GB∕T 20281-2020(代替GB∕T 20010-2005,GB∕T 20281-2015,GB∕T 31505-2015 和 GB∕T 32917-2016) 信息安全技术 防火墙安全技术要求和测试评价方法.pdf
《GB∕T 20281-2020(代替GB∕T 20010-2005,GB∕T 20281-2015,GB∕T 31505-2015 和 GB∕T 32917-2016) 信息安全技术 防火墙安全技术要求和测试评价方法.pdf》由会员分享,可在线阅读,更多相关《GB∕T 20281-2020(代替GB∕T 20010-2005,GB∕T 20281-2015,GB∕T 31505-2015 和 GB∕T 32917-2016) 信息安全技术 防火墙安全技术要求和测试评价方法.pdf(58页珍藏版)》请在咨信网上搜索。
1、书 书 书犐 犆犛 犔 ? ? ? ? ? ? ? ? ? ? ?犌犅犜 ? , , ? ?犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犛 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 犻 犮 犪 犾狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犪 狀 犱狋 犲 狊 狋 犻 狀 犵犪 狊 狊 犲 狊 狊犿犲 狀 狋犪 狆 狆 狉 狅 犪 犮 犺 犲 狊犳 狅 狉犳 犻 狉 犲狑犪 犾 犾 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?目次前言范围规范性引用文件术语和定义缩略语概述安全技术要求 安全功能
2、要求 自身安全要求 性能要求 安全保障要求 测评方法 测评环境 安全功能测评 自身安全测评 性能测评 安全保障测评 附录(规范性附录)防火墙分类及安全技术要求等级划分 概述 网络型防火墙 应用防火墙 数据库防火墙 主机型防火墙 附录(规范性附录)防火墙分类及测评方法等级划分 概述 网络型防火墙 应用防火墙 数据库防火墙 主机型防火墙 犌犅犜 前言本标准按照 给出的规则起草。本标准代替 信息安全技术包过滤防火端评估准则 、 信息安全技术防火墙安全技术要求和测试评价方法 、 信息安全技术主机型防火墙安全技术要求和测试评价方法 、 信息安全技术应用防火墙安全技术要求与测试评价方法 。本标准以 为主,
3、整合了 、 和 的部分内容,与 相比,除编辑性修改外主要技术变化如下: 增加了网络型防火墙、数据库防火墙、应用防火墙和主机型防火墙的定义(见第章) ; 修改了概述(见第章, 年版的第章) ; 增加了“设备虚拟化”要求(见 ) ; 修改了“应用内容控制”的要求(见 , 版的 、 ) ; 增加了“攻击防护”的要求(见 ) ; 增加了“安全审计与分析”的要求(见 ) ; 增加了“混合应用层吞吐量” “吞吐量”“请求速率” “请求速率” “并发连接数” “并发连接数”性能要求(见 、 、 、 、 、 ) ; 增加了规范性附录(见附录、附录) 。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担
4、识别这些专利的责任。本标准由全国信息安全标准化技术委员会( )提出并归口。本标准起草单位:公安部第三研究所、奇安信科技集团股份有限公司、北京天融信网络安全技术有限公司、网神信息技术(北京)股份有限公司、北京神州绿盟科技有限公司、杭州美创科技有限公司、北京网康科技有限公司、中国信息安全研究院有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息安全测评中心、国家计算机网络与信息安全管理中心、北京安华金和科技有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、沈阳东软系统集成工程有限公司、新华三技术有限公司、蓝盾信息安全技术股份有限公司、北京中安星云软件技术有
