TTAF 046-2019 智能網(wǎng)關(guān)設(shè)備安全測試方法

ICS33.050

M30

團體標準

T/TAF046-2019

智能網(wǎng)關(guān)設(shè)備安全測試方法

Securitytestingmethodsforintelligentgatewaydevices

2019-11-20發(fā)布2019-11-20實施

電信終端產(chǎn)業(yè)協(xié)會發(fā)布

T/TAF046-2019

智能網(wǎng)關(guān)設(shè)備安全測試方法

1范圍

本標準規(guī)定了智能網(wǎng)關(guān)設(shè)備在硬件、系統(tǒng)軟件、業(yè)務(wù)功能、網(wǎng)管等方面的安全測試方法。

本標準可供智能網(wǎng)關(guān)設(shè)備的設(shè)計和生產(chǎn)廠商、系統(tǒng)集成商、設(shè)備使用方、安全檢測和安全認證機構(gòu)使

用。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術(shù)術(shù)語

T/TAF040-2019智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求

3術(shù)語和定義

GB/T25069-2010和T/TAF040-2019中界定的術(shù)語和定義適用于本文件。

4測試環(huán)境

測試環(huán)境如圖1至圖4所示。

管理被測掃描

終端設(shè)備工具

圖1測試環(huán)境1

圖2測試環(huán)境2

1

T/TAF046-2019

固話機

圖3測試環(huán)境3

被測PC2

設(shè)備

PC1

PC3

圖4測試環(huán)境4

管理終端用來對被測設(shè)備進行遠程操作，包括PC、手機等設(shè)備；掃描工具用來對被測設(shè)備執(zhí)行端口掃

描、漏洞掃描等操作；數(shù)據(jù)網(wǎng)絡(luò)測試儀用來構(gòu)造測試相關(guān)的背景流量和攻擊流量。

5安全測試要求

5.1設(shè)備硬件和系統(tǒng)軟件安全

5.1.1標識安全

測試編號：1

測試項目：標識安全

分項目：整機唯一性標識測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.1a）

測試配置：測試環(huán)境1

測試過程：

1)檢查被測設(shè)備，查看是否具有整機唯一性標識碼。

預(yù)期結(jié)果：

1)步驟1中，被測設(shè)備具有整機唯一性標識碼。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求。

測試編號：2

測試項目：標識安全

分項目：版本唯一性標識測試

2

T/TAF046-2019

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.1b）

測試配置：測試環(huán)境1

測試過程：

1)檢查被測設(shè)備不同版本的軟件/固件、補丁包/升級包的唯一性標識；

2)檢查被測設(shè)備廠家歷史版本說明（官網(wǎng)鏈接或有說明歷史版本的其他材料）。

預(yù)期結(jié)果：

1)步驟1中，不同版本軟件/固件、補丁包/升級包的版本標識存在差別，可唯一標識具體的

版本；

2)步驟2中，相關(guān)歷史版本有記錄可查。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求。

測試編號：3

測試項目：標識安全

分項目：敏感信息安全測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.1c）

測試配置：測試環(huán)境1

測試過程：

1)檢查被測設(shè)備web、Telnet、APP等操作界面內(nèi)容，查看是否存在明文顯示密鑰、口令、

會話標識等敏感信息；

2)檢查系統(tǒng)輸出的日志、調(diào)試信息，查看是否存在明文顯示密鑰、口令、會話標識等敏感信

息；

3)使用錯誤用戶名/口令登錄，或者執(zhí)行其他可能的異常操作，查看錯誤提示是否存在明文

顯示密鑰、口令、會話標識等敏感信息。

預(yù)期結(jié)果：

1)步驟1、2、3中，操作界面、日志、調(diào)試信息和錯誤提示中都不應(yīng)存在明文顯示密鑰、口

令、會話標識等敏感信息。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求。

測試編號：4

測試項目：標識安全

分項目：物理接口標識安全

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.1d）

測試配置：測試環(huán)境1

測試過程：

1)檢查被測設(shè)備每一個物理接口及相關(guān)說明材料。

預(yù)期結(jié)果：

1)步驟1中，每一個物理接口均有標識，且有功能說明，不應(yīng)存在未向用戶聲明的物理接口。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求。

測試編號：5

測試項目：標識安全

分項目：絲印標識安全測試

3

T/TAF046-2019

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.1e）

測試配置：測試環(huán)境1

測試過程：

1)檢查被測設(shè)備的相關(guān)材料，確認是否提供關(guān)鍵安全模塊列表；

2)檢查被測設(shè)備外觀，查看關(guān)鍵安全模塊上是否有印刷或張貼絲印標識；

3)檢查被測設(shè)備內(nèi)部部件，查看關(guān)鍵安全模塊上是否有印刷或張貼絲印標識。

預(yù)期結(jié)果：

1)步驟2、3中，關(guān)鍵安全模塊上不應(yīng)印刷或張貼絲印標識。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求。

