Q/GDW 10940—2018
标准分类号
关联标准
出版信息
相关单位信息
标准简介
Q/GDW 10940—2018.
1范围
Q/GDW 10940规定了国家电网有限公司防火墙产品的测试要求和测试方法,要求包括功能测试要求、性能测试要求、安全测试要求和开发者保障要求。
Q/GDW 10940适用于国家电网有限公司防火墙产品的设计、开发与测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336——2015信息技术安全技术信息技术安全评估准则
GB/T 20281——2015 信息安全技术防火墙技术要求和测试评价方法GB/T 25069—2010 信息安全技术术语
Q/GDW 11802网络与信息安全风险监控预警平台数据接入规范
3术语和定义
GB/T 18336—2015、GB/T 20281—2015和GB/T 25069—2010界定的以及下列术语和定义适用于本文件。
3.1
有效访问控制策略effective access control policy
明确定义了源地址、目的地址、源端口、目的端口、网络服务、策略有效期的访问控制策略。
3.2
中继线trunk
在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯的技术。
4缩略语
下列缩略语适用于本文件。
DMZ:非军事区(Demilitary Zone)
DNAT:目的网络地址转换(Destination NAT)DNS:域名系统(Domain Name System)
FTP:文件传输系统(File Transfer Protocol)
1范围
Q/GDW 10940规定了国家电网有限公司防火墙产品的测试要求和测试方法,要求包括功能测试要求、性能测试要求、安全测试要求和开发者保障要求。
Q/GDW 10940适用于国家电网有限公司防火墙产品的设计、开发与测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336——2015信息技术安全技术信息技术安全评估准则
GB/T 20281——2015 信息安全技术防火墙技术要求和测试评价方法GB/T 25069—2010 信息安全技术术语
Q/GDW 11802网络与信息安全风险监控预警平台数据接入规范
3术语和定义
GB/T 18336—2015、GB/T 20281—2015和GB/T 25069—2010界定的以及下列术语和定义适用于本文件。
3.1
有效访问控制策略effective access control policy
明确定义了源地址、目的地址、源端口、目的端口、网络服务、策略有效期的访问控制策略。
3.2
中继线trunk
在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯的技术。
4缩略语
下列缩略语适用于本文件。
DMZ:非军事区(Demilitary Zone)
DNAT:目的网络地址转换(Destination NAT)DNS:域名系统(Domain Name System)
FTP:文件传输系统(File Transfer Protocol)
标准图片预览
标准内容
ICS35.040免费标准bzxz.net
国家电网有限公司企业标准
Q/GDW109402018
代替Q/GDW1940-2013
防火墙测试要求
Testingrequirementsforfirewall2019-07-26发布
国家电网有限公司
2019-07-26实施
规范性引用文件
3术语和定义
缩略语。
5测试要求
5.1总体说明
5.2功能测试要求
5.3性能测试要求
5.4安全测试要求.
5.5开发者保障要求
6测试方法
6.1测试环境
6.2测试工具。
6.3功能测试方法
6.4性能测试方法。
6.5安全测试方法
编制说明
Q/GDW109402018
Q/GDW109402018
为规范防火墙产品的测试工作,明确防火墙产品的测试指标,保证防火墙产品的正常使用,应对防火墙产品提出统一的测试要求,以此来规范防火墙的测试工作,制定本标准。本标准代替Q/GDW1940—2013,与Q/GDW19402013相比,主要差异如下:一一增加了通过隧道技术实现IPv6通讯的具体要求:增加了“安全审计”“抗渗透”的部分安全测试要求;一一增加了“包过滤”“管理”“路由”“会话管理”“应用协议控制”“应用内容控制”的部分功能测试要求:
一一增加了“动态开放端口”“连接数控制”“应用协议控制”等功能测试要求;一增加了第6章“测试方法”
本标准由国家电网有限公司信息通信部提出并解释。本标准由国家电网有限公司科技部归口。本标准起草单位:中国电力科学研究院有限公司。本标准主要起草人:郭旭、郑义、李凌、刘楠、严敏辉、李琳、贾玲、吴荣春、姜敏、朱朝阳、高昆仑、刘莹、孙炜、詹雄、单松玲、宋小芹、韩丽芳、周亮、白涛、张丞、李证岐、邵志鹏、刘行、刘圣龙、黄云、郭蔡炜、张亮、许放、袁琪、李福雷、翁征、孙强、庞天宇、陈华智。本标准2014年05月首次发布,2017年11月第一次修订。本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。1范围
