Q╱GDW 10940-2018 防火墻測試要求

防火墻測試要求2019-07-26發(fā)布2019-07-26實施國家電網(wǎng)有限公司發(fā)布I 12規(guī)范性引用文件 13術語和定義 14縮略語 1 25.1總體說明 25.2功能測試要求 25.3性能測試要求 95.4安全測試要求 5.5開發(fā)者保障要求 6測試方法 6.1測試環(huán)境 6.2測試工具 6.3功能測試方法 6.4性能測試方法 6.5安全測試方法 編制說明 1防火墻測試要求本標準規(guī)定了國家電網(wǎng)有限公司防火墻產(chǎn)品的測試要求和測試方法，要求包括功能測試要求、性能測試要求、安全測試要求和開發(fā)者保障要求。本標準適用于國家電網(wǎng)有限公司防火墻產(chǎn)品的設計、開發(fā)與測試。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T18336—2015信息技術安全技術信息技術安全評估準則GB/T20281—2015信息安全技術防火墻技術要求和測試評價方法GB/T25069—2010信息安全技術術語Q/GDW11802網(wǎng)絡與信息安全風險監(jiān)控預警平臺數(shù)據(jù)接入規(guī)范3術語和定義GB/T18336—2015、GB/T20281—2015和GB/T25069—2010界定的以及下列術語和定義適用于本文件。明確定義了源地址、目的地址、源端口、目的端口、網(wǎng)絡服務、策略有效期的訪問控制策略。在不同的交換機之間進行連接，以保證在跨越多個交換機上建立的同一個VLAN的成員能夠相互通訊4縮略語下列縮略語適用于本文件。DNAT:目的網(wǎng)絡地址轉換(DestinationNAT)DNS:域名系統(tǒng)(DomainNameSystem)FTP:文件傳輸系統(tǒng)(FileTransferProtocol)HTTP:超文本傳輸協(xié)議(HypertextTransferProtocol)ICMP:網(wǎng)間控制報文協(xié)議(InternetControlMessagesProtoc2NAT:網(wǎng)絡地址轉換(NetworkAddressTranslation)NTP:網(wǎng)絡時間同步協(xié)議(NetworkTimeProtocol)OSPF:開放式最短路徑優(yōu)先(OpenShortestPathFirst)RIP:路由選擇信息協(xié)議(RoutingInformationProtocol)SMTP:簡單郵件傳輸協(xié)議(SimpleMailTransferProtocol)SNMP:簡單網(wǎng)絡管理協(xié)議(SimpleNetworkManagementProtocol)STP:生成樹協(xié)議(SpanningTreeProtocol)TCP:傳輸控制協(xié)議(TransportControlProtocol)UDP:用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol)URL:統(tǒng)一資源定位器(UniformResourceLocator)USB:通用串行總線(UniversalSerialBus)VPN:虛擬專用網(wǎng)(VirtualPrivateNetwork)VRRP:虛擬路由器冗余協(xié)議(VirtualRouterRedundancyProtocol)5測試要求5.1總體說明本標準將防火墻測試要求分為功能測試要求、性能測試要求、安全測試要求、開發(fā)者保障要求四個a)功能測試要求：根據(jù)國家電網(wǎng)公司對防火墻產(chǎn)品的需求提出的防火墻產(chǎn)品應具備的功能要求；b)性能測試要求：根據(jù)國家電網(wǎng)公司對防火墻產(chǎn)品的需求提出的防火墻產(chǎn)品應達到的性能指標的要求，性能測試要求從防火墻產(chǎn)品的實際應用角度對產(chǎn)品的性能指標提出了要求；c)安全測試要求：根據(jù)國家電網(wǎng)公司對防火墻產(chǎn)品的安全要求以及防火墻產(chǎn)品自身的特點提出的防火墻產(chǎn)品的自身安全和防護能力的要求；d)開發(fā)者保障要求：針對防火墻開發(fā)者和防火墻自身提出的具體保障要求。5.2功能測試要求5.2.1功能測試要求列表產(chǎn)品的測試功能要求由表1所列項目組成。