GB／T 38797-2020标准规范下载简介

GB／T 38797-2020 基于公用电信网的宽带客户网络设备安全测试方法 宽带客户网关

NAT功能的测试内容见YD/T1440一2006中5.5的规定

网关应支持防火墙功能，支持对防火墙等级的设置，并支持基于以下规则对报文进行过滤： 支持根据源MAC地址进行报文过滤； 支持根据源IP地址及范围段、目的IP地址及范围段进行报文过滤； 支持根据TCP/UDP源端口及范围段、目的端口及范围段进行报文过滤； 支持根据以太网包的协议类型进行报文过滤； X 支持根据以太网包的传输层协议类型进行报文过滤，要求有IP/PPPoE/ARP的选项； 支持对匹配规则的报文进行处理模式的选择，对匹配规则的报文的处理模式，有允许和禁止 2种，默认为禁止模式

GB_T 7759.2-2014硫化橡胶或热塑性橡胶 压缩永久变形的测定 第2部分：在低温条件下图2防火墙功能测试配置

测试步骤如下： a）按照图2进行连接，在Web界面上配置网关防火墙等级； b 配置网关根据目的端口进行报文过滤，并从网络分析仪端口2发送目的端口为指定端口的报 文，观察网络分析仪端口1收到的报文； C 分别配置网关根据源/目的MAC地址、源/目的IP地址、源/目的TCP/UDP端口、以太网协 议类型、以太网包的传输层协议类型进行报文过滤，并从网络分析仪端口2发送特定报文，观 察协议分析仪端口1收到的报文。

a)Web界面上可配置防火墙的等级，分为高、中

步骤c)网络分析仪端口1收到的报文应符合所配置的防火墙规则。

4.6.1防DoS攻击功能

4.6.1.1测试且的

应能够提供防DoS攻击

4.6.1.2测试配置

4.6.1.3测试步骤

GB/T38797—2020

测试步骤如下： a）按照图2进行连接； b）配置网络分析仪1和网络分析仪2互发广播和以一定速率的单播以太网顿； c）配置网络安全分析仪以网关网络侧地址为目标进行DoS攻击测试，如发送大流量ping报 d）停止DoS攻击

4.6.1.4预期结果

步骤c)中，网络分析仪1和网络分析 人太网数据流不应中断。 步骤d)中，网络分析仪1和网络分析仪 常单播以太网数据流正常转发，无丢

4.6.2防端口扫描能力

4.6.2.1测试目的

网关应能够提供防端口扫描功能，支持防其他设备或者应用的恶意端口扫

4.6.2.2测试配置

图3防端口扫描测试配置

测试步骤如下： a）按照图3进行连接，开启网关的防端口扫描功能，网关上关闭除常用服务端口外的其他端口； b）在测试PC上使用端口扫描软件对网关的WAN侧IP进行扫描； c）在测试PC上进行抓包，分析收到的报文

4.6.2.4预期结果

口应无响应，已开启的端口应能识别非法报文，并

GB/T 38797—2020

4.6.3限制每端口MAC地址学习数量功能

4.6.3.1测试目的

网关应能限制从每个用户端口学习到的源MAC

4.6.3.2测试配置

4.6.3.3测试步骤

测试步骤如下： a）按照图4进行连接，限制网关端口学习到的源MAC数量为n； b）网络协议分析仪端口1发送源MAC地址不同的n十1条数据流； c）分析网络协议分析仪端口2收到的数据流

4.6.3.4预期结果

步骤c)中，协议分析仪2收到的数据流应为n条

4.6.4非法组播源控制功能

4.6.4.1测试目的

4.6.4.2测试配置

4.6.4.3测试步骤

图4MAC地址学习数量限制测试配置

测试步骤如下： a）按照图4进行连接，在网络协议分析仪端口2配置组播客户端IP地址及组播上行端口，增加 节目P1和网络协议分析仪端口1； b）在网络协议分析仪端口2抓包，用网络协议分析仪端口1点播节目P1 c）在网络协议分析仪端口2抓包，网络协议分析仪端口1停止点播； d）在网络协议分析仪端口2抓包，网络协议分析仪端口1发送IGMPQuery报文：

GB/T38797—2020

在网络协议分析仪端口2抓包，网络协议分析仪端口 据报文。

4.6.4.4预期结果

步骤b)中网络协议分析仪端口1可正常收到节目P1的流，网络协议分析仪端口2可抓到组播加 人报文。 步骤c)中网络协议分析仪端口1不再正常收到节目P1的流，网络协议分析仪端口2可抓到组摧 高开报文。 步骤d)中网络协议分析仪端口2没有抓到网络协议分析仪1发出的报文。 步骤e）中网络协议分析仪端口2没有抓到网络协议分析仪1发出的报文

4.6.5.1测试且的

网关应能对特定协议的广播/多播包（例如，DHCP、ARP、IGMP等）进行抑制，并能对其 播报文进行速率限制

4.6.5.2测试配置

4.6.5.3测试步骤

测试步骤如下： a）按照图4进行连接，配置网关对用户端口的DHCP、ARP、IGMP报文的抑制功能，关闭接入节 点上的抑制功能； b 网络协议分析仪端口1上发送一定速率的DHCP、ARP、IGMP报文； c）分析网络协议分析仪端口2收到的报文

4.6.5.4预期结果

步骤c)中，网络协议分析仪2收到一定量的DHCP、ARP、IGMP报文，速率应符合抑制后的报文 速率。

4.7网络访问的安全性

4.7.1.1测试目的

网关应支持DMZ功能

4.7.1.2测试配置

GB/T 38797—2020

4.7.1.3测试步骤

测试步骤如下： a）按照图5进行连接，开启网关的DMZ功能，并指定为PC1 b）在PC1上开启HTTP和FTP服务； c）在测试PC上用网关IP地址连接HTTP和FTP服务