防火墙测试要求
Q/GDW10940--2018
本标准规定了国家电网有限公司防火墙产品的测试要求和测试方法,要求包括功能测试要求、性能测试要求、安全测试要求和开发者保障要求。本标准适用于国家电网有限公司防火墙产品的设计、开发与测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T183362015信息技术安全技术信息技术安全评估准则GB/T20281-2015
信息安全技术防火墙技术要求和测试评价方法GB/T250692010信息安全技术术语Q/GDW11802网络与信息安全风险监控预警平台数据接入规范3术语和定义
GB/T18336-2015、GB/T20281-2015和GB/T250692010界定的以及下列术语和定义适用手本文件。
有效访问控制策略effectiveaccesscontrolpolicy明确定义了源地址、自的地址、源端口、自的端口、网络服务、策略有效期的访问控制策略3.2
中继线trunk
在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯的技术。
缩略语
下列缩略语适用于本文件。
DMZ:非军事区(DemilitaryZone)DNAT:的网络地转换(DestinationNATDNS:域名系统(DomainNameSystem)FTP:文件传输系统(FileTransferProtocol)HTTP:超文本传输协议(HypertextTransferProtocol)ICMP:网间控制报文协议(InternetControlMessagesProtocol)1
Q/GDW109402018
IP:网际协议(InternetProtocol)IPv6:网际协议6(InternetProtocolVersion6)MAC:介质访问控制层(MediaAecessControl)NAT:网络地址转换(NetworkAddressTranslation)NTP:网络时间同步协议(NetworkTimeProtocol)oSPF:开放式最短路径优先(OpenShortestPathFirst)PoP3:邮局协议3(PostOfficeProtocol3)RIP:路由选择信息协议(RoutingInformationProtocol)SMTP:简单邮件传输协议(SimpleMailTransferProtocol)SNAT:源网络地址转换(SourceNAT)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)STP:生成树协议(SpanningTreeProtocol)TCP:传输控制协议(TransportControlProtocol)UDP:用户数据报协议(UserDatagramProtocol)URL:统一资源定位器(UniformResourceLocator)USB:通用串行总线(UniversalSerialBus)VLAN:虚拟局域网(VirtualLocalAreaNetwork)VPN:虚拟专用网(VirtualPrivateNetwork)VRRP:虚拟路由器穴余协议(VirtualRouterRedundancyProtocol)5测试要求
5.1总体说明
本标准将防火墙测试要求分为功能测试要求、性能测试要求、安全测试要求、开发者保障要求四个大类:
功能测试要求:根据国家电网公司对防火墙产品的需求提出的防火墙产品应具备的功能要求:性能测试要求:根据国家电网公司对防火墙产品的需求提出的防火墙产品应送到的性能指标的要求,性能测试要求从防火墙产品的实际应用角度对产品的性能指标提出了要求:安全测试要求:根据国家电网公司对防火墙产品的安全要求以及防火墙产品自身的特点提出的c
防火墙产品的自身安全和防护能力的要求:d)开发者保障要求:针对防火墙开发者和防火墙自身提出的具体保障要求2功能测试要求
5.2.1功能测试要求列表
产品的测试功能要求由表1所列项目组成。表1产品功能测试要求项目
功能分类
包过滤
支持默认禁止原则
支持基于IP地址的访问控制
支持基于端口的访问控制
功能测试要求项目
功能分类
包过滤
状态检测
流量统计
公司统一监控系
统支持
NTP支持
IP/MAC绑定
双机热备
功能测试要求项目
支持基于协议类型的访问控制
支持基于时间的访问控制
支持基于用户自定义安全策略的访问控制支持基于MAC地址的访问控制
支持基于状态检测技术的访间控制支持双向NAT
支持动态NAT
支持根据IP地址、协议、时间等参数对流量进行统计支持统计结果的报表形式输出
支持Syslog方式的日志输出
支持SNMP网络管理协议
支持NTP协议,支持NTP认证
支持对授权管理员的口令鉴别方式支持对授权管理员、可信主机、主机和用户进行身份鉴别
支持鉴别失败处理
支持本地和远程管理
支持远程管理安全
支持管理员权限划分
支持设置和修改安全管理相关的数据参数支持设置和修改安全策略
支持策略查询
支持策略分组
支持管理审计日志
支持防火墙状态和网络数据流状态监控支持独立的管理接口
