GA/T 1177-2014
基本信息
标准号: GA/T 1177-2014
中文名称:信息安全技术第二代防火墙安全技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:6119840
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 1177-2014.Information security technology-Security technique requirements for the second generation firewall products.
1范围
GA/T 1177规定了第二代防火墙产品的安全功能要求.安全保证要求、环境适应性要求、性能要求和安全等级划分。
GA/T 1177适用于第二代防火墙产品的设计、开发和测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859- 1999计算机信息系统安全保护划分准则
GB/T 18336.3- 2008信息技术安全技术信息技术安全性评估准则 第 3部分:安全保证要求
GB/T 20281- 2006信息安全技术 防 火墙技术要求和测试评价方法
GB/T 25069- 2010 信息安全技术术语
3术语和定义
GB 17859- 1999 ,GB/T 20281- 2006 和GB/T 25069- 2010 界定的以及下列术语和定义适用于本文件。
3.1第一代防火墙firewall
一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,具备包过滤、网络地址转换(NAT).状态检测等安全功能。
3.2第二代防火墙the second generation firewall
除具备第一代防火墙基本功能之外,还具有应用流量识别.应用层访问控制.应用层安全防护、用户控制、深度内容检测、高性能等特征的控制的系统。
1范围
GA/T 1177规定了第二代防火墙产品的安全功能要求.安全保证要求、环境适应性要求、性能要求和安全等级划分。
GA/T 1177适用于第二代防火墙产品的设计、开发和测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859- 1999计算机信息系统安全保护划分准则
GB/T 18336.3- 2008信息技术安全技术信息技术安全性评估准则 第 3部分:安全保证要求
GB/T 20281- 2006信息安全技术 防 火墙技术要求和测试评价方法
GB/T 25069- 2010 信息安全技术术语
3术语和定义
GB 17859- 1999 ,GB/T 20281- 2006 和GB/T 25069- 2010 界定的以及下列术语和定义适用于本文件。
3.1第一代防火墙firewall
一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,具备包过滤、网络地址转换(NAT).状态检测等安全功能。
3.2第二代防火墙the second generation firewall
除具备第一代防火墙基本功能之外,还具有应用流量识别.应用层访问控制.应用层安全防护、用户控制、深度内容检测、高性能等特征的控制的系统。
标准图片预览
标准内容
ICS35.040
中华人民共和国公共安全行业标准GA/T1177—2014
信息安全技术
第二代防火墙安全技术要求
Information security technology-Security technique requirements forthe second generation firewall products2014-07-24发布
中华人民共和国公安部
2014-09-01实施
规范性引用文件
术语和定义
缩略语
安全技术要求
总体说明
5.2安全功能要求
安全保证要求
环境适应性要求
性能要求
GA/T1177—2014
本标准按照GB/T1.1一2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会提出并归口。GA/T1177—2014
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、深圳市深信服电子科技有限公司、网神信息技术(北京)股份有限公司、北京神州绿盟信息安全科技股份有限公司、网御星云信息技术有限公司、启明星辰信息技术有限公司。本标准主要起草人:邹春明、俞优、宋好好、陆臻、顾健、李焕波、王帆、王刚、段继平、冯涛、黄涛。m
1范围
信息安全技术
第二代防火墙安全技术要求
GA/T1177—2014
本标准规定了第二代防火墙产品的安全功能要求、安全保证要求,环境适应性要求,性能要求和安全等级划分。
本标准适用于第二代防火墙产品的设计、开发和测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB17859一1999计算机信息系统安全保护划分准则GB/T18336.3一2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法GB/T25069—2010信息安全技术术语3术语和定义
