方面:一对数据流逊行流量分析,从而获得用户流量相关信总;一未授权观案,静改,插入,删除用户流量;一利用用户税重实施拒绝照务攻击。6.2安全功能
数据转发平面要据供如下安全功能,6.2.1标识和验证
高端路日器提供用户访问控制能力,通过标识和验证功能决定用户的身份,并通过授权系统向每个用户分肥柜的访向权限,相关能力要求多见YD109了-2001路由器设备技术热范一高端路由器622用户数据保护
用获据深护功能实规对用户数据的完性,用用性称探密性保护。完格性、可用性和保密性一段可以通过验证技术和加密技术获得,如;Scc,也可以通过陷离用上流量,不允许一个用户访问势外的用户数据来实现,通过VPN能够实现符属于不同管理域的用户进行隔离,献够防止一个管理城的用户访问另外一个前理城的数据,也是用户数据保护的一种垂要机起:6.2.2.1IPSec
EPSeo在P层为正报文挺供案全保证,Sec提供了机密性、数据源验证、数据完整性、防重放等安全服。利用PSec,可以提供完普的安全保护崩力。Scc是一个P安全体系,由IPSe握架AH和ESP安全协议以及KE密钥管理协议组成,对于在转发平面支持IPSec的高期路由馨可同文括AH.ESP两种协议,应支隧道利传输两种封装模式,
AH协议应支持HMAC-SHA1-96验证算法,可支持HMAC-MD5-6验证算法,ESP协议应支持HMAC-SHAL-96验证第法,可支持HMAC-MI>5-96验正算法,支持空加谢算法,3DES-CBC加密算法,可支持DES-CBC、AES-CBC和国家规症的标准分继加案算运。满端路由器成支持IKE的下到特性:·一支持安全联盟的手工管理和KE自动管理,手工管理安全联监时,可支持以「六进制配留算法所需密朝:应支持任益长度字符事形式配贯密钢;一支持预共享密验证,可支持数字证书验证和RSA加密NunCe验证:应支持3DES加密算法:成支持HA完整性验证算法,可支持MDS完整性验证算法,同耐还可支持DES、AES加密算法和国内的分组加密算法;一在IKE的DH交换中应支持MODP-Gruup、MODP-GIoup2-阶段2交换中应支持究美前问保护转性::一阶段1应支持主模式和野商模式,阶段2应文持快模式,还应支持信息交换【ntonmaionaExchange);
一高端路由器可支持NAT穿越:
一在KB阶段1中应该能指定发起模式:6
Y/T1359-2005
一在KE阶段2协商中城支持D_IPV4.ADDRESS和ID_IPV4_SUBNET身份裁荷,6.2.9联统功能保护
对于用户的安全数据,系统要提供要誉的保护手段,包括对访间安全数据的用户进行标识和验证。6.2.4资源分
用户能够下用的网络资潮数显利方式对网络的可用性有很大的影响,所以高端路由器必须要提供资源分配能力,包括抗人盗盘攻击能力,抗形包处理能力和宽量控制能力等,试问控制列表和流量控制能落有效限制非法的用产资源访问。6.2.4.1常见网络攻击抵抗能力
针对已知的各种改击,高端路由器设应能够进行处理,并且不影响路由器正常的数据转发。当高端略由器检到改击发生,应该尘成件警。下而几种常见的攻击,高端路由器应也能够处理6.2.4.1.1抗大流量攻击能力
