GB/T 20281-2020
基本信息
标准号: GB/T 20281-2020
中文名称:信息安全技术 防火墙安全 技术要求和测试评价方法
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 20281-2020.Information security technology-Security technical requirements and testing assessment approaches for firewall.
1范围
GB/T 20281规定了防火墙的等级划分、安全技术要求及测评方法。
GB/T 20281适用于防火墙的设计、开发与测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2015信息技术安全技术信息技术安 全评估准则第 3部分:安全保障组件
GB/T 25069-2010信息安全技术 术语
3术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
防火墙 firewall
对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品。
注:根据安全目的、实现原理的不同,通常可分为网络型防火墙、WEB应用防火墙、数据库防火墙和主机型防火墙等。
3.2
网络型防火墙 network-based firewall
部署于不同安全域之间,对经过的数据流进行解析,具备网络层、应用层访问控制及安全防护功能的网络安全产品。
3.3
WEB应用防火墙 web application firewall
部署于WEB服务器前端,对流经的HTTP/HTTPS访问和响应数据进行解析,具备WEB应用的访问控制及安全防护功能的网络安全产品。
3.4
数据库防火墙 database firewall
部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品。
3.5
主机型防火墙 host-based firewall
部署于计算机(包括个人计算机和服务器).上,提供网络层访问控制、应用程序访问限制和攻击防护功能的网络安全产品。
1范围
GB/T 20281规定了防火墙的等级划分、安全技术要求及测评方法。
GB/T 20281适用于防火墙的设计、开发与测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2015信息技术安全技术信息技术安 全评估准则第 3部分:安全保障组件
GB/T 25069-2010信息安全技术 术语
3术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
防火墙 firewall
对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品。
注:根据安全目的、实现原理的不同,通常可分为网络型防火墙、WEB应用防火墙、数据库防火墙和主机型防火墙等。
3.2
网络型防火墙 network-based firewall
部署于不同安全域之间,对经过的数据流进行解析,具备网络层、应用层访问控制及安全防护功能的网络安全产品。
3.3
WEB应用防火墙 web application firewall
部署于WEB服务器前端,对流经的HTTP/HTTPS访问和响应数据进行解析,具备WEB应用的访问控制及安全防护功能的网络安全产品。
3.4
数据库防火墙 database firewall
部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品。
3.5
主机型防火墙 host-based firewall
部署于计算机(包括个人计算机和服务器).上,提供网络层访问控制、应用程序访问限制和攻击防护功能的网络安全产品。
标准图片预览
标准内容
1范围
信息安全技术防火墙安全
技术要求和测试评价方法
本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计,开发与测试。规范性引用文件
GB/T20281—2020
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T25069—2010信息安全技术术语术语和定义
GB/T25069—2010界定的以及下列术语和定义适用于本文件。Lae
防火墙
firewall
对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品注:根据安全目的、实现原理的不同,通常可分为网络型防火墙、WEB应用防火墙、数据库防火墙和主机型防火墙等。
网络型防火墙
network-basedfirewall