GB17859—1999、GB/T20281—2006和GB/T25069—2010界定的以及下列术语和定义适用于本文件。
第一代防火墙firewall
个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,具备包过滤、网络地址转换(NAT)、状态检测等安全功能。
第二代防火墙thesecondgenerationfirewall除具备第一代防火墙基本功能之外,还具有应用流量识别、应用层访问控制、应用层安全防护、用户控制、深度内容检测、高性能等特征的控制的系统。3.3
深度内容检测deepcontentinspection对应用协议进行深人解析,识别出协议中的各种要素(如,针对http协议,可具体解析到如cookie、Get参数、Post表单等内容)及协议所承载的业务内容(如,业务系统交互中包含在协议或文件中的数据内容),并对这些数据进行快速解析,以还原其原始通信的信息。根据解析后的原始信息,检测其中是否包含威胁以及敏感内容。
SQL注入SQLinjection
把SQL命令插人到web表单递交或者页面请求的参数中,以达到欺骗服务器执行恶意SQL命令的目的。
GA/T1177—2014
cross site scripting
跨站脚本
恶意攻击者往web页面里插人恶意HTML代码,当用户浏览该页面时,嵌人web页面里的HTML代码会被执行,从而达到恶意攻击用户的目的。缩略语
下列缩略语适用于本文件。
DMZ:非军事区(DemilitarizedZone)DNAT:目的网络地址转换(DestinationNAT)FTP:文件传输协议(FileTransferProtocol)HTTP:超文本传输协议(HypertextTransferProtocol)ICMP:网间控制报文协议(InternetControlMessagesProtocol)IP:网际协议(InternetProtocol)IPV4:互联网协议第四版(InternetProtocolV4)IPV6:互联网协议第六版(InternetProtocolV6)MAC:介质访问控制(MediaAccessControl)NAT:网络地址转换(NetworkAddressTranslation)P2P:对等网络(Peer-to-peer))PHP:计算机编程语言(HypertextPreprocessor)POP3:邮局协议3(PostOfficeProtocol3)SSH:安全外壳协议(SecureShell)SMTP:简单邮件传送协议(SimpleMailTransferProtocol)SNAT:源网络地址转换(SourceIPNAT)SQL:结构化查询语言(StructuredQueryLanguage)SYN:TCP/IP建立连接时使用的握手信号(Synchronous)TCP:传输控制协议(TransportControlProtocol))UDP:用户数据报协议(UserDatagramProtocol)URL:统一资源定位器(UniformResourceLocator)XSS:跨站脚本攻击(CrossSitcScripting)5安全技术要求
5.1总体说明
5.1.1要求分类
第二代防火墙技术要求分为安全功能、安全保证、环境适应性和性能要求四个大类。其中:安全功能要求:针对第二代防火墙应具备的安全功能提出具体要求,包括网络层控制、应用层a)
控制和安全运维管理;
安全保证要求:针对第二代防火墙的开发和使用过程提出具体要求,包括配置管理、交付和运b)
行、开发和指南文件等;
环境适应性要求:针对第二代防火墙的部署模式和应用环境提出具体要求;性能要求:针对第二代防火墙应达到的性能指标作出规定,包括应用层吞吐量、网络层吞吐量、d)
延迟、最大新建连接速率和最大并发连接数。2
5.1.2安全等级划分
GA/T11772014
按照第二代防火墙安全功能的强度划分安全功能要求的级别,按照GB/T18336.3划分安全保证要求的级别。安全等级突出安全特性,环境适应性要求和性能要求不作为等级划分依据。依据安全功能的强弱和安全保证要求的高低将安全等级分为基本级和增强级。基本级与增强级的划分见表1和表2。
表1安全功能要求等级划分表
安全功能
包过滤
状态检测
IP/MAC绑定
网络层控制
应用层控制
安全运维管理
策略路由
带宽管理
流量会话管理
流量统计
连接数控制
会话管理
抗拒绝服务攻击
应用协议访问控制
应用内容访问控制
用户管控
人侵防御
恶意代码防护
WEB攻击防护
信息泄露防护
管理安全
运维管理
安全审计
安全管理
注:“”表示无此要求。
管理方式
管理能力
记录事件类型
日志内容
日志管理
管理接口独立
安全支撑系统
异常处理机制
高可靠性
基本级
5.2.1.1a)~d)
f)~g)
5.2.1.3a)~e)
5.2.1.5a)~b)
5.2.1.6.1a)
5.2.1.6.2a)d)
5.2.1.6.3
5.2.1.6.4
5.2.1.7a)
5.2.2.1a)~c)
5.2.2.2a)~c)
5.2.2.4a)c)
5.2.3.1.1a)~c)
5.2.3.1.2a)b)
5.2.3.1.3a)c)
5.2.3.2.1a)~e)
5.2.3.2.2
5.2.3.2.3
5.2.3.4.2
5.2.3.4.3
5.2.3.5a)~b)
增强级
5.2.1.6.1
5.2.1.6.2
5.2.1.6.3