略由器设备在网络中运行时,经常会过到某些大流量收击,这些攻击主要包括两种形式:一种大流量属于路过流量,该路过流量远远超过了正常业务流量,占用路由器大量的资源:另外一种大流量更具有危害性,这些流量的日的地址就是路由器设备本身,通带会导致路由器伙备无法处理这样庞大的流重,导致整个路出器设备陷于婉瘦或者崩遗,进步导致网络路由需荡,用户业务受到影响。对于第一种情况,高端路由器设备应能够处现路由馨的增口宜线速转发流最。如不能进行线递转发时,可按一定的比率丢弃报文,但是应保路由器的控制报文(划IBGP、OSPF、IS-IS和RIP报文等)和管理报文(她Talner和SNMP等)业誉发送和接收。对于第一种情况,路由器应能够处埋这些异常攻齿减益,采取丢弃报文策略,同时生成告警口志。路由器在这种情况应保证继续为用广提供服务,不能出现遗现象。同时路由还成完成正需的路由快设和管理报的正常发达和接收处理。6.2.4.1.2抗畸形包处理
由于网略环境的安杂性以及患商攻击、用广好奇和病毒等,也可能由于传输线路本身被干扰和湿序处理错误等原因,会导致网络上出现各种各样的错误报文和略形报文。这些报文如果不售妥菩处理,往往会造成路由器设备痛、筋微,失去服务能力,路由器设备不断发生崩溃恢豆的过程可他宁致整个网络处于不稳定状态,所有高端路出暴设断应能够具有良好的畸形报文处理能力::商端路由器应脂够检测超短长摄文并采政丢弃策略,同附对这种报文进行统计:一·商端路由器设备应能郸检测到链路层错误报文非来取去弃策略,同时要求进行志记录和统计:二高端路由器设备应能够检测网露层报文销误并采取丢弃策略,同时必须逊行错误报文统计:一高路由器设备对各种略由器必须处理的上层协议报文错误成能够检测出来并采取丢弃策略,同附继行统计:
一高端路由器设备不能由于器误撤文畸形报文而前溃:一商端路由器设备本身不应发出错误抵立喷形抵文。6.2.4.1.3定向广播报文攻击防范S血urf收击是一种利用定向广播报文的分布式DaS攻击方法,如果没务不能提供适当的防护措施,往往会造成设务射赞,高端路由器对丁定向广播报文应能够提供策略控制,禁止该类报文转发或者以广播形式转发,对于分布式DS攻击,高增路由器应能够抚供简单策略时止这种分布式DoS攻击向其他YD/T 1359-2005
投备扩散,以免造成对其他设备的冲击(其施设备指这些流量改击报文将要达到的设备)6.2.4.1.4IP地址哄骗防范
网络中通常会有大量的源地址哄喘改击。为了检测这种攻击,可应用单播逆向路径转发(URPF)技术限制这类报文在网络中出现。商路由应支持URPF功能,包括URPF应该在略由器的接口起作用。关于IPP的具体技术参专附录A。6.2.4.2滤量控制
高端路由器转发大量的网络案量,其中一些流量的日标可能是改击网络上其他设备,高端路由器应提供流量控制能力,为网结提供安全保护服务。对流量控制需要通过访问控制列表的方式实现,关于访问控制列表的具体要求考6.2.B.1节,本标准要求在启动大基访间控制列表情说下不能影响帝端路由器的线速转发能力。6.2.4.2.1疏量监管
流量监情也就是题常所说的CAR,是流分类之后的动作之一:通过CAR可议限制从网络边沿进人的各炎业务的最大流量,控制网络整体资源的使用,从而保证网络整体的可靠运行。针对可能被攻击的流郡应制定服务水平协放(SLA),如浓制ICMP协议或者HTTP的流在合理的范围。SLA中包盒每种业务流的随量梦数:承连率、筛值速率、承诺突发流量和峰值突发流量,对随出SL人定的流量报文叮指定给手通过、丢弃或降级等处理。此处降级是指商丢弃的可嫌性(标记为丢弃优光级降低),降级报文在网络拥塞时将被优先丢弃,从而保证在SL人纳定范围内的报文享受到SLA预定的服务。6.2.4.2.2帮能流量控制技术
为了荫止黑客流量攻击、特别是分布式攻击,商踏路由器设备可实现智能沈量控制技未。对于由给定的品始地和错束地站所成的一个地证段,通过对到达地址费中所有地的总获据究平期速率和总突发长度的配置、以及对到地址段中单个卫地证即单个数据流的平均速率及突发长度的配置。根据分类结果进行单个卫地址的处理,可针对每一个流或某些流进行测举,不满足约定的报文将被丢弃;然后对整个卫地址段内的流进行测举,不满足约定的报文特被丢弃。6.2.5安全审计