支持USBKey等身份鉴别信息载体支持对授权管理员选择至少两种身份鉴别技术支持IP/MAC地址绑定
支持静态路由功能
支持OSPF方式的动态路由功能
支持RIP方式的动态路由功能
支持根据数据包信息设置策略路由支持策略路由功能
支持主-备模式的双机热备
支持主-主模式的双机热备
支持物理设备状态检测
支持会话状态同步
支持配置同步
支持链路状态检测的双机热备
Q/GDW109402018
Q/GDW109402018
功能分类
双机热备
网络适应性
深度包检测
会话维持
动态开放端口
连接数控制
协同联动
用户鉴别
带宽管理
负载均衡
VPN功能
会话管理
应用协议控制
应用内容控制
包过滤
支持VRRP和STP协议
支持余心跳线机制
支持基于路由转发的接入方式
支持基于透明网桥的接入方式
(续)
功能测试要求项目
支持路由转发和透明网桥转发两种模式同时具备的混合接入方式支持VLANTrunk
支持基于URL的访问控制
支持基于电子邮件信头的访问控制支持基于文件类型的访问控制
支持基于关键字的访问控制
支持基于协议、端口、贸
策略的会话维持功能
支持动态开放端口功能
支持设置单IP的最大并发会话数支持于其他安全产品的协同联动支持基于用户身份鉴别的访问控制支持客户端占用带宽大小的限制支持动态客户端带宽管理
支持将网络流量负载均衡到多台服务器支持IPSec协议
支持建立“防火墙至防火墙”和“客户端至防火墙”两种形式的VPN支持VPN认证
加密算法和验证算法应符合国家密码管理的规定支持纯IPv6网络环境
支持IPv6隧道技术
支持IPv6双栈技术
支持IPv6Core协议一致性
支持IPv6NDP协议一致性
支持IPv6Autoconfig协议一致性支持IPv6PMTU协议一致性
支持ICMPv6协议一致性
支持IPv6网络环境下的协议健壮性支持IPv6网络环境下的自身管理支持IPv4和IPv6两种网络的相互转换支持主动释放会话占用的状态表资源支持识别、控制各种应用协议类型并过滤主流应用的内容支持识别并控制各种应用类型
防火墙应具备包过滤功能,具体测试要求如下:Q/GDW10940--2018
防火墙的安全策略应使用最小安全原则,即除非明确允许,否则就禁止,在防火墙故障或失效a
情况下,也应保持默认禁止:
防火墙的安全策略应包含基于源IP地址、,目的IP地址的访问控制防火墙的安全策略应包含基于源端口、目的端口的访问控制;d)
防火墙的安全策略应包含基于协议类型的访问控制:防火墙的安全策略应包含基于时间的访问控制,要求如下:e
1)支持基于绝对时间的访问控制,要求精确到秒级;2)支持基于相对时间的访问控制,需支持按周循环的相对时间。防火墙应支持用户自定义的安全策略,安全策略可以是IP地址、端口、协议类型和时间的部f
分或全部组合:
安全策略应包含基于MAC地址的访问控制:应支持用户自定义的安全策略,安全策略可以是MAC地址、IP地址、端口、协议类型和时间h)
的部分或全部组合:
防火墙可根据配置,对一定时间内未使用的策略进行自动修改或删除,5.2.3状态检测
防火墙应具备状态检测功能,支持基于状态检测技术的访问控制。5.2.4NAT
防火墙应具备NAT功能,具体测试要求如下:a)
防火墙支持双向NAT:SNAT和DNAT:b)
SNAT应至少可实现“多对一”地址转换,使得内部网络主机正常访问外部网络时,其源IP地址被转换,并应屏蔽内部网络的IP地址:DNAT应至少可实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地址c
/端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问:防火墙应支持动态SNAT技术,实现“多对多”的SNAT:d)
e)防火墙应支持动态DNAT技术,实现“多对多”的DNAT5.2.5流量统计
防火墙应具备流量统计功能,具体测试要求如下:a)
防火墙应能够通过IP地址、网络服务、时间和协议类型等参数或它们门的组合对流量进行正确的统计:
防火墙应能够实时或者以报表形式输出流量统计结果。b)
5.2.6公司统一监控系统支持
防火墙应支持公司统一监控系统,具体测试要求如下:防火墙应支持将Syslog日志输出到指定的服务器,基本数据格式、数据质量要求等应符合a)
Q/GDW11802及公司统一监控系统数据接入规范的其他要求:防火墙应支持通过安全增强的SNMP协议对防火墙进行监控,可对防火墙的CPU状态、内存利b)
用率等内容监控,SNMP协议版本应支持SNMPV2c及以上。5.2.7NTP支持
Q/GDW109402018
防火墙应支持NTP协议,具体测试要求如下:a)防火墙应支持使用NTP进行时间同步:b)防火墙应支持对NTP时间源的认证。5.2.8管理
防火墙应具备管理功能,具体测试要求如下:a)
管理安全:
1)支持对授权管理员的口令鉴别方式,并可根据口令长度、数字字母字符组合、口令使用周期等条件设置口令策略,口令策略设置应满足安全要求,且口令应加密存储于配置文件中:防火墙应在所有授权管理员、可信主机、主机和用户请求执行任何操作之前,对每个授权2