5.2.1.6.4
5.2.3.1.1
5.2.3.1.2
5.2.3.1.3
5.2.3.2.1
5.2.3.2.2
5.2.3.2.3
5.2.3.4.1
5.2.3.4.2
5.2.3.4.3
GA/T 11772014
配置管理
交付与运行
指导性文档
生命周期支持
脆弱性评定
表2安全保证要求等级划分表
安全保证
部分配置管理自动化
版本号
配置管理能力
配置管理范围
配置项
投权控制
产生支持和接受程序
配置管理覆盖
问题跟踪配置管理覆盖
交付程序
修改检测
安装、生成和启动程序
功能规范
高层设计
非形式化功能规范
充分定义的外部接口
描述性高层设计
安全加强的高层设计
安全功能实现的子集
描述性低层设计
非形式化对应性证实
非形式化产品安全策略模型
管理员指南
用户指南
安全措施标识
开发者定义的生命周期模型
明确定义的开发工具
测试覆盖
覆盖证据
覆盖分析
测试:高层设计
功能测试
独立测试
一致性
指南审查
分析确认
产品安全功能强度评估
开发者脆弱性分析
脆弱性分析
注,“二”表示无此要求。
独立的脆弱性分析
中级抵抗力
基本级
5.3.1.2.1
5.3.1.2.2
5.3.3.1.1
5.3.3.2.1
5.3.6.1.1
5.3.6.4.1
5.3.6.4.2
5.3.7.3.1免费标准bzxz.net
增强级
5.3.1.2.1
5.3.1.2.2
5.3.1.2.3
5.3.1.2.4
5.3.1.3.1
5.3.1.3.2
5.3.3.1.1
5.3.3.1.2
5.3.3.2.1
5.3.3.2.2
5.3.6.1.1
5.3.6.1.2
5.3.6.4.1
5.3.6.4.2
5.3.7.1.1
5.3.7.1.2
5.3.7.3.1
5.3.7.3.2
5.3.7.3.3
5.2安全功能要求
5.2.1网络层控制
5.2.1.1包过滤
第二代防火墙应具备包过滤功能,安全策略应:a)采用最小安全原则,即除非明确允许,否则就禁止;b)包含基于源IP地址、目的IP地址的访问控制包含基于源端口、目的端口的访问控制;c)
包含基于传输层协议类型的访问控制;d)
包含基于MAC地址的访间控制;
包含基于时间的访问控制;
支持用户自定义,可以是以上条件的部分或全部组合。g)
5.2.1.2状态检测
第二代防火墙应具备状态检测功能,支持基于状态检测技术的访问控制。5.2.1.3NAT
第二代防火墙应具备NAT功能,具体技术要求如下:a)支持双向NAT.SNAT和DNAT;
GA/T1177-2014
b)SNAT至少可实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源IP地址被转换;
DNAT至少可实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络IP地址/端c)
口,使外部网络的主机通过访问映射地址和端口实现对DMZ服务器的访问;d)支持动态SNAT技术,实现“多对多”的SNAT。IP/MAC绑定
第二代防火墙应支持自动或管理员手工绑定IP/MAC地址,当主机的IP地址、MAC地址与IP/MAC绑定表中不一致时,阻止其通过防火墙。5.2.1.5策略路由
具有多个相同属性的网络接口(即多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的防火墙应具备策略路由功能,具体技术要求如下:基于源、目的IP的策略路由;
b)基于协议、端口或应用的策略路由;基于多链路情况(如最小延时、最大带宽或最少跳数等)进行最优路由的自动选择。5.2.1.6
流量会话管理
5.2.1.6.1带宽管理
第二代防火墙应具备带宽管理功能,具体技术要求如下:能够根据用户/用户组、IP地址、应用类型,配置最大带宽、保障带宽的参数,划分带宽优先级;a)
能够支持基于时间段的带宽策略配置。6)
GA/T1177—2014
5.2.1.6.2流量统计
第二代防火墙应具备以下流量统计功能:通过IP地址、服务类型、时间和协议类型等参数进行流量统计;a)
根据应用类型、用户等参数对流量进行统计;b)
实时或以报表形式输出流量统计结果:按照时间段、用户、应用类型等多条件组合进行流量统计;d)
根据网站类型进行流量统计:
按照时间段、用户、应用类型、网站类型等多条件组合进行流量统计。5.2.1.6.3连接数控制
第二代防火墙应能够限制单IP的最大会话数,防止大量非法连接产生时,影响网络性能。5.2.1.6.4会话管理
第二代防火墙应能够在会话处于非活跃状态或会话结束后,终止网络连接。5.2.1.7抗拒绝服务攻击
第二代防火墙具有抗拒绝服务攻击的能力,包括但不限于:a)ICMP洪水攻击、UDP洪水攻击、SYN洪水攻击、超大ICMP数据包攻击:b)TearDrop攻击、LAND攻击,WinNuke攻击、Smurf攻击。5.2.2应用层控制
应用协议访问控制
第二代防火墙应能够基于应用层协议分析识别各种应用协议并进行控制,应用协议识别库不低于2000种,包括但不限于:
a)HTTP、FTP、TELNET、SSH、SMTP、POP3等常见应用,如HTTP文件下载/内容提交,FTP上传/下载等:
即时消息、P2P应用、网络流媒体、网络游戏、股票软件;b)
动态开放端口的应用识别;
采用隧道加密技术的应用,如翻墙软件或加密代理等;d)
自定义应用类型的识别。
2应用内容访问控制
