GA/T 683-2007信息安全技術(shù)防火墻安全技術(shù)要求

犐犆犛３５．０４０

犃９０

中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)

犌犃／犜６８３—２００７

信息安全技術(shù)

防火墻安全技術(shù)要求

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—

犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犳犻狉犲狑犪犾犾狊犲犮狌狉犻狋狔

２００７０３２０發(fā)布２００７０５０１實(shí)施

中華人民共和國(guó)公安部發(fā)布

書(shū)

犌犃／犜６８３—２００７

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術(shù)語(yǔ)、定義和縮略語(yǔ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３．１術(shù)語(yǔ)和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３．２縮略語(yǔ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

４第一級(jí)安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．１安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．１．１防火墻自身自主訪問(wèn)控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．１．２身份鑒別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．１．３安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．１．４訪問(wèn)控制功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４．１．５網(wǎng)絡(luò)地址轉(zhuǎn)換（ＮＡＴ）功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．１．６策略路由!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．１．７流量統(tǒng)計(jì)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．１．８報(bào)表!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２安全保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２．１配置管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２．２交付和運(yùn)行!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２．３開(kāi)發(fā)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２．４指導(dǎo)性文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２．５生命周期支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

４．２．６測(cè)試!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３

５第二級(jí)安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．１安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．１．１防火墻自身自主訪問(wèn)控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．１．２身份鑒別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．１．３安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４

５．１．４訪問(wèn)控制功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．１．５審計(jì)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．１．６網(wǎng)絡(luò)地址轉(zhuǎn)換（ＮＡＴ）功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

５．１．７策略路由!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．１．８流量統(tǒng)計(jì)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．１．９帶寬管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．１．１０報(bào)表!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．１．１１抗攻擊功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

Ⅰ

書(shū)

犌犃／犜６８３—２００７

５．１．１２動(dòng)態(tài)開(kāi)放端口!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．１．１３可靠性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．２安全保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．２．１配置管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５．２．２交付和運(yùn)行!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．２．３開(kāi)發(fā)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．２．４指導(dǎo)性文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．２．５生命周期支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．２．６測(cè)試!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

５．２．７脆弱性評(píng)定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６第三級(jí)安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．１安全功能要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．１．１防火墻自身自主訪問(wèn)控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．１．２身份鑒別!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．１．３安全管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．１．４訪問(wèn)控制功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

６．１．５標(biāo)記!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

６．１．６審計(jì)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９

６．１．７簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（ＳＮＭＰ）的保護(hù)!!!!!!!!!!!!!!!!!!!!!!!!１０

６．１．８網(wǎng)絡(luò)地址轉(zhuǎn)換（ＮＡＴ）功能!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

６．１．９策略路由!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

６．１．１０流量統(tǒng)計(jì)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

６．１．１１帶寬管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１０

６．１．１２報(bào)表!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

６．１．１３抗攻擊功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

６．１．１４非正常關(guān)機(jī)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

６．１．１５動(dòng)態(tài)開(kāi)放端口!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

６．１．１６可靠性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

６．２安全保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

６．２．１配置管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

６．２．２交付和運(yùn)行!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

６．２．３開(kāi)發(fā)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

６．２．４指導(dǎo)性文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

６．２．５生命周期支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１２

６．２．６測(cè)試!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

６．２．７脆弱性評(píng)定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７附加安全功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．１虛擬專用網(wǎng)（ＶＰＮ）功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．２與ＩＤＳ聯(lián)動(dòng)功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．３防病毒網(wǎng)關(guān)功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１３

７．４反垃圾郵件功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１４

Ⅱ

犌犃／犜６８３—２００７

附錄Ａ（資料性附錄）安全要求對(duì)照表!!!!!!!!!!!!!!!!!!!!!!!!!１５

Ａ．１組成與相互關(guān)系!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

Ａ．２防火墻安全等級(jí)的劃分!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１５

Ａ．３附加安全功能!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１６

參考文獻(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１７

Ⅲ

犌犃／犜６８３—２００７

前言

本標(biāo)準(zhǔn)是從信息技術(shù)方面詳細(xì)規(guī)定了各安全保護(hù)級(jí)別的防火墻所應(yīng)具有的安全功能要求和安全保

證要求。

本標(biāo)準(zhǔn)中附錄Ａ為資料性附錄。

本標(biāo)準(zhǔn)由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局提出。

本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本標(biāo)準(zhǔn)起草單位：中國(guó)科學(xué)院研究生院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室。

本標(biāo)準(zhǔn)主要起草人：戴英俠、何申、左曉棟。

Ⅴ

犌犃／犜６８３—２００７

引言

防火墻是重要的網(wǎng)絡(luò)邊界保護(hù)設(shè)備，制定公共安全行業(yè)防火墻安全技術(shù)要求對(duì)于指導(dǎo)防火墻產(chǎn)品

的研發(fā)、采購(gòu)和部署，保障公共安全行業(yè)網(wǎng)絡(luò)安全具有重要的意義。

本標(biāo)準(zhǔn)對(duì)公共安全行業(yè)使用的防火墻提出了分等級(jí)的安全技術(shù)要求。

本標(biāo)準(zhǔn)僅對(duì)一到三級(jí)安全保護(hù)等級(jí)做了技術(shù)要求，與ＧＢ１７８５９—１９９９《計(jì)算機(jī)信息系統(tǒng)安全保

護(hù)等級(jí)劃分準(zhǔn)則》的對(duì)應(yīng)關(guān)系是，第一級(jí)對(duì)應(yīng)用戶自主保護(hù)級(jí)，第二級(jí)對(duì)應(yīng)系統(tǒng)審計(jì)保護(hù)級(jí)，第三級(jí)對(duì)應(yīng)

安全標(biāo)記保護(hù)級(jí)。

本標(biāo)準(zhǔn)文本中，加粗字體表示較低等級(jí)中沒(méi)有出現(xiàn)或增強(qiáng)的技術(shù)要求。

Ⅵ

犌犃／犜６８３—２００７

信息安全技術(shù)