部署于不同安全域之间,对经过的数据流进行解析,具备网络层、应用层访问控制及安全防护功能的网络安全产品。
WEB应用防火墙webapplicationfirewall部署于WEB服务器前端,对流经的HTTP/HTTPS访问和响应数据进行解析,具备WEB应用的访问控制及安全防护功能的网络安全产品。3.4
数据库防火墙
database firewall
部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品
主机型防火墙
host-based firewall
部署于计算机(包括个人计算机和服务器)上,提供网络层访问控制、应用程序访问限制和攻击防护功能的网络安全产品。
GB/T20281—2020
反向代理
reverseproxy
作为服务器端的代理使用,代替服务器接受来自客户端的请求,然后将请求转发给内部服务器,并将从服务器上得到的结果返回给请求客户端的一种部署模式。3.7
拖库攻击
drag attack
通过非授权获得数据库访问或数据库所在操作系统的权限,批量下载数据库中数据或数据库数据文件的恶意行为。
撞库攻击
account credential enumeration attack批量尝试碰撞数据库数据的恶意行为。注:如通过收集已泄露、已知的用户和密码信息,生成对应的字典表,并以此批量尝试登录其他的应用系统。4缩略语
下列缩略语适用于本文件。
BGP:边界网关协议(BorderGatewayProtocol)CSRF:跨站请求伪造(Cross-siterequestforgery)DMZ:非军事化区(DemilitarizedZone)DNAT:目的网络地址转换(DestinationNAT)FTP:文件传输协议(FileTransferProtocol)KAca
HTTP:超文本传输协议(HypertextTransferProtocol))HTTPS:安全超文本传输协议(HypertexTransferProtocoloverSecureSocketLayer)ICMP:网间控制报文协议(InternetControlMessagesProtocol)IMAP:互联网邮件访问协议(InternetMailAccessProtocol)IP:网际协议(InternetProtocol)IPV6:互联网协议第六版(InternetProtocolV6)ISATAP:站内自动隧道寻址协议(Intra-SiteAutomaticTunnelAddressingProtocol)MAC:介质访问控制(MediaAccessControl)NAT:网络地址转换(NetworkAddressTranslation)NTP:网络时间协议(NetworkTimeProtocol)OSPF:开放式最短路径优先(OpenShortestPathFirst)P2P:对等网络(Peer-to-peer)RIP:路由信息协议(RoutingInformationProtocol)SNAT:源网络地址转换(SourceNAT)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)SQL:结构化查询语言(StructuredQueryLanguage)SYSLOG:系统日志(SystemLog)URL:统一资源定位器(UniformResourceLocator)WEB:万维网(WorldWideWEB)
XSS:跨站脚本(CrossSiteScripting)2
5概述
GB/T20281—2020
防火墙是作用于不同安全域之间,具备访问控制及安全防护功能的网络安全产品,主要分为网络型防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙或其组合防火墙的安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类。其中,安全功能要求对防火墙应具备的安全功能提出具体要求,包括组网与部署、网络层控制、应用层控制、攻击防护和安全审计与分析;自身安全要求针对防火墙的自身安全提出具体的要求,包括身份标识与鉴别、管理能力、管理审计、管理方式和安全支撑系统;性能要求则是对防火墙应达到的性能指标作出规定,包括吞吐量、延迟、连接速率和并发连接数;安全保障要求针对防火墙的生命周期过程提出具体要求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定。防火墙的等级分为基本级和增强级,安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体依据,等级突出安全特性。其中,基本级产品的安全保障要求内容对应GB/T18336.3一2015的EAL2级,增强级产品的安全保障要求内容对应GB/T18336.32015的EAL4十级。各类防火墙(简称\产品”)的具体安全技术要求和等级划分详见附录A,测评方法及等级划分详见附录B。安全技术要求
