ICS33.040 CCS M33 YD 中华人民共和国通信行业标准 YD/T1439-XXXX 代替YD/T 1439-2006 路由器设备安全测试方法 核心路由器(基 于IPv4) Router security test methods -Core router (IPv4) 行业标准信息服务平台 (报批稿) XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发 布
XX/T 1439XXXX 目次 前言 范围 2规范性引用文件. 3术语、定义和缩略语.. 4测试环境 5数据转发平面安全测试 5.1IPSec协议测试. 5.2常见网络攻击抵抗能力测试. 5.3URPF功能测试.. 5.4流量控制功能测试.. 5.5访问控制列表(ACL)测试 13 5.6远程检测和流量清洗. 17 5.7网络地址翻译(NAT)测试 18 5.8SDN测试... 6路由/控制平面安全测试. 6.1路由协议安全测试. 20 6.2控制面常见攻击防御. 6.3TCP/IP协议安全测试 67 6.4MPLSVPN安全测试. 31 6.5路由过滤功能测试 32 6.6攻击溯源功能测试. 33 7管理平面安全测试 33 7.1端口镜像 7.2访问控制安全测试, 34 7.3SNMPv3功能测试.
服务平台 89 7.4安全审计功能测试, 40
XX/T 1439XXXX 前言 本标准是《支持IPv4的路由器》系列标准之一,该系列标准的结构和名称如下: --YD/T1096《路由器设备技术要求边缘路由器》 --YD/T1098《路由器设备测试方法边缘路由器》 -YD/T1097《路由器设备技术要求核心路由器》 --YD/T1156《路由器设备测试方法核心路由器》 --YD/T1358《路由器设备安全技术要求--中低端路由器(基于IPv4)》 -YD/T1440《路由器设备安全测试方法--中低端路由器(基于IPv4)》 --YD/T1359《路由器设备安全技术要求一一核心路由器(基于IPv4)》 -YD/T1439《路由器设备安全测试方法--核心路由器(基于IPv4)》 本标准与YD/T1359《路由器设备安全技术要求一一核心路由器(基于IPv4)》配套使用.
与本系列标准相关的标准还有《支持IPv6的路由器》系列标准,该系列标准的结构和名称如下: -YD/T1452《IPv6网络设备技术要求边缘路由器》 -YD/T1453《IPv6网络设备测试方法边缘路由器》 -YD/T1454《IPv6网络设备技术要求核心路由器》 -YD/T1455《IPv6网络设备测试方法核心路由器》 本标准编制依据GB/T1.1-2020给出的规则起草.
本标准代替YD/T1439-2006《路由器设备安全测试方法-一核心路由器(基于IPv4)》,本标准 与YD/T1439-2006相比主要技术变化如下: 修改了标准名称,按照目前的描述规则改称核心路由器: 一一根据以下主要技术变化修改缩略语、测试环境内容; 一数据转发平面安全测试中增加分片报文攻击防御、基于MPLS的ACL测试、远程检测和流量清 洗和SDN测试方法: 一一路由/控制平面安全测试中增加路由安全、控制面常见攻击防御、网络协议服务开关和攻击溯 源功能测试方法: -管理平面安全测试中增加FTP安全性测试方法; 一一其他编辑性修改.
随着技术的发展,还将制定后续的相关标准.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本标准由中国通信标准化协会提出并归口.
本标准主要起草单位:中国信息通信研究院、华为技术有限公司、深圳信息通信研究院.
本标准主要起草人:田辉、杨华儒、贺丽娟、葛装.
本标准于2006年05月首次发布,本次为第一次修订.
I1
XX/T 1439XXXX 路由器设备安全测试方法核心路由器(基于IPv4) 1范围 本文件规定了核心路由器涉及网络与信息安全方面的测试内容,包括数据转发平面安全测试、路由 /控制平面安全测试和管理平面安全测试.
本文件适用于基于IPv4的核心路由器设备.
2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款.
凡是注日期的引用文件,其随后的 修改单(不包括勘误的内容)或修订版均不适用于本标准,然面,鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本.
凡是不注日期的引用文件,其最新版本适用于本标准.
YD/T 1359-2005 路由器设备安全技术要求一一核心路由器(基于IPv4) YD/T 1467-2006 IP安全协议(IPSec)测试方法 IETF RFC3412 简单网管协议(SNMP)的消息处理和发送 IETF RFC3413 简单网管协议(SNMP)应用 IETF RFC3414 简单网管协议版本3(SNMPv3)中基于用户的安全模型(USM) IETF RFC4251 安全外壳协议(SSH)协议框架 IETF RFC4253 安全外壳协议(SSH)传输层协议 IETF RFC4252 安全外壳协议(SSH)认证协议 IETF RFC4254 安全外壳协议(SSH)连接协议 业标准信息服 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件.
3. 1. 1 全局ACL Global ACL 一种ACL配置方式,在设备全局模式下进行ACL配置,且该ACL条目在设各接口上生效.
3.2缩略语 下列缩略语适用于本文件.
访问控制列表 Access Control List BGP 边界网关协议 Border Gateway Protocol
XX/T 1439XXXX BMP BGP监控协议 BGP Monitoring Protocol CAR 承诺接入速率 Committed Access Rate CE 用户边界设备 Customer Edge DUT 被测设备 Device Under Test FTP 文件传输协议 File Transfer Protocol GTSM 通用跳数检测机制 Generalized TTL Security Mechanism ICMP 网络控制报文协议 Internet Control Message Portocol IP 因特网协议 Intermet Protocol IPSec IP安全机制 IP Security ISIS 中间系统到中间系统协议 Intermediate System to Intermediate System Protocol LDP 标记分发协议 Label Distribution Protocol MAC 媒介访问控制 Media Access Control MD5 报文摘要5 Message Digest 5 MPLS 多协议标记交换 Multi-Protocol Label Switch MTU 最大传输单元 Maximal Transmission Unit NAPT 网络地址端口翻译 Network Address/Port Translation NAT 网络地址翻译 Network Address Translation OSPF 开放最短路径优先协议 Open Shortest Path First PAT 端口地址翻译 Port Address Translation PE 网络边界设备 Provider Edge RIP 路由信息协议 Route information Protocol RPKI 互联网码号资源公钥基础设施 Resource Public Key Infrastructure SDN 软件定义网络 Software Defined Network SNMP 简单网络管理协议 Simple Network Manageinent Protocol SSH 安全外壳程序协议 Secure Shell TCP 传输控制协议 Transport Control Protocol TTL 存活时间 Time to Live UDP 用户数据报协议 User Data Protocol
