YDT 2042-2009IPv6网络设备安全技术要求——具有路由功能的以太网交换机.pdf

ICS 33.040.30M 32YD中华人民共和国通信行业标准YD/T 2042-2009IPv6网络设备安全技术要求一具有路由功能的以太网交换机IPv6 network equipment security requirements-Ethernet switch with routing capability2009-12-11 发布2010-01-01 实施中华人民共和国工业和信息化部发布 YD/T 2042-2009目次前言·111　范围·2 规范性引用文件··3术语、定义和缩略语3.1术语和定义3.2缩略语·4概述.·数据平面安全55.1　安全威胁5.2　安全功能6　控制平面安全6.1　安全威胁6.2　安全功能7管理平面安全117.1　安全威胁·117.2安全功能...11 YD/T 2042-2009前·言本标准是“IPv6网络设备安全”系列标准之-一，该系列标准预计的结构及名称如下：1．YD/T1905-2009IPv6网络设备安全技术要求——宽带网络接入服务器2．YD/T2041-2009IPv6网络设备安全测试方法——宽带网络接入服务器3．YD/T2042-2009IPv6网络设备安全技术要求—具有路由功能的以太网交换机4.：YD/T2043-2009IPv6网络设备安全测试方法———具有路由功能的以太网交换机本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院。本标准主要起草人：马军锋、赵世卓。II YD/T 2042-2009IPv6网络设备安全技术要求具有路由功能的以太网交换机1范围本标规定了具有IPv6路由功能的以太网交换机安全技术的基本要求，包括数据转发平面、控制平面和管理平面的安全威胁和安全服务要求，以及鉴别验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道/路径和系统访问等8个安全功能需求。本标准适用于支持IPv6协议并具有路由功能的以太网交换机设备。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 18336.2信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求YD/T 1358-2005路由器设备安全技术要求中低端路由器（基于IPv4)IETF RFC1195 (1990)在TCP/IP和双栈环境下使用OSIISIS路由协议IETF RFC1352 (1992)SNMP安全协议IETF RFC2385 (1998)通过TCPMD5签名选项保护BGP会话IETF RFC2407 (1998)基于ISAKMP的INTERNET P 安全域IETF RFC2408 (1998)INTERNET安全协商和关键管理协议IETF RFC2409 (1998)互联网密钥交换协议(IKEv1)IETF RFC2740 (1999)IPv6下的OSPF协议IETF RFC2827 (2000)网络入口过滤：抵御利用IP源地址欺骗的拒绝服务攻击IETF RFC3567 (2003)ISIS协议加密认证IETF RFC3682 (2004)通用TTL安全机制IETF RFC3882 (2004)配置BGP阻止拒绝服务攻击IETF RFC3971 (2005)安全邻居发现IETF RFC4291 (2006)IP地址框架IETF RFC4301 (2005)互联网协议安全框架IETF RFC4302 (2005)IP认证头协议IETF RFC4303 (2005)IP安全载荷封装IETF RFC4306 (2005)互联网密钥交换协议IETF RFC4552 (2006)OSPFv3认证/机密性 YD/T 2042-20093术语、定义和缩略语3.1术语和定义下列术语和定义适用于本标准。3.1.1具有 IPv6 路由功能的以太网交换机ethernet LAN switch with IPv6 routing capability具有第三层路由功能的IPv6数据包交换机。除实现数据帧转发功能外，能根据接收数据包中的网络层地址以及交换机内部维护的路由表决定输出端口以及下一跳交换机地址或主机地址并且重写链路层数据包头。路由表可以通过静态配置方式维护，也可以动态维护来反映当前的网络拓扑。具有路由功能的以太网交换机通常通过与其他类似设备（如路由器）交换路由信息来完成路由表的动态维护。如果文中没有特别说明，那么交换机就特指此类具有路由功能的以太网交换机。3.1.2访问控制 access control防止对资源的未授权使用。3.1.3可确认性 a