安全功能要求
6.1.1组网与部署
部署模式
产品应支持以下部署模式:
透明传输模式;
路由转发模式;
反向代理模式,
2路由
6.1.1.2.1
静态路由
HiiKaeerKAca
产品应支持静态路由功能,且能配置静态路由。6.1.1.2.2策略路由
具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的产品,应支持策略路由功能,包括但不限于:a)基于源、目的IP策略路由;
b)基于接口的策略路由;
基于协议和端口的策略路由;
基于应用类型的策略路由;
e)基于多链路负载情况自动选择路由6.1.1.2.3
动态路由
产品应支持动态路由功能,包括RIP、OSPF或BGP中一种或多种动态路由协议GB/T20281—2020
6.1.1.3高可用性
6.1.1.3.1余部署
产品应支持“主-备”“主-主”或“集群”中的一种或多种穴余部署模式6.1.1.3.2负载均衡
产品应支持负载均衡功能,能根据安全策略将网络流量均衡到多台服务器上。6.1.1.4设备虚拟化(可选)
6.1.1.4.1虚拟系统
若产品支持在逻辑上划分为多个虚拟子系统,虚拟子系统间应支持隔离和独立管理,包括但不限于:
对虚拟子系统分别设置管理员,实现针对虚拟子系统的管理配置;a)
虚拟子系统能分别维护路由表、安全策略和日志系统;b)
对虚拟子系统的资源使用配额进行限制。c
6.1.1.4.2虚拟化部署
若产品为虚拟化形态,应支持部署于虚拟化平台,并接受平台统一管理,包括但不限于:a)
支持部署于一种虚拟化平台,如VMwareESXi、KVM、CitrixXenserver和Hyper-V等;b)
结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;Hiik
结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新、替换c
IPv6支持(可选)
支持IPv6网络环境
6.1.1.5.1
若产品支持IPv6,应支持在IPv6网络环境下正常工作,能有效运行其安全功能和自身安全功能。
6.1.1.5.2协议一致性
若产品支持IPv6,应满足IPv6协议一致性的要求,至少包括IPv6核心协议、IPv6NDP协议、IPv6Autoconfig协议和ICMPv6协议。6.1.1.5.3协议健壮性www.bzxz.net
若产品支持IPv6,应满足IPv6协议健壮性的要求,抵御IPv6网络环境下畸形协议报文攻击。6.1.1.5.4支持IPv6过渡网络环境若产品支持IPv6.应支持在以下一种或多种IPv6过渡网络环境下工作:a)协议转换,将IPv4和IPv6两种协议相互转换隧道,将IPv6封装在IPv4中穿越IPv4网络,如IPv6overIPv4、IPv6toIPv4、ISATAP等。b)
6.1.2网络层控制
访问控制
6.1.2.1.1
包过滤
产品的包过滤功能要求如下:
安全策略应使用最小安全原则,即除非明确允许,否则就禁止;a)
安全策略应包含基于源IP地址、目的IP地址的访间控制;安全策略应包含基于源端口、目的端口的访问控制安全策略应包含基于协议类型的访问控制;d)
安全策略应包含基于MAC地址的访问控制;安全策略应包含基于时间的访问控制;GB/T20281—2020
应支持用户自定义的安全策略,安全策略包括MAC地址、IP地址、端口、协议类型和时间的部g)
分或全部组合。
6.1.2.1.2
网络地址转换
产品的网络地址转换功能要求如下:支持SNAT和DNAT;
SNAT应实现\多对一”地址转换,使得内部网络主机访间外部网络时,其源IP地址被转换;b)
DNAT应实现“一对多地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地址/端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问;d)支持动态SNAT技术,实现\多对多的SNAT。6.1.2.1.3
状态检测
产品应支持基于状态检测技术的包过滤功能,具备状态检测能力。6.1.2.1.4动态开放端口
产品应支持协议的动态端口开放,包括但不限于:a)
FTP协议;
b)H.323等音视频协议。
6.1.2.1.5
5IP/MAC地址绑定
产品应支持自动或手工绑定IP/MAC地址,当主机的IP地址、MAC地址与IP/MAC绑定表中不一致时,阻止其流量通过。
流量管理
6.1.2.2.1
带宽管理
产品应支持带宽管理功能,能根据策略调整客户端占用的带宽,包括但不限于:根据源IP、目的IP、应用类型和时间段的流量速率或总额进行限制;a