5、限公司、上海上讯信息技术股份有限公司。本标准主要起草人:俞优、王志佳、邹春明、陆臻、沈亮、陆磊、顾健、吴云坤、熊瑛、雷晓锋、叶晓虎、周杰、王伟、陈华平、吴亚东、谢建业、王猛、谌德俊、潘云、申永波、杨晨、王晖。本标准所代替标准的历次版本发布情况为: ; 、 ; ; 。犌犅犜 信息安全技术防火墙安全技术要求和测试评价方法范围本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、开发与测试。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 信息技术安全技
6、术信息技术安全评估准则第部分:安全保障组件 信息安全技术术语术语和定义 界定的以及下列术语和定义适用于本文件。 防火墙犳 犻 狉 犲 狑犪 犾 犾对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品。注:根据安全目的、实现原理的不同,通常可分为网络型防火墙、应用防火墙、数据库防火墙和主机型防火墙等。 网络型防火墙狀 犲 狋 狑狅 狉 犽 犫 犪 狊 犲 犱犳 犻 狉 犲 狑犪 犾 犾部署于不同安全域之间,对经过的数据流进行解析,具备网络层、应用层访问控制及安全防护功能的网络安全产品。 犠犈犅应用防火墙狑 犲 犫犪 狆 狆 犾 犻 犮 犪 狋 犻 狅 狀犳 犻 狉 犲 狑犪 犾 犾
7、部署于服务器前端,对流经的访问和响应数据进行解析,具备应用的访问控制及安全防护功能的网络安全产品。 数据库防火墙犱 犪 狋 犪 犫 犪 狊 犲犳 犻 狉 犲 狑犪 犾 犾部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品。 主机型防火墙犺 狅 狊 狋 犫 犪 狊 犲 犱犳 犻 狉 犲 狑犪 犾 犾部署于计算机(包括个人计算机和服务器)上,提供网络层访问控制、应用程序访问限制和攻击防护功能的网络安全产品。犌犅犜 反向代理狉 犲 狏 犲 狉 狊 犲狆 狉 狅 狓 狔作为服务器端的代理使用,代替服务器接受来自客户端的请求,然后将请求转发给内
8、部服务器,并将从服务器上得到的结果返回给请求客户端的一种部署模式。 拖库攻击犱 狉 犪 犵犪 狋 狋 犪 犮 犽通过非授权获得数据库访问或数据库所在操作系统的权限,批量下载数据库中数据或数据库数据文件的恶意行为。 撞库攻击犪 犮 犮 狅 狌 狀 狋犮 狉 犲 犱 犲 狀 狋 犻 犪 犾犲 狀 狌犿犲 狉 犪 狋 犻 狅 狀犪 狋 狋 犪 犮 犽批量尝试碰撞数据库数据的恶意行为。注:如通过收集已泄露、已知的用户和密码信息,生成对应的字典表,并以此批量尝试登录其他的应用系统。缩略语下列缩略语适用于本文件。:边界网关协议( ):跨站请求伪造( ):非军事化区( ):目的网络地址转换( ):文件传输协
9、议( ):超文本传输协议( ):安全超文本传输协议( ) :网间控制报文协议( ):互联网邮件访问协议( ) :网际协议( ) :互联网协议第六版( ) :站内自动隧道寻址协议( ):介质访问控制( ):网络地址转换( ):网络时间协议( ):开放式最短路径优先( ) :对等网络( ) :路由信息协议( ):源网络地址转换( ):简单网络管理协议( ):结构化查询语言( ):系统日志( ):统一资源定位器( ):万维网( ):跨站脚本( )犌犅犜 概述防火墙是作用于不同安全域之间,具备访问控制及安全防护功能的网络安全产品,主要分为网络型防火墙、应用防火墙、数据库防火墙、主机型防火墙或其组合。防
10、火墙的安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类。其中,安全功能要求对防火墙应具备的安全功能提出具体要求,包括组网与部署、网络层控制、应用层控制、攻击防护和安全审计与分析;自身安全要求针对防火墙的自身安全提出具体的要求,包括身份标识与鉴别、管理能力、管理审计、管理方式和安全支撑系统;性能要求则是对防火墙应达到的性能指标作出规定,包括吞吐量、延迟、连接速率和并发连接数;安全保障要求针对防火墙的生命周期过程提出具体要求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定。防火墙的等级分为基本级和增强级,安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体
