防火墙等保技术要求和测试评价方法.docx

信息安全技术防火墙等保技术要求和测试评价方法Information security technology-Technique requirements and testing and evaluation approaches for firewall products目 次前言 I1 范围 12 规范性引用文件 13 术语和定义 14 符号和缩略语 25 技术要求 35.1 总体说明 35.1.1 技术要求分类 35.1.2 安全等级 35.2 功能要求 35.2.1 一级产品功能要求 35.2.2 二级产品功能要求 55.2.3 三级产品功能要求 75.3 性能要求 95.3.1 吞吐量 95.3.2 延迟 95.3.3 最大并发连接数 105.3.4 最大连接速率 105.4 安全要求 105.4.1 一级产品安全要求 105.4.2 二级产品安全要求 115.4.3 三级产品安全要求 115.5 保证要求 125.5.1 说明 125.5.2 一级产品保证要求 125.5.3 二级产品保证要求 135.5.4 三级产品保证要求 156 测评方法 176.1 总体说明 176.2 功能测试 186.2.1 测试环境与工具 186.2.2 包过滤 186.2.3 状态检测 196.2.4 深度包检测 196.2.5 应用代理 196.2.6 NAT 196.2.7 IP/MAC 地址绑定 206.2.8 动态开放端口 206.2.9 策略路由 206.2.10 流量统计 206.2.11 带宽管理 216.2.12 双机热备 216.2.13 负载均衡 216.2.14 VPN 216.2.15 协同联动 216.2.16 安全审计 226.2.17 管理 226.3 性能测试 236.3.1 测试环境与工具 236.3.2 吞吐量 236.3.3 延迟 236.3.4 最大并发连接数 246.3.5 最大连接速率 246.4 安全性测试 246.4.1 测试环境与工具 246.4.2 抗渗透 246.4.3 恶意代码防御 246.4.4 支撑系统 256.4.5 非正常关机 256.5 保证要求测试 256.5.1 配置管理 256.5.2 交付与运行 256.5.3 安全功能开发过程 256.5.4 指导性文档 256.5.5 生命周期支持 266.5.6 测试 266.5.7 脆弱性评定 26附录 A（资料性附录）防火墙介绍 27A.1 概述 27A.2 工作模式 27A.2.1 路由模式 27A.2.2 透明模式 27A.3 工作环境 27信息安全技术防火墙技术要求和测试评价方法1 范围本标准规定了采用“传输控制协议/网际协议（TCP/IP）”的防火墙类信息安全产品的技术要求和测试评价方法。

本标准适用于采用“传输控制协议/网际协议（TCP/IP）”的防火墙类信息安全产品的研制、生产、测试和评估2 规范性引用文件下列文件中的有关条款通过引用而成为本标准的条款凡注日期或版次的引用文件，其后的任何修改单（不包括勘误的内容）或修订版本都不适用于本标准，但提倡使用本标准的各方探讨使用其最新版本的可能性凡不注日期或版次的引用文件，其最新版本适用于本标准GB/T 5271.8 信息技术 词汇 第8 部分：安全（ GB/T 5271.8-2001,idt ISO/IEC 2382-8:1998）GB 17859 计算机信息系统安全保护等级划分准则GB/T 18336.3 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保证要求（GB/T 18336.3-2001,idt ISO/IEC 15408-3:1999）3 术语和定义GB/T 9387.2、GB/T 18336和GB 17859确立的以及下列术语和定义适用于本标准3.1防火墙 firewall一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统3.2内部网络 internal network通过防火墙隔离的可信任区域或保护区域，通常是指单位内部的局域网。

3.3外部网络 external network通过防火墙隔离的不可信任区域或非保护区域3.4非军事区 Demilitarized Zone一个网络对外提供网络服务的部分，受防火墙保护，通过防火墙与内部网络和外部网络隔离，执行与内部网络不同的安全策略，也有的称为安全服务网络（Secure Service Network）3.5安全策略 security policy有关管理、保护和发布敏感信息的法律、规定和实施细则3.6授权管理员 authorized administrator具有防火墙管理权限的用户，负责对防火墙的系统配置、安全策略、审计日志等进行管理3.7可信主机 trusted host赋予权限能够管理防火墙的主机3.8主机 host一台与防火墙相互作用的机器，它在防火墙安全策略的控制下进行通信3.9用户 user一个在防火墙安全策略的控制下，通过防火墙访问防火墙的某一个区域的人，此人不具有能影响防火墙安全策略执行的权限3.10吞吐量 throughput防火墙在不丢包情况下转发数据的能力，一般以所能达到线速的百分比（或称通过速率）来表示3.11延迟 delay数据帧的最后一个位的末尾到达防火墙内部网络输入端口至数据帧的第一个位的首部到达防火墙外部网络输出端口之间的时间间隔。