表1產(chǎn)品功能測試要求項目功能分類功能測試要求項目包過濾支持默認禁止原則支持基于IP地址的訪問控制支持基于端口的訪問控制3功能分類功能測試要求項目包過濾支持基于協(xié)議類型的訪問控制支持基于時間的訪問控制支持基于用戶自定義安全策略的訪問控制支持基于MAC地址的訪問控制狀態(tài)檢測支持基于狀態(tài)檢測技術的訪問控制NAT支持雙向NAT支持動態(tài)NAT流量統(tǒng)計支持根據(jù)IP地址、協(xié)議、時間等參數(shù)對流量進行統(tǒng)計支持統(tǒng)計結果的報表形式輸出公司統(tǒng)一監(jiān)控系統(tǒng)支持支持Syslog方式的日志輸出支持SNMP網(wǎng)絡管理協(xié)議NTP支持支持NTP協(xié)議，支持NTP認證管理支持對授權管理員的口令鑒別方式支持對授權管理員、可信主機、主機和用戶進行身份鑒別支持鑒別失敗處理支持本地和遠程管理支持遠程管理安全支持管理員權限劃分支持設置和修改安全管理相關的數(shù)據(jù)參數(shù)支持設置和修改安全策略支持策略查詢支持策略分組支持管理審計日志支持防火墻狀態(tài)和網(wǎng)絡數(shù)據(jù)流狀態(tài)監(jiān)控支持獨立的管理接口支持USBKey等身份鑒別信息載體支持對授權管理員選擇至少兩種身份鑒別技術IP/MAC綁定支持IP/MAC地址綁定路由支持靜態(tài)路由功能支持OSPF方式的動態(tài)路由功能支持RIP方式的動態(tài)路由功能支持根據(jù)數(shù)據(jù)包信息設置策略路由支持策略路由功能雙機熱備支持主-備模式的雙機熱備支持主-主模式的雙機熱備支持物理設備狀態(tài)檢測支持會話狀態(tài)同步支持配置同步支持鏈路狀態(tài)檢測的雙機熱備4功能分類功能測試要求項目雙機熱備支持VRRP和STP協(xié)議支持冗余心跳線機制網(wǎng)絡適應性支持基于路由轉發(fā)的接入方式支持基于透明網(wǎng)橋的接入方式支持路由轉發(fā)和透明網(wǎng)橋轉發(fā)兩種模式同時具備的混合接入方式支持VLANTrunk深度包檢測支持基于URL的訪問控制支持基于電子郵件信頭的訪問控制支持基于文件類型的訪問控制支持基于關鍵字的訪問控制會話維持支持基于協(xié)議、端口、策略的會話維持功能動態(tài)開放端口支持動態(tài)開放端口功能連接數(shù)控制支持設置單IP的最大并發(fā)會話數(shù)協(xié)同聯(lián)動支持于其他安全產(chǎn)品的協(xié)同聯(lián)動用戶鑒別支持基于用戶身份鑒別的訪問控制帶寬管理支持客戶端占用帶寬大小的限制支持動態(tài)客戶端帶寬管理負載均衡支持將網(wǎng)絡流量負載均衡到多臺服務器VPN功能支持IPSec協(xié)議支持建立“防火墻至防火墻”和“客戶端至防火墻”兩種形式的VPN支持VPN認證加密算法和驗證算法應符合國家密碼管理的規(guī)定支持純IPv6網(wǎng)絡環(huán)境支持IPv6隧道技術支持IPv6雙棧技術支持IPv6Core協(xié)議一致性支持IPv6NDP協(xié)議一致性支持IPv6Autoconfig協(xié)議一致性支持IPv6PMTU協(xié)議一致性支持ICMPv6協(xié)議一致性支持IPv6網(wǎng)絡環(huán)境下的協(xié)議健壯性支持IPv6網(wǎng)絡環(huán)境下的自身管理支持IPv4和IPv6兩種網(wǎng)絡的相互轉換會話管理支持主動釋放會話占用的狀態(tài)表資源應用協(xié)議控制支持識別、控制各種應用協(xié)議類型并過濾主流應用的內容應用內容控制支持識別并控制各種應用類型5防火墻應具備包過濾功能，具體測試要求如下：a)防火墻的安全策略應使用最小安全原則，即除非明確允許，否則就禁止，在防火墻故障或失效情況下，也應保持默認禁止；b)防火墻的安全策略應包含基于源IP地址、目的IP地址的訪問控制；c)防火墻的安全策略應包含基于源端口、目的端口的訪問控制；d)防火墻的安全策略應包含基于協(xié)議類型的訪問控制；e)防火墻的安全策略應包含基于時間的訪問控制，要求如下：1)支持基于絕對時間的訪問控制，要求精確到秒級；2)支持基于相對時間的訪問控制，需支持按周循環(huán)的相對時間。f)防火墻應支持用戶自定義的安全策略，安全策略可以是IP地址、端口、協(xié)議類型和時間的部g)安全策略應包含基于MAC地址的訪問控制；h)應支持用戶自定義的安全策略，安全策略可以是MAC地址、IP地址、端口、協(xié)議類型和時間的部分或全部組合；i)防火墻可根據(jù)配置，對一定時間內未使用的策略進行自動修改或刪除。5.2.3狀態(tài)檢測防火墻應具備狀態(tài)檢測功能，支持基于狀態(tài)檢測技術的訪問控制。b)SNAT應至少可實現(xiàn)“多對一”地址轉換，使得內部網(wǎng)絡主機正常訪問外部網(wǎng)絡時，其源IP地址被轉換，并應屏蔽內部網(wǎng)絡的IP地址；c)DNAT應至少可實現(xiàn)“一對多”地址轉換，將DMZ的IP地址/端口映射為外部網(wǎng)絡合法IP地址/端口，使外部網(wǎng)絡主機通過訪問映射地址和端口實現(xiàn)對DMZ服務器的訪問；5.2.5流量統(tǒng)計防火墻應具備流量統(tǒng)計功能，具體測試要求如下：a)防火墻應能夠通過IP地址、網(wǎng)絡服務、時間和協(xié)議類型等參數(shù)或它們的組合對流量進行正確b)防火墻應能夠實時或者以報表形式輸出流量統(tǒng)計結果。