(高清版)GB∕T 20281-2020 信息安全技術(shù) 防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法

代替GB/T20010—2005,GB/T20281—2015,信息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布國(guó)家標(biāo)準(zhǔn)化管理委員會(huì) I 2 3 36.1安全功能要求 3 96.3性能要求 6.4安全保障要求 7測(cè)評(píng)方法 7.1測(cè)評(píng)環(huán)境 7.2安全功能測(cè)評(píng) 7.4性能測(cè)評(píng) 7.5安全保障測(cè)評(píng) 附錄A(規(guī)范性附錄)防火墻分類及安全技術(shù)要求等級(jí)劃分 A.1概述 A.2網(wǎng)絡(luò)型防火墻 A.4數(shù)據(jù)庫(kù)防火墻 A.5主機(jī)型防火墻 附錄B(規(guī)范性附錄)防火墻分類及測(cè)評(píng)方法等級(jí)劃分 49B.1概述 B.2網(wǎng)絡(luò)型防火墻 B.4數(shù)據(jù)庫(kù)防火墻 B.5主機(jī)型防火墻 I息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》、GB/T31505—2015《信息安全技術(shù)主機(jī)型防火2015和GB/T32917—2016的部分內(nèi)容，與GB/T20281—2015相比，除編輯性修改外主要技術(shù)變化——修改了概述(見(jiàn)第5章，2015年版的第5章);——GB/T20010—2005;1下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引GB/T18336.3—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第3部分：安全保障組件GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T25069—2010界定的以及下列術(shù)語(yǔ)和定義2IP:網(wǎng)際協(xié)議(InternetProtocol)3防火墻的等級(jí)分為基本級(jí)和增強(qiáng)級(jí)，安全功劃分的具體依據(jù)，等級(jí)突出安全特性。其中，基本級(jí)產(chǎn)品的安全保障要求內(nèi)容對(duì)應(yīng)GB/T18336.3—2015的EAL2級(jí)，增強(qiáng)級(jí)產(chǎn)品的安全保障要求內(nèi)容對(duì)應(yīng)GB/T18336.3—2015的EAL4+級(jí)。各類防具有多個(gè)相同屬性網(wǎng)絡(luò)接口(多個(gè)外部網(wǎng)絡(luò)接口、多個(gè)內(nèi)部網(wǎng)絡(luò)接口或多個(gè)DMZ網(wǎng)絡(luò)接口)的產(chǎn)4若產(chǎn)品支持IPv6,應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下正常工作，能有效運(yùn)行其安全功能和自身安全Autoconfig協(xié)議和ICMPv6協(xié)議。56產(chǎn)品應(yīng)支持限制單IP的最大并發(fā)會(huì)話數(shù)和新建連接速率，防止大量非法連接產(chǎn)生時(shí)影響網(wǎng)絡(luò)b)數(shù)據(jù)庫(kù)協(xié)議；.1WEB應(yīng)用7b)檢測(cè)并攔截被HTTP網(wǎng)頁(yè)和電子郵件等攜帶的惡意代碼。b)應(yīng)用掃描行為防護(hù)；1)被產(chǎn)品安全策略匹配的訪問(wèn)請(qǐng)求；2)檢測(cè)到的攻擊行為。1)事件發(fā)生的日期和時(shí)間；3)攻擊事件的描述。3)日志存儲(chǔ)于掉電非易失性存儲(chǔ)介質(zhì)中；4)日志存儲(chǔ)周期設(shè)定不小于六個(gè)月；89b)事件客體；g)應(yīng)對(duì)授權(quán)管理員選擇兩種或兩種以上組合的1)對(duì)于64字節(jié)短包，百兆產(chǎn)品不小于線速的20%,千兆和萬(wàn)兆產(chǎn)品不小于線速的35%;2)對(duì)于512字節(jié)中長(zhǎng)包，百兆產(chǎn)品不小于線速的70%,千兆和萬(wàn)兆產(chǎn)品不小于線速的80%;3)對(duì)于1518字節(jié)長(zhǎng)包，百兆產(chǎn)品不小于線速的90%,千兆和萬(wàn)兆產(chǎn)品不小于線速的95%;a)百兆產(chǎn)品的TCP新建連接速率應(yīng)不小于1500個(gè)/s;b)千兆產(chǎn)品的TCP新建連接速率應(yīng)不小于5000個(gè)/s;速率應(yīng)不小于250000個(gè)/s。