管理员、可信主机、主机和用户进行唯一的身份识别:3)
防火墙应支持使用USBKey等身份鉴别信息载体进行身份鉴别:防火墙应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别:4)
防火墙应具有登录失败处理功能,身份鉴别在经过一个可设定的鉴别失败最大次数后,防火墙应终止可信主机或用户建立的会话:远程管理过程中,防火墙应通过指定IP的方式限定可对防火墙进行管理的主机,且并发管理连接数限定,且管理端与防火墙之间的所有通讯应加密:7
防火墙应支持管理员权限划分,至少需分为三个部分,可将防火墙系统管理、安全策略管理和审计日志管理权限分割:
防火墙应为每一个规定的授权管理员、可信主机、主机和用户提供一套唯一的为执行安全8
策略所必需的安全属性:
防火墙应能进行适当报警,如声音、邮件等,并提供网络是否受到监测或攻击的详细信息。9)
管理方式:
防火墙应支持通过console端口进行本地管理:1)
防火墙应支持通过专用的网络接口进行远程管理,并可限定可进行远程管理的网络接口:2
远程管理过程中,管理端与防火墙之间的所有通讯数据应非明文传输:4)
防火墙应支持在线和离线两种升级方式,不会因升级影响系统的正常工作。c
管理能力
防火墙向授权管理员提供设置和修改安全管理相关的数据参数的功能:1
防火墙向授权管理员提供设置、查询和修改各种安全策略的功能:2
防火墙向授权管理员提供根据条件进行策略查询的功能:防火墙向授权管理员提供根据策略分组功能,可对具备特定条件的策略进行分组:4
防火墙向授权管理员提供管理审计日志的功能:防火墙向授权管理员提供监控防火墙状态和网络数据流状态的功能。6)
管理接口独立:防火墙应具备独立的管理接口,与业务接口分离。d)
IP/MAC绑定
防火墙应具备IP/MAC地址绑定功能,具体测试要求如下:a
防火墙应支持自动或管理员手工绑定IP/MAC地址:防火墙应能够检测IP地址盗用,拦截盗用IP地址的主机经过防火墙的各种访问。b)
5.2.10路由
防火墙应具备路由功能,具体测试要求如下:a)防火墙应支持静态路由功能:b)
防火墙应支持OSPF方式的动态路由功能:防火墙应支持RIP方式的动态路由功能:Q/GDW10940-2018
具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的d
防火墙应能够根据数据包源IP地址、自的IP地址、进入接口、传输层接口或数据包负载内容等参数来设置路由策略:
具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的e)
防火墙应能够根据下一跳接口、协议和端口、应用类型等参数来设置路由策略,且支持基于多链路负载情况进行自动选择最优线路。5.2.11双机热备
防火墙应具备双机热备功能,具体测试要求如下:防火墙应支持两台相同防火墙以“一主一备”的方式进行部署,当主防火墙意外停止工作时,a)
备用防火墙可接管主防火墙进行工作,切换时间应小于5秒:防火墙应支持两台相同防火墙以“双主”的方式进行部署,两台防火墙以“负载分担”的方式b)
同时工作:
防火墙应支持物理设备状态检测。当主防火墙因自身出现断电或其他故障停正工作时,备用防火墙应及时发现并接管主防火墙进行工作,切换时间应小于5秒:d)
防火墙应支持会话状态的同步,可自动或手动进行会话状态同步防火墙应支持配置的同步,可自动或手动进行系统、策略的配置同步:e
防火墙应具备基于链路状态检测的双机热备功能,当与主防火墙直接相连的链路发生故障而无法正常工作时,备用防火墙应及时发现并接管主防火墙进行工作,切换时间应小手5秒:在路由模式下,防火墙可支持VRRP协议:g)
在透明模式下,防火墙可支持STP协议:h)
防火墙应支持通过几余心跳线机制实现双机热备功能:i)
j)防火墙可支持链路状态检测协议如IP-Link,BFD等。5.2.12网络适应性
防火墙应能以不同的接入方式接入多种网络环境,具体测试要求如下:防火墙应支持基于路由转发的接入方式接入网络:a
防火墙应支持基于透明网桥的接入方式接入网络b
防火墙应支持路由转发和透明网桥两种模式同时具备的混合模式接入网络防火墙应支持VLANTrunk。
5.2.13深度包检测
防火墙应具备深度包检测功能,具体测试要求如下:防火墙的安全策略应包含基于URL的访问控制:a)
防火墙的安全策略应包含基于电子邮件中的Subject、To、From域等进行的访问控制:b)
防火墙的安全策略应包含基于文件类型的访问控制:防火墙的安全策略应包含基于关键字的访问控制,对HTTP网页数据和电子邮件正文数据进行d
检查。
Q/GDW10940-2018
5.2.14会话维持
防火墙应根据协议、端口、安全策略等条件进行会话维持,保证特定会话可在较长时间内维持活跃状态。
5.2.15动态开放端口
防火墙应具备动态开放端口功能,支持主动模式和被动模式的FTP、以H.323协议建立视频会议和SQL*NET数据库协议。
5.2.16连接数控制
防火墙应能够设置单IP的最大并发会话数,防止大量非法连接产生时影响网络的性能。5.2.17协同联动
防火墙应按照一定的安全协议与其他安全产品协同联动,并支持手工或自动方式来配置联动策略5.2.18用户鉴别