对于用户随量,商端路由器要求能够提供流量日志建力,相关要求参考7.25节有关安金日志、流采样和用户流统计方面的规定。
6.2.6安全管理
要能够提供对本节提山的安全功能和数据管理能力,管理为式包括但不限于控制台、远程连接或网络管理接口/系统等方式。
6.2.7可信信道降径
高端略出器之间以及高端路由器其他设备间通信的信过路径要求可信,对于传送敏求数据的通信要同传送其仙数据的遭信陷离开来。VPN能够将VPN内用户数据VPN外部或其他VPN内的歌据隔离开来,能够提供可信的通信信道/路径,载专6.2.8.3节,
6.2.8系统访问
争考标认和验证安全功能,
6.2.8.1访问控制列表
YD/T1359-2005
访问控制列表(ACI.)于提俱静态报文过滤动能。所调静态,是指按照预先设定的系列规必对进人的报文进行四配,并对报文执行预先设定的动作。生设实现苯于源MAC地址的访问控制列表,降低系统的无开销:ACL在定义上应分为两级,第一级称为规则纽,第二级称为规则。使用时以规则组为单位,每个规则组由一系列规则组戚,规划和规测组共同完成对过某安报文的访间控制功能,AC工规则组应支持使用教字或者字符市作为标以,以健于使旧,ACI。现则组呼支持设定内部规则在查找时的匹配序,至少实现按照配置堰序变找,
ACI.规划是对报文进行分炎的实际依据居。ACL规则中定义源址、月的地址,协议类型,源端I1号,月的端口孕等元索,同时指定匹配时应执行的动作:充许或者禁止,ACL规则还宜提供选,支持对ICMF批文过滤:支持对报文优先级过涨:支持仪在指定的时间段对报文过滤,支持对报文匹配情说统计数和记入日志龄。
在高端路出器中,每端日宜支持1k项或每接口板宜支特4k以上的ACL规则,而不侦性能明显下降。6.2.8.2网络地址辨口翻译
NAT可以解决P地证签源缺乏间题,通过习AT可以实现内网和外网的隔离,同时内网可以正帝的问外网
向端路由器产品可支持NAT动能,同时对丁不的网结位置要求在启动NAT后不催大幅降低网络性能,对十处于骨干网的高端路出器,NAT功能宜支持15Ok或以上的并发连按数,以保证启用NAT忌用广可以正带的访间因特网。
NAT宜支持如下动能:
:一支持网络地址翻译和网络地址端口潮弹:一支持崛合编址力式,对丁来白私网侧的非私网地址的报义方技进行转发;一支持黑名单,对于黑名单中的地址本进行地址转换和转发一变持对不同级别用户并发连接数的限制;一支持下列用网关协议:FTP、INS、H.323等一支持输出NAT日志。
6.2.8.3VPN
利用公共网整构建的专明网络称为医拟专用网络(VPN),用丁构建VPN的网绪过括因特网、顿中继、ATM等。在公共网络上组建的VPN握供的安全性、可靠性和可替理性等就像企业私有网路一样。VPN技术通过避道将VPN内的数据同公网上的数据陷离,公网上的数据无法进人组成VPN的场所,因此就限制广公网用户攻击VPN内的设备物业务。高端路由器设备应能设备处于网络不同证置,支持相应的VPN技术和特性,对于基于MPLS实现的VPN
-不管是I.2VPN还是T3VPN,数脸严格基丁标签沿若LSP转发,除非需要,一个VPN的数据十应进入到另一个VPN:
当支持VPN股务和因特网服务时,特别是在间一个物理接口上通过不同的逻辑接口支持VPN服务和因特网服务叶,“可基丁逻辑接口对接人建率进行限制9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。