犐犆犛犔犌犅犜犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔犛犲犮狌狉犻狋狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犪狀犱狋犲狊狋犻狀犵犪狊狊犲狊狊犿犲狀狋犪狆狆狉狅犪犮犺犲狊犳狅狉犳犻狉犲狑犪犾犾犌犅犜目次前言范围规范性引用文件术语和定义缩略语概述安全技术要求安全功能要求自身安全要求性能要求安全保障要求测评方法测评环境安全功能测评自身安全测评性能测评安全保障测评附录规范性附录防火墙分类及安全技术要求等级划分概述网络型防火墙应用防火墙数据库防火墙主机型防火墙附录规范性附录防火墙分类及测评方法等级划分概述网络型防火墙应用防火墙数据库防火墙主机型防火墙犌犅犜前言本标准按照给出的规则起草本标准代替信息安全技术包过滤防火端评估准则信息安全技术防火墙安全技术要求和测试评价方法信息安全技术主机型防火墙安全技术要求和测试评价方法信息安全技术应用防火墙安全技术要求与测试评价方法本标准以为主整合了和的部分内容与相比除编辑性修改外主要技术变化如下增加了网络型防火墙数据库防火墙应用防火墙和主机型防火墙的定义见第章修改了概述见第章年版的第章增加了设备虚拟化要求见修改了应用内容控制的要求见版的增加了攻击防护的要求见增加了安全审计与分析的要求见增加了混合应用层吞吐量吞吐量请求速率请求速率并发连接数并发连接数性能要求见增加了规范性附录见附录附录请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位公安部第三研究所奇安信科技集团股份有限公司北京天融信网络安全技术有限公司网神信息技术北京股份有限公司北京神州绿盟科技有限公司杭州美创科技有限公司北京网康科技有限公司中国信息安全研究院有限公司中国电子技术标准化研究院中国网络安全审查技术与认证中心中国信息安全测评中心国家计算机网络与信息安全管理中心北京安华金和科技有限公司深信服科技股份有限公司启明星辰信息技术集团股份有限公司沈阳东软系统集成工程有限公司新华三技术有限公司蓝盾信息安全技术股份有限公司北京中安星云软件技术有限公司上海上讯信息技术股份有限公司本标准主要起草人俞优王志佳邹春明陆臻沈亮陆磊顾健吴云坤熊瑛雷晓锋叶晓虎周杰王伟陈华平吴亚东谢建业王猛谌德俊潘云申永波杨晨王晖本标准所代替标准的历次版本发布情况为犌犅犜信息安全技术防火墙安全技术要求和测试评价方法范围本标准规定了防火墙的等级划分安全技术要求及测评方法本标准适用于防火墙的设计开发与测试规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息技术安全技术信息技术安全评估准则第部分安全保障组件信息安全技术术语术语和定义界定的以及下列术语和定义适用于本文件防火墙犳犻狉犲狑犪犾犾对经过的数据流进行解析并实现访问控制及安全防护功能的网络安全产品注根据安全目的实现原理的不同通常可分为网络型防火墙应用防火墙数据库防火墙和主机型防火墙等网络型防火墙狀犲狋狑狅狉犽犫犪狊犲犱犳犻狉犲狑犪犾犾部署于不同安全域之间对经过的数据流进行解析具备网络层应用层访问控制及安全防护功能的网络安全产品犠犈犅应用防火墙狑犲犫犪狆狆犾犻犮犪狋犻狅狀犳犻狉犲狑犪犾犾部署于服务器前端对流经的访问和响应数据进行解析具备应用的访问控制及安全防护功能的网络安全产品数据库防火墙犱犪狋犪犫犪狊犲犳犻狉犲狑犪犾犾部署于数据库服务器前端对流经的数据库访问和响应数据进行解析具备数据库的访问控制及安全防护功能的网络安全产品主机型防火墙犺狅狊狋犫犪狊犲犱犳犻狉犲狑犪犾犾部署于计算机包括个人计算机和服务器上提供网络层访问控制应用程序访问限制和攻击防护功能的网络安全产品