防火墙应具备基于用户/用户组的网络访问控制功能,支持的用户鉴别方式具体技术要求如下:a)支持本地鉴别方式:
b)支持结合第三方鉴别系统,如基于radius、LDAP服务器的鉴别方式c)支持基于策略的鉴别方式。
5.2.19带宽管理
防火墙应具备带宽管理功能,具体测试要求如下:a)防火墙应能够根据安全策略中设定的大小限制客户端占用的带宽:b)防火墙应能够根据安全策略和网络流量动态调整客户端占用的带宽5.2.20负载均衡
本项应遵循GB/T20281—2015中6.3.1.3.4.2的要求。5.2.21VPN功能
防火墙应具备VPN功能,具体测试要求如下:a)防火墙应支持以IPSec协议为基础构建VPN:b)防火墙应支持建立“防火墙至防火墙”和“客户端至防火墙”两种形式的VPN;防火墙应支持预共享密钥和X.509数字证书两种认证方式进行国密VPN认证:c
d)防火墙所使用的加密算法和验证算法应符合国家密码管理的规定,宜采用国密算法。5.2.22IPv6
防火墙应支持IPv6协议,具体测试要求如下防火墙应支持纯IPv6网络环境,能够在纯IPv6网络环境下正常工作:a
防火墙应支持通过隧道技术实现IPv6通讯,具体要求如下:b)
1)防火墙应支持6over4网络环境,能够在6over4网络环境下正常工作:2)防火墙应支持6to4网络环境,能够在6to4网络环境下正常工作:3
防火墙应支持ISATAP网络环境,保证在ISATAP网络环境下正常工作。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
国家电网有限公司企业标准
Q/GDW109402018
代替Q/GDW1940-2013
防火墙测试要求
Testingrequirementsforfirewall2019-07-26发布
国家电网有限公司
2019-07-26实施
规范性引用文件
3术语和定义
缩略语。
5测试要求
5.1总体说明
5.2功能测试要求
5.3性能测试要求
5.4安全测试要求.
5.5开发者保障要求
6测试方法
6.1测试环境
6.2测试工具。
6.3功能测试方法
6.4性能测试方法。
6.5安全测试方法
编制说明
Q/GDW109402018
Q/GDW109402018
为规范防火墙产品的测试工作,明确防火墙产品的测试指标,保证防火墙产品的正常使用,应对防火墙产品提出统一的测试要求,以此来规范防火墙的测试工作,制定本标准。本标准代替Q/GDW1940—2013,与Q/GDW19402013相比,主要差异如下:一一增加了通过隧道技术实现IPv6通讯的具体要求:增加了“安全审计”“抗渗透”的部分安全测试要求;一一增加了“包过滤”“管理”“路由”“会话管理”“应用协议控制”“应用内容控制”的部分功能测试要求:
一一增加了“动态开放端口”“连接数控制”“应用协议控制”等功能测试要求;一增加了第6章“测试方法”
本标准由国家电网有限公司信息通信部提出并解释。本标准由国家电网有限公司科技部归口。本标准起草单位:中国电力科学研究院有限公司。本标准主要起草人:郭旭、郑义、李凌、刘楠、严敏辉、李琳、贾玲、吴荣春、姜敏、朱朝阳、高昆仑、刘莹、孙炜、詹雄、单松玲、宋小芹、韩丽芳、周亮、白涛、张丞、李证岐、邵志鹏、刘行、刘圣龙、黄云、郭蔡炜、张亮、许放、袁琪、李福雷、翁征、孙强、庞天宇、陈华智。本标准2014年05月首次发布,2017年11月第一次修订。本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。1范围
防火墙测试要求
Q/GDW10940--2018
本标准规定了国家电网有限公司防火墙产品的测试要求和测试方法,要求包括功能测试要求、性能测试要求、安全测试要求和开发者保障要求。本标准适用于国家电网有限公司防火墙产品的设计、开发与测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T183362015信息技术安全技术信息技术安全评估准则GB/T20281-2015
信息安全技术防火墙技术要求和测试评价方法GB/T250692010信息安全技术术语Q/GDW11802网络与信息安全风险监控预警平台数据接入规范3术语和定义
GB/T18336-2015、GB/T20281-2015和GB/T250692010界定的以及下列术语和定义适用手本文件。
有效访问控制策略effectiveaccesscontrolpolicy明确定义了源地址、自的地址、源端口、自的端口、网络服务、策略有效期的访问控制策略3.2
中继线trunk
在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯的技术。
缩略语
下列缩略语适用于本文件。
DMZ:非军事区(DemilitaryZone)DNAT:的网络地转换(DestinationNATDNS:域名系统(DomainNameSystem)FTP:文件传输系统(FileTransferProtocol)HTTP:超文本传输协议(HypertextTransferProtocol)ICMP:网间控制报文协议(InternetControlMessagesProtocol)1