b)根据源IP、目的IP、应用类型和时间段设置保障带宽;c
在网络空闲时自动解除流量限制,并在总带宽占用率超过阈值时自动启用限制。5
GB/T20281—2020
6.1.2.2.2
2连接数控制
产品应支持限制单IP的最大并发会话数和新建连接速率,防止大量非法连接产生时影响网络性能。
6.1.2.2.3会话管理
在会话处于非活跃状态一定时间或会话结束后,产品应终止会话6.1.3应用层控制
6.1.3.1用户管控
产品应支持基于用户认证的网络访问控制功能,包括但不限于:a)本地用户认证方式:
b)结合第三方认证系统,如基于Radius、LDAP服务器的认证方式2应用类型控制
产品应支持根据应用特征识别并控制各种应用类型,包括:HTTP协议;
数据库协议;
FTP、TELNET、SMTP、POP3和IMAP等常见协议;即时聊天类、P2P类、网络流媒体类、网络游戏、股票交易类等应用;逃逸或隧道加密特点的应用,如加密代理类应用;自定义应用。
应用内容控制
6.1.3.3.1
WEB应用
产品应支持基于以下内容对WEB应用的访问进行控制.包括但不限于:URL网址,并具备分类网址库;
HTTP传输内容的关键字;
HTTP请求方式,包括GET、POST、PUT、HEAD等;HTTP请求文件类型;
HTTP协议头中各字段长度,包括general-header、request-header、response-header等;HTTP上传文件类型;
HTTP请求频率;
6.1.3.3.2
HTTP返回的响应内容,如服务器返回的出错信息等;支持HTTPS流量解密。
数据库应用
产品应支持基于以下内容对数据库的访问进行控制,包括但不限于:访问数据库的应用程序、运维工具;a)
数据库用户名、数据库名、数据表名和数据字段名;SQL语句关键字、数据库返回内容关键字;影响行数、返回行数。
6.1.3.3.3
3其他应用
GB/T20281—2020
产品应支持基于以下内容对FTP、TELNET、SMTP、POP3和IMAP等应用进行控制,包括但不限于:
传输文件类型:
传输内容,如协议命令或关键字。b)
攻击防护
拒绝服务攻击防护
产品具备特征库,应支持拒绝服务攻击防护功能,包括但不限于:a)
ICMPFlood攻击防护;
UDPFlood攻击防护;
SYNFlood攻击防护;
TearDrop攻击防护;
Land攻击防护;
PingofDeath攻击防护;
CC攻击防护。
WEB攻击防护
产品具备特征库,应支持WEB攻击防护功能,包括但不限于:a)
SQL注入攻击防护;
XSS攻击防护;
第三方组件漏洞攻击防护;
目录遍历攻击防护;
Cookie注入攻击防护;
CSRF攻击防护;
文件包含攻击防护;
盗链防护;
OS命令注人攻击防护;
WEBshell识别和拦截;
反序列化攻击防护。
数据库攻击防护
产品具备特征库,应支持数据库攻击防护功能,包括但不限于:a)
数据库漏洞攻击防护;
异常SQL语句阻断;
数据库拖库攻击防护;
数据库撞库攻击防护。
恶意代码防护
产品具备特征库,应支持恶意代码防护功能,包括但不限于:能拦截典型的木马攻击行为:
GB/T20281—2020
b)检测并拦截被HTTP网页和电子邮件等携带的恶意代码。6.1.4.5其他应用攻击防护
产品具备特征库,应支持防护来自应用层的其他攻击,包括但不限于:操作系统类漏洞攻击防护;
中间件类漏洞攻击防护;
控件类漏洞攻击防护。
自动化工具威胁防护
产品具备特征库,应支持防护自动化工具发起的攻击,包括但不限于:a)
网络扫描行为防护:
应用扫描行为防护;
漏洞利用工具防护。
攻击逃逸防护
产品应支持检测并阻断经逃逸技术处理过的攻击行为6.1.4.8外部系统协同防护
产品应提供联动接口,能通过接口与其他网络安全产品进行联动,如执行其他网络安全产品下发的安全策略等。
6.1.5安全审计、告警与统计
6.1.5.1安全审计
产品应支持安全审计功能,包括但不限于:a)
记录事件类型:
1)被产品安全策略匹配的访问请求;2)检测到的攻击行为。
b)日志内容:
事件发生的日期和时间;
2)事件发生的主体、客体和描述,其中数据包日志包括协议类型、源地址、目标地址、源端口和目标端口等;
3)攻击事件的描述。
日志管理:
1)仅允许授权管理员访问日志,并提供日志查阅、导出等功能;2)
能对审计事件按日期、时间、主体、客体等条件查询;日志存储于掉电非易失性存储介质中;日志存储周期设定不小于六个月;存储空间达到阈值时,能通知授权管理员,并确保审计功能的正常运行;日志支持自动化备份至其他存储设备6.1.5.2
安全告警
产品应支持对6.1.4中的攻击行为进行告警,并能对高频发生的相同告警事件进行合并告警,避免出现告警风暴。告警信息至少包括以下内容:a)事件主体;
b)事件客体;
事件描述;
d)危害级别;
事件发生的日期和时间,
3统计
