ICS 33.040 CCS M33 YD 中华人民共和国 通信行业标准 YD/T 1439—XXXX 代替YD/T 1439-2006 路由器设备安全测试方法 核心路由器（基 于IPv4） Router security test methods —Core router（IPv4） （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布 XX/T 1439—XXXX I目 次 前言 .................................................................................. II 1　范围 ................................................................................ 1 2　规范性引用文件 ...................................................................... 1 3　术语、定义和缩略语 .................................................................. 1 4　测试环境 ............................................................................ 3 5　数据转发平面安全测试 ................................................................ 7 5.1　IPSec协议测试 .................................................................. 7 5.2　常见网络攻击抵抗能力测试 ........................................................ 7 5.3　URPF功能测试 .................................................................. 10 5.4　流量控制功能测试 ............................................................... 11 5.5　访问控制列表（ ACL）测试 ........................................................ 13 5.6　远程检测和流量清洗 ............................................................. 17 5.7　网络地址翻译（ NAT）测试 ........................................................ 18 5.8　SDN测试 ....................................................................... 19 6　路由/控制平面安全测试 .............................................................. 20 6.1　路由协议安全测试 ............................................................... 20 6.2　控制面常见攻击防御 ............................................................. 28 6.3　TCP/IP协议安全测试 ............................................................ 29 6.4　MPLS　VPN安全测试 ............................................................. 31 6.5　路由过滤功能测试 ............................................................... 32 6.6　攻击溯源功能测试 ............................................................... 33 7　管理平面安全测试 ................................................................... 33 7.1　端口镜像 ....................................................................... 33 7.2　访问控制安全测试 ............................................................... 34 7.3　SNMPv3功能测试 ................................................................ 38 7.4　安全审计功能测试 ............................................................... 40 XX/T 1439—XXXX II前 言 本标准是《 支持IPv4的路由器》系列标准之一，该系列标准的结构和名称如下： ——YD/T 1096《路由器设备技术要求 边缘路由器》 ——YD/T 1098《路由器设备测试方法 边缘路由器》 ——YD/T 1097《路由器设备技术要求 核心路由器》 ——YD/T 1156《路由器设备测试方法 核心路由器》 ——YD/T 1358《路由器设备安全技术要求 ——中低端路由器 (基于IPv4)》 ——YD/T 1440《路由器设备安全测试方法 ——中低端路由器（ 基于IPv4）》 ——YD/T 1359《路由器设备安全技术要求 ——核心路由器 (基于IPv4)》 ——YD/T 1439《路由器设备安全测试方法 ——核心路由器（ 基于IPv4）》 本标准与YD/T 1359《路由器设备安全技术要求 ——核心路由器（ 基于IPv4）》配套使用。 与本系列标准相关的标准还有 《支持IPv6的路由器 》系列标准，该系列标准的结构和名称如下 ： ——YD/T 1452《IPv6网络设备技术要求 边缘路由器》 ——YD/T 1453《IPv6网络设备测试方法 边缘路由器》 ——YD/T 1454《IPv6网络设备技术要求 核心路由器》 ——YD/T 1455《IPv6网络设备测试方法 核心路由器》 本标准编制依据 GB/T 1.1-2020给出的规则起草。 本标准代替 YD/T 1439-2006 《路由器设备安全测试方法 ——核心路由器（ 基于IPv4）》，本标准 与YD/T 1439-2006相比主要技术变化如下： ——修改了标准名称，按照目前的描述规则改称核心路由器； ——根据以下主要技术变化修改缩略语、测试环境内容； ——数据转发平面安全测试中增加分片报文攻击防御、基 于MPLS的ACL 测试、远程检测和流量清 洗和SDN测试方法； ——路由/控制平面安全测试中增加路由安全、控制面常见攻击防御、网络协议服务开关和攻击溯 源功能测试方法； ——管理平面安全测试中增加 FTP安全性测试方法； ——其他编辑性修改。 随着技术的发展，还将制定后续的相关标准。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准主要起草单位：中国信息通信研究院、华为技术有限公司、深圳信息通信研究院。 本标准主要起草人：田辉、杨华儒、贺丽娟、葛裴。 本标准于 2006年05月首次发布，本次为第一次修订。 XX/T 1439—XXXX 1路由器设备安全测试方法 核心路由器（ 基于IPv4） 1　范围 本文件规定了核心路由器涉及网络与信息安全方面的测试内容 ，包括数据转发平面安全测试 、路由 /控制平面安全测试和管理平面安全测试。 本文件适用于基于 IPv4的核心路由器设备。 2　规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款 。凡是注日期的引用文件 ，其随后所有的 修改单（不包括勘误的内容 ）或修订版均不适用于本标准 ，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 YD/T 1359-2005 路由器设备安全技术要求 ——核心路由器（基于 IPv4） YD/T 1467-2006 IP安全协议（ IPSec）测试方法 IETF RFC3412 简单网管协议 (SNMP)的消息处理和发送 IETF RFC3413