3.12最大并发连接数 maximum concurrent TCP connection capacity防火墙所能保持的最大TCP并发连接数量3.13最大连接速率 maximum TCP connection establishment rate防火墙在单位时间内所能建立的最大TCP连接数，一般是每秒的连接数4 符号和缩略语DMZ非军事区Demilitarized ZoneDNAT目的网络地址转换Destination NATDNS域名系统Domain Name SystemFTP文件传输协议File Transfer ProtocolHTTP超文本传输协议Hypertext Transfer ProtocolICMP网间控制报文协议Internet Control Messages ProtocolIDS入侵检测系统Intrusion Detection SystemIP网际协议Internet ProtocolNAT网络地址转换Network Address TranslationPOP3邮局协议3Post Office Protocol 3PBR策略路由Policy-based RoutingSMTP简单邮件传送协议Simple Mail Transfer ProtocolSNAT源网络地址转换Source IP NATSSN安全服务网络Secure Service NetworkSTP生成树协议Spanning Tree ProtocolTCP传输控制协议Transport Control ProtocolUDP用户数据报协议User Datagram ProtocolURL统一资源定位器Uniform Resource LocatorUSB通用串行总线Universal Serial BusVLAN虚拟局域网Virtual Local Area NetworkVPN虚拟专用网Virtual Private NetworkVRRP虚拟路由器冗余协议Virtual Router Redundancy Protocol5 技术要求5.1 总体说明5.1.1 技术要求分类本标准将防火墙通用技术要求分为功能、性能、安全和保证要求四个大类。

其中，功能要求是对防火墙产品应具备的安全功能提出具体的要求，包括包过滤、应用代理、内容过滤、安全审计和安全管理等；性能要求对防火墙产品应达到的性能指标作出规定，例如吞吐量、延迟、最大并发连接数和最大连接速率；安全要求是对防火墙自身安全和防护能力提出具体的要求，例如抵御各种网络攻击；保证要求则针对防火墙开发者和防火墙自身提出具体的要求，例如管理配置、交付与操作、指南文件等5.1.2 安全等级本标准依据GB 17859和GB/T 18336.3，并根据国内测评认证机构、测评技术和我国防火墙产品开发现状，对防火墙产品进行安全等级划分安全等级分为一级、二级、三级三个逐级提高的级别，功能强弱、安全强度和保证要求高低是等级划分的具体依据安全等级突出安全特性，性能高低不作为等级划分依据5.2 功能要求5.2.1 一级产品功能要求5.2.1.1 功能要求列表一级产品的功能要求由表1所列项目组成表1 一级产品功能要求细目功能分类功能项目要求包过滤支持默认禁止原则支持基于IP地址的访问控制支持基于端口的访问控制支持基于协议类型的访问控制应用代理支持应用层协议代理NAT支持双向NAT流量统计支持根据IP地址、协议、时间等参数对流量进行统计。

支持统计结果的报表形式输出安全审计支持记录来自外部网络的被安全策略允许的访问请求支持记录来自内部网络和DMZ的被安全策略允许的访问请求支持记录任何试图穿越或到达防火墙的违反安全策略的访问请求支持记录防火墙管理行为审计记录内容支持日志的访问授权支持日志的管理提供日志管理工具管理支持对授权管理员的口令鉴别方式支持对授权管理员、可信主机、主机和用户进行身份鉴别支持本地和远程管理支持设置和修改安全管理相关的数据参数支持设置、查询和修改安全策略支持管理审计日志5.2.1.2 包过滤防火墙应具备包过滤功能，具体技术要求如下：a） 防火墙的安全策略应使用最小安全原则，即除非明确允许，否则就禁止；b） 防火墙的安全策略应包含基于源IP地址、目的IP地址的访问控制； c） 防火墙的安全策略应包含基于源端口、目的端口的访问控制； d） 防火墙的安全策略应包含基于协议类型的访问控制5.2.1.3 应用代理应用代理型和复合型防火墙应具备应用代理功能，且应至少支持HTTP、FTP、TELNET、POP3 和SMTP等协议的应用代理5.2.1.4 NAT包过滤型和复合型防火墙应具备NAT功能，具体技术要求如下：a） 防火墙应支持双向NAT：SNAT和DNAT；b） SNAT应至少可实现“多对一”地址转换，使得内部网络主机正常访问外部网络时，其源IP地址被转换；c） DNAT应至少可实现“一对多”地址转换，将DMZ的IP地址映射为外部网络合法IP地址，使外部网络主机通过访问映射地址实现对DMZ服务器的访问。

5.2.1.5 流量统计。