GB/T 38797-2020标准规范下载简介
GB/T 38797-2020 基于公用电信网的宽带客户网络设备安全测试方法 宽带客户网关NAT功能的测试内容见YD/T1440一2006中5.5的规定
网关应支持防火墙功能,支持对防火墙等级的设置,并支持基于以下规则对报文进行过滤: 支持根据源MAC地址进行报文过滤; 支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤; 支持根据TCP/UDP源端口及范围段、目的端口及范围段进行报文过滤; 支持根据以太网包的协议类型进行报文过滤; X 支持根据以太网包的传输层协议类型进行报文过滤,要求有IP/PPPoE/ARP的选项; 支持对匹配规则的报文进行处理模式的选择,对匹配规则的报文的处理模式,有允许和禁止 2种,默认为禁止模式
GB_T 7759.2-2014硫化橡胶或热塑性橡胶 压缩永久变形的测定 第2部分:在低温条件下图2防火墙功能测试配置
测试步骤如下: a)按照图2进行连接,在Web界面上配置网关防火墙等级; b 配置网关根据目的端口进行报文过滤,并从网络分析仪端口2发送目的端口为指定端口的报 文,观察网络分析仪端口1收到的报文; C 分别配置网关根据源/目的MAC地址、源/目的IP地址、源/目的TCP/UDP端口、以太网协 议类型、以太网包的传输层协议类型进行报文过滤,并从网络分析仪端口2发送特定报文,观 察协议分析仪端口1收到的报文。
a)Web界面上可配置防火墙的等级,分为高、中
步骤c)网络分析仪端口1收到的报文应符合所配置的防火墙规则。
4.6.1防DoS攻击功能
4.6.1.1测试且的
应能够提供防DoS攻击
4.6.1.2测试配置
4.6.1.3测试步骤
GB/T38797—2020
测试步骤如下: a)按照图2进行连接; b)配置网络分析仪1和网络分析仪2互发广播和以一定速率的单播以太网顿; c)配置网络安全分析仪以网关网络侧地址为目标进行DoS攻击测试,如发送大流量ping报 d)停止DoS攻击
4.6.1.4预期结果
步骤c)中,网络分析仪1和网络分析 人太网数据流不应中断。 步骤d)中,网络分析仪1和网络分析仪 常单播以太网数据流正常转发,无丢
4.6.2防端口扫描能力
4.6.2.1测试目的
网关应能够提供防端口扫描功能,支持防其他设备或者应用的恶意端口扫
4.6.2.2测试配置
图3防端口扫描测试配置
测试步骤如下: a)按照图3进行连接,开启网关的防端口扫描功能,网关上关闭除常用服务端口外的其他端口; b)在测试PC上使用端口扫描软件对网关的WAN侧IP进行扫描; c)在测试PC上进行抓包,分析收到的报文
4.6.2.4预期结果
口应无响应,已开启的端口应能识别非法报文,并
GB/T 38797—2020
4.6.3限制每端口MAC地址学习数量功能
4.6.3.1测试目的
网关应能限制从每个用户端口学习到的源MAC
4.6.3.2测试配置
4.6.3.3测试步骤
测试步骤如下: a)按照图4进行连接,限制网关端口学习到的源MAC数量为n; b)网络协议分析仪端口1发送源MAC地址不同的n十1条数据流; c)分析网络协议分析仪端口2收到的数据流
4.6.3.4预期结果
步骤c)中,协议分析仪2收到的数据流应为n条
4.6.4非法组播源控制功能
4.6.4.1测试目的
4.6.4.2测试配置
4.6.4.3测试步骤
图4MAC地址学习数量限制测试配置
测试步骤如下: a)按照图4进行连接,在网络协议分析仪端口2配置组播客户端IP地址及组播上行端口,增加 节目P1和网络协议分析仪端口1; b)在网络协议分析仪端口2抓包,用网络协议分析仪端口1点播节目P1 c)在网络协议分析仪端口2抓包,网络协议分析仪端口1停止点播; d)在网络协议分析仪端口2抓包,网络协议分析仪端口1发送IGMPQuery报文:
GB/T38797—2020
在网络协议分析仪端口2抓包,网络协议分析仪端口 据报文。
4.6.4.4预期结果
步骤b)中网络协议分析仪端口1可正常收到节目P1的流,网络协议分析仪端口2可抓到组播加 人报文。 步骤c)中网络协议分析仪端口1不再正常收到节目P1的流,网络协议分析仪端口2可抓到组摧 高开报文。 步骤d)中网络协议分析仪端口2没有抓到网络协议分析仪1发出的报文。 步骤e)中网络协议分析仪端口2没有抓到网络协议分析仪1发出的报文
4.6.5.1测试且的
网关应能对特定协议的广播/多播包(例如,DHCP、ARP、IGMP等)进行抑制,并能对其 播报文进行速率限制
4.6.5.2测试配置
4.6.5.3测试步骤
测试步骤如下: a)按照图4进行连接,配置网关对用户端口的DHCP、ARP、IGMP报文的抑制功能,关闭接入节 点上的抑制功能; b 网络协议分析仪端口1上发送一定速率的DHCP、ARP、IGMP报文; c)分析网络协议分析仪端口2收到的报文
4.6.5.4预期结果
步骤c)中,网络协议分析仪2收到一定量的DHCP、ARP、IGMP报文,速率应符合抑制后的报文 速率。
4.7网络访问的安全性
4.7.1.1测试目的
网关应支持DMZ功能
4.7.1.2测试配置
GB/T 38797—2020
4.7.1.3测试步骤
测试步骤如下: a)按照图5进行连接,开启网关的DMZ功能,并指定为PC1 b)在PC1上开启HTTP和FTP服务; c)在测试PC上用网关IP地址连接HTTP和FTP服务