5.1.2接口安全

測試編號：6

測試項目：接口安全

分項目：隱藏后門安全測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.2a）

測試配置：測試環(huán)境1

測試過程：

1)檢查被測設(shè)備身份鑒別相關(guān)說明材料，查看是否說明不存在可繞過正常認證機制直接進入

到系統(tǒng)的隱秘通道，同時也不存在不可管理的認證/訪問方式，包括用戶不可管理的帳號、

人機接口以及可遠程訪問的機機接口的硬編碼口令。

預(yù)期結(jié)果：

1)步驟1中，應(yīng)說明被測設(shè)備存在的默認賬號清單（如有），除此之外還應(yīng)說明不存在可繞

過正常認證機制直接進入到系統(tǒng)的隱秘通道，同時也不存在不可管理的認證/訪問方式，

包括用戶不可管理的帳號、人機接口以及可遠程訪問的機機接口的硬編碼口令。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求。

測試編號：7

測試項目：接口安全

分項目：接入認證機制測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.2b）

測試配置：測試環(huán)境1

測試過程：

1)檢查被測設(shè)備訪問方式相關(guān)材料，查看所有可對設(shè)備進行管理的外部通信接口；

2)嘗試通過各種外部通信接口登錄被測設(shè)備。

預(yù)期結(jié)果：

1)步驟2中，登錄被測設(shè)備的所有外部通信接口都需要進行接入認證。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求。

測試編號：8

測試項目：接口安全

分項目：無線通信網(wǎng)絡(luò)開關(guān)功能測試

4

T/TAF046-2019

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.2c）

測試配置：測試環(huán)境1

測試過程：

1)登錄被測設(shè)備；

2)開啟無線通信網(wǎng)絡(luò)如WLAN、藍牙、蜂窩、Zigbee等接口，通過這些接口建立數(shù)據(jù)連接，

進行數(shù)據(jù)傳輸；

3)關(guān)閉無線通信網(wǎng)絡(luò)如WLAN、藍牙、蜂窩、Zigbee等接口，通過這些接口建立數(shù)據(jù)連接，

進行數(shù)據(jù)傳輸。

預(yù)期結(jié)果：

1)步驟2、3中，設(shè)備支持對無線通信網(wǎng)絡(luò)如WLAN、藍牙、蜂窩、Zigbee等接口進行開關(guān)控

制；

2)步驟2中，數(shù)據(jù)可正常傳輸；

3)步驟3中，無法連接，數(shù)據(jù)不可傳輸。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求。

測試編號：9

測試項目：接口安全

分項目：遠程管理開關(guān)功能測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.2d）

測試配置：測試環(huán)境1

測試過程：

1)登錄被測設(shè)備；

2)開啟設(shè)備支持的任意一種WAN口遠程管理方式；

3)在WAN側(cè)使用打開的遠程管理方式進行操作；

4)關(guān)閉打開的WAN口遠程管理方式；

5)在WAN側(cè)使用關(guān)閉的遠程管理方式進行操作；

6)對廠商聲明的其他WAN口遠程管理方式執(zhí)行步驟2～5。

預(yù)期結(jié)果：

1)步驟2~6中，設(shè)備支持對WAN口遠程管理方式進行開關(guān)控制，打開之后，可對設(shè)備進行遠

程管理，關(guān)閉之后，不可進行遠程管理。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求。

測試編號：10

測試項目：接口安全

分項目：WLAN認證加密測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.2e）

測試配置：測試環(huán)境3

測試過程：

1)WLAN通過不同認證方式（WPA2/PSK/WPA3等)登錄被測設(shè)備；

2)認證成功之后，檢查所使用的密碼算法。

預(yù)期結(jié)果：

1)步驟2中，設(shè)備支持使用WPA2/PSK等方式進行安全認證；

2)步驟2中，設(shè)備支持AES-128、SM4等至少一種安全強度較高的密碼算法；

5

T/TAF046-2019

3)步驟2中，設(shè)備支持WPA3，支持AES-192及以上強度的密碼算法。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果1相符，滿足一級要求；