a)百兆產(chǎn)品的HTTPb)千兆產(chǎn)品的HTTPc)萬(wàn)兆產(chǎn)品的HTTP請(qǐng)求速率應(yīng)不小于3000個(gè)/s;請(qǐng)求速率應(yīng)不小于5000個(gè)/s。a)百兆產(chǎn)品的SQL請(qǐng)求速率應(yīng)不小于2000個(gè)/s;b)千兆產(chǎn)品的SQL請(qǐng)求速率應(yīng)不小于10000個(gè)/s;c)萬(wàn)兆產(chǎn)品的SQL請(qǐng)求速率應(yīng)不小于50000個(gè)/s。b)千兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于達(dá)到3000000個(gè)。a)百兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于50000個(gè)；b)千兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于200000個(gè)；c)萬(wàn)兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于2000000個(gè)。b)千兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于2000個(gè)；c)萬(wàn)兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于4000個(gè)。主機(jī)3主機(jī)3服務(wù)器4服務(wù)器2服務(wù)器3控制臺(tái)1)在產(chǎn)品設(shè)置一條靜態(tài)路由；1)產(chǎn)品支持設(shè)置靜態(tài)路由；1)在產(chǎn)品嘗試開(kāi)啟RIP動(dòng)態(tài)路由功能；3)在產(chǎn)品嘗試開(kāi)啟OSPF動(dòng)態(tài)路由功能；1)產(chǎn)品支持設(shè)置RIP動(dòng)態(tài)路由功能；2)產(chǎn)品支持設(shè)置OSPF動(dòng)態(tài)路由功能；3)產(chǎn)品支持設(shè)置BGP動(dòng)態(tài)路由功能。2)驗(yàn)證是否僅主產(chǎn)品處于工作狀態(tài)；3)能對(duì)虛擬子系統(tǒng)分配資源使用配額。1)產(chǎn)品支持在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作；2)產(chǎn)品支持在IPv6網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)自身管理。1)產(chǎn)品通過(guò)IPv6核心協(xié)議一致性測(cè)試；3)產(chǎn)品通過(guò)IPv6Autoconfig協(xié)議一致性測(cè)試；4)產(chǎn)品通過(guò)ICMPv6協(xié)議一致性測(cè)試。1)產(chǎn)品的缺省安全策略是禁止；6)基于時(shí)間的訪問(wèn)控制策略生效；1)產(chǎn)品支持SNAT和DNAT地址轉(zhuǎn)換；1)產(chǎn)品依據(jù)狀態(tài)表進(jìn)行訪問(wèn)控制；1)為產(chǎn)品設(shè)置IP/MAC地址綁定策略；2)使用自動(dòng)綁定或手工綁定功能將內(nèi)部網(wǎng)絡(luò)中主1)超過(guò)最大連接數(shù)的連接無(wú)法建立；1)在產(chǎn)品設(shè)置會(huì)話超時(shí)時(shí)間；4)在產(chǎn)品設(shè)置基于HTTP請(qǐng)求文件類型的訪問(wèn)控制策略，經(jīng)過(guò)產(chǎn)品使用HTTP協(xié)議請(qǐng)求6)在產(chǎn)品設(shè)置基于HTTP上傳文件類型的訪問(wèn)控制策略，經(jīng)過(guò)產(chǎn)品使用HTTP協(xié)議上傳