6.1.5.3.1
网络流量统计
产品应支持以图形化界面展示网络流量情况,包括但不限手:a)按照IP、时间段和协议类型等条件或以上条件组合对网络流量进行统计:b)实时或以报表形式输出统计结果。6.1.5.3.2应用流量统计
产品应支持以图形化界面展示应用流量情况,包括但不限于:按照IP、时间段和应用类型等条件或以上条件组合对应用流量进行统计;a
b)以报表形式输出统计结果;
c)对不同时间段的统计结果进行比对。6.1.5.3.3
3攻击事件统计
产品应支持以图形化界面展示攻击事件情况,包括但不限于:GB/T20281—2020
a)按照攻击事件类型、IP和时间段等条件或以上条件组合对攻击事件进行统计;b)以报表形式输出统计结果。
6.2自身安全要求
6.2.1身份标识与鉴别
产品的身份标识与鉴别安全要求包括但不限于:a)
对用户身份进行标识和鉴别,身份标识具有唯一性:b)对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储和传输过程中的保密性:具有登录失败处理功能,如限制连续的非法登录尝试次数等相关措施;c)
具有登录超时处理功能,当登录连接超时自动退出:e)
在采用基于口令的身份鉴别时,要求对用户设置的口令进行复杂度检查,确保用户口令满足定的复杂度要求;
当产品中存在默认口令时,提示用户对默认口令进行修改,以减少用户身份被冒用的风险;应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别。管理能力
产品的管理能力安全要求包括但不限于:向授权管理员提供设置和修改安全管理相关的数据参数的功能;a)
向授权管理员提供设置、查询和修改各种安全策略的功能;c)
向授权管理员提供管理审计日志的功能:d)支持更新自身系统的能力,包括对软件系统的升级以及各种特征库的升级;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
信息安全技术防火墙安全
技术要求和测试评价方法
本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计,开发与测试。规范性引用文件
GB/T20281—2020
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T25069—2010信息安全技术术语术语和定义
GB/T25069—2010界定的以及下列术语和定义适用于本文件。Lae
防火墙
firewall
对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品注:根据安全目的、实现原理的不同,通常可分为网络型防火墙、WEB应用防火墙、数据库防火墙和主机型防火墙等。
网络型防火墙
network-basedfirewall
部署于不同安全域之间,对经过的数据流进行解析,具备网络层、应用层访问控制及安全防护功能的网络安全产品。
WEB应用防火墙webapplicationfirewall部署于WEB服务器前端,对流经的HTTP/HTTPS访问和响应数据进行解析,具备WEB应用的访问控制及安全防护功能的网络安全产品。3.4
数据库防火墙
database firewall
部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品
主机型防火墙
host-based firewall
部署于计算机(包括个人计算机和服务器)上,提供网络层访问控制、应用程序访问限制和攻击防护功能的网络安全产品。
GB/T20281—2020
反向代理
reverseproxy
作为服务器端的代理使用,代替服务器接受来自客户端的请求,然后将请求转发给内部服务器,并将从服务器上得到的结果返回给请求客户端的一种部署模式。3.7
拖库攻击
drag attack
通过非授权获得数据库访问或数据库所在操作系统的权限,批量下载数据库中数据或数据库数据文件的恶意行为。
撞库攻击
account credential enumeration attack批量尝试碰撞数据库数据的恶意行为。注:如通过收集已泄露、已知的用户和密码信息,生成对应的字典表,并以此批量尝试登录其他的应用系统。4缩略语
下列缩略语适用于本文件。
BGP:边界网关协议(BorderGatewayProtocol)CSRF:跨站请求伪造(Cross-siterequestforgery)DMZ:非军事化区(DemilitarizedZone)DNAT:目的网络地址转换(DestinationNAT)FTP:文件传输协议(FileTransferProtocol)KAca
