T／TAF 099-2021  政企网关设备安全技术要求

VxLAN：虚拟可扩展局域网（VirtualxLocalAreaNetwork）

5.1.1访问控制功能

a）应支持对常用协议端口（如80、8080、21、23等）的开启、关闭操作。 b) 应支持基于源MAC/IP地址、时间段等参数实现相应的访问控制策略。 C 应支持绑定MAC/IP地址功能。 d）应支持对IPv6的TC（TrafficClass，通信分类）域等参数实现相应的访问控制策略

桥梁标准规范范本5. 1. 2 内容过激

应支持设置黑白名单功能。 可支持基于文件类型（如.doc，.xls文件等）进行过滤。 可支持针对ActiveX、Java、Cookies、Javascript、CGI（CommonGatewayInterface）、ASP（Active ServerPages）等类型的脚本程序进行过滤，具备向管理用户浏览器报警功能。

a）应支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤 ）应支持根据IP源端口及范围段、目的端口及范围段进行报文过滤。 ）应支持根据IP包的传输层协议类型进行报文过滤，并至少具有TCP/UDP/ICMP的选项。 1 应支持对匹配规则的报文进行处理模式的选择，默认为禁止模式。 应支持根据TOS（TypeofService，服务类型）/DSCP（DifferentiatedServicesCodepoint，差分 服务编码点）字段对报文进行过滤的功能。 宜支持协议状态检测防火墙功能，可支持对ICMP、HTTP、HTTPS、FTP、SMTP、POP3、 DNS、RADIUS、SIP、NTP、H.323、SNMP、RTSP等协议的状态检测

风关设备应至少支持L2TP、IPSec、SSLVPN其中

? 应支持LAC（L2TPAccessConcentrator，L2TP访问集申器），符合RFC3145规定。 b) 应支持CHAP方式的隧道认证。 C 应支持LNS（L2TPNetworkServer，L2TP网络服务器）侧本端CHAP认证。 d) 应支持结合IPSec加密的L2TP隧道，符合RFC3193规定。 宜支持AVP（AttributeValuePair，属性值对）隐藏传输功能 宜支持L2TPv3，符合RFC3931规定。

5. 2. 2 IPSec

5. 2. 3 SSL VPN

a) 应支持TLSv1.2及以上协议。 b) 应支持基于角色的权限管理。 c) 应支持基于用户名/密码的认证。 d) 宜支持基于证书的认证。 e) 宜支持传输层密码协议TLCP（Transportlayercryptographyprotocol）

5. 5IPv6 防攻击

a 应支持抵抗常见的DoS攻击。 b 应支持路由通告RA（RouterAdvertisement）攻击检测功能。 C 应支持邻居发现协议NDP（NeighborDiscoveryProtocol）攻击检测功能。 宜支持安全邻居发现SND（SecureNeighborDiscovery）协议消防安全，确保IPv6邻居安全可靠，符 合RFC3972相关规定

5. 6 防 ARP 攻击

a）应支持IP地址与MAC地址的静态绑定来防ARP欺骗攻击。 b）宜支持通过DHCP分配地址时自动进行IP地址和MAC地址绑定来防ARP欺骗攻击。 c）应支持ARP广播风暴抑制功能，可设置广播报文限制的阈值

应支持记录以下类型日志： 关键操作日志：指用户关键操作行为，例如：用户登录/注销、增/删账户、修改关键配置 重启/关闭设备等。

b）应支持日志本地存储和网络传输工字钢标准，且在本地存储和网络传输过程中应对日志进行保护，防止日 志内容被未经授权的查看和算改

附录A （资料性） 政企网关设备典型应用场景介绍 政企网关设备是电信运营商根据中小型企业网络场景需求所定制的网关产品，通过连接各种企业网 络业务终端（包括PC、IP摄像头、IAD、存储设备、IT设备、机顶盒STB等）为用户提供全面的企业 网络业务能力。企业网络业务终端在通过政企网关实现设备互联的同时，还通过政企网关访问公众网络， 并与公众网络上的业务平台和其它各类终端配合，