宽带客户网关应支持NAT功能，对NAT的功能特性要求如下 应支持NAPT； 应支持HTTP、FTP、DNS、H.323、SIP等应用协议； 应支持输出NAT日志记录，

宽带客户网关应支持防火墙功能，除包过滤、访向控制列表、NAT外，应支持应用代理功能， 被保护的网络访问允许的网络应用。 支持防火墙高中低等级设置，每个安全等级的内容可以修改。 可选支持在本地Web界面配置防火墙的等级，分为高、中、低三级

GB/T 38799—2020

检测试验状态检测不仅检查网络层和 实时维护这些TCP或UDF 的状态信息。使用这些状态信息确定 态检测的包过滤功能

4.6.1防DoS攻击功能

4.6.2防端口扫描能力

宽带客户网关应能够提供防端口扫描功能，支持防止其他设备或者应用的恶意端口扫描

4.6.3限制每端口MAC地址学习数量功能

宽带客户网关应能配置限制从每个用户LAN端口学

4.6.4非法组播源控制功能

宽带客户网关应支持防止用户做源的组播，可以配置禁止用户端口发出的IGMPQuery 据报文。

宽带客户网关应能够对特定协议的 、ARP、ICMP、IGM 制，并能对其他二层广播报文进行速率限制

4.7网络访问的安全性

宽带客户网关应支持DMZ功能。N 宽带客户网关应支持基于MAC地址和IP地址进行接入控制（包括LAN和WLAN）。 宽带客户网关应支持设置黑白名单实现URL访问控制功能。黑白名单应支持与网 PPPoE账号绑定。 宽带客户网关应支持基于网关发起的PPPoE账号的上网时间管理。

宽带客户网关应支持配置不同SSID以区分网络，支持启用或者关闭SSID广播功能锅炉标准规范范本，以及SSID 功能。还应支持对其WLAN无线信号的发送功率和工作信道的设定。应支持对WLAN客户 证和WLAN收发数据的加密

PPP作为数据链路层协议，本身不具备完善的安全能力。应支持PAP方式的用户接人认证。在 通过PPPoE方式接人时，可以通过PAP方法进行用户认证。 应支持CHAP方式的用户接人认证。在通过PPPoE方式接人时，可以通过CHAP方法进行用户 认证。 应支持基于运营商信息的用户接入认证。在拨号过程中，网关从认证过程中提取运营商信息并基

对控制平面的信息要提供日志记录功能，网关应， 独立的防火墙日志，该防火墙日志记录该网络 设备检测到的宽带客户网络中违背该防火墙规则的网络行为，每条记录应打上时间戳。防火墙日志应 至少能够包含100条记录。如果产生的日志数量超过容量，宜采取保留最新的记录，覆盖时间最早的记 录的方式。 防火墙日志应不能被修改。日志也不应被删除，除非被复位至出厂/默认配置。 日志应记录过滤规则、拒绝访问、配置修改等相关安全事件。对日志的要求包括： 每个安全日志条目应包含事件主体、发生时间和事件描述等人 应可以保存在本地系统的缓存区内，也可以发送到专用的日志主机上作进一步处理； 可选实时打印在专用打印机或连接设备的显示终端上： 应定义日志的严重级别，并能够根据严重程度级别过滤输出； 应支持和日志主机之间的接口

Web管理基于HTTP协议，宽带客户网关应支持Web管理，应满足下列约定： 用户应提供用户名/口令才能进行后续的操作，用户地址和操作应记人日志； 可限定用户通过哪些IP地址使用HTTP对设备进行访问； 必要时可关闭HTTP服务； 应支持SSL/TLS

网关应具有一定的安全措施，保证RMS对网关远程管理和控制的安全性，避免对网关的非法 同时网关应具有一定的安全机制，如远程网管应都支持连接认证、支持修改管理认证账号、系级 和安全日志、管理信息传输的安全机制等，保证远程管理的安全性。

GB/T 387992020

宽带客户网关应实现软件升级失败后可以自动回滚，关键配置不丢失工程造价标准规范范本，具有远程诊断及远程重启等 功能。

宽带客户网关应实现软件升级失败后可以自动回滚，关键配置不丢失，具有远程诊断及远程重启

户网关应符合YD/T965中关于电气安全的要求