第二代防火墙应能够支持基于应用内容的访问控制策略,具体技术要求如下:a)安全策略包含基于URL的访问控制,并可针对网站类型进行分类过滤,如成人类,赌博类,娱乐类等;
b)具备恶意网站过滤的功能,并支持自定义恶意网站;安全策略包含基于文件类型的访问控制,并可基于文件类型进行下载过滤。包括HTTP、c)
FTP、邮件附件等;
d)能够对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP和POP3等协议命令级的控制。
5.2.2.3用户管控
第二代防火墙应具备内网用户管理与识别的功能,应支持:a)基于用户名/密码的本地认证方式;b)LDAP、Radius等第三方认证服务器对用户身份进行鉴别;)
基于用户/用户组进行访问控制。5.2.2.4入侵防御
第二代防火墙应具备人侵防御功能,能够检测并抵御的攻击类型包括但不限于:GA/T1177—2014
操作系统类、Web浏览器、ActiveX控件,Web服务器、文件类、FTP服务器、虚拟化平台软件a)
等漏洞攻击:
IP地址及端口扫描行为;
网络漏洞扫描行为;
恶意软件攻击,如冰河、僵户网络等;能够抵御通用服务的口令暴力破解,如FTP、TELNET、数据库等口令破解。e)
恶意代码防护
第二代防火墙应具有恶意代码检测功能,具体技术要求如下:支持恶意代码检测,如虫病毒、后门木马、间谍软件等;a)
支持检测并拦截HTTP、FTP、电子邮件等协议所携带的恶意代码。b)
WEB攻击防护
第二代防火墙应具备WEB攻击防护的能力,支持:a)SQL注人攻击检测与防护,并支持base64编码的SQL注人攻击检测与防护;b)xSS攻击检测与防护;
c)对常见的Web服务器环境Web人侵的脚本攻击工具(webshell)的拦截,包含ASPX、ASP、PHP.JSP等。
5.2.2.7信息泄露防护
第二代防火墙应具备对流出的信息流进行检测,防止敏感信息泄露,应支持基于:a)关键词对流出防火墙的数据流进行过滤,如http上传、外发邮件主题及正文等:b)文件类型对流出防火墙的数据流进行过滤,如http上传、ftp上传、外发邮件的附件等。5.2.3安全运维管理
5.2.3.1运维管理
5.2.3.1.14
管理安全
第二代防火墙应具备管理安全功能,具体技术要求如下:a)支持对授权管理员的口令鉴别方式,且口令设置满足安全要求;b)在所有授权管理员、可信主机、主机和用户请求执行任何操作之前,对每个授权管理员、可信主机、主机和用户进行唯一的身份识别;c)具有登录失败处理功能,可采取结束会话限制非法登录次数和当网络登录连接超时自动退出等措施;
GA/T1177—2014
d)对管理员进行分权,可给不同的管理员分配不同的权限;e)对同一授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别。5.2.3.1.2管理方式
第二代防火墙应具备多种管理方式,具体技术要求如下:支持通过console端口进行本地管理;a)
b)支持通过网络接口进行远程管理,并能够限定可进行远程管理的网络接口和可管理的IP地址:
支持通过SNMPV3协议对防火墙状态进行监测,监测内容应包括CPU,内存使用率,防火墙接口状态;
远程管理过程中,管理端与第二代防火墙之间的所有通讯数据应保密传输。d)
5.2.3.1.3
管理能力
第二代防火墙应具备一定的管理能力,具体技术要求如下:向授权管理员提供设置和修改安全管理相关的数据参数的功能;a)
向授权管理员提供设置、查询和修改各种安全策略的功能;b)
向授权管理员提供管理审计日志的功能;能够为管理员提示风险,如入侵事件和恶意代码事件剧增,网络流量、连接数异常等;d)
能够根据安全风险的情况自动生成针对性的推荐策略;e
能够对包过滤的规则进行检查,包括规则互相包含、规则冲突、长时间的无用规则、规则命中数D
检查等。
安全审计
5.2.3.2.1
记录事件类型
第二代防火墙应具备安全审计功能,记录事件类型要求如下:a)
被防火墙包过滤策略充许/禁止的访问请求:被防火墙应用访问控制策略允许/禁止的访问请求;b)
检测及防护的各类应用防护事件;c
从内部网络、外部网络和DMZ发起的到达防火墙的访问请求;d)
试图登录防火墙管理端口和管理身份鉴别请求,包括鉴别成功和失败事件;e
对防火墙的重要管理配置操作:如增加/删除管理员、增加/删除/修改安全策略、配置/修改重f
要安全参数等。
5.2.3.2.2
日志内容
第二代防火墙应具备安全审计功能,日志内容要求如下:a)事件发生的日期时间,日期应包括年、月、日,时间应包括时、分、秒;数据包的协议类型、源地址、目标地址、源端口和目标端口等;b)
c)攻击防护日志应记录各种类型攻击事件的详细描述;d)管理日志应包括主体、客体、事件描述。5.2.3.2.3
日志管理
第二代防火墙应具备安全审计功能,日志管理要求如下:8
只充许授权管理员访问日志;
管理员支持对日志存档、删除和清空的权限;b)
提供能查阅日志的工具,并且只允许授权管理员使用查阅工具;c)
GA/T1177—2014
支持以标准syslog方式把日志数据外发到统一日志服务器,对日志数据进行集中分析报表;d)
提供对审计事件一定的检索能力,检索条件包括时间、日期、主体ID、客体ID等。5.2.3.3报警