5.2.6公司統(tǒng)一監(jiān)控系統(tǒng)支持防火墻應支持公司統(tǒng)一監(jiān)控系統(tǒng)，具體測試要求如下：a)防火墻應支持將Syslog日志輸出到指定的服務器，基本數(shù)據(jù)格式、數(shù)據(jù)質量要求等應符合Q/GDW11802及公司統(tǒng)一監(jiān)控系統(tǒng)數(shù)據(jù)接入規(guī)范的其他要求；b)防火墻應支持通過安全增強的SNMP協(xié)議對防火墻進行監(jiān)控，可對防火墻的CPU狀態(tài)、內存利6a)防火墻應支持使用NTP進行時間同步；b)防火墻應支持對NTP時間源的認證。防火墻應具備管理功能，具體測試要求如下：1)支持對授權管理員的口令鑒別方式，并可根據(jù)口令長度4)防火墻應對授權管理員選擇兩種或兩種以上組合的鑒別技術進行身份鑒別；5)防火墻應具有登錄失敗處理功能，身份鑒別在經(jīng)過一個可設定的鑒別失敗最大次數(shù)后，防6)遠程管理過程中，防火墻應通過指定IP的方式限定可對防火墻進行管理的主機，且并發(fā)管理連接數(shù)限定，且管理端與防火墻之間的所有通訊應加密；7)防火墻應支持管理員權限劃分，至少需分為三個部分，可將防火墻系統(tǒng)管理、安全策略管8)防火墻應為每一個規(guī)定的授權管理員、可信主機、主機和用戶提供一套唯一的為執(zhí)行安全2)防火墻應支持通過專用的網(wǎng)絡接口進行遠程管理，并可限定可進行遠程管理的網(wǎng)絡接口；4)防火墻應支持在線和離線兩種升級方式，不會因升級影響系統(tǒng)的正常工作。1)防火墻向授權管理員提供設置和修改安全管理相關的數(shù)據(jù)參數(shù)的功能；2)防火墻向授權管理員提供設置、查詢和修改各種安全策略的功能；3)防火墻向授權管理員提供根據(jù)條件進行策略查詢的功能；4)防火墻向授權管理員提供根據(jù)策略分組功能，可對具備特定條件的策略進行分組；5)防火墻向授權管理員提供管理審計日志的功能；6)防火墻向授權管理員提供監(jiān)控防火墻狀態(tài)和網(wǎng)絡數(shù)據(jù)流狀態(tài)的功能。7防火墻應具備路由功能，具體測試要求如下：a)防火墻應支持靜態(tài)路由功能；b)防火墻應支持OSPF方式的動態(tài)路由功能；c)防火墻應支持RIP方式的動態(tài)路由功能；d)具有多個相同屬性網(wǎng)絡接口(多個外部網(wǎng)絡接口、多個內部網(wǎng)絡接口或多個DMZ網(wǎng)絡接口)的防火墻應能夠根據(jù)數(shù)據(jù)包源IP地址、目的IP地址、進入接口、傳輸層接口或數(shù)據(jù)包負載內容等參數(shù)來設置路由策略；e)具有多個相同屬性網(wǎng)絡接口(多個外部網(wǎng)絡接口、多個內部網(wǎng)絡接口或多個DMZ網(wǎng)絡接口)的防火墻應能夠根據(jù)下一跳接口、協(xié)議和端口、應用類型等參數(shù)來設置路由策略，且支持基于多鏈路負載情況進行自動選擇最優(yōu)線路。5.2.11雙機熱備防火墻應具備雙機熱備功能，具體測試要求如下：a)防火墻應支持兩臺相同防火墻以“一主一備”的方式進行部署，當主防火墻意外停止工作時，備用防火墻可接管主防火墻進行工作，切換時間應小于5秒；b)防火墻應支持兩臺相同防火墻以“雙主”的方式進行部署，兩臺防火墻以“負載分擔”的方式c)防火墻應支持物理設備狀態(tài)檢測。當主防火墻因自身出現(xiàn)斷電或其他故障停止工作時，備用防火墻應及時發(fā)現(xiàn)并接管主防火墻進行工作，切換時間應小于5秒；d)防火墻應支持會話狀態(tài)的同步，可自動或手動進行會話狀態(tài)同步；e)防火墻應支持配置的同步，可自動或手動進行系統(tǒng)、策略的配置同步；f)防火墻應具備基于鏈路狀態(tài)檢測的雙機熱備功能，當與主防火墻直接相連的鏈路發(fā)生故障而無法正常工作時，備用防火墻應及時發(fā)現(xiàn)并接管主防火墻進行工作，切換時間應小于5秒；h)在透明模式下，防火墻可支持STP協(xié)議；i)防火墻應支持通過冗余心跳線機制實現(xiàn)雙機熱備功能；j)防火墻可支持鏈路狀態(tài)檢測協(xié)議如IP-Link,BFD等。