4.7.1.4预期结果

4.7.,2. 1测试目的

4.7.2.2测试配置

4.7.2.3测试步骤

测试步骤如下： a）按照图5进行连接，开启网关的MAC地址接人控制功能； b）配置禁止接人的WLAN终端和用户PC的MAC地址； c）WLAN终端和用户PC访问网络

4.7.2.4预期结果

步骤c)中，被禁止的终端无法连接网络。

步骤c)中，被禁止的终端无法连接网络

4.7.3基于 IP 地址的接入控制功能

4.7.3.1测试且的

应支持IP地址接人控制功能，可以配置接人控制

4.7.3.2测试配置

图5DMZ功能测试配置

4.7.3.3测试步骤

测试步骤如下： a）按照图5进行连接，开启网关的IP地址接人控制功能： b）禁止PC1的IP地址，允许PC2的IP地址； c）PC1和PC2访问网络

4.7.3.4预期结果

步骤c)中,PC1无法访问.PC2可以访间

4.7.4URL访问控制功能

4.7.4. 1测试目的

GB/T38797—2020

网关应支持设置黑白名单实现URI 控制功能，黑白名单应支持与账号绑定

4.7.4.2测试配置

4.7.4.3测试步骤

测试步骤如下： a）按照图5进行连接； b）配置网关的URL控制功能，设定黑白名单功能，并根据名单内的URL进行访问

4.7.4.4预期结果

骤b)中，访问结果应符合对URL访问控制功能

4.8.1SSID广播/隐藏功能测试

4.8.1.1测试且的

网关应支持配置不同的SSID以区分网络，支持启用或者关闭SSID广播功能，SSID可以隐

4.8.1.2测试配置

图6WLAN安全性测试配置

GB/T 38797—2020

4.8.1.3测试步骤

测试步骤如下： a）按照图6进行连接，开启网关的WLAN功能； 网关上配置2个不同的SSID，WLAN终端1和终端2分别连接每个SSID； ）关闭SSID广播功能，查看SSID是否隐藏

4.8.1.4预期结果

步骤c)中，WLAN终端的无线网络列表中看不到SSID，但通过手动配置可连接到网关

4.8.2.1测试目的

网关应支持OpenSystem和SharedKey两种认证方式

4.8.2.2测试配置

4.8.2.3测试步骤

测试步骤如下： a）按照图6进行连接，开启网关的WLAN功能，配置WEP加密功能； b）分别启用OpenSystem和SharedKey两种认证方式； c）设置WLAN接人终端的各参数，分别采用OpenSystem和SharedKey两种认证方式； d）WLAN终端接人公网

4.8.2.4预期结果

步骤d)中，WLAN终端可正常接人网络

4.8.3.1测试目的

验证网关WLAN加密功能

正网关WLAN加密功能

4.8.3.2测试配置

4.8.3.3测试步骤

测试步骤如下： a）按照图6进行连接，开启网关的WLAN功能，正确配置加密参数； b）WLAN终端正确配置相应的加密方式和密钥.观察与AP连接情况

4.8.3.4预期结果

步骤b)中，WLAN终端可以连接到AP，能够访同公网。

和认证的测试内容见YD/T1440一2006中6.1的

GB/T 387972020

测试步骤如下： a）按照图1进行连接； b）在PC上以Web方式登录网关配置界面，对网关进行一些配置，多次配置，使日志条目大于 100条； c）查看网关日志记录

网关应具有一定的安全措施，保证RMS对网关远程管理和控制的安全性，避免对网关的非法配 置。同时网关应具有一定的安全机制，如远程网管都应支持连接认证、支持修改管理认证账号、系统日 志和安全日志、管理信息传输的安全机制等，保证远程管理的安全性

图7连接认证功能测试配置

a）按图7进行连接； b）在网关上配置错误的连接认证信息，重启网关后观察网关与RMS的连接情况； c）在网关上配置正确的连接认证信息，重启网关后观察网关与RMS的连接情况。

步骤b)中，网关无法与RMS建立连接。 步骤c)中，网关应能成功与RMS建立连接

网关应将当前的软件和固件版本上报给RMS,并在需要时可以由RMS启动对网关软件和固件远 程升级。升级后将升级是否成功的结果反馈给运营商。 传输协议应支持HTTP或HTTPS或FTP或TFTP。 升级应支持安全校验

测试步骤如下： a）按照图7进行连接，网关与RMS的连接正常； b）通过RMS查看网关当前软件版本； c）在RMS上对网关的软件进行远程升级，等待升级过程完成； d）通过RMS查看网关当前软件版本

并在升级后上报是否成功。 步骤d)中，网关的软件版本应为升级后的版本

网关应支持RMS对其进行远程重启

Q／CR 562.4-2018 铁路隧道防排水材料 第4部分：排水盲管与检查井网关应支持RMS对其进行远程重启

测试步骤如下： a）按照图7进行连接，网关与RMS的连接正常； b）在RMS上对网关下发重启命令。

网关应支持RMS远程进行链路连接诊断

测试步骤如下： a）按照图7进行连接，网关与RMS的连接正常； b）在RMS上发起链路连接诊断； c）查看网关相关参数。

步骤c)中，应能看到链路诊断结果

叫试的内容见YD/T1055一2005中第12章的规

.2过压、过流保护测试

成都市城市规划管理技术规定--用地和建筑分册（2017版）GB/T38797—2020

过压、过流保护测试的内容见YD/T1082一2011中第6章的规定