第二代防火墙应具有报警功能,具体要求如下:a)对人侵事件、攻击事件等进行报警,并记录报警数据,应包括事件发生的日期时间、级别、源目的IP地址、对应的应用类型、事件描述;对系统运行状态异常进行报警,如CPU、内存、带宽等超过设定阅值,并记录报警数据;b)
c)对报警事件应支持至少两种方式进行报警,如邮件、声音或短信等。5.2.3.4安全管理
5.2.3.4.1管理接口独立
防火墙可配置独立的管理接口,与业务接口分离。2安全支撑系统
5.2.3.4.2
第二代防火墙的支撑系统应满足以下要求:a)确保其支撑系统不提供多余的网络服务;b)不含可能导致产品权限丢失、拒绝服务等高风险安全漏洞;c)若支持Web方式管理,管理界面应不含SQL注人、跨站脚本等高风险安全漏洞。5.2.3.4.3异常处理机制
第二代防火墙在非正常条件(比如掉电、强行关机)关机再重新启动后,应满足如下技术要求:a)安全策略恢复到关机前所保存的状态;b)日志信息不会丢失:
管理员重新认证。
5.2.3.5高可靠性
第二代防火墙应具备高可靠性,具体技术要求如下:a)支持物理设备状态检测。当一台防火墙自身出现断电或其他故障时,另外一台防火墙应及时发现并接管主防火墙进行工作,切换时间不超过5s;b)具备基于链路状态检测的双机热备功能,当--台防火墙直接相连的链路发生故障而无法正常工作时,另外一台防火墙应及时发现并接管主防火墙进行工作,切换时间不超过5s;能够支持主/主模式的双机部署;c
d)具备操作系统余保证系统稳定性。5.2.3.6升级
第二代防火墙应具备升级功能,具体技术要求如下:能对应用类型识别库、漏洞特征库、网址库、恶意代码库等进行升级;a
b)支持通过升级包以离线方式升级;9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T1177—2014
信息安全技术
第二代防火墙安全技术要求
Information security technology-Security technique requirements forthe second generation firewall products2014-07-24发布
中华人民共和国公安部
2014-09-01实施
规范性引用文件
术语和定义
缩略语
安全技术要求
总体说明
5.2安全功能要求
安全保证要求
环境适应性要求
性能要求
GA/T1177—2014
本标准按照GB/T1.1一2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会提出并归口。GA/T1177—2014
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、深圳市深信服电子科技有限公司、网神信息技术(北京)股份有限公司、北京神州绿盟信息安全科技股份有限公司、网御星云信息技术有限公司、启明星辰信息技术有限公司。本标准主要起草人:邹春明、俞优、宋好好、陆臻、顾健、李焕波、王帆、王刚、段继平、冯涛、黄涛。m
1范围
信息安全技术
第二代防火墙安全技术要求
GA/T1177—2014
本标准规定了第二代防火墙产品的安全功能要求、安全保证要求,环境适应性要求,性能要求和安全等级划分。
本标准适用于第二代防火墙产品的设计、开发和测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB17859一1999计算机信息系统安全保护划分准则GB/T18336.3一2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法GB/T25069—2010信息安全技术术语3术语和定义
GB17859—1999、GB/T20281—2006和GB/T25069—2010界定的以及下列术语和定义适用于本文件。
第一代防火墙firewall
个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,具备包过滤、网络地址转换(NAT)、状态检测等安全功能。
第二代防火墙thesecondgenerationfirewall除具备第一代防火墙基本功能之外,还具有应用流量识别、应用层访问控制、应用层安全防护、用户控制、深度内容检测、高性能等特征的控制的系统。3.3
深度内容检测deepcontentinspection对应用协议进行深人解析,识别出协议中的各种要素(如,针对http协议,可具体解析到如cookie、Get参数、Post表单等内容)及协议所承载的业务内容(如,业务系统交互中包含在协议或文件中的数据内容),并对这些数据进行快速解析,以还原其原始通信的信息。根据解析后的原始信息,检测其中是否包含威胁以及敏感内容。
SQL注入SQLinjection
把SQL命令插人到web表单递交或者页面请求的参数中,以达到欺骗服务器执行恶意SQL命令的目的。
GA/T1177—2014
cross site scripting
跨站脚本
恶意攻击者往web页面里插人恶意HTML代码,当用户浏览该页面时,嵌人web页面里的HTML代码会被执行,从而达到恶意攻击用户的目的。缩略语
下列缩略语适用于本文件。