HTTP:超文本传输协议(HypertextTransferProtocol))HTTPS:安全超文本传输协议(HypertexTransferProtocoloverSecureSocketLayer)ICMP:网间控制报文协议(InternetControlMessagesProtocol)IMAP:互联网邮件访问协议(InternetMailAccessProtocol)IP:网际协议(InternetProtocol)IPV6:互联网协议第六版(InternetProtocolV6)ISATAP:站内自动隧道寻址协议(Intra-SiteAutomaticTunnelAddressingProtocol)MAC:介质访问控制(MediaAccessControl)NAT:网络地址转换(NetworkAddressTranslation)NTP:网络时间协议(NetworkTimeProtocol)OSPF:开放式最短路径优先(OpenShortestPathFirst)P2P:对等网络(Peer-to-peer)RIP:路由信息协议(RoutingInformationProtocol)SNAT:源网络地址转换(SourceNAT)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)SQL:结构化查询语言(StructuredQueryLanguage)SYSLOG:系统日志(SystemLog)URL:统一资源定位器(UniformResourceLocator)WEB:万维网(WorldWideWEB)
XSS:跨站脚本(CrossSiteScripting)2
5概述
GB/T20281—2020
防火墙是作用于不同安全域之间,具备访问控制及安全防护功能的网络安全产品,主要分为网络型防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙或其组合防火墙的安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类。其中,安全功能要求对防火墙应具备的安全功能提出具体要求,包括组网与部署、网络层控制、应用层控制、攻击防护和安全审计与分析;自身安全要求针对防火墙的自身安全提出具体的要求,包括身份标识与鉴别、管理能力、管理审计、管理方式和安全支撑系统;性能要求则是对防火墙应达到的性能指标作出规定,包括吞吐量、延迟、连接速率和并发连接数;安全保障要求针对防火墙的生命周期过程提出具体要求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定。防火墙的等级分为基本级和增强级,安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体依据,等级突出安全特性。其中,基本级产品的安全保障要求内容对应GB/T18336.3一2015的EAL2级,增强级产品的安全保障要求内容对应GB/T18336.32015的EAL4十级。各类防火墙(简称\产品”)的具体安全技术要求和等级划分详见附录A,测评方法及等级划分详见附录B。安全技术要求
安全功能要求
6.1.1组网与部署
部署模式
产品应支持以下部署模式:
透明传输模式;
路由转发模式;
反向代理模式,
2路由
6.1.1.2.1
静态路由
HiiKaeerKAca
产品应支持静态路由功能,且能配置静态路由。6.1.1.2.2策略路由
具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的产品,应支持策略路由功能,包括但不限于:a)基于源、目的IP策略路由;
b)基于接口的策略路由;
基于协议和端口的策略路由;
基于应用类型的策略路由;
e)基于多链路负载情况自动选择路由6.1.1.2.3
动态路由
产品应支持动态路由功能,包括RIP、OSPF或BGP中一种或多种动态路由协议GB/T20281—2020
6.1.1.3高可用性
6.1.1.3.1余部署
产品应支持“主-备”“主-主”或“集群”中的一种或多种穴余部署模式6.1.1.3.2负载均衡
产品应支持负载均衡功能,能根据安全策略将网络流量均衡到多台服务器上。6.1.1.4设备虚拟化(可选)
6.1.1.4.1虚拟系统
若产品支持在逻辑上划分为多个虚拟子系统,虚拟子系统间应支持隔离和独立管理,包括但不限于:
对虚拟子系统分别设置管理员,实现针对虚拟子系统的管理配置;a)
虚拟子系统能分别维护路由表、安全策略和日志系统;b)
对虚拟子系统的资源使用配额进行限制。c
6.1.1.4.2虚拟化部署
若产品为虚拟化形态,应支持部署于虚拟化平台,并接受平台统一管理,包括但不限于:a)
支持部署于一种虚拟化平台,如VMwareESXi、KVM、CitrixXenserver和Hyper-V等;b)
结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;Hiik