測試結(jié)果應(yīng)與預(yù)期結(jié)果1、2相符，滿足二級要求；

測試結(jié)果應(yīng)與預(yù)期結(jié)果1、2、3相符，滿足三級要求；

否則不符合要求。

5.1.3硬件安全

測試編號：11

測試項目：硬件安全

分項目：調(diào)試端口測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.3a）

測試配置：測試環(huán)境1

測試過程：

1)提供調(diào)試接口列表，檢查被測設(shè)備相關(guān)聲明材料是否說明所有用于生產(chǎn)、調(diào)試和維修的接

口要求默認禁用且用戶不可激活（配置），禁用或去掉（不存在）易被攻擊者利用的調(diào)試

功能或組件；

2)登錄被測設(shè)備，查看是否存在可以配置生產(chǎn)、調(diào)試和維修的接口，是否存在調(diào)試功能或組

件。

預(yù)期結(jié)果：

1)步驟1中，被測設(shè)備提供了調(diào)試接口列表，有相關(guān)聲明材料說明所有用于生產(chǎn)、調(diào)試和維

修的接口要求默認禁用且用戶不可激活（配置），禁用或去掉（不存在）易被攻擊者利用

的調(diào)試功能或組件；

2)步驟2中，未發(fā)現(xiàn)可以配置生產(chǎn)、調(diào)試和維修的接口及調(diào)試功能或組件。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：12

測試項目：硬件安全

分項目：芯片接口安全測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.3b）

測試配置：測試環(huán)境1

測試過程：

1)檢查設(shè)備相關(guān)說明材料，查看是否說明JTAG等測試或調(diào)試接口的安全防護機制，典型的

防護機制包括標識隱匿、接入認證等。

預(yù)期結(jié)果：

1)步驟1中，相關(guān)材料應(yīng)說明JTAG等測試或調(diào)試芯片接口具備的安全防護機制。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

5.1.4開放端口和服務(wù)安全

測試編號：13

測試項目：開放端口和服務(wù)安全

6

T/TAF046-2019

分項目：開放端口功能測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.4a）

測試配置：測試環(huán)境1

測試過程：

1）查看被測設(shè)備默認開放端口說明材料（可以是配置手冊、用戶手冊或交互頁面）；

2）通過端口掃描工具對設(shè)備（分別選取LAN側(cè)/WAN側(cè)的一個接口）進行掃描，查看開放

端口信息。

預(yù)期結(jié)果：

1）步驟1中，通過用戶手冊、交互頁面等至少一種方式，提供所有默認開放端口相關(guān)的列表；

2）步驟2中，掃描發(fā)現(xiàn)的開放端口信息應(yīng)包含在說明材料中。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：14

測試項目：開放端口和服務(wù)安全

分項目：默認端口測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.4b）

測試配置：測試環(huán)境1

測試過程：

1）將被測設(shè)備恢復(fù)出廠設(shè)置；

2）登錄被測設(shè)備，查看Telnet、FTP、SSHv1.x、tftp、SNMPv2c等不安全協(xié)議是否關(guān)閉；

3）使用端口掃描軟件掃描被測設(shè)備。

預(yù)期結(jié)果：

1）步驟2中，基于最小開放原則，默認關(guān)閉不是系統(tǒng)業(yè)務(wù)所必需的端口，默認關(guān)閉Telnet、

FTP、SSHv1.x、tftp、SNMPv2c等不安全協(xié)議端口；

2）步驟3中，通過掃描未發(fā)現(xiàn)Telnet、FTP、SSHv1.x、tftp、SNMPv2c等不安全協(xié)議端口

開放，與默認配置一致。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：15

測試項目：開放端口和服務(wù)安全

分項目：不存在可繞過認證的服務(wù)端口測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.4c）

測試配置：測試環(huán)境1

測試過程：

1）檢查被測設(shè)備用戶手冊等相關(guān)材料，查看是否說明除了已提供的服務(wù)端口列表，不存在其

他可繞過認證進入系統(tǒng)的端口。

預(yù)期結(jié)果：

1）步驟1中，相關(guān)材料應(yīng)說明除了已提供的服務(wù)端口列表，不存在其他可繞過認證進入系統(tǒng)

的端口。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

7

T/TAF046-2019

測試編號：16

測試項目：開放端口和服務(wù)安全

分項目：DNS源端口號測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.4d）

測試配置：測試環(huán)境2

測試過程：

1）登錄被測設(shè)備，觸發(fā)多個DNS請求報文的發(fā)送；

2）在WAN側(cè)接口抓取DNS請求報文。

預(yù)期結(jié)果：

1）步驟2中，DNS客戶端向服務(wù)端請求服務(wù)時，源端口號應(yīng)為變化值。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：17

測試項目：開放端口和服務(wù)安全

分項目：非明文數(shù)據(jù)傳輸協(xié)議測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.4e）

測試配置：測試環(huán)境2

測試過程：

1）在WAN側(cè)登錄被測設(shè)備，并進行管理操作；

2）將WAN側(cè)訪問報文鏡像到測試儀器；

3）在測試儀器上截取分析登錄管理報文。

預(yù)期結(jié)果：

1）步驟3中，被測設(shè)備使用非明文數(shù)據(jù)傳輸協(xié)議對設(shè)備進行管理。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：18