11、依据,等级突出安全特性。其中,基本级产品的安全保障要求内容对应 的级,增强级产品的安全保障要求内容对应 的级。各类防火墙(简称“产品” )的具体安全技术要求和等级划分详见附录,测评方法及等级划分详见附录。安全技术要求 安全功能要求 组网与部署 部署模式产品应支持以下部署模式:)透明传输模式;)路由转发模式;)反向代理模式。 路由 静态路由产品应支持静态路由功能,且能配置静态路由。 策略路由具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个网络接口)的产品,应支持策略路由功能,包括但不限于:)基于源、目的 策略路由;)基于接口的策略路由;)基于协议和端口的策略路由;)基于应用类型
12、的策略路由;)基于多链路负载情况自动选择路由。 动态路由产品应支持动态路由功能,包括 、或中一种或多种动态路由协议。犌犅犜 高可用性 冗余部署产品应支持“主备” 、 “主主”或“集群”中的一种或多种冗余部署模式。 负载均衡产品应支持负载均衡功能,能根据安全策略将网络流量均衡到多台服务器上。 设备虚拟化(可选) 虚拟系统若产品支持在逻辑上划分为多个虚拟子系统,虚拟子系统间应支持隔离和独立管理,包括但不限于:)对虚拟子系统分别设置管理员,实现针对虚拟子系统的管理配置;)虚拟子系统能分别维护路由表、安全策略和日志系统;)对虚拟子系统的资源使用配额进行限制。 虚拟化部署若产品为虚拟化形态,应支持部署于
13、虚拟化平台,并接受平台统一管理,包括但不限于:)支持部署于一种虚拟化平台,如 、 和 等;)结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;)结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新、替换。 犐 犘 狏 支持(可选) 支持犐 犘 狏 网络环境若产品支持 ,应支持在 网络环境下正常工作,能有效运行其安全功能和自身安全功能。 协议一致性若产品支持 ,应满足 协议一致性的要求,至少包括 核心协议、 协议、 协议和 协议。 协议健壮性若产品支持 ,应满足 协议健壮性的要求,抵御 网络环境下畸形协议报文攻击。 支持犐 犘 狏 过渡网络环境若产品支持 ,应
14、支持在以下一种或多种 过渡网络环境下工作:)协议转换,将 和 两种协议相互转换;)隧道,将 封装在 中穿越 网络,如 、 、 等。犌犅犜 网络层控制 访问控制 包过滤产品的包过滤功能要求如下:)安全策略应使用最小安全原则,即除非明确允许,否则就禁止;)安全策略应包含基于源 地址、目的 地址的访问控制;)安全策略应包含基于源端口、目的端口的访问控制;)安全策略应包含基于协议类型的访问控制;)安全策略应包含基于地址的访问控制;)安全策略应包含基于时间的访问控制;)应支持用户自定义的安全策略,安全策略包括地址、 地址、端口、协议类型和时间的部分或全部组合。 网络地址转换产品的网络地址转换功能要求如下
15、:)支持和;)应实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源 地址被转换;)应实现“一对多”地址转换,将的 地址端口映射为外部网络合法 地址端口,使外部网络主机通过访问映射地址和端口实现对服务器的访问;)支持动态技术,实现“多对多”的。 状态检测产品应支持基于状态检测技术的包过滤功能,具备状态检测能力。 动态开放端口产品应支持协议的动态端口开放,包括但不限于:)协议;) 等音视频协议。 犐 犘犕犃犆地址绑定产品应支持自动或手工绑定 地址,当主机的 地址、地址与 绑定表中不一致时,阻止其流量通过。 流量管理 带宽管理产品应支持带宽管理功能,能根据策略调整客户端占用的带宽,包括但不