4.7.1.4预期结果
4.7.,2. 1测试目的
4.7.2.2测试配置
4.7.2.3测试步骤
测试步骤如下: a)按照图5进行连接,开启网关的MAC地址接人控制功能; b)配置禁止接人的WLAN终端和用户PC的MAC地址; c)WLAN终端和用户PC访问网络
4.7.2.4预期结果
步骤c)中,被禁止的终端无法连接网络。
步骤c)中,被禁止的终端无法连接网络
4.7.3基于 IP 地址的接入控制功能
4.7.3.1测试且的
应支持IP地址接人控制功能,可以配置接人控制
4.7.3.2测试配置
图5DMZ功能测试配置
4.7.3.3测试步骤
测试步骤如下: a)按照图5进行连接,开启网关的IP地址接人控制功能: b)禁止PC1的IP地址,允许PC2的IP地址; c)PC1和PC2访问网络
4.7.3.4预期结果
步骤c)中,PC1无法访问.PC2可以访间
4.7.4URL访问控制功能
4.7.4. 1测试目的
GB/T38797—2020
网关应支持设置黑白名单实现URI 控制功能,黑白名单应支持与账号绑定
4.7.4.2测试配置
4.7.4.3测试步骤
测试步骤如下: a)按照图5进行连接; b)配置网关的URL控制功能,设定黑白名单功能,并根据名单内的URL进行访问
4.7.4.4预期结果
骤b)中,访问结果应符合对URL访问控制功能
4.8.1SSID广播/隐藏功能测试
4.8.1.1测试且的
网关应支持配置不同的SSID以区分网络,支持启用或者关闭SSID广播功能,SSID可以隐
4.8.1.2测试配置
图6WLAN安全性测试配置
GB/T 38797—2020
4.8.1.3测试步骤
测试步骤如下: a)按照图6进行连接,开启网关的WLAN功能; 网关上配置2个不同的SSID,WLAN终端1和终端2分别连接每个SSID; )关闭SSID广播功能,查看SSID是否隐藏
4.8.1.4预期结果
步骤c)中,WLAN终端的无线网络列表中看不到SSID,但通过手动配置可连接到网关
4.8.2.1测试目的
网关应支持OpenSystem和SharedKey两种认证方式
4.8.2.2测试配置
4.8.2.3测试步骤
测试步骤如下: a)按照图6进行连接,开启网关的WLAN功能,配置WEP加密功能; b)分别启用OpenSystem和SharedKey两种认证方式; c)设置WLAN接人终端的各参数,分别采用OpenSystem和SharedKey两种认证方式; d)WLAN终端接人公网
4.8.2.4预期结果
步骤d)中,WLAN终端可正常接人网络
4.8.3.1测试目的
验证网关WLAN加密功能
正网关WLAN加密功能
4.8.3.2测试配置
4.8.3.3测试步骤
测试步骤如下: a)按照图6进行连接,开启网关的WLAN功能,正确配置加密参数; b)WLAN终端正确配置相应的加密方式和密钥.观察与AP连接情况
4.8.3.4预期结果
步骤b)中,WLAN终端可以连接到AP,能够访同公网。
和认证的测试内容见YD/T1440一2006中6.1的
GB/T 387972020
测试步骤如下: a)按照图1进行连接; b)在PC上以Web方式登录网关配置界面,对网关进行一些配置,多次配置,使日志条目大于 100条; c)查看网关日志记录
网关应具有一定的安全措施,保证RMS对网关远程管理和控制的安全性,避免对网关的非法配 置。同时网关应具有一定的安全机制,如远程网管都应支持连接认证、支持修改管理认证账号、系统日 志和安全日志、管理信息传输的安全机制等,保证远程管理的安全性
图7连接认证功能测试配置
a)按图7进行连接; b)在网关上配置错误的连接认证信息,重启网关后观察网关与RMS的连接情况; c)在网关上配置正确的连接认证信息,重启网关后观察网关与RMS的连接情况。
步骤b)中,网关无法与RMS建立连接。 步骤c)中,网关应能成功与RMS建立连接
网关应将当前的软件和固件版本上报给RMS,并在需要时可以由RMS启动对网关软件和固件远 程升级。升级后将升级是否成功的结果反馈给运营商。 传输协议应支持HTTP或HTTPS或FTP或TFTP。 升级应支持安全校验
测试步骤如下: a)按照图7进行连接,网关与RMS的连接正常; b)通过RMS查看网关当前软件版本; c)在RMS上对网关的软件进行远程升级,等待升级过程完成; d)通过RMS查看网关当前软件版本
并在升级后上报是否成功。 步骤d)中,网关的软件版本应为升级后的版本
网关应支持RMS对其进行远程重启
Q/CR 562.4-2018 铁路隧道防排水材料 第4部分:排水盲管与检查井网关应支持RMS对其进行远程重启
测试步骤如下: a)按照图7进行连接,网关与RMS的连接正常; b)在RMS上对网关下发重启命令。
网关应支持RMS远程进行链路连接诊断
测试步骤如下: a)按照图7进行连接,网关与RMS的连接正常; b)在RMS上发起链路连接诊断; c)查看网关相关参数。
步骤c)中,应能看到链路诊断结果
叫试的内容见YD/T1055一2005中第12章的规
.2过压、过流保护测试
成都市城市规划管理技术规定--用地和建筑分册(2017版)GB/T38797—2020
过压、过流保护测试的内容见YD/T1082一2011中第6章的规定