5.2.12網(wǎng)絡適應性防火墻應能以不同的接入方式接入多種網(wǎng)絡環(huán)境，具體測試要求如下：a)防火墻應支持基于路由轉發(fā)的接入方式接入網(wǎng)絡；b)防火墻應支持基于透明網(wǎng)橋的接入方式接入網(wǎng)絡；c)防火墻應支持路由轉發(fā)和透明網(wǎng)橋兩種模式同時具備的混合模式接入網(wǎng)絡；5.2.13深度包檢測防火墻應具備深度包檢測功能，具體測試要求如下：a)防火墻的安全策略應包含基于URL的訪問控制；b)防火墻的安全策略應包含基于電子郵件中的Subject、To、From域等進行的訪問控制；c)防火墻的安全策略應包含基于文件類型的訪問控制；d)防火墻的安全策略應包含基于關鍵字的訪問控制，對HTTP網(wǎng)頁數(shù)據(jù)和電子郵件正文數(shù)據(jù)進行檢查。85.2.14會話維持防火墻應根據(jù)協(xié)議、端口、安全策略等條件進行會話維持，保證特定會話可在較長時間內維持活躍狀態(tài)。5.2.15動態(tài)開放端口防火墻應具備動態(tài)開放端口功能，支持主動模式和被動模式的FTP、以H.323協(xié)議建立視頻會議和5.2.16連接數(shù)控制防火墻應能夠設置單IP的最大并發(fā)會話數(shù)，防止大量非法連接產(chǎn)生時影響網(wǎng)絡的性能。5.2.17協(xié)同聯(lián)動防火墻應按照一定的安全協(xié)議與其他安全產(chǎn)品協(xié)同聯(lián)動，并支持手工或自動方式來配置聯(lián)動策略。防火墻應具備基于用戶/用戶組的網(wǎng)絡訪問控制功能，支持的用戶鑒別方式具體技術要求如下：a)支持本地鑒別方式；b)支持結合第三方鑒別系統(tǒng)，如基于radius、LDAP服務器的鑒別方式；c)支持基于策略的鑒別方式。5.2.19帶寬管理防火墻應具備帶寬管理功能，具體測試要求如下：a)防火墻應能夠根據(jù)安全策略中設定的大小限制客戶端占用的帶寬；b)防火墻應能夠根據(jù)安全策略和網(wǎng)絡流量動態(tài)調整客戶端占用的帶寬。5.2.20負載均衡本項應遵循GB/T20281—2015中.4.2的要求。5.2.21VPN功能a)防火墻應支持以IPSec協(xié)議為基礎構建VPN;b)防火墻應支持建立“防火墻至防火墻”和“客戶端至防火墻”兩種形式的VPN;c)防火墻應支持預共享密鑰和X.509數(shù)字證書兩種認證方式進行國密VPN認證；d)防火墻所使用的加密算法和驗證算法應符合國家密碼管理的規(guī)定，宜采用國密算法。防火墻應支持IPv6協(xié)議，具體測試要求如下：a)防火墻應支持純IPv6網(wǎng)絡環(huán)境，能夠在純IPv6網(wǎng)絡環(huán)境下正常工作；b)防火墻應支持通過隧道技術實現(xiàn)IPv6通訊，具體要求如下：1)防火墻應支持6over4網(wǎng)絡環(huán)境，能夠在6over4網(wǎng)絡環(huán)境下正常工作；2)防火墻應支持6to4網(wǎng)絡環(huán)境，能夠在6to4網(wǎng)絡環(huán)境下正常工作；9c)防火墻應支持IPv4/IPv6雙棧網(wǎng)絡環(huán)境，可同時進行IPv6和IPv4的通訊；d)防火墻宜支持IPv6Core協(xié)議一致性；e)防火墻宜支持IPv6NDP協(xié)議一致性；f)防火墻宜支持IPv6Autoconfig協(xié)議一致性；h)防火墻宜支持ICMPv6協(xié)議一致性；i)防火墻應支持IPv6網(wǎng)絡環(huán)境下的協(xié)議健壯性，能夠抵御畸形協(xié)議報文攻擊，具體要求如下：3)其他協(xié)議畸形報文。j)防火墻應支持在IPv6網(wǎng)絡環(huán)境下的自身管理；k)防火墻應支持將IPv4和IPv6兩種網(wǎng)絡相互轉換，能夠在協(xié)議轉換網(wǎng)絡環(huán)境下正常工作。5.2.23會話管理防火墻應能夠在會話處于非活躍狀態(tài)一定時間或會話結束后，主動釋放其占用的狀態(tài)表資源。5.2.24應用協(xié)議控制防火墻應能識別并控制各種應用協(xié)議類型，具體技術要求如下：b)即時聊天類應用、P2P流媒體類應用、網(wǎng)絡流媒體類應用、網(wǎng)絡游戲、股票軟件；c)逃逸或隧道加密特點的應用；d)自定義應用類型。5.2.25應用內容控制防火墻應能識別和過濾主流應用的內容，具體技術要求如下：等應用對文件類型進行訪問控制，包括文件類型的上傳、下載c)其他類型的應用內容。5.3性能測試要求5.3.1性能測試要求列表產(chǎn)品的性能測試要求由表2所列項目組成。