16、限于:)根据源 、目的 、应用类型和时间段的流量速率或总额进行限制;)根据源 、目的 、应用类型和时间段设置保障带宽;)在网络空闲时自动解除流量限制,并在总带宽占用率超过阈值时自动启用限制。犌犅犜 连接数控制产品应支持限制单 的最大并发会话数和新建连接速率,防止大量非法连接产生时影响网络性能。 会话管理在会话处于非活跃状态一定时间或会话结束后,产品应终止会话。 应用层控制 用户管控产品应支持基于用户认证的网络访问控制功能,包括但不限于:)本地用户认证方式;)结合第三方认证系统,如基于 、服务器的认证方式。 应用类型控制产品应支持根据应用特征识别并控制各种应用类型,包括:)协议;)数据库协议;)
17、、 和等常见协议;)即时聊天类、 类、网络流媒体类、网络游戏、股票交易类等应用;)逃逸或隧道加密特点的应用,如加密代理类应用;)自定义应用。 应用内容控制 犠犈犅应用产品应支持基于以下内容对应用的访问进行控制,包括但不限于:)网址,并具备分类网址库;)传输内容的关键字;)请求方式,包括、等;)请求文件类型;)协议头中各字段长度,包括 、 、 等;)上传文件类型;)请求频率;)返回的响应内容,如服务器返回的出错信息等;)支持流量解密。 数据库应用产品应支持基于以下内容对数据库的访问进行控制,包括但不限于:)访问数据库的应用程序、运维工具;)数据库用户名、数据库名、数据表名和数据字段名;)语句关键
18、字、数据库返回内容关键字;)影响行数、返回行数。犌犅犜 其他应用产品应支持基于以下内容对、 和等应用进行控制,包括但不限于:)传输文件类型;)传输内容,如协议命令或关键字。 攻击防护 拒绝服务攻击防护产品具备特征库,应支持拒绝服务攻击防护功能,包括但不限于:) 攻击防护;) 攻击防护;) 攻击防护;) 攻击防护;) 攻击防护;) 攻击防护;)攻击防护。 犠犈犅攻击防护产品具备特征库,应支持攻击防护功能,包括但不限于:)注入攻击防护;)攻击防护;)第三方组件漏洞攻击防护;)目录遍历攻击防护;) 注入攻击防护;)攻击防护;)文件包含攻击防护;)盗链防护;)命令注入攻击防护;) 识别和拦截;)反序列
19、化攻击防护。 数据库攻击防护产品具备特征库,应支持数据库攻击防护功能,包括但不限于:)数据库漏洞攻击防护;)异常语句阻断;)数据库拖库攻击防护;)数据库撞库攻击防护。 恶意代码防护产品具备特征库,应支持恶意代码防护功能,包括但不限于:)能拦截典型的木马攻击行为;犌犅犜 )检测并拦截被网页和电子邮件等携带的恶意代码。 其他应用攻击防护产品具备特征库,应支持防护来自应用层的其他攻击,包括但不限于:)操作系统类漏洞攻击防护;)中间件类漏洞攻击防护;)控件类漏洞攻击防护。 自动化工具威胁防护产品具备特征库,应支持防护自动化工具发起的攻击,包括但不限于:)网络扫描行为防护;)应用扫描行为防护;)漏洞利用
20、工具防护。 攻击逃逸防护产品应支持检测并阻断经逃逸技术处理过的攻击行为。 外部系统协同防护产品应提供联动接口,能通过接口与其他网络安全产品进行联动,如执行其他网络安全产品下发的安全策略等。 安全审计、告警与统计 安全审计产品应支持安全审计功能,包括但不限于:)记录事件类型:)被产品安全策略匹配的访问请求;)检测到的攻击行为。)日志内容:)事件发生的日期和时间;)事件发生的主体、客体和描述,其中数据包日志包括协议类型、源地址、目标地址、源端口和目标端口等;)攻击事件的描述。)日志管理:)仅允许授权管理员访问日志,并提供日志查阅、导出等功能;)能对审计事件按日期、时间、主体、客体等条件查询;)日志
21、存储于掉电非易失性存储介质中;)日志存储周期设定不小于六个月;)存储空间达到阈值时,能通知授权管理员,并确保审计功能的正常运行;)日志支持自动化备份至其他存储设备。 安全告警产品应支持对 中的攻击行为进行告警,并能对高频发生的相同告警事件进行合并告警,避免犌犅犜 出现告警风暴。告警信息至少包括以下内容:)事件主体;)事件客体;)事件描述;)危害级别;)事件发生的日期和时间。 统计 网络流量统计产品应支持以图形化界面展示网络流量情况,包括但不限于:)按照 、时间段和协议类型等条件或以上条件组合对网络流量进行统计;)实时或以报表形式输出统计结果。 应用流量统计产品应支持以图形化界面展示应用流量情况
