T_TAF 099-2021 政企网关设备安全技术要求.docxVIP

ICS33.050CCSM30

团体标准

T/TAF099-2021

政企网关设备安全技术要求

Securitytechnicalrequirementsforenterprisegatewaydevices

2021-11-17发布2021-11-17实施

电信终端产业协会发布

I

T/TAF099-2021

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5安全技术要求 3

5.1防火墙功能 3

5.2VPN功能 3

5.3VxLAN功能 4

5.4IPv4防攻击 4

5.5IPv6防攻击 4

5.6防ARP攻击 4

5.7日志功能 4

附录A（资料性）政企网关设备典型应用场景介绍 6

T/TAF099-2021

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由电信终端产业协会提出并归口。

本文件起草单位：中兴通讯股份有限公司、中国信息通信研究院、新华三技术有限公司、杭州迪普科技股份有限公司、华为技术有限公司。

本文件主要起草人：刘鑫、张治兵、周继华、张亚薇、童天予、仇俊杰、叶郁柏、陈鹏、万晓兰。

T/TAF099-2021

III

引言

随着《网络安全法》及一系列配套政策法规的逐步落地实施，国内政企机构对网络安全的重视程度也日益提高，政企网关是部署在企业边缘网络并提供企业网络和电信网络互联的设备，政企网关自身可实现防火墙、VPN互联等业务功能。近年来全球范围内网络安全事件日益增加，政企网关安全风险也不断增加。本项目拟建立政企网关设备安全技术要求标准，提出相关安全要求，为保障和提升政企网关设备安全能力提供标准支撑。

T/TAF099-2021

1

政企网关设备安全技术要求

1范围

本文件规定了政企网关设备在防火墙功能、VPN功能、VxLAN功能、IPv4防攻击、IPv6防攻击、防ARP攻击、日志功能方面的安全技术要求。本文件适用于政企网关设备的设计和生产厂商、系统集成商、设备使用方、安全检测和安全认证机构使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

RFC3145L2TP断链原因信息（L2TPDisconnectCauseInformation）

RFC3193L2TPoverIPSec（SecuringL2TPusingIPsec）

RFC3931L2TP协议3.0版本（LayerTwoTunnelingProtocol-Version3(L2TPv3)）

RFC3972地址加密生成（CryptographicallyGeneratedAddresses(CGA)）

3术语和定义

GB/T25069-2010中界定的以及下列术语和定义适用于本文件。

3.1

政企网关设备enterprisegatewaydevices

政企网关是部署在企业边缘网络并提供企业网络和电信网络互联的设备，政企网关自身可实现防火墙、VPN互联等业务功能。政企网关的典型应用场景见附录A。

3.2

访问控制accesscontrol

选择性地限制对地址空间或其他资源的访问以实现对系统资源的安全保护。

3.3

传输模式transfermode

传输模式是IPSec的一种封装方式，其保护原始IP头部后面的数据，在原始IP头和payload间插入IPSec头部。

3.4

T/TAF099-2021

2

隧道模式tunnelmode

隧道模式是IPSec的一种封装方式，其保护所有IP数据并在IPSec头部前封装新的IP头，不使用原始IP头部进行路由。

3.5

邻居发现协议neighbordiscoveryprotocol

工作在IPv6网络层，负载在链路上发现其他节点和相应的地址，并确定可用路由和维护关于可用路径和其他活动节点的信息可达性。