表2性能測試要求項目性能性能測試要求項目性能測試要求整機吞吐量延遲最大并發(fā)連接數(shù)最大連接速率防火墻的整機吞吐量視不同速率的防火墻有所不同，具體測試要求如下；防火墻在如下條件下，整a)防火墻在開啟NAT功能后，整機吞吐量下降應不大于原吞吐量的2%;b)防火墻在開啟全部日志功能后，整機吞吐量下降應不大于原吞吐量的3%;c)防火墻在添加大數(shù)量有效訪問控制策略(百兆防火墻大于800條，千兆防火墻大于5000條，萬兆防火墻大于12000條)后，整機吞吐量下降應不大于原吞吐量的2%;d)防火墻在開啟主要安全功能(包括但不限于審計日志、抗攻擊、深度包檢測、流量統(tǒng)計、應用層協(xié)議控制)后，整機吞吐量下降應不大于原吞吐量的20%。表3防火墻整機吞吐量測試要求防火墻分類64字節(jié)短包512字節(jié)中包1518字節(jié)大包配置策略百兆防火墻200Mbps600Mbps500條千兆防火墻5Gbps4000條萬兆防火墻28Gbps35Gbps10000條防火墻的延遲視不同速率的防火墻有所不同，具體測試要求有防火墻在如下條件下，延遲指標應不a)防火墻在開啟NAT功能后，延遲增加應不大于原延遲的2%;b)防火墻在開啟全部日志功能后，延遲增加應不大于原延遲的3%;c)防火墻在添加大數(shù)量有效訪問控制策略(百兆防火墻大于800條，千兆防火墻大于5000條，萬兆防火墻大于12000條)后，延遲增加應不大于原延遲的2%;d)防火墻在開啟主要安全功能(包括但不限于審計日志、抗攻擊、深度包檢測、流量統(tǒng)計、應用層協(xié)議控制)后，延遲增加應不大于原延遲的20%。防火墻分類64字節(jié)短包512字節(jié)中包1518字節(jié)大包配置策略百兆防火墻500條千兆防火墻4000條萬兆防火墻10000條最大并發(fā)連接數(shù)視不同速率的防火墻有所不同，具體測試要求如下：a)百兆防火墻在500條有效訪問控制策略的情況下最大并發(fā)連接數(shù)應不小于120萬個；b)千兆防火墻在4000條有效訪問控制策略的情況下最大并發(fā)連接數(shù)應不小于250萬個；c)萬兆防火墻在10000條有效訪問控制策略的情況下最大并發(fā)連接數(shù)應不小于500萬個。最大連接速率視不同速率的防火墻有所不同，具體測試要求如下：a)百兆防火墻在500條有效訪問控制策略的情況下最大連接速率應不小于每秒1.5萬個；b)千兆防火墻在4000條有效訪問控制策略的情況下最大連接速率應不小于每秒8萬；c)萬兆防火墻在10000條有效訪問控制策略的情況下最大連接速率應不小于每秒20萬；d)防火墻在開啟NAT功能后，最大連接速率下降應不大于原最大連接速率的2%;f)防火墻在添加大數(shù)量有效訪問控制策略(百兆防火墻大于800條，千兆防火墻大于5000條，g)防火墻在開啟主要安全功能(包括但不限于審計日志、抗攻擊、深度包檢測、流量統(tǒng)計、應用層協(xié)議控制)后，最大連接速率下降應不大于原最大連接速率的20%。產(chǎn)品的安全測試要求由表5所列項目組成。安全分類安全測試要求項目抗攻擊抵御各種典型拒絕服務攻擊檢測和記錄端口掃描行為和漏洞掃描行為，不返回掃描信息抵御源IP地址欺騙攻擊抵御IP碎片包攻擊支撐系統(tǒng)支撐系統(tǒng)不提供多余的網(wǎng)絡服務支撐系統(tǒng)不含任何高、中風險安全漏洞構建于安全的操作系統(tǒng)之上非正常關機安全策略恢復到關機前的狀態(tài)日志信息不會丟失管理員重新認證協(xié)議安全異常報文、畸形報文不影響系統(tǒng)的正常工作支持識別協(xié)議穿透安全審計支持記錄來自外部網(wǎng)絡的被安全策略允許的訪問請求支持記錄來自內部網(wǎng)絡和DMZ的被安全策略允許的訪問請求支持記錄任何試圖穿越或到達防火墻的違反安全策略的訪問請求支持記錄防火墻的管理行為支持日志的訪問授權支持記錄對防火墻系統(tǒng)自身的操作支持在防火墻管理端口上的認證請求支持對日志事件和防火墻所采取的相應措施的中文描述支持日志記錄存儲和備份的安全支持日志集中管理工具管理日志支持日志的統(tǒng)計分析和中文報表生成支持日志存儲耗盡處理機制表5(續(xù))安全分類安全測試要求項目支持記錄協(xié)同聯(lián)動響應行為事件抗?jié)B透支持抵御掃描行為支持惡意代碼檢測功能支持抵御來自應用層的攻擊防火墻具備抗攻擊能力，具體測試要求如下：a)能夠抵御典型的拒絕服務攻擊和分布式拒絕服務攻擊，包括ICMPFlood攻擊、UDPFlood攻擊、SYNFlood攻擊、TearDrop攻擊、Land攻擊、超大ICMP數(shù)據(jù)攻擊等，保護自身并防止受b)能檢測和記錄端口掃描和漏洞掃描信息，包括對防火墻自身和受保護網(wǎng)絡的掃描，不返回掃描e)宜具備基于IP信譽庫的過濾功能，并支持IP信譽庫的升級更新。防火墻的底層支撐系統(tǒng)應滿足如下測試要求：a)確保其支撐系統(tǒng)不提供多余的網(wǎng)絡服務，僅開放必要的通訊端口；b)支撐系統(tǒng)不含任何可能導致防火墻權限丟失、拒絕服務和敏感信息泄露等的漏洞。防火墻在非正常條件(如斷電、強制關機)關機并重新啟動后，應滿足如下測試要求：d)千兆及以下類型防火墻設備重啟時間宜小于90秒，千兆以上類型防火墻設備重啟時間宜小于180秒。