測試項目：開放端口和服務(wù)安全

分項目：服務(wù)安全測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.4f）

測試配置：測試環(huán)境1

測試過程：

1）將被測設(shè)備恢復(fù)出廠設(shè)置；

2）登錄被測設(shè)備，查看WAN側(cè)開啟的服務(wù)比如TR069，并在WAN側(cè)開啟服務(wù)，模擬訪問

這些服務(wù)；

3）在LAN側(cè)訪問基于WAN側(cè)開啟的服務(wù)。

預(yù)期結(jié)果：

1）步驟2中，在WAN側(cè)可正常訪問基于WAN側(cè)開啟的服務(wù)；

2）步驟3中，在LAN側(cè)不可訪問基于WAN側(cè)開啟的服務(wù)。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

5.1.5漏洞管理安全

8

T/TAF046-2019

測試編號：19

測試項目：漏洞管理安全

分項目：認證前提示信息測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.5a）

測試配置：測試環(huán)境1

測試過程：

1）查看被測設(shè)備用戶手冊，查看支持管理設(shè)備的登錄方式（如web/SSH/telnet）；

2）使用每一種登錄方式登錄設(shè)備，查看認證前的提示信息。

預(yù)期結(jié)果：

1）步驟2中，用戶登錄通過認證前的提示信息不包含設(shè)備軟件版本等敏感信息。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：20

測試項目：漏洞管理安全

分項目：中高危漏洞測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.5b）

測試配置：測試環(huán)境1

測試過程：

1）配置被測設(shè)備開啟聲明的服務(wù)；

2）在LAN側(cè)、WAN側(cè)等所有端口使用漏洞掃描軟件對設(shè)備進行漏洞掃描；

3）檢查漏洞掃描結(jié)果，是否存在已公布（90天之前）的高危和中危漏洞。如果存在，并且

有措施可避免漏洞被利用，則采取相關(guān)措施（比如修改配置）之后，再次進行漏洞掃描，

并確認結(jié)果。

預(yù)期結(jié)果：

1）步驟2～3中，不應(yīng)存在已公布（90天之前）的高危和中危漏洞，如果存在，在采取措施

后，再次掃描，不再掃出該漏洞。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：21

測試項目：漏洞管理安全

分項目：安全風險補救測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.5c）

測試配置：測試環(huán)境3

測試過程：

1）檢查并確認被測設(shè)備廠商提供關(guān)于外部報告安全問題的渠道（包括官網(wǎng)、管理APP等），

確認用戶可以方便獲知風險報告；

2）檢查歷史安全問題報告，確認是否及時處理；

3）檢查被測設(shè)備廠商提供的相關(guān)材料是否留存實施相關(guān)補救措施和告知用戶的記錄。

預(yù)期結(jié)果：

1）步驟1中，智能網(wǎng)關(guān)設(shè)備提供者應(yīng)提供接收外部報告安全問題的有效渠道，

2）步驟2中，應(yīng)說明廠商在發(fā)現(xiàn)其設(shè)備存在漏洞等風險時，及時采取了補救措施；

3）步驟3中，應(yīng)說明及時告知用戶風險及防范措施，并留存了實施相關(guān)補救措施和告知用戶

9

T/TAF046-2019

的記錄。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：22

測試項目：漏洞管理安全

分項目：惡意程序測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.5d）

測試配置：測試環(huán)境1

測試過程：

1）使用殺毒軟件對被測設(shè)備廠商提供的預(yù)裝軟件、補丁包/升級包進行惡意軟件掃描檢測；

預(yù)期結(jié)果：

1）步驟1中，應(yīng)未發(fā)現(xiàn)預(yù)裝軟件、補丁包/升級包中包含惡意程序。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

5.1.6常見攻擊防護安全

在常見攻擊防護安全測試中，由于攻擊流量、背景流量、發(fā)送流量時長對測試結(jié)果會造成影響。通常

情況下，可設(shè)置背景流量為端口線速率的20%，攻擊流量為1000FPS，發(fā)送流量時長為30秒，也可以根據(jù)設(shè)

備情況選擇測試參數(shù)。攻擊測試對象選取1個WAN口和LAN口。

測試編號：233

測試項目：常見攻擊防護安全測試

分項目：防DHCPflood攻擊能力測試（IPv4）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）1）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接設(shè)備，配置被測設(shè)備最高速率各接口的IPv4地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv4地址發(fā)送DHCP請求報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)，記錄設(shè)備自動恢復(fù)時間。

預(yù)期結(jié)果：

1)步驟3～5中，被測設(shè)備應(yīng)對超量的DHCP報文進行丟棄。設(shè)備在受到拒絕服務(wù)類攻擊時不

死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)備不脫管，在停止攻擊后可

恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

注：攻擊流量、背景流量、發(fā)送流量時長對測試結(jié)果會造成影響。

測試編號：244

測試項目：常見攻擊防護安全測試

分項目：防DHCPv6flood攻擊能力測試（IPv6）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）1）

