Q/GDW ICS35. 040 国家电网有限公司企业标准 Q/GDW 109402018 代替 Q/GDW 1940—2013 防火墙测试要求 Testing requirements for firewall 2019-07-26发布 2019-07-26实施 国家电网有限公司 发布 Q/GDW 109402018 目次 前 II 言 范围. 规范性引用文件 2 术语和定义 3 缩略语. 4 测试要求. 5 5.1 总体说明 功能测试要求 5.2 5.3 性能测试要求. 9 5.4 安全测试要求 5.5 开发者保障要求 13 测试方法 14 6.1 测试环境 15 6.2 测试工具.. 16 6.3 功能测试方法. 16 6.4 性能测试方法 23 6.5 安全测试方法 24 编制说明 27 I Q/GDW 109402018 前言 为规范防火墙产品的测试工作，明确防火墙产品的测试指标，保证防火墙产品的正常使用，应对防 火墙产品提出统一的测试要求，以此来规范防火墙的测试工作，制定本标准。 本标准代替Q/GDW1940—2013,与Q/GDW1940—2013相比，主要差异如下： 增加了通过隧道技术实现IPv6通讯的具体要求； 一一增加了“安全审计”“抗渗透”的部分安全测试要求 ，，，，，“， 一 功能测试要求 一增加了“动态开放端口”“连接数控制”“应用协议控制”等功能测试要求； 一增加了第6章“测试方法” 本标准由国家电网有限公司信息通信部提出并解释。 本标准由国家电网有限公司科技部归口。 本标准起草单位：中国电力科学研究院有限公司。 本标准主要起草人：郭旭、郑义、李凌、刘楠、严敏辉、李琳、贾玲、吴荣春、姜敏、朱朝阳、高 昆仑、刘莹、孙炜、詹雄、单松玲、宋小芹、韩丽芳、周亮、白涛、张丞、李祉岐、邵志鹏、刘行、刘 圣龙、黄云、郭蔡炜、张亮、许放、袁琪、李福雷、翁征、孙强、庞天宇、陈华智。 本标准2014年05月首次发布，2017年11月第一次修订。 本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。 II Q/GDW 109402018 防火墙测试要求 1范围 本标准规定了国家电网有限公司防火墙产品的测试要求和测试方法，要求包括功能测试要求、性能 测试要求、安全测试要求和开发者保障要求。 本标准适用于国家电网有限公司防火墙产品的设计、开发与测试。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB/T18336一2015信息技术安全技术信息技术安全评估准则 GB/T20281—2015信息安全技术防火墙技术要求和测试评价方法 GB/T25069—2010信息安全技术术语 Q/GDW11802网络与信息安全风险监控预警平台数据接入规范 3术语和定义 GB/T18336—2015、GB/T20281—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文 件。 3.1 有效访问控制策略 effectiveaccesscontrolpolicy 明确定义了源地址、目的地址、源端口、目的端口、网络服务、策略有效期的访问控制策略。 3.2 中继线 trunk 在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯 的技术。 4缩略语 下列缩略语适用于本文件。 DMZ：非军事区(Demilitary Zone) DNAT：目的网络地址转换(Destination NAT) DNS: 域名系统 (Domain Name System) Protocol) FTP：文件传输系统(File Transfer HTTP：超文本传输协议(Hypertext Protocol) Transfer ICMP：网间控制报文协议(Internet Messages Control Protocol) 1 Q/GDW 109402018 IP：网际协议 (InternetProtocol) IPv6: 网际协议6 (Internet Protocol Version 6) MAC：介质访问控制层 (MediaAccessControl) NAT：网络地址转换(NetworkAddress Translation) NTP：网络时间同步协议(NetworkTimeProtocol) OSPF：开放式最短路径优先(OpenShortest Path First) POP3:邮局协议3(Post Office Protocol 3) RIP：路由选择信息协议(Routing Information Protocol) SMTP：简单邮件传输协议(SimpleMailTransferProtocol) SNAT：源网络地址转换(Source NAT) SNMP：简单网络管理协议(Simple Network Management Protocol) STP：生成树协议(SpanningTreeProtocol) TCP：传输控制协议(Transport Control Protocol) UDP：用户数据报协议（UserDatagram） Protocol) URL：统一资源定位器（Uniform Resource Locator) USB：通用串行总线(UniversalSerialBus) VLAN:虚拟局域网(Virtual LocalArea Network) VPN：虚拟专用网（Virtual Private Network) VRRP：虚拟路由器穴余协议（VirtualRouter） Redundancy Protocol) 5 测试要求 5.1总体说明 本标准将防火墙测试要求分为功能测试要求、性能测试要求、安全测试要求、开发者保障要求四个 大类： 功能测试要求：根据国家电网公司对防火墙产品的需求提出的防火墙产品应具备的功能要求； 性能测试要求：根据国家电网公司对防火墙产品的需求提出的防火墙产品应达到的性能指标的 b) 要求，性能测试要求从防火墙产品的实际应用角度对产品的性能指标提出了要求； 安全测试要求：根据国家电网公司对防火墙产品的安全要求以及防火墙产品自身的特点提出的 c) 防火墙产品的自身安全和防护能力的要求； 开发者保障要求：针对防火墙开发者和防火墙自身提出的具体保障要求。 d) 5.2功能测试要求 5.2. 1功能测试要求列表 产品的测试功能要求由表1所列项目组成。 表1产品功能测试要求项目 功能分类 功能测试要求项目 支持默认禁止原则 包过滤 支持基于IP地址的访问控制 支持基于端口的访问控制 2 Q/GDW 109402018 表1 (续) 功能分类 功能测试要求项目 支持基于协议类型的访问控制 支持基于时间的访问控制 包过滤 支持基于用户自定义安全策略的访问控制 支持基于MAC地址的访问控制 状态检测 支持基于状态检测技术的访问控制 支持双向NAT NAT 支持动态NAT 支持根据IP地址、协议、时间等参数对流量进行统计 流量统计 支持统计结果的报表形式输出 公司统一监控系 支持Syslog方式的日志输出 统支持 支持SNMP网络管理协议 NTP支持 支持NTP协议，支持NTP认证 支持对授权管理员的口令鉴别方式 支持对授权管理员、可信主机、主机和用户进行身份鉴别 支持鉴别失败处理 支持本地和远程管理 支持远程管理安全 支持管理员权限划分 支持设置和修改安全管理相关的数据参数 管理 支持设置和修改安全策略 支持策略查询 支持策略分组 支持管理审计日志 支持防火墙状态和网络数据流状态监控 支持独立的管理接口 支持USBKey等身份鉴别信息载体 支持对授权管理员选择至少两种身份鉴别技术 IP/MAC绑定 支持IP/MAC地址绑定 支持静态路由功能 支持OSPF方式的动态路由功能 路由 支持RIP方式的动态路由功能 支持根据数据包信息设置策略路由 支持策略路由功能 支持主-备模式的双机热备 支持主-主模式的双机热备 支持物理设备状态检测 双机热备 支持会话状态同步 支持配置同步 支持链路状态检测的双机热备 3