Q/GDW109402018
IP:网际协议(InternetProtocol)IPv6:网际协议6(InternetProtocolVersion6)MAC:介质访问控制层(MediaAecessControl)NAT:网络地址转换(NetworkAddressTranslation)NTP:网络时间同步协议(NetworkTimeProtocol)oSPF:开放式最短路径优先(OpenShortestPathFirst)PoP3:邮局协议3(PostOfficeProtocol3)RIP:路由选择信息协议(RoutingInformationProtocol)SMTP:简单邮件传输协议(SimpleMailTransferProtocol)SNAT:源网络地址转换(SourceNAT)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)STP:生成树协议(SpanningTreeProtocol)TCP:传输控制协议(TransportControlProtocol)UDP:用户数据报协议(UserDatagramProtocol)URL:统一资源定位器(UniformResourceLocator)USB:通用串行总线(UniversalSerialBus)VLAN:虚拟局域网(VirtualLocalAreaNetwork)VPN:虚拟专用网(VirtualPrivateNetwork)VRRP:虚拟路由器穴余协议(VirtualRouterRedundancyProtocol)5测试要求
5.1总体说明
本标准将防火墙测试要求分为功能测试要求、性能测试要求、安全测试要求、开发者保障要求四个大类:
功能测试要求:根据国家电网公司对防火墙产品的需求提出的防火墙产品应具备的功能要求:性能测试要求:根据国家电网公司对防火墙产品的需求提出的防火墙产品应送到的性能指标的要求,性能测试要求从防火墙产品的实际应用角度对产品的性能指标提出了要求:安全测试要求:根据国家电网公司对防火墙产品的安全要求以及防火墙产品自身的特点提出的c
防火墙产品的自身安全和防护能力的要求:d)开发者保障要求:针对防火墙开发者和防火墙自身提出的具体保障要求2功能测试要求
5.2.1功能测试要求列表
产品的测试功能要求由表1所列项目组成。表1产品功能测试要求项目
功能分类
包过滤
支持默认禁止原则
支持基于IP地址的访问控制
支持基于端口的访问控制
功能测试要求项目
功能分类
包过滤
状态检测
流量统计
公司统一监控系
统支持
NTP支持
IP/MAC绑定
双机热备
功能测试要求项目
支持基于协议类型的访问控制
支持基于时间的访问控制
支持基于用户自定义安全策略的访问控制支持基于MAC地址的访问控制
支持基于状态检测技术的访间控制支持双向NAT
支持动态NAT
支持根据IP地址、协议、时间等参数对流量进行统计支持统计结果的报表形式输出
支持Syslog方式的日志输出
支持SNMP网络管理协议
支持NTP协议,支持NTP认证
支持对授权管理员的口令鉴别方式支持对授权管理员、可信主机、主机和用户进行身份鉴别
支持鉴别失败处理
支持本地和远程管理
支持远程管理安全
支持管理员权限划分
支持设置和修改安全管理相关的数据参数支持设置和修改安全策略
支持策略查询
支持策略分组
支持管理审计日志
支持防火墙状态和网络数据流状态监控支持独立的管理接口
支持USBKey等身份鉴别信息载体支持对授权管理员选择至少两种身份鉴别技术支持IP/MAC地址绑定
支持静态路由功能
支持OSPF方式的动态路由功能
支持RIP方式的动态路由功能
支持根据数据包信息设置策略路由支持策略路由功能
支持主-备模式的双机热备
支持主-主模式的双机热备
支持物理设备状态检测
支持会话状态同步
支持配置同步
支持链路状态检测的双机热备
Q/GDW109402018
Q/GDW109402018
功能分类
双机热备
网络适应性
深度包检测
会话维持
动态开放端口
连接数控制
协同联动
用户鉴别
带宽管理
负载均衡
VPN功能
会话管理
应用协议控制
应用内容控制
包过滤
支持VRRP和STP协议
支持余心跳线机制
支持基于路由转发的接入方式
支持基于透明网桥的接入方式
(续)
功能测试要求项目
支持路由转发和透明网桥转发两种模式同时具备的混合接入方式支持VLANTrunk
支持基于URL的访问控制
支持基于电子邮件信头的访问控制支持基于文件类型的访问控制
支持基于关键字的访问控制
支持基于协议、端口、贸
策略的会话维持功能
支持动态开放端口功能
支持设置单IP的最大并发会话数支持于其他安全产品的协同联动支持基于用户身份鉴别的访问控制支持客户端占用带宽大小的限制支持动态客户端带宽管理
支持将网络流量负载均衡到多台服务器支持IPSec协议
支持建立“防火墙至防火墙”和“客户端至防火墙”两种形式的VPN支持VPN认证
加密算法和验证算法应符合国家密码管理的规定支持纯IPv6网络环境
支持IPv6隧道技术
支持IPv6双栈技术
支持IPv6Core协议一致性