22、,包括但不限于:)按照 、时间段和应用类型等条件或以上条件组合对应用流量进行统计;)以报表形式输出统计结果;)对不同时间段的统计结果进行比对。 攻击事件统计产品应支持以图形化界面展示攻击事件情况,包括但不限于:)按照攻击事件类型、 和时间段等条件或以上条件组合对攻击事件进行统计;)以报表形式输出统计结果。 自身安全要求 身份标识与鉴别产品的身份标识与鉴别安全要求包括但不限于:)对用户身份进行标识和鉴别,身份标识具有唯一性;)对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储和传输过程中的保密性;)具有登录失败处理功能,如限制连续的非法登录尝试次数等相关措施;)具有登录超时处理功能,当登录连接
23、超时自动退出;)在采用基于口令的身份鉴别时,要求对用户设置的口令进行复杂度检查,确保用户口令满足一定的复杂度要求;)当产品中存在默认口令时,提示用户对默认口令进行修改,以减少用户身份被冒用的风险;)应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别。 管理能力产品的管理能力安全要求包括但不限于:)向授权管理员提供设置和修改安全管理相关的数据参数的功能;)向授权管理员提供设置、查询和修改各种安全策略的功能;)向授权管理员提供管理审计日志的功能;)支持更新自身系统的能力,包括对软件系统的升级以及各种特征库的升级;犌犅犜 )能从服务器同步系统时间;)支持通过协议向日志服务器同步日志、告警等信
24、息;)应区分管理员角色,能划分为系统管理员、安全操作员和安全审计员,三类管理员角色权限能相互制约;)提供安全策略有效性检查功能,如安全策略匹配情况检测等。 管理审计产品的管理审计安全要求包括但不限于:)对用户账户的登录和注销、系统启动、重要配置变更、增加删除修改管理员、保存删除审计日志等操作行为进行日志记录;)对产品及其模块的异常状态进行告警,并记录日志;)日志记录中包括如下内容:事件发生的日期和时间,事件的类型,事件主体,事件操作结果;)仅允许授权管理员访问日志。 管理方式产品的管理方式安全要求包括但不限于:)支持通过 端口进行本地管理;)支持通过网络接口进行远程管理,并能限定进行远程管理的
25、 、地址;)远程管理过程中,管理端与产品之间的所有通信数据应非明文传输;)支持网管协议方式的监控和管理;)支持管理接口与业务接口分离;)支持集中管理,通过集中管理平台实现监控运行状态、下发安全策略、升级系统版本、升级特征库版本。 安全支撑系统产品的支撑系统安全要求包括但不限于:)进行必要的裁剪,不提供多余的组件或网络服务;)重启过程中,安全策略和日志信息不丢失;)不含已知中、高风险安全漏洞。 性能要求 吞吐量 网络层吞吐量硬件产品的网络层吞吐量视不同速率的产品有所不同,具体指标要求如下:)一对相应速率的端口应达到的双向吞吐率指标:)对于 字节短包,百兆产品不小于线速的 ,千兆和万兆产品不小于线
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GBT 20281-2020代替GBT 20010-2005 GBT 20281-2015 GBT 31505-2015 32917-2016 信息安全技术 防火
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【wuy****99】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【wuy****99】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/83680.html