測試配置：測試環(huán)境3

測試過程：

10

T/TAF046-2019

1)按測試環(huán)境連接設(shè)備，配置被測設(shè)備最高速率各接口的IPv6地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv6地址發(fā)送DHCPv6請求報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)，記錄設(shè)備自動恢復(fù)時間。

預(yù)期結(jié)果：

1)步驟3～5中，被測設(shè)備應(yīng)對超量的DHCPv6報文進行丟棄。設(shè)備在受到拒絕服務(wù)類攻擊時

不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)備不脫管，在停止攻擊后

可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

備注：攻擊流量、背景流量、發(fā)送流量時長對測試結(jié)果會造成影響

測試編號：25

測試項目：常見攻擊防護安全測試

分項目：防DNSflood攻擊測試（IPv4）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）2）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接被測設(shè)備，配置各接口的IPv4地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv4地址發(fā)送DNS請求報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)，記錄設(shè)備自動恢復(fù)時間。

預(yù)期結(jié)果：

1）步驟3～5中，被測設(shè)備應(yīng)對超量的DNS報文進行丟棄，攻擊對背景流量無影響。設(shè)備在

受到拒絕服務(wù)類攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)備不

脫管，在停止攻擊后可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：26

測試項目：常見攻擊防護安全測試

分項目：防DNSflood攻擊測試（IPv6）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）2）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接被測設(shè)備，配置各接口的IPv6地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv6地址發(fā)送DNS請求報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)，記錄設(shè)備自動恢復(fù)時間。

預(yù)期結(jié)果：

1）步驟3～5中，被測設(shè)備應(yīng)對超量的DNS報文進行丟棄，攻擊對背景流量無影響。設(shè)備在受

到拒絕服務(wù)類攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)備不

11

T/TAF046-2019

脫管，在停止攻擊后可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：27

測試項目：常見攻擊防護安全測試

分項目：防DNS反射攻擊能力測試（IPv4）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）2）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接被測設(shè)備，配置各接口的IPv4地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv4地址發(fā)送DNS應(yīng)答報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)；

6)設(shè)置限制每秒處理的DNS應(yīng)答報文；

7)從測試儀表端口C向被測設(shè)備IPv4地址發(fā)送DNS應(yīng)答報文；

8)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

9)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)。

預(yù)期結(jié)果：

1)步驟3～9中，被測設(shè)備應(yīng)對超量的DNS報文進行丟棄，攻擊對背景流量無影響，限制每

秒處理的DNS應(yīng)答報文之后，設(shè)備CPU/內(nèi)存等系統(tǒng)資源占用下降。設(shè)備在受到拒絕服務(wù)

類攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)備不脫管，在停

止攻擊后可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：28

測試項目：常見攻擊防護安全測試

分項目：防DNS反射攻擊能力測試（IPv6）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）2）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接被測設(shè)備，配置各接口的IPv6地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv6地址發(fā)送DNS應(yīng)答報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)；

6)設(shè)置限制每秒處理的DNS應(yīng)答報文；

7)從測試儀表端口C向被測設(shè)備IPv6地址發(fā)送DNS應(yīng)答報文；

8)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

9)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)。

預(yù)期結(jié)果：

1)步驟3～9中，被測設(shè)備應(yīng)對超量的DNS報文進行丟棄，攻擊對背景流量無影響，限制

12

T/TAF046-2019

每秒處理的DNS應(yīng)答報文之后，設(shè)備CPU/內(nèi)存等系統(tǒng)資源占用下降。設(shè)備在受到拒絕服務(wù)類

攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)備不脫管，在停止攻擊

后可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：29

測試項目：常見攻擊防護安全測試

分項目：防NTPflood攻擊能力測試（IPv4）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）3）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接被測設(shè)備，配置各接口的IPv4地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv4地址發(fā)送NTP請求報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)。

預(yù)期結(jié)果：

1)步驟3～5中，被測設(shè)備應(yīng)對超量的NTP報文進行丟棄，攻擊對背景流量無影響。設(shè)備在

受到拒絕服務(wù)類攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)備

不脫管，在停止攻擊后可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：30

測試項目：常見攻擊防護安全測試

分項目：防NTPflood攻擊能力測試（IPv6）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）3）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接被測設(shè)備，配置各接口的IPv6地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv6地址發(fā)送NTP請求報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)。