支持IPv6NDP协议一致性
支持IPv6Autoconfig协议一致性支持IPv6PMTU协议一致性
支持ICMPv6协议一致性
支持IPv6网络环境下的协议健壮性支持IPv6网络环境下的自身管理支持IPv4和IPv6两种网络的相互转换支持主动释放会话占用的状态表资源支持识别、控制各种应用协议类型并过滤主流应用的内容支持识别并控制各种应用类型
防火墙应具备包过滤功能,具体测试要求如下:Q/GDW10940--2018
防火墙的安全策略应使用最小安全原则,即除非明确允许,否则就禁止,在防火墙故障或失效a
情况下,也应保持默认禁止:
防火墙的安全策略应包含基于源IP地址、,目的IP地址的访问控制防火墙的安全策略应包含基于源端口、目的端口的访问控制;d)
防火墙的安全策略应包含基于协议类型的访问控制:防火墙的安全策略应包含基于时间的访问控制,要求如下:e
1)支持基于绝对时间的访问控制,要求精确到秒级;2)支持基于相对时间的访问控制,需支持按周循环的相对时间。防火墙应支持用户自定义的安全策略,安全策略可以是IP地址、端口、协议类型和时间的部f
分或全部组合:
安全策略应包含基于MAC地址的访问控制:应支持用户自定义的安全策略,安全策略可以是MAC地址、IP地址、端口、协议类型和时间h)
的部分或全部组合:
防火墙可根据配置,对一定时间内未使用的策略进行自动修改或删除,5.2.3状态检测
防火墙应具备状态检测功能,支持基于状态检测技术的访问控制。5.2.4NAT
防火墙应具备NAT功能,具体测试要求如下:a)
防火墙支持双向NAT:SNAT和DNAT:b)
SNAT应至少可实现“多对一”地址转换,使得内部网络主机正常访问外部网络时,其源IP地址被转换,并应屏蔽内部网络的IP地址:DNAT应至少可实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地址c
/端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问:防火墙应支持动态SNAT技术,实现“多对多”的SNAT:d)
e)防火墙应支持动态DNAT技术,实现“多对多”的DNAT5.2.5流量统计
防火墙应具备流量统计功能,具体测试要求如下:a)
防火墙应能够通过IP地址、网络服务、时间和协议类型等参数或它们门的组合对流量进行正确的统计:
防火墙应能够实时或者以报表形式输出流量统计结果。b)
5.2.6公司统一监控系统支持
防火墙应支持公司统一监控系统,具体测试要求如下:防火墙应支持将Syslog日志输出到指定的服务器,基本数据格式、数据质量要求等应符合a)
Q/GDW11802及公司统一监控系统数据接入规范的其他要求:防火墙应支持通过安全增强的SNMP协议对防火墙进行监控,可对防火墙的CPU状态、内存利b)
用率等内容监控,SNMP协议版本应支持SNMPV2c及以上。5.2.7NTP支持
Q/GDW109402018
防火墙应支持NTP协议,具体测试要求如下:a)防火墙应支持使用NTP进行时间同步:b)防火墙应支持对NTP时间源的认证。5.2.8管理
防火墙应具备管理功能,具体测试要求如下:a)
管理安全:
1)支持对授权管理员的口令鉴别方式,并可根据口令长度、数字字母字符组合、口令使用周期等条件设置口令策略,口令策略设置应满足安全要求,且口令应加密存储于配置文件中:防火墙应在所有授权管理员、可信主机、主机和用户请求执行任何操作之前,对每个授权2
管理员、可信主机、主机和用户进行唯一的身份识别:3)
防火墙应支持使用USBKey等身份鉴别信息载体进行身份鉴别:防火墙应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别:4)
防火墙应具有登录失败处理功能,身份鉴别在经过一个可设定的鉴别失败最大次数后,防火墙应终止可信主机或用户建立的会话:远程管理过程中,防火墙应通过指定IP的方式限定可对防火墙进行管理的主机,且并发管理连接数限定,且管理端与防火墙之间的所有通讯应加密:7
防火墙应支持管理员权限划分,至少需分为三个部分,可将防火墙系统管理、安全策略管理和审计日志管理权限分割:
防火墙应为每一个规定的授权管理员、可信主机、主机和用户提供一套唯一的为执行安全8
策略所必需的安全属性:
防火墙应能进行适当报警,如声音、邮件等,并提供网络是否受到监测或攻击的详细信息。9)
管理方式:
防火墙应支持通过console端口进行本地管理:1)
防火墙应支持通过专用的网络接口进行远程管理,并可限定可进行远程管理的网络接口:2
远程管理过程中,管理端与防火墙之间的所有通讯数据应非明文传输:4)
防火墙应支持在线和离线两种升级方式,不会因升级影响系统的正常工作。c
管理能力
防火墙向授权管理员提供设置和修改安全管理相关的数据参数的功能:1
防火墙向授权管理员提供设置、查询和修改各种安全策略的功能:2
防火墙向授权管理员提供根据条件进行策略查询的功能:防火墙向授权管理员提供根据策略分组功能,可对具备特定条件的策略进行分组:4
防火墙向授权管理员提供管理审计日志的功能:防火墙向授权管理员提供监控防火墙状态和网络数据流状态的功能。6)