结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新、替换c
IPv6支持(可选)
支持IPv6网络环境
6.1.1.5.1
若产品支持IPv6,应支持在IPv6网络环境下正常工作,能有效运行其安全功能和自身安全功能。
6.1.1.5.2协议一致性
若产品支持IPv6,应满足IPv6协议一致性的要求,至少包括IPv6核心协议、IPv6NDP协议、IPv6Autoconfig协议和ICMPv6协议。6.1.1.5.3协议健壮性www.bzxz.net
若产品支持IPv6,应满足IPv6协议健壮性的要求,抵御IPv6网络环境下畸形协议报文攻击。6.1.1.5.4支持IPv6过渡网络环境若产品支持IPv6.应支持在以下一种或多种IPv6过渡网络环境下工作:a)协议转换,将IPv4和IPv6两种协议相互转换隧道,将IPv6封装在IPv4中穿越IPv4网络,如IPv6overIPv4、IPv6toIPv4、ISATAP等。b)
6.1.2网络层控制
访问控制
6.1.2.1.1
包过滤
产品的包过滤功能要求如下:
安全策略应使用最小安全原则,即除非明确允许,否则就禁止;a)
安全策略应包含基于源IP地址、目的IP地址的访间控制;安全策略应包含基于源端口、目的端口的访问控制安全策略应包含基于协议类型的访问控制;d)
安全策略应包含基于MAC地址的访问控制;安全策略应包含基于时间的访问控制;GB/T20281—2020
应支持用户自定义的安全策略,安全策略包括MAC地址、IP地址、端口、协议类型和时间的部g)
分或全部组合。
6.1.2.1.2
网络地址转换
产品的网络地址转换功能要求如下:支持SNAT和DNAT;
SNAT应实现\多对一”地址转换,使得内部网络主机访间外部网络时,其源IP地址被转换;b)
DNAT应实现“一对多地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地址/端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问;d)支持动态SNAT技术,实现\多对多的SNAT。6.1.2.1.3
状态检测
产品应支持基于状态检测技术的包过滤功能,具备状态检测能力。6.1.2.1.4动态开放端口
产品应支持协议的动态端口开放,包括但不限于:a)
FTP协议;
b)H.323等音视频协议。
6.1.2.1.5
5IP/MAC地址绑定
产品应支持自动或手工绑定IP/MAC地址,当主机的IP地址、MAC地址与IP/MAC绑定表中不一致时,阻止其流量通过。
流量管理
6.1.2.2.1
带宽管理
产品应支持带宽管理功能,能根据策略调整客户端占用的带宽,包括但不限于:根据源IP、目的IP、应用类型和时间段的流量速率或总额进行限制;a
b)根据源IP、目的IP、应用类型和时间段设置保障带宽;c
在网络空闲时自动解除流量限制,并在总带宽占用率超过阈值时自动启用限制。5
GB/T20281—2020
6.1.2.2.2
2连接数控制
产品应支持限制单IP的最大并发会话数和新建连接速率,防止大量非法连接产生时影响网络性能。
6.1.2.2.3会话管理
在会话处于非活跃状态一定时间或会话结束后,产品应终止会话6.1.3应用层控制
6.1.3.1用户管控
产品应支持基于用户认证的网络访问控制功能,包括但不限于:a)本地用户认证方式:
b)结合第三方认证系统,如基于Radius、LDAP服务器的认证方式2应用类型控制
产品应支持根据应用特征识别并控制各种应用类型,包括:HTTP协议;
数据库协议;
FTP、TELNET、SMTP、POP3和IMAP等常见协议;即时聊天类、P2P类、网络流媒体类、网络游戏、股票交易类等应用;逃逸或隧道加密特点的应用,如加密代理类应用;自定义应用。
应用内容控制
6.1.3.3.1
WEB应用
产品应支持基于以下内容对WEB应用的访问进行控制.包括但不限于:URL网址,并具备分类网址库;
HTTP传输内容的关键字;
HTTP请求方式,包括GET、POST、PUT、HEAD等;HTTP请求文件类型;
HTTP协议头中各字段长度,包括general-header、request-header、response-header等;HTTP上传文件类型;
HTTP请求频率;
6.1.3.3.2
HTTP返回的响应内容,如服务器返回的出错信息等;支持HTTPS流量解密。
数据库应用
产品应支持基于以下内容对数据库的访问进行控制,包括但不限于:访问数据库的应用程序、运维工具;a)
数据库用户名、数据库名、数据表名和数据字段名;SQL语句关键字、数据库返回内容关键字;影响行数、返回行数。
6.1.3.3.3
3其他应用
GB/T20281—2020