犌犅犜反向代理狉犲狏犲狉狊犲狆狉狅狓狔作为服务器端的代理使用代替服务器接受来自客户端的请求然后将请求转发给内部服务器并将从服务器上得到的结果返回给请求客户端的一种部署模式拖库攻击犱狉犪犵犪狋狋犪犮犽通过非授权获得数据库访问或数据库所在操作系统的权限批量下载数据库中数据或数据库数据文件的恶意行为撞库攻击犪犮犮狅狌狀狋犮狉犲犱犲狀狋犻犪犾犲狀狌犿犲狉犪狋犻狅狀犪狋狋犪犮犽批量尝试碰撞数据库数据的恶意行为注如通过收集已泄露已知的用户和密码信息生成对应的字典表并以此批量尝试登录其他的应用系统缩略语下列缩略语适用于本文件边界网关协议跨站请求伪造非军事化区目的网络地址转换文件传输协议超文本传输协议安全超文本传输协议网间控制报文协议互联网邮件访问协议网际协议互联网协议第六版站内自动隧道寻址协议介质访问控制网络地址转换网络时间协议开放式最短路径优先对等网络路由信息协议源网络地址转换简单网络管理协议结构化查询语言系统日志统一资源定位器万维网跨站脚本犌犅犜概述防火墙是作用于不同安全域之间具备访问控制及安全防护功能的网络安全产品主要分为网络型防火墙应用防火墙数据库防火墙主机型防火墙或其组合防火墙的安全技术要求分为安全功能要求自身安全要求性能要求和安全保障要求四个大类其中安全功能要求对防火墙应具备的安全功能提出具体要求包括组网与部署网络层控制应用层控制攻击防护和安全审计与分析自身安全要求针对防火墙的自身安全提出具体的要求包括身份标识与鉴别管理能力管理审计管理方式和安全支撑系统性能要求则是对防火墙应达到的性能指标作出规定包括吞吐量延迟连接速率和并发连接数安全保障要求针对防火墙的生命周期过程提出具体要求包括开发指导性文档生命周期支持测试和脆弱性评定防火墙的等级分为基本级和增强级安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体依据等级突出安全特性其中基本级产品的安全保障要求内容对应的级增强级产品的安全保障要求内容对应的级各类防火墙简称产品的具体安全技术要求和等级划分详见附录测评方法及等级划分详见附录安全技术要求安全功能要求组网与部署部署模式产品应支持以下部署模式透明传输模式路由转发模式反向代理模式路由静态路由产品应支持静态路由功能且能配置静态路由策略路由具有多个相同属性网络接口多个外部网络接口多个内部网络接口或多个网络接口的产品应支持策略路由功能包括但不限于基于源目的策略路由基于接口的策略路由基于协议和端口的策略路由基于应用类型的策略路由基于多链路负载情况自动选择路由动态路由产品应支持动态路由功能包括或中一种或多种动态路由协议犌犅犜高可用性冗余部署产品应支持主备主主或集群中的一种或多种冗余部署模式负载均衡产品应支持负载均衡功能能根据安全策略将网络流量均衡到多台服务器上设备虚拟化可选虚拟系统若产品支持在逻辑上划分为多个虚拟子系统虚拟子系统间应支持隔离和独立管理包括但不限于对虚拟子系统分别设置管理员实现针对虚拟子系统的管理配置虚拟子系统能分别维护路由表安全策略和日志系统对虚拟子系统的资源使用配额进行限制虚拟化部署若产品为虚拟化形态应支持部署于虚拟化平台并接受平台统一管理包括但不限于支持部署于一种虚拟化平台如和等结合虚拟化平台实现产品资源弹性伸缩根据虚拟化产品的负载情况动态调整资源结合虚拟化平台实现故障迁移当虚拟化产品出现故障时能实现自动更新替换犐犘狏支持可选支持犐犘狏网络环境若产品支持应支持在网络环境下正常工作能有效运行其安全功能和自身安全功能协议一致性若产品支持应满足协议一致性的要求至少包括核心协议协议协议和协议协议健壮性若产品支持应满足协议健壮性的要求抵御网络环境下畸形协议报文攻击支持犐犘狏过渡网络环境若产品支持应支持在以下一种或多种过渡网络环境下工作协议转换将和两种协议相互