DMZ:非军事区(DemilitarizedZone)DNAT:目的网络地址转换(DestinationNAT)FTP:文件传输协议(FileTransferProtocol)HTTP:超文本传输协议(HypertextTransferProtocol)ICMP:网间控制报文协议(InternetControlMessagesProtocol)IP:网际协议(InternetProtocol)IPV4:互联网协议第四版(InternetProtocolV4)IPV6:互联网协议第六版(InternetProtocolV6)MAC:介质访问控制(MediaAccessControl)NAT:网络地址转换(NetworkAddressTranslation)P2P:对等网络(Peer-to-peer))PHP:计算机编程语言(HypertextPreprocessor)POP3:邮局协议3(PostOfficeProtocol3)SSH:安全外壳协议(SecureShell)SMTP:简单邮件传送协议(SimpleMailTransferProtocol)SNAT:源网络地址转换(SourceIPNAT)SQL:结构化查询语言(StructuredQueryLanguage)SYN:TCP/IP建立连接时使用的握手信号(Synchronous)TCP:传输控制协议(TransportControlProtocol))UDP:用户数据报协议(UserDatagramProtocol)URL:统一资源定位器(UniformResourceLocator)XSS:跨站脚本攻击(CrossSitcScripting)5安全技术要求
5.1总体说明
5.1.1要求分类
第二代防火墙技术要求分为安全功能、安全保证、环境适应性和性能要求四个大类。其中:安全功能要求:针对第二代防火墙应具备的安全功能提出具体要求,包括网络层控制、应用层a)
控制和安全运维管理;
安全保证要求:针对第二代防火墙的开发和使用过程提出具体要求,包括配置管理、交付和运b)
行、开发和指南文件等;
环境适应性要求:针对第二代防火墙的部署模式和应用环境提出具体要求;性能要求:针对第二代防火墙应达到的性能指标作出规定,包括应用层吞吐量、网络层吞吐量、d)
延迟、最大新建连接速率和最大并发连接数。2
5.1.2安全等级划分
GA/T11772014
按照第二代防火墙安全功能的强度划分安全功能要求的级别,按照GB/T18336.3划分安全保证要求的级别。安全等级突出安全特性,环境适应性要求和性能要求不作为等级划分依据。依据安全功能的强弱和安全保证要求的高低将安全等级分为基本级和增强级。基本级与增强级的划分见表1和表2。
表1安全功能要求等级划分表
安全功能
包过滤
状态检测
IP/MAC绑定
网络层控制
应用层控制
安全运维管理
策略路由
带宽管理
流量会话管理
流量统计
连接数控制
会话管理
抗拒绝服务攻击
应用协议访问控制
应用内容访问控制
用户管控
人侵防御
恶意代码防护
WEB攻击防护
信息泄露防护
管理安全
运维管理
安全审计
安全管理
注:“”表示无此要求。
管理方式
管理能力
记录事件类型
日志内容
日志管理
管理接口独立
安全支撑系统
异常处理机制
高可靠性
基本级
5.2.1.1a)~d)
f)~g)
5.2.1.3a)~e)
5.2.1.5a)~b)
5.2.1.6.1a)
5.2.1.6.2a)d)
5.2.1.6.3
5.2.1.6.4
5.2.1.7a)
5.2.2.1a)~c)
5.2.2.2a)~c)
5.2.2.4a)c)
5.2.3.1.1a)~c)
5.2.3.1.2a)b)
5.2.3.1.3a)c)
5.2.3.2.1a)~e)
5.2.3.2.2
5.2.3.2.3
5.2.3.4.2
5.2.3.4.3
5.2.3.5a)~b)
增强级
5.2.1.6.1
5.2.1.6.2
5.2.1.6.3
5.2.1.6.4
5.2.3.1.1
5.2.3.1.2
5.2.3.1.3
5.2.3.2.1
5.2.3.2.2
5.2.3.2.3
5.2.3.4.1
5.2.3.4.2
5.2.3.4.3
GA/T 11772014
配置管理
交付与运行
指导性文档
生命周期支持
脆弱性评定
表2安全保证要求等级划分表
安全保证
部分配置管理自动化
版本号
配置管理能力
配置管理范围
配置项
投权控制
产生支持和接受程序
配置管理覆盖
问题跟踪配置管理覆盖
交付程序
修改检测
安装、生成和启动程序
功能规范
高层设计
非形式化功能规范
充分定义的外部接口
描述性高层设计
安全加强的高层设计
安全功能实现的子集
描述性低层设计
非形式化对应性证实
非形式化产品安全策略模型
管理员指南
用户指南
安全措施标识
开发者定义的生命周期模型
明确定义的开发工具
测试覆盖
覆盖证据
覆盖分析
测试:高层设计
功能测试
独立测试
一致性
指南审查
分析确认
产品安全功能强度评估
开发者脆弱性分析
脆弱性分析
注,“二”表示无此要求。
独立的脆弱性分析
中级抵抗力
基本级
5.3.1.2.1
5.3.1.2.2
5.3.3.1.1
5.3.3.2.1
5.3.6.1.1
5.3.6.4.1
5.3.6.4.2
5.3.7.3.1免费标准bzxz.net
增强级
5.3.1.2.1
5.3.1.2.2
5.3.1.2.3
5.3.1.2.4
5.3.1.3.1
5.3.1.3.2
5.3.3.1.1
5.3.3.1.2
5.3.3.2.1
5.3.3.2.2
5.3.6.1.1
5.3.6.1.2
5.3.6.4.1
5.3.6.4.2
5.3.7.1.1
5.3.7.1.2