产品应支持基于以下内容对FTP、TELNET、SMTP、POP3和IMAP等应用进行控制,包括但不限于:
传输文件类型:
传输内容,如协议命令或关键字。b)
攻击防护
拒绝服务攻击防护
产品具备特征库,应支持拒绝服务攻击防护功能,包括但不限于:a)
ICMPFlood攻击防护;
UDPFlood攻击防护;
SYNFlood攻击防护;
TearDrop攻击防护;
Land攻击防护;
PingofDeath攻击防护;
CC攻击防护。
WEB攻击防护
产品具备特征库,应支持WEB攻击防护功能,包括但不限于:a)
SQL注入攻击防护;
XSS攻击防护;
第三方组件漏洞攻击防护;
目录遍历攻击防护;
Cookie注入攻击防护;
CSRF攻击防护;
文件包含攻击防护;
盗链防护;
OS命令注人攻击防护;
WEBshell识别和拦截;
反序列化攻击防护。
数据库攻击防护
产品具备特征库,应支持数据库攻击防护功能,包括但不限于:a)
数据库漏洞攻击防护;
异常SQL语句阻断;
数据库拖库攻击防护;
数据库撞库攻击防护。
恶意代码防护
产品具备特征库,应支持恶意代码防护功能,包括但不限于:能拦截典型的木马攻击行为:
GB/T20281—2020
b)检测并拦截被HTTP网页和电子邮件等携带的恶意代码。6.1.4.5其他应用攻击防护
产品具备特征库,应支持防护来自应用层的其他攻击,包括但不限于:操作系统类漏洞攻击防护;
中间件类漏洞攻击防护;
控件类漏洞攻击防护。
自动化工具威胁防护
产品具备特征库,应支持防护自动化工具发起的攻击,包括但不限于:a)
网络扫描行为防护:
应用扫描行为防护;
漏洞利用工具防护。
攻击逃逸防护
产品应支持检测并阻断经逃逸技术处理过的攻击行为6.1.4.8外部系统协同防护
产品应提供联动接口,能通过接口与其他网络安全产品进行联动,如执行其他网络安全产品下发的安全策略等。
6.1.5安全审计、告警与统计
6.1.5.1安全审计
产品应支持安全审计功能,包括但不限于:a)
记录事件类型:
1)被产品安全策略匹配的访问请求;2)检测到的攻击行为。
b)日志内容:
事件发生的日期和时间;
2)事件发生的主体、客体和描述,其中数据包日志包括协议类型、源地址、目标地址、源端口和目标端口等;
3)攻击事件的描述。
日志管理:
1)仅允许授权管理员访问日志,并提供日志查阅、导出等功能;2)
能对审计事件按日期、时间、主体、客体等条件查询;日志存储于掉电非易失性存储介质中;日志存储周期设定不小于六个月;存储空间达到阈值时,能通知授权管理员,并确保审计功能的正常运行;日志支持自动化备份至其他存储设备6.1.5.2
安全告警
产品应支持对6.1.4中的攻击行为进行告警,并能对高频发生的相同告警事件进行合并告警,避免出现告警风暴。告警信息至少包括以下内容:a)事件主体;
b)事件客体;
事件描述;
d)危害级别;
事件发生的日期和时间,
3统计
6.1.5.3.1
网络流量统计
产品应支持以图形化界面展示网络流量情况,包括但不限手:a)按照IP、时间段和协议类型等条件或以上条件组合对网络流量进行统计:b)实时或以报表形式输出统计结果。6.1.5.3.2应用流量统计
产品应支持以图形化界面展示应用流量情况,包括但不限于:按照IP、时间段和应用类型等条件或以上条件组合对应用流量进行统计;a
b)以报表形式输出统计结果;
c)对不同时间段的统计结果进行比对。6.1.5.3.3
3攻击事件统计
产品应支持以图形化界面展示攻击事件情况,包括但不限于:GB/T20281—2020
a)按照攻击事件类型、IP和时间段等条件或以上条件组合对攻击事件进行统计;b)以报表形式输出统计结果。
6.2自身安全要求
6.2.1身份标识与鉴别
产品的身份标识与鉴别安全要求包括但不限于:a)
对用户身份进行标识和鉴别,身份标识具有唯一性:b)对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储和传输过程中的保密性:具有登录失败处理功能,如限制连续的非法登录尝试次数等相关措施;c)
具有登录超时处理功能,当登录连接超时自动退出:e)
在采用基于口令的身份鉴别时,要求对用户设置的口令进行复杂度检查,确保用户口令满足定的复杂度要求;
当产品中存在默认口令时,提示用户对默认口令进行修改,以减少用户身份被冒用的风险;应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别。管理能力
产品的管理能力安全要求包括但不限于:向授权管理员提供设置和修改安全管理相关的数据参数的功能;a)
向授权管理员提供设置、查询和修改各种安全策略的功能;c)
向授权管理员提供管理审计日志的功能:d)支持更新自身系统的能力,包括对软件系统的升级以及各种特征库的升级;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。