转换隧道将封装在中穿越网络如等犌犅犜网络层控制访问控制包过滤产品的包过滤功能要求如下安全策略应使用最小安全原则即除非明确允许否则就禁止安全策略应包含基于源地址目的地址的访问控制安全策略应包含基于源端口目的端口的访问控制安全策略应包含基于协议类型的访问控制安全策略应包含基于地址的访问控制安全策略应包含基于时间的访问控制应支持用户自定义的安全策略安全策略包括地址地址端口协议类型和时间的部分或全部组合网络地址转换产品的网络地址转换功能要求如下支持和应实现多对一地址转换使得内部网络主机访问外部网络时其源地址被转换应实现一对多地址转换将的地址端口映射为外部网络合法地址端口使外部网络主机通过访问映射地址和端口实现对服务器的访问支持动态技术实现多对多的状态检测产品应支持基于状态检测技术的包过滤功能具备状态检测能力动态开放端口产品应支持协议的动态端口开放包括但不限于协议等音视频协议犐犘犕犃犆地址绑定产品应支持自动或手工绑定地址当主机的地址地址与绑定表中不一致时阻止其流量通过流量管理带宽管理产品应支持带宽管理功能能根据策略调整客户端占用的带宽包括但不限于根据源目的应用类型和时间段的流量速率或总额进行限制根据源目的应用类型和时间段设置保障带宽在网络空闲时自动解除流量限制并在总带宽占用率超过阈值时自动启用限制犌犅犜连接数控制产品应支持限制单的最大并发会话数和新建连接速率防止大量非法连接产生时影响网络性能会话管理在会话处于非活跃状态一定时间或会话结束后产品应终止会话应用层控制用户管控产品应支持基于用户认证的网络访问控制功能包括但不限于本地用户认证方式结合第三方认证系统如基于服务器的认证方式应用类型控制产品应支持根据应用特征识别并控制各种应用类型包括协议数据库协议和等常见协议即时聊天类类网络流媒体类网络游戏股票交易类等应用逃逸或隧道加密特点的应用如加密代理类应用自定义应用应用内容控制犠犈犅应用产品应支持基于以下内容对应用的访问进行控制包括但不限于网址并具备分类网址库传输内容的关键字请求方式包括等请求文件类型协议头中各字段长度包括等上传文件类型请求频率返回的响应内容如服务器返回的出错信息等支持流量解密数据库应用产品应支持基于以下内容对数据库的访问进行控制包括但不限于访问数据库的应用程序运维工具数据库用户名数据库名数据表名和数据字段名语句关键字数据库返回内容关键字影响行数返回行数犌犅犜其他应用产品应支持基于以下内容对和等应用进行控制包括但不限于传输文件类型传输内容如协议命令或关键字攻击防护拒绝服务攻击防护产品具备特征库应支持拒绝服务攻击防护功能包括但不限于攻击防护攻击防护攻击防护攻击防护攻击防护攻击防护攻击防护犠犈犅攻击防护产品具备特征库应支持攻击防护功能包括但不限于注入攻击防护攻击防护第三方组件漏洞攻击防护目录遍历攻击防护注入攻击防护攻击防护文件包含攻击防护盗链防护命令注入攻击防护识别和拦截反序列化攻击防护数据库攻击防护产品具备特征库应支持数据库攻击防护功能包括但不限于数据库漏洞攻击防护异常语句阻断数据库拖库攻击防护数据库撞库攻击防护恶意代码防护产品具备特征库应支持恶意代码防护功能包括但不限于能拦截典型的木马攻击行为犌犅犜检测并拦截被网页和电子邮件等携带的恶意代码其他应用攻击防护产品具备特征库应支持防护来自应用层的其他攻击包括但不限于操作系统
GB-T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法
文档预览
中文文档
58 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共58页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-26 05:33:00上传分享