7)在產(chǎn)品設(shè)置基于HTTP請(qǐng)求頻率的訪問(wèn)控制策略，經(jīng)過(guò)產(chǎn)品發(fā)送超過(guò)閾值的HTTP請(qǐng)2)經(jīng)產(chǎn)品發(fā)送UDPFlood攻擊流量(流量為產(chǎn)品接口速率的10%),同時(shí)經(jīng)產(chǎn)品建立正常的HTTP連接(新建連接速率為100個(gè)/s,持續(xù)時(shí)間60s),檢查拒絕服務(wù)攻擊包3)經(jīng)產(chǎn)品發(fā)送SYNFlood攻擊流量(流量為產(chǎn)品接口速率的10%),同時(shí)經(jīng)產(chǎn)品建立正常的4)經(jīng)產(chǎn)品發(fā)送TearDrop攻擊流量(流量為產(chǎn)品接口速率的10%),同時(shí)經(jīng)產(chǎn)品建立正常的5)經(jīng)產(chǎn)品發(fā)送Land攻擊流量(流量為產(chǎn)品接口速率的10%),同時(shí)經(jīng)產(chǎn)品建立正常的6)經(jīng)產(chǎn)品發(fā)送PingofDeath攻擊流量(流量為產(chǎn)品接口速率的10%),同時(shí)經(jīng)產(chǎn)品建立正常率不低于90%:不低于90%;不低于90%;不低于90%;于90%:率不低于90%;7)支持識(shí)別并防御CC攻擊。1)在產(chǎn)品針對(duì)目標(biāo)WEB應(yīng)用設(shè)置攻擊防護(hù)策略，使用WEB攻擊仿真器，經(jīng)產(chǎn)品向目標(biāo)3)經(jīng)產(chǎn)品向目標(biāo)WEB應(yīng)用發(fā)起第三方組件漏洞攻擊，驗(yàn)證產(chǎn)品是否能識(shí)別并防御該類1)產(chǎn)品能識(shí)別并防御SQL注入攻擊；4)產(chǎn)品能識(shí)別并防御目錄遍歷攻擊；5)產(chǎn)品能識(shí)別并防御Cookie注入攻擊；6)產(chǎn)品能識(shí)別并防御CSRF攻擊；7)產(chǎn)品能識(shí)別并防御文件包含攻擊；8)產(chǎn)品能識(shí)別并防御盜鏈攻擊；9)產(chǎn)品能識(shí)別并防御OS命令注入攻擊；2)產(chǎn)品能識(shí)別并防御異常SQL語(yǔ)句攻擊；a)測(cè)評(píng)方法1)產(chǎn)品能檢測(cè)并攔截木馬行為；2)產(chǎn)品能識(shí)別并防御中間件類漏洞攻擊；3)產(chǎn)品能識(shí)別并防御控件類漏洞攻擊。1)產(chǎn)品能識(shí)別并防御網(wǎng)絡(luò)掃描行為；1)在產(chǎn)品開(kāi)啟攻擊防護(hù)策略；1)驗(yàn)證產(chǎn)品是否記錄以下事件類型的日志：2)驗(yàn)證日志內(nèi)容是否包括：3)驗(yàn)證產(chǎn)品是否支持日志管理功能：——驗(yàn)證日志存儲(chǔ)空間達(dá)到閾值時(shí)，是否能通知授權(quán)管理員，并確保審計(jì)功能的正常1)產(chǎn)品能記錄被產(chǎn)品安全策略匹配的訪問(wèn)請(qǐng)求和檢測(cè)到的攻擊行為；c)結(jié)果判定：3)驗(yàn)證是否支持不同時(shí)間段統(tǒng)計(jì)結(jié)果對(duì)比。2)產(chǎn)品能以報(bào)表形式輸出統(tǒng)計(jì)結(jié)果；1)產(chǎn)品能按照攻擊事件類型、IP地址和時(shí)間段等條件或以上條件組合對(duì)攻擊事件進(jìn)行2)產(chǎn)品能以報(bào)表形式輸出統(tǒng)計(jì)結(jié)果。7)產(chǎn)品支持雙因子鑒別。5)產(chǎn)品能支持從NTP服務(wù)器同步系統(tǒng)時(shí)間；1)產(chǎn)品支持通過(guò)console端口進(jìn)行本地管理；HTTPText,20%;HTTPAudio,10%;HTTPVideo,11%;P2P,12%;SMB,8%;2)測(cè)試產(chǎn)品一對(duì)相應(yīng)速率的端口分別在64字節(jié)、512字節(jié)、1518字節(jié)最大網(wǎng)絡(luò)吞吐量90%2)測(cè)試高性能的萬(wàn)兆產(chǎn)品整機(jī)TCP新建連接速率。2)測(cè)試產(chǎn)品的HTTP請(qǐng)求速率。2)測(cè)試產(chǎn)品的SQL請(qǐng)求速率。