5.3.7.3.1
5.3.7.3.2
5.3.7.3.3
5.2安全功能要求
5.2.1网络层控制
5.2.1.1包过滤
第二代防火墙应具备包过滤功能,安全策略应:a)采用最小安全原则,即除非明确允许,否则就禁止;b)包含基于源IP地址、目的IP地址的访问控制包含基于源端口、目的端口的访问控制;c)
包含基于传输层协议类型的访问控制;d)
包含基于MAC地址的访间控制;
包含基于时间的访问控制;
支持用户自定义,可以是以上条件的部分或全部组合。g)
5.2.1.2状态检测
第二代防火墙应具备状态检测功能,支持基于状态检测技术的访问控制。5.2.1.3NAT
第二代防火墙应具备NAT功能,具体技术要求如下:a)支持双向NAT.SNAT和DNAT;
GA/T1177-2014
b)SNAT至少可实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源IP地址被转换;
DNAT至少可实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络IP地址/端c)
口,使外部网络的主机通过访问映射地址和端口实现对DMZ服务器的访问;d)支持动态SNAT技术,实现“多对多”的SNAT。IP/MAC绑定
第二代防火墙应支持自动或管理员手工绑定IP/MAC地址,当主机的IP地址、MAC地址与IP/MAC绑定表中不一致时,阻止其通过防火墙。5.2.1.5策略路由
具有多个相同属性的网络接口(即多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的防火墙应具备策略路由功能,具体技术要求如下:基于源、目的IP的策略路由;
b)基于协议、端口或应用的策略路由;基于多链路情况(如最小延时、最大带宽或最少跳数等)进行最优路由的自动选择。5.2.1.6
流量会话管理
5.2.1.6.1带宽管理
第二代防火墙应具备带宽管理功能,具体技术要求如下:能够根据用户/用户组、IP地址、应用类型,配置最大带宽、保障带宽的参数,划分带宽优先级;a)
能够支持基于时间段的带宽策略配置。6)
GA/T1177—2014
5.2.1.6.2流量统计
第二代防火墙应具备以下流量统计功能:通过IP地址、服务类型、时间和协议类型等参数进行流量统计;a)
根据应用类型、用户等参数对流量进行统计;b)
实时或以报表形式输出流量统计结果:按照时间段、用户、应用类型等多条件组合进行流量统计;d)
根据网站类型进行流量统计:
按照时间段、用户、应用类型、网站类型等多条件组合进行流量统计。5.2.1.6.3连接数控制
第二代防火墙应能够限制单IP的最大会话数,防止大量非法连接产生时,影响网络性能。5.2.1.6.4会话管理
第二代防火墙应能够在会话处于非活跃状态或会话结束后,终止网络连接。5.2.1.7抗拒绝服务攻击
第二代防火墙具有抗拒绝服务攻击的能力,包括但不限于:a)ICMP洪水攻击、UDP洪水攻击、SYN洪水攻击、超大ICMP数据包攻击:b)TearDrop攻击、LAND攻击,WinNuke攻击、Smurf攻击。5.2.2应用层控制
应用协议访问控制
第二代防火墙应能够基于应用层协议分析识别各种应用协议并进行控制,应用协议识别库不低于2000种,包括但不限于:
a)HTTP、FTP、TELNET、SSH、SMTP、POP3等常见应用,如HTTP文件下载/内容提交,FTP上传/下载等:
即时消息、P2P应用、网络流媒体、网络游戏、股票软件;b)
动态开放端口的应用识别;
采用隧道加密技术的应用,如翻墙软件或加密代理等;d)
自定义应用类型的识别。
2应用内容访问控制
第二代防火墙应能够支持基于应用内容的访问控制策略,具体技术要求如下:a)安全策略包含基于URL的访问控制,并可针对网站类型进行分类过滤,如成人类,赌博类,娱乐类等;
b)具备恶意网站过滤的功能,并支持自定义恶意网站;安全策略包含基于文件类型的访问控制,并可基于文件类型进行下载过滤。包括HTTP、c)
FTP、邮件附件等;
d)能够对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP和POP3等协议命令级的控制。
5.2.2.3用户管控
第二代防火墙应具备内网用户管理与识别的功能,应支持:a)基于用户名/密码的本地认证方式;b)LDAP、Radius等第三方认证服务器对用户身份进行鉴别;)
基于用户/用户组进行访问控制。5.2.2.4入侵防御
第二代防火墙应具备人侵防御功能,能够检测并抵御的攻击类型包括但不限于:GA/T1177—2014
操作系统类、Web浏览器、ActiveX控件,Web服务器、文件类、FTP服务器、虚拟化平台软件a)
等漏洞攻击:
IP地址及端口扫描行为;
网络漏洞扫描行为;
恶意软件攻击,如冰河、僵户网络等;能够抵御通用服务的口令暴力破解,如FTP、TELNET、数据库等口令破解。e)
恶意代码防护
第二代防火墙应具有恶意代码检测功能,具体技术要求如下:支持恶意代码检测,如虫病毒、后门木马、间谍软件等;a)
支持检测并拦截HTTP、FTP、电子邮件等协议所携带的恶意代码。b)
WEB攻击防护
第二代防火墙应具备WEB攻击防护的能力,支持:a)SQL注人攻击检测与防护,并支持base64编码的SQL注人攻击检测与防护;b)xSS攻击检测与防护;