管理接口独立:防火墙应具备独立的管理接口,与业务接口分离。d)
IP/MAC绑定
防火墙应具备IP/MAC地址绑定功能,具体测试要求如下:a
防火墙应支持自动或管理员手工绑定IP/MAC地址:防火墙应能够检测IP地址盗用,拦截盗用IP地址的主机经过防火墙的各种访问。b)
5.2.10路由
防火墙应具备路由功能,具体测试要求如下:a)防火墙应支持静态路由功能:b)
防火墙应支持OSPF方式的动态路由功能:防火墙应支持RIP方式的动态路由功能:Q/GDW10940-2018
具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的d
防火墙应能够根据数据包源IP地址、自的IP地址、进入接口、传输层接口或数据包负载内容等参数来设置路由策略:
具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的e)
防火墙应能够根据下一跳接口、协议和端口、应用类型等参数来设置路由策略,且支持基于多链路负载情况进行自动选择最优线路。5.2.11双机热备
防火墙应具备双机热备功能,具体测试要求如下:防火墙应支持两台相同防火墙以“一主一备”的方式进行部署,当主防火墙意外停止工作时,a)
备用防火墙可接管主防火墙进行工作,切换时间应小于5秒:防火墙应支持两台相同防火墙以“双主”的方式进行部署,两台防火墙以“负载分担”的方式b)
同时工作:
防火墙应支持物理设备状态检测。当主防火墙因自身出现断电或其他故障停正工作时,备用防火墙应及时发现并接管主防火墙进行工作,切换时间应小于5秒:d)
防火墙应支持会话状态的同步,可自动或手动进行会话状态同步防火墙应支持配置的同步,可自动或手动进行系统、策略的配置同步:e
防火墙应具备基于链路状态检测的双机热备功能,当与主防火墙直接相连的链路发生故障而无法正常工作时,备用防火墙应及时发现并接管主防火墙进行工作,切换时间应小手5秒:在路由模式下,防火墙可支持VRRP协议:g)
在透明模式下,防火墙可支持STP协议:h)
防火墙应支持通过几余心跳线机制实现双机热备功能:i)
j)防火墙可支持链路状态检测协议如IP-Link,BFD等。5.2.12网络适应性
防火墙应能以不同的接入方式接入多种网络环境,具体测试要求如下:防火墙应支持基于路由转发的接入方式接入网络:a
防火墙应支持基于透明网桥的接入方式接入网络b
防火墙应支持路由转发和透明网桥两种模式同时具备的混合模式接入网络防火墙应支持VLANTrunk。
5.2.13深度包检测
防火墙应具备深度包检测功能,具体测试要求如下:防火墙的安全策略应包含基于URL的访问控制:a)
防火墙的安全策略应包含基于电子邮件中的Subject、To、From域等进行的访问控制:b)
防火墙的安全策略应包含基于文件类型的访问控制:防火墙的安全策略应包含基于关键字的访问控制,对HTTP网页数据和电子邮件正文数据进行d
检查。
Q/GDW10940-2018
5.2.14会话维持
防火墙应根据协议、端口、安全策略等条件进行会话维持,保证特定会话可在较长时间内维持活跃状态。
5.2.15动态开放端口
防火墙应具备动态开放端口功能,支持主动模式和被动模式的FTP、以H.323协议建立视频会议和SQL*NET数据库协议。
5.2.16连接数控制
防火墙应能够设置单IP的最大并发会话数,防止大量非法连接产生时影响网络的性能。5.2.17协同联动
防火墙应按照一定的安全协议与其他安全产品协同联动,并支持手工或自动方式来配置联动策略5.2.18用户鉴别
防火墙应具备基于用户/用户组的网络访问控制功能,支持的用户鉴别方式具体技术要求如下:a)支持本地鉴别方式:
b)支持结合第三方鉴别系统,如基于radius、LDAP服务器的鉴别方式c)支持基于策略的鉴别方式。
5.2.19带宽管理
防火墙应具备带宽管理功能,具体测试要求如下:a)防火墙应能够根据安全策略中设定的大小限制客户端占用的带宽:b)防火墙应能够根据安全策略和网络流量动态调整客户端占用的带宽5.2.20负载均衡
本项应遵循GB/T20281—2015中6.3.1.3.4.2的要求。5.2.21VPN功能
防火墙应具备VPN功能,具体测试要求如下:a)防火墙应支持以IPSec协议为基础构建VPN:b)防火墙应支持建立“防火墙至防火墙”和“客户端至防火墙”两种形式的VPN;防火墙应支持预共享密钥和X.509数字证书两种认证方式进行国密VPN认证:c
d)防火墙所使用的加密算法和验证算法应符合国家密码管理的规定,宜采用国密算法。5.2.22IPv6
防火墙应支持IPv6协议,具体测试要求如下防火墙应支持纯IPv6网络环境,能够在纯IPv6网络环境下正常工作:a
防火墙应支持通过隧道技术实现IPv6通讯,具体要求如下:b)
1)防火墙应支持6over4网络环境,能够在6over4网络环境下正常工作:2)防火墙应支持6to4网络环境,能够在6to4网络环境下正常工作:3
防火墙应支持ISATAP网络环境,保证在ISATAP网络环境下正常工作。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。