2)測(cè)試高性能的萬(wàn)兆產(chǎn)品整機(jī)TCP并發(fā)連接數(shù)。2)測(cè)試產(chǎn)品的HTTP并發(fā)連接數(shù)。c)結(jié)果判定1)使用性能測(cè)試儀連接產(chǎn)品的接口；2)測(cè)試產(chǎn)品的SQL并發(fā)連接數(shù)。2)判斷產(chǎn)品是否能抵抗基本型攻擊；3)判斷產(chǎn)品是否能抵抗中等型型攻擊。表A.1列出了網(wǎng)絡(luò)型防火墻安全技術(shù)要求的等級(jí)劃分。路由靜態(tài)路由策略路由動(dòng)態(tài)路由負(fù)載均衡(可選)IPv6支持(可選)網(wǎng)絡(luò)層控制網(wǎng)絡(luò)地址轉(zhuǎn)換狀態(tài)檢測(cè)動(dòng)態(tài)開(kāi)放端口IP/MAC地址綁定連接數(shù)控制應(yīng)用層控制應(yīng)用類型控制應(yīng)用內(nèi)容控制其他應(yīng)用表A.1(續(xù))WEB攻擊防護(hù)數(shù)據(jù)庫(kù)攻擊防護(hù)自動(dòng)化工具威脅防護(hù)外部系統(tǒng)協(xié)同防護(hù)安全審計(jì)、網(wǎng)絡(luò)流量統(tǒng)計(jì)自身安全身份標(biāo)識(shí)與鑒別管理能力網(wǎng)絡(luò)層吞吐量安全架構(gòu)指導(dǎo)性文檔配置管理能力配置管理范圍交付程序表A.1(續(xù))負(fù)載均衡設(shè)備虛擬化(可選)IPv6支持(可選)網(wǎng)絡(luò)層控制應(yīng)用層控制應(yīng)用類型控制應(yīng)用內(nèi)容控制WEB攻擊防護(hù)自動(dòng)化工具威脅防護(hù) 外部系統(tǒng)協(xié)同防護(hù) 安全審計(jì)、告警與表A.2(續(xù))自身安全身份標(biāo)識(shí)與鑒別管理能力HTTP請(qǐng)求速率HTTP并發(fā)連接數(shù)安全架構(gòu)指導(dǎo)性文檔配置管理能力配置管理范圍交付程序A.4數(shù)據(jù)庫(kù)防火墻表A.3列出了數(shù)據(jù)庫(kù)防火墻安全技術(shù)要求的等級(jí)劃分。設(shè)備虛擬化(可選)IPv6支持(可選)網(wǎng)絡(luò)層控制應(yīng)用層控制應(yīng)用類型控制應(yīng)用內(nèi)容控制數(shù)據(jù)庫(kù)應(yīng)用數(shù)據(jù)庫(kù)攻擊防護(hù)外部系統(tǒng)協(xié)同防護(hù)安全審計(jì)、告警與自身安全身份標(biāo)識(shí)與鑒別管理能力SQL請(qǐng)求速率安全架構(gòu)指導(dǎo)性文檔配置管理能力配置管理范圍交付程序—表A.3(續(xù))設(shè)備虛擬化(可選)IPv6支持(可選)網(wǎng)絡(luò)層控制IP/MAC地址綁定連接數(shù)控制應(yīng)用層控制應(yīng)用類型控制自動(dòng)化工具威脅防護(hù)外部系統(tǒng)協(xié)同防護(hù)安全審計(jì)、告警與網(wǎng)絡(luò)流量統(tǒng)計(jì)表A.4(續(xù))自身安全身份標(biāo)識(shí)與鑒別管理能力安全架構(gòu)指導(dǎo)性文檔配置管理能力配置管理范圍交付程序表B.1列出了網(wǎng)絡(luò)型防火墻測(cè)評(píng)方法的等級(jí)劃分。路由靜態(tài)路由策略路由動(dòng)態(tài)路由負(fù)載均衡IPv6支持網(wǎng)絡(luò)層控制網(wǎng)絡(luò)地址轉(zhuǎn)換狀態(tài)檢測(cè)動(dòng)態(tài)開(kāi)放端口IP/MAC地址綁定連接數(shù)控制應(yīng)用層控制應(yīng)用類型控制應(yīng)用內(nèi)容控制其他應(yīng)用表B.1(續(xù))WEB攻擊防護(hù)數(shù)據(jù)庫(kù)攻擊防護(hù)自動(dòng)化工具威脅防護(hù)外部系統(tǒng)協(xié)同防護(hù)安全審計(jì)、網(wǎng)絡(luò)流量統(tǒng)計(jì)自身安全身份標(biāo)識(shí)與鑒別管理能力網(wǎng)絡(luò)層吞吐量安全架構(gòu)指導(dǎo)性文檔配置管理能力配置管理范圍交付程序—表B.1(續(xù))負(fù)載均衡IPv6支持網(wǎng)絡(luò)層控制應(yīng)用層控制應(yīng)用類型控制應(yīng)用內(nèi)容控制WEB攻擊防護(hù)自動(dòng)化工具