c)对常见的Web服务器环境Web人侵的脚本攻击工具(webshell)的拦截,包含ASPX、ASP、PHP.JSP等。
5.2.2.7信息泄露防护
第二代防火墙应具备对流出的信息流进行检测,防止敏感信息泄露,应支持基于:a)关键词对流出防火墙的数据流进行过滤,如http上传、外发邮件主题及正文等:b)文件类型对流出防火墙的数据流进行过滤,如http上传、ftp上传、外发邮件的附件等。5.2.3安全运维管理
5.2.3.1运维管理
5.2.3.1.14
管理安全
第二代防火墙应具备管理安全功能,具体技术要求如下:a)支持对授权管理员的口令鉴别方式,且口令设置满足安全要求;b)在所有授权管理员、可信主机、主机和用户请求执行任何操作之前,对每个授权管理员、可信主机、主机和用户进行唯一的身份识别;c)具有登录失败处理功能,可采取结束会话限制非法登录次数和当网络登录连接超时自动退出等措施;
GA/T1177—2014
d)对管理员进行分权,可给不同的管理员分配不同的权限;e)对同一授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别。5.2.3.1.2管理方式
第二代防火墙应具备多种管理方式,具体技术要求如下:支持通过console端口进行本地管理;a)
b)支持通过网络接口进行远程管理,并能够限定可进行远程管理的网络接口和可管理的IP地址:
支持通过SNMPV3协议对防火墙状态进行监测,监测内容应包括CPU,内存使用率,防火墙接口状态;
远程管理过程中,管理端与第二代防火墙之间的所有通讯数据应保密传输。d)
5.2.3.1.3
管理能力
第二代防火墙应具备一定的管理能力,具体技术要求如下:向授权管理员提供设置和修改安全管理相关的数据参数的功能;a)
向授权管理员提供设置、查询和修改各种安全策略的功能;b)
向授权管理员提供管理审计日志的功能;能够为管理员提示风险,如入侵事件和恶意代码事件剧增,网络流量、连接数异常等;d)
能够根据安全风险的情况自动生成针对性的推荐策略;e
能够对包过滤的规则进行检查,包括规则互相包含、规则冲突、长时间的无用规则、规则命中数D
检查等。
安全审计
5.2.3.2.1
记录事件类型
第二代防火墙应具备安全审计功能,记录事件类型要求如下:a)
被防火墙包过滤策略充许/禁止的访问请求:被防火墙应用访问控制策略允许/禁止的访问请求;b)
检测及防护的各类应用防护事件;c
从内部网络、外部网络和DMZ发起的到达防火墙的访问请求;d)
试图登录防火墙管理端口和管理身份鉴别请求,包括鉴别成功和失败事件;e
对防火墙的重要管理配置操作:如增加/删除管理员、增加/删除/修改安全策略、配置/修改重f
要安全参数等。
5.2.3.2.2
日志内容
第二代防火墙应具备安全审计功能,日志内容要求如下:a)事件发生的日期时间,日期应包括年、月、日,时间应包括时、分、秒;数据包的协议类型、源地址、目标地址、源端口和目标端口等;b)
c)攻击防护日志应记录各种类型攻击事件的详细描述;d)管理日志应包括主体、客体、事件描述。5.2.3.2.3
日志管理
第二代防火墙应具备安全审计功能,日志管理要求如下:8
只充许授权管理员访问日志;
管理员支持对日志存档、删除和清空的权限;b)
提供能查阅日志的工具,并且只允许授权管理员使用查阅工具;c)
GA/T1177—2014
支持以标准syslog方式把日志数据外发到统一日志服务器,对日志数据进行集中分析报表;d)
提供对审计事件一定的检索能力,检索条件包括时间、日期、主体ID、客体ID等。5.2.3.3报警
第二代防火墙应具有报警功能,具体要求如下:a)对人侵事件、攻击事件等进行报警,并记录报警数据,应包括事件发生的日期时间、级别、源目的IP地址、对应的应用类型、事件描述;对系统运行状态异常进行报警,如CPU、内存、带宽等超过设定阅值,并记录报警数据;b)
c)对报警事件应支持至少两种方式进行报警,如邮件、声音或短信等。5.2.3.4安全管理
5.2.3.4.1管理接口独立
防火墙可配置独立的管理接口,与业务接口分离。2安全支撑系统
5.2.3.4.2
第二代防火墙的支撑系统应满足以下要求:a)确保其支撑系统不提供多余的网络服务;b)不含可能导致产品权限丢失、拒绝服务等高风险安全漏洞;c)若支持Web方式管理,管理界面应不含SQL注人、跨站脚本等高风险安全漏洞。5.2.3.4.3异常处理机制
第二代防火墙在非正常条件(比如掉电、强行关机)关机再重新启动后,应满足如下技术要求:a)安全策略恢复到关机前所保存的状态;b)日志信息不会丢失:
管理员重新认证。
5.2.3.5高可靠性
第二代防火墙应具备高可靠性,具体技术要求如下:a)支持物理设备状态检测。当一台防火墙自身出现断电或其他故障时,另外一台防火墙应及时发现并接管主防火墙进行工作,切换时间不超过5s;b)具备基于链路状态检测的双机热备功能,当--台防火墙直接相连的链路发生故障而无法正常工作时,另外一台防火墙应及时发现并接管主防火墙进行工作,切换时间不超过5s;能够支持主/主模式的双机部署;c
d)具备操作系统余保证系统稳定性。5.2.3.6升级
第二代防火墙应具备升级功能,具体技术要求如下:能对应用类型识别库、漏洞特征库、网址库、恶意代码库等进行升级;a
b)支持通过升级包以离线方式升级;9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。