防火墻應正確處理異常報文、畸形報文，不會因異常報文和畸形報文影響系統(tǒng)的正常工作。防火墻應識別經(jīng)過偽裝的特殊協(xié)議，抵抗偽裝成正常通訊協(xié)議的攻擊。防火墻應具備安全審計功能，具體測試要求如下：1)被防火墻策略允許、禁止的訪問請求；3)試圖登錄防火墻管理端口和管理身份鑒別請求；5)防火墻的重要管理配置操作：如增加/刪除/修改管理員、保存/刪除審計日志、更改安全7)防火墻應記錄協(xié)同聯(lián)動響應行為事件；8)防火墻應記錄檢測到的攻擊行為，且日志中應包括對攻擊事件的詳細描述。b)日志內容2)事件發(fā)生的主體、客體和描述，其中數(shù)據(jù)包應包括協(xié)議類型、源地址、目的地址、源端口3)指明在管理端口上的認證請求是成功還是失敗，若認證請求失敗應記錄失敗的原因；4)對日志事件和防火墻采取的相應措施進行詳細的描述，描述內容應為中文。1)防火墻應支持把日志存儲和備份在掉電非易失性存儲介質中，并確保永久性和安全性；2)防火墻應支持使用日志管理工具管理日志，具備對審計事件以時間、日期、主體ID、客3)防火墻應支持通過防火墻自身或日志管理工具對日志進行統(tǒng)計分析和生成報表；5)防火墻應支持在日志存儲將要耗盡的情況下采取相應的措施，包括向授權管理員報警、基于策略的最早產(chǎn)生的日志刪除和系統(tǒng)工作停止等，且至少能夠通知授權管理員；7)審計管理員應能夠對日志進行存檔、刪除和清空。防火墻應具備抗?jié)B透功能，具體測試要求如下：a)防火墻應具備抵御檢測到的掃描行為的能力；1)能夠檢測并抵御操作系統(tǒng)類、應用服務器類(如web服務器、FTP服務器等c)防火墻可支持與有開放接口的入侵檢測系統(tǒng)聯(lián)動。5.5.1開發(fā)者保障要求列表產(chǎn)品的開發(fā)者保障要求由表6所列項目組成。管理分類管理要求項目配置管理配置管理能力配置管理范圍測試范圍測試深度功能測試獨立性測試配置管理系統(tǒng)應對所有的配置項做出唯一的標識，并保證只有經(jīng)過授權才能修改配置項，還應支持系統(tǒng)基本配置項的生成。配置管理文檔應包括配置清單、配置述組成系統(tǒng)的配置項。在配置管理計劃中，應描述置管理計劃相一致。在接受計劃中，應描述對修改應描述對配置項給出唯一標識的方法，并提供所有的配置項得到有效地維護的證據(jù)。開發(fā)者應提供配置管理文檔。配置管理文檔應說明配置管理系統(tǒng)至少能跟蹤：產(chǎn)品實現(xiàn)表示、設計文檔、測試文檔、用戶文檔、管理員文檔和配置管理文檔，并描述配置管理系統(tǒng)是如何跟蹤配置項的。開發(fā)者應提供測試深度的分析。在深度分析中，應說明測試文檔中所標識的對安全功能的測試，足開發(fā)者應測試安全功能，并提供相應的測試文檔。測試文檔應包括測試計劃、測試規(guī)程、預期的測試結果和實際測試結果。測試計劃應標識要測試的行的測試，并描述每個安全功能的測試概況，這結果應表明測試成功后的預期輸出。實際測試結果應表明每個被測試的安全功能能按照規(guī)定進行運作。防火墻功能測試網(wǎng)絡拓撲結構參見圖1,性能測試網(wǎng)絡拓撲結構參見圖2,安全性測試網(wǎng)絡拓撲結構參見圖3。測試設備包括測試終端、交換機、被測設備、路由器、性能測試儀、協(xié)議測試工具和漏洞掃描儀等。交換機見跳口心跳口路由器被測設備交換機測試終端3測試終端4測試終端2被測設備交換機圖1功能測試拓撲總圖性性能測試儀被測設備圖2性能測試拓撲圖被測設備圖3安全性測試拓撲圖可用的測試工具包括但不限于：可模擬內外網(wǎng)的服務器和客戶端終端；可對被測設備實施掃洞掃描器；生成網(wǎng)絡背景流量的專用網(wǎng)絡性能測試儀。只要有利于科學、公正、測試結果，可采取多種測試工具和測試方法對系統(tǒng)進行測試。3)配置基于源IP地址、目的IP地址的包過濾策略，產(chǎn)生相應的網(wǎng)絡會話4)配置基于源端口、目的端口的包過濾策略，產(chǎn)生相應的網(wǎng)絡會話；6)配置基于時間的包過濾策略，產(chǎn)生相應的網(wǎng)絡會話；7)配置用戶自定義的包過濾策略，過濾條件是2)～6)過濾條件的部分或全部組合，產(chǎn)生相8)配置一條策略，在規(guī)定時間內不產(chǎn)生匹配該策略的訪問。3)產(chǎn)生滿足該特定條件的一個完整的網(wǎng)絡會話；b)預期結果：測試結果符合5.2.3的要求。中的主機能否通過防火墻訪問外部網(wǎng)絡中的主機；源地址、目的地址和包頭信息，來驗證防火墻地址轉換功能的有效性。b)預期結果：測試結果符合5.2.4的要求。2)檢查防火墻能否進行流量統(tǒng)計，并如何輸出統(tǒng)計結果。