預(yù)期結(jié)果：

1)步驟3～5中，被測設(shè)備應(yīng)對超量的NTP報文進行丟棄，攻擊對背景流量無影響。設(shè)備在

受到拒絕服務(wù)類攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)備不

脫管，在停止攻擊后可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：31

測試項目：常見攻擊防護安全測試

分項目：防NTP反射攻擊能力測試（IPv4）

13

T/TAF046-2019

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）3）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接被測設(shè)備，配置各接口的IPv4地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv4地址以發(fā)送NTP應(yīng)答報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)；

6)設(shè)置限制每秒處理的NTP應(yīng)答報文；

7)從測試儀表端口C向被測設(shè)備IPv4地址以發(fā)送NTP應(yīng)答報文；

8)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

9)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)。

預(yù)期結(jié)果：

1)步驟3～9中，被測設(shè)備應(yīng)對超量的NTP報文進行丟棄，攻擊對背景流量無影響，限制每

秒處理的NTP應(yīng)答報文之后，設(shè)備CPU/內(nèi)存等系統(tǒng)資源占用下降。設(shè)備在受到拒絕服

務(wù)類攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)備不脫管，在停

止攻擊后可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：32

測試項目：常見攻擊防護安全測試

分項目：防NTP反射攻擊能力測試（IPv6）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）3）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接被測設(shè)備，配置各接口的IPv6地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv6地址發(fā)送NTP應(yīng)答報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)；

6)設(shè)置限制每秒處理的NTP應(yīng)答報文；

7)從測試儀表端口C向被測設(shè)備IPv6地址發(fā)送NTP應(yīng)答報文；

8)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

9)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)。

預(yù)期結(jié)果：

1)步驟3～9中，被測設(shè)備應(yīng)對超量的NTP報文進行丟棄，攻擊對背景流量無影響，限制每

秒處理的NTP應(yīng)答報文之后，設(shè)備CPU/內(nèi)存等系統(tǒng)資源占用下降。設(shè)備在受到拒絕服

務(wù)類攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)備不脫管，在停

止攻擊后可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：33

14

T/TAF046-2019

測試項目：常見攻擊防護安全測試

分項目：防SYNflood攻擊能力測試（IPv4）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）4）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接被測設(shè)備，配置各接口的IPv4地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv4地址發(fā)送TCPSYN報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)。

預(yù)期結(jié)果：

1)步驟3～5中，被測設(shè)備應(yīng)對超量的TCPSYN報文進行丟棄，攻擊對背景流量無影響。設(shè)

備在受到拒絕服務(wù)類攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)

備不脫管，在停止攻擊后可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：34

測試項目：常見攻擊防護安全測試

分項目：防SYNflood攻擊能力測試（IPv6）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.a）4）

測試配置：測試環(huán)境3

測試過程：

1)按測試環(huán)境連接被測設(shè)備，配置各接口的IPv6地址；

2)測試儀表從端口A到端口B發(fā)送背景流量，登錄設(shè)備查看CPU/內(nèi)存等系統(tǒng)資源情況；

3)從測試儀表端口C向被測設(shè)備IPv6地址發(fā)送TCPSYN報文；

4)觀察端口B接收報文情況，觀察設(shè)備CPU/內(nèi)存等系統(tǒng)資源情況；

5)停止攻擊30秒后，嘗試通過遠程管理方式登錄管理設(shè)備，觀察設(shè)備狀態(tài)。

預(yù)期結(jié)果：

1)步驟3～5中，被測設(shè)備應(yīng)對超量的TCPSYN報文進行丟棄，攻擊對背景流量無影響。設(shè)

備在受到拒絕服務(wù)類攻擊時不死機，不重啟，遠程管理(如TR069,智能平臺)功能正常，設(shè)

備不脫管，在停止攻擊后可恢復(fù)到正常狀態(tài)，自動恢復(fù)的延遲時間應(yīng)低于30秒。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：35

測試項目：常見攻擊防護安全測試

分項目：根據(jù)源MAC地址、目的MAC地址進行報文過濾測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.b）1）

測試配置：測試環(huán)境2

測試過程：

1)登錄被測設(shè)備，設(shè)置過濾源MAC地址報文；

2)在測試儀器端口A發(fā)送以被過濾的MAC為源MAC的報文，在測試儀器端口B觀察（A

和B分屬LAN側(cè)和WAN側(cè)）；

3)刪除過濾源MAC地址報文設(shè)置；

15

T/TAF046-2019

4)在測試儀器端口A發(fā)送以被過濾的MAC為源MAC的報文，在測試儀器端口B觀察；

5)設(shè)置過濾目的MAC地址報文；

6)在測試儀器端口A發(fā)送以被過濾的MAC為目的MAC的報文，在測試儀器端口B觀察（端

口B和端口A都在LAN側(cè)）；

7)刪除過濾目的MAC地址報文設(shè)置；

8)在測試儀器端口A發(fā)送以被過濾的MAC為目的MAC的報文，在測試儀器端口B觀察。

預(yù)期結(jié)果：

1)步驟1~8中，設(shè)備根據(jù)源MAC地址、目的MAC地址進行報文過濾。開啟過濾功能，則

對應(yīng)源MAC地址、目的MAC地址的報文被丟棄，取消過濾功能，則對應(yīng)源MAC地址、

目的MAC的報文被正常轉(zhuǎn)發(fā)。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：256