b)預期結果：測試結果符合5.2.5的要求。1)配置防火墻Syslog日志外發(fā)的相關功能，將Syslog日志發(fā)往指定的日志服務器，在日志服1)配置防火墻的時間同步功能，配置指定的NTP時間源進行認證；進行時間同步，檢查防火墻的時間是否自動被設置為時間源提供的時間(可選用本地主機時間和網(wǎng)絡時間源);1)查看防火墻本地和遠程管理是否必須通過口令鑒別，且口令復雜度及使用周期可配置，口4)在登錄過程中輸入錯誤口令，達到防火墻設定的最大失敗次數(shù)(如5次)后，查看防火墻是否能夠終止可信主機或用戶建立會話的過程，并對該失敗用戶做禁止訪問處理；13)查看授權管理員是否具備管理審計日志的功能；b)預期結果：測試結果符合5.2.8的要求。3)分別產(chǎn)生正確IP/MAC綁定的會話和盜用IP的會話，檢查綁定的有效性。b)預期結果：測試結果符合5.2.9的要求。6.3.9路由1)根據(jù)目標地址參數(shù)及出接口配置防火墻靜態(tài)路由表項，產(chǎn)生相應的網(wǎng)絡會話，檢查策略路2)兩臺防火墻均啟用動態(tài)路由協(xié)議OSPF,配置相關參數(shù)及鄰居信息，相互發(fā)布對端路由，檢查防火墻上的區(qū)域、鄰居等信息是否正確，檢查路由學習是否成功；3)在防火墻上配置RIP相關功能參數(shù)的配置，建立鄰居，發(fā)布路由，檢查防火墻獲得路由信4)檢查防火墻是否能夠根據(jù)數(shù)據(jù)包源IP地址、目的IP地址、網(wǎng)絡入接口、傳輸層接口或數(shù)據(jù)b)預期結果：測試結果符合5.2.10的要求。1)使用兩臺防火墻建立雙機熱備系統(tǒng)(主備模式),使用冗余的心跳線，連續(xù)產(chǎn)生正常的網(wǎng)2)內網(wǎng)測試機長時間ping外部網(wǎng)絡測試機，切斷主防火墻電源，檢查備防火墻是否能夠及時任意網(wǎng)線，檢查備防火墻是否能夠及時發(fā)現(xiàn)故障并接管主防火墻進行工作；2)配置防火墻全部接口為透明接口，在防火墻兩端使用相同網(wǎng)段的主機進行相互訪問；深度包檢測的測試方法與預期結果如下。3)配置基于文件類型的內容過濾策略，產(chǎn)生相應的網(wǎng)絡會話；4)配置基于用戶的內容過濾策略，產(chǎn)生相應的網(wǎng)絡會話；b)預期結果：測試結果符合5.2.13的要求。2)在未超過設定時間和超過設定時間兩個時段，檢查防火墻的連接狀態(tài)。3)使用支持H.323協(xié)議的視頻工具(如NetMeeting)在內部網(wǎng)絡和外部網(wǎng)絡中的用戶發(fā)起視頻會議，檢查防火墻是否能及時打開所使用的動態(tài)端口，視頻會議是否正常進行；b)預期結果：測試結果符合5.2.15的要求。使得單個IP連接數(shù)超過設定的限制值。b)預期結果：測試結果符合5.2.16的要求。2)外部網(wǎng)絡主機向內部網(wǎng)絡主機主機發(fā)起策略定義為阻斷的攻擊，檢查防火墻是否能及時接b)預期結果：測試結果符合5.2.17的要求。2)配置第三方鑒別服務器，在防火墻上配置用第三方鑒別服務器；1)配置防火墻帶寬管理策略，產(chǎn)生相應的網(wǎng)絡流量；3)從內部網(wǎng)絡向外部網(wǎng)絡發(fā)送流量，使流量的速率超出帶寬允許的范圍。b)預期結果：測試結果符合5.2.19的要求。3)通過協(xié)議分析儀或包捕獲工具觀察網(wǎng)絡流量，根據(jù)數(shù)據(jù)包源目標地址和流量大小，檢查防b)預期結果：測試結果符合5.2.20的要求。1)模擬純IPv6網(wǎng)絡環(huán)境，檢測防火墻是否能夠支持純IPv6網(wǎng)絡環(huán)境，在純IPv6網(wǎng)絡環(huán)境下其2)模擬6over4隧道的網(wǎng)絡環(huán)境，檢測防火墻是否能夠支持6over4隧道，在6over4隧道網(wǎng)絡環(huán)3)模擬6to4隧道的網(wǎng)絡環(huán)境，檢測防火墻是否能夠支持6to4隧道，在6to4隧道網(wǎng)絡環(huán)境下是5)模擬IPv4和IPv6兩種協(xié)議同時存在的網(wǎng)絡環(huán)境，檢測防火墻是否能夠同時支持IPv4和IPv6兩種協(xié)議，在IPv4/IPv6雙棧網(wǎng)絡環(huán)境下是否能夠正常工作；6)若防火墻為路由模式，將防火墻與協(xié)議一致性測試儀串聯(lián)；在協(xié)議一致性測試儀上選擇IPv6Core協(xié)議一致性測試套件，并選擇必選項進行測試，并記錄測試結果；若防火墻為選擇IPv6Core協(xié)議一致性測試套件，并選擇必選項進行測試，并記錄測試結果；再將協(xié)議一致性測試儀和路由器串聯(lián)，重新測試一次IPv6Core協(xié)議一致性；比較兩次IPv6Core8)若防火墻為路由模式，將防火墻與協(xié)議一致性測試儀串聯(lián)；在協(xié)議一致性測試儀上選擇IPv6Autoconfig協(xié)議一致性測試套件，并選擇必選項進行測試，并記錄測試結果；若防火墻為網(wǎng)橋模式，將防火墻、協(xié)議一致性測試儀和任意一臺路由器串聯(lián)；在協(xié)議一致性測試儀上選擇IPv6Autoconfig協(xié)議一致性測試套件，并選擇必選項進行測試，并記錄測試比較兩次IPv6Autoconfig協(xié)議一致性結果是否一致；12)模擬IPv6網(wǎng)絡環(huán)境，檢測防火墻是否能夠支持在IPv6網(wǎng)絡環(huán)境下自身管理；13)模擬IPv4和IPv6兩種協(xié)議相互轉換的網(wǎng)絡環(huán)境，檢測防火墻是否能夠支持IPv4和IPv6兩種協(xié)議相互轉換，在IPv4/IPv6協(xié)議轉換網(wǎng)絡環(huán)境下是否能夠正常工作。1)防火墻應具有默認的會話超時機制，則需文檔說明各協(xié)議的超時結束時間，或者配置各協(xié)2)在不經(jīng)過防火墻的條件下，從客戶端主機向服務器發(fā)起連接會話，并確認該會話不會在防3)從內部網(wǎng)絡指定主機向外部網(wǎng)絡服務器、或者從外部網(wǎng)絡向DMZ區(qū)服務器建立相應的連接會話，并不再對該會話進行任何操作，通過主機查看該會話的狀態(tài)。b)預期結果：測試結果符合5.2.23的要求。應用層協(xié)議控制的測試方法與預期結果如下：b)預期結果：測試結果符合5.2.24的要求。3)配置其他應用的內容關鍵詞過濾規(guī)則，如即時通訊。b)預期結果：測試結果符合5.2.25的要求。3)按5.3.2的測試要求進行配置，使用性能測試儀測試防火墻在不丟包的情況下，雙向UDP(分別在64字節(jié)、512字節(jié)和1518字節(jié)條件下)的吞吐量，測試持續(xù)時間3分鐘；1)使用性能測試儀連接防火墻的一對接口；2)配置防火墻的工作模式為路由模式，配置一條雙向全通規(guī)則；3)按5.3.3的測試要求進行配置，使用性能測試儀測試防火墻在64字節(jié)、512字節(jié)、1518字節(jié)最大并發(fā)連接數(shù)的測試方法和預期結果如下：1)使用性能測試儀連接防火墻的一對接口；2)配置防火墻工作模式為路由模式，配置一條雙向全通規(guī)則；b)預期結果：測試結果不低于5.3.4的相應要求。1)使用性能測試儀連接防火墻的一對接口；b)預期結果：測試結果不低于5.3.5的相應要求。6.5安全測試方法1)配置啟用防火墻的抗拒絕服務攻擊功能；2)采用滲透測試工具或專用模擬攻擊測試設備，對防火墻進行多種拒絕服務攻擊，同時通過防火墻建立正常的TCP連接(新建連接速率為100個/s),持續(xù)時間1分鐘；3)查看防火墻能否抵御上述攻擊，是否會造成性能下降或崩潰，檢查拒絕服務攻擊包通過的4)防火墻在開放全通策略的情況下，使用IP信譽庫中黑名單的IP地址，通過防火墻對內部服1)查看防火墻涉及文檔或通過詢問廠家等方式獲取防火墻的支撐系統(tǒng)類型及版本并進行記4)查看掃描結果，確認通過端口開放的服務不包含可利用的漏洞；5)檢查產(chǎn)品文檔，確定防火墻所申明的開放端口；1)記錄防火墻的當前狀態(tài)，如安全策略等，并保存配置，并通過管理界面連接防火墻；2)直接斷開防火墻電源，再接通電源開機啟動；3)再次嘗試通過界面進行管理，檢查安全策略、日志信息等；4)硬重啟與軟重啟防火墻設備，秒表計時，通過防火墻內網(wǎng)測試機ping外網(wǎng)測試機，pingb)預期結果：測試結果符合5.4.4的要求。1)監(jiān)聽設備已啟用的端口，利用工具構造報文對設備進行模糊攻擊，構造針對通信協(xié)議的惡協(xié)議穿透識別協(xié)議穿透識別的測試方法和預期結果如下3)查看防火墻是否可以識別偽裝的協(xié)議并有效抵抗偽裝成正常通訊協(xié)議的攻擊。b)預期結果：測試結果符合的要求。1)產(chǎn)生如下事件，檢查防火墻是否記錄以下日志：從外部網(wǎng)絡訪問內部網(wǎng)絡和安全區(qū)域的服務，以及從內部網(wǎng)絡訪問外部網(wǎng)絡、安全區(qū)域和防火墻自身；分別從內部網(wǎng)絡、外和安全區(qū)域發(fā)起防火墻安全策略所禁止的數(shù)據(jù)包；嘗試登錄防火墻管理端口，鑒別；進行增加、刪除和修改管理員，保存和刪除審計日志、更改安全策略、配置參數(shù)、2)從本地或遠程管理端嘗試以非授權管理員的身份訪問日志；3)以授權管理員身份登錄，查看是否能進行日志查閱、保存、刪除和清空的操作；6)查看防火墻是否能對審計事件進行檢索和排序；7)查看防火墻是否