測試項目：常見攻擊防護安全測試

分項目：根據(jù)源IP地址及范圍段、目的IP地址及范圍段進行報文過濾測試（IPv4）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.b）2）

測試配置：測試環(huán)境2

測試過程：

1)登錄被測設(shè)備，設(shè)置過濾源IP地址（IPv4）報文；

2)在測試儀器端口A發(fā)送以被過濾的IP為源IP的報文，在測試儀器端口B觀察；

3)刪除過濾源IP地址報文設(shè)置；

4)在測試儀器端口A發(fā)送以被過濾的IP為源IP的報文，在測試儀器端口B觀察；

5)設(shè)置過濾源IP地址范圍報文；

6)在測試儀器端口A發(fā)送以在被過濾范圍的IP和不在過濾范圍的IP為源IP的報文，在測

試儀器端口B觀察；

7)刪除過濾源IP地址范圍報文；

8)在測試儀器端口A發(fā)送以在被過濾范圍的IP和不在過濾范圍的IP（比如00）為源

IP的報文，在測試儀器端口B觀察；

9)設(shè)置過濾目的IP地址報文；

10)在測試儀器端口A發(fā)送以被過濾的IP為目的IP的報文，在測試儀器端口B觀察；

11)刪除過濾目的IP地址報文設(shè)置；

12)在測試儀器端口A發(fā)送以被過濾的IP為目的IP的報文，在測試儀器端口B觀察；

13)設(shè)置過濾目的IP地址范圍報文；

14)在測試儀器端口A發(fā)送以在被過濾范圍的IP和不在過濾范圍的IP為目的IP的報文，在

測試儀器端口B觀察；

15)刪除過濾目的IP地址范圍報文；

16)在測試儀器端口A發(fā)送以在被過濾范圍的IP和不在過濾范圍的IP為目的IP的報文，在

測試儀器端口B觀察。

預(yù)期結(jié)果：

1)步驟1~16中，設(shè)備根據(jù)源IP地址及范圍段、目的IP地址及范圍段進行報文過濾。開啟

過濾功能，則對應(yīng)源IP地址或源IP地址在被過濾源地址范圍內(nèi)、目的IP地址或目的地

址在被過濾的目的地址范圍內(nèi)的報文被丟棄，不在被過濾源目的IP范圍內(nèi)的報文正常轉(zhuǎn)

16

T/TAF046-2019

發(fā)，取消過濾功能，則對應(yīng)源IP地址或源IP地址在被過濾源地址范圍內(nèi)、目的IP地址

或目的地址在被過濾的目的地址范圍內(nèi)的報文被正常轉(zhuǎn)發(fā)。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：267

測試項目：常見攻擊防護安全測試

分項目：根據(jù)源IP地址及范圍段、目的IP地址及范圍段進行報文過濾測試（IPv6）

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.b）2）

測試配置：測試環(huán)境2

測試過程：

1)登錄被測設(shè)備，設(shè)置過濾源IP地址（IPv6）報文；

2)在測試儀器端口A發(fā)送以被過濾的IP為源IP的報文，在測試儀器端口B觀察；

3)刪除過濾源IP地址報文設(shè)置；

4)在測試儀器端口A發(fā)送以被過濾的IP為源IP的報文，在測試儀器端口B觀察；

5)設(shè)置過濾源IP地址范圍報文；

6)在測試儀器端口A發(fā)送以在被過濾范圍的IP和不在過濾范圍的IP為源IP的報文，在測

試儀器端口B觀察；

7)刪除過濾源IP地址范圍報文；

8)在測試儀器端口A發(fā)送以在被過濾范圍的IP和不在過濾范圍的IP為源IP的報文，在測

試儀器端口B觀察；

9)設(shè)置過濾目的IP地址報文；

10)在測試儀器端口A發(fā)送以被過濾的IP為目的IP的報文，在測試儀器端口B觀察；

11)刪除過濾目的IP地址報文設(shè)置；

12)在測試儀器端口A發(fā)送以被過濾的IP為目的IP的報文，在測試儀器端口B觀察；

13)設(shè)置過濾目的IP地址范圍報文；

14)在測試儀器端口A發(fā)送以在被過濾范圍的IP和不在過濾范圍的IP為目的IP的報文，在

測試儀器端口B觀察；

15)刪除過濾目的IP地址范圍報文；

16)在測試儀器端口A發(fā)送以在被過濾范圍的IP和不在過濾范圍的IP為目的IP的報文，在

測試儀器端口B觀察。

預(yù)期結(jié)果：

1)步驟1~16中，設(shè)備根據(jù)源IP地址及范圍段、目的IP地址及范圍段進行報文過濾。開啟

過濾功能，則對應(yīng)源IP地址或源IP地址在被過濾源地址范圍內(nèi)、目的IP地址或目的地

址在被過濾的目的地址范圍內(nèi)的報文被丟棄，不在被過濾源目的IP范圍內(nèi)的報文正常轉(zhuǎn)

發(fā)，取消過濾功能，則對應(yīng)源IP地址或源IP地址在被過濾源地址范圍內(nèi)、目的IP地址

或目的地址在被過濾的目的地址范圍內(nèi)的報文被正常轉(zhuǎn)發(fā)。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：38

測試項目：常見攻擊防護安全測試

分項目：根據(jù)IP源端口及范圍段、目的端口及范圍段進行報文過濾測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.b）3）

測試配置：測試環(huán)境2

17

T/TAF046-2019

測試過程：

1)登錄被測設(shè)備，設(shè)置過濾源IP端口（包括IPv4和IPv6)報文；

2)在測試儀器端口A發(fā)送以被過濾的端口為源端口的報文，在測試儀器端口B觀察；

3)刪除過濾源IP端口報文設(shè)置；

4)在測試儀器端口A發(fā)送以被過濾的端口為源端口的報文，在測試儀器端口B觀察；

5)設(shè)置過濾源IP端口范圍報文；

6)在測試儀器端口A發(fā)送以在被過濾范圍的端口和不在過濾范圍的端口為源端口的報文，

在測試儀器端口B觀察；

7)刪除過濾源IP端口范圍報文；

8)在測試儀器端口A發(fā)送以在被過濾范圍的端口和不在過濾范圍的端口為源端口的報文，

在測試儀器端口B觀察；

9)設(shè)置過濾目的IP端口報文；

10)在測試儀器端口A發(fā)送以被過濾的端口為目的端口的報文，在測試儀器端口B觀察；

11)刪除過濾目的IP端口報文設(shè)置；

12)在測試儀器端口A發(fā)送以被過濾的端口為目的端口的報文，在測試儀器端口B觀察；

13)設(shè)置過濾目的IP端口范圍報文；

14)在測試儀器端口A發(fā)送以在被過濾范圍的端口和不在過濾范圍的端口為目的端口的報文，

在測試儀器端口B觀察；

15)刪除過濾目的IP端口范圍報文；

16)在測試儀器端口A發(fā)送以在被過濾范圍的端口和不在過濾范圍的端口為目的端口的報文，

在測試儀器端口B觀察。

預(yù)期結(jié)果：

1)步驟1~16中，設(shè)備根據(jù)源端口及范圍段、目的端口及范圍段進行報文過濾。開啟過濾功

能，則對應(yīng)源端口或源端口在被過濾源端口范圍內(nèi)、目的端口或目的端口在被過濾的目的

端口范圍內(nèi)的報文被丟棄，不在被過濾源目的端口范圍內(nèi)的報文正常轉(zhuǎn)發(fā)，取消過濾功能，

則對應(yīng)源端口或源端口在被過濾源端口范圍內(nèi)、目的端口或目的端口在被過濾的目的端口

范圍內(nèi)的報文被正常轉(zhuǎn)發(fā)。

判定原則：測試結(jié)果應(yīng)與預(yù)期結(jié)果相符，否則不符合要求

測試編號：279

測試項目：常見攻擊防護安全測試

分項目：根據(jù)IP包的傳輸層協(xié)議類型進行報文過濾測試

技術(shù)要求：《智能網(wǎng)關(guān)設(shè)備安全技術(shù)要求》4.1.6.b）4）

測試配置：測試環(huán)境2

測試過程：

1)登錄被測設(shè)備，設(shè)置基于傳輸層協(xié)議（比如TCP/UDP/ICMP)過濾規(guī)則（包括IPv4和IPv6）；

2)在測試儀器端口A發(fā)送以被過濾的傳輸層協(xié)議（比如TCP/UDP/ICMP)的報文，在測試儀

器端口B觀察；

3)刪除過濾基于傳輸層協(xié)議（比如TCP/UDP/ICMP)設(shè)置，在測試儀器端口A發(fā)送以被過濾

的傳輸層協(xié)議（比如TCP/UDP/ICMP)的報文，在測試儀器端口B觀察。

預(yù)期結(jié)果：

1)步驟1~3中，設(shè)備根據(jù)傳輸層協(xié)議進行報文過濾。開啟過濾功能，則對應(yīng)傳輸層協(xié)議的報

18