2024電力行業(yè)信息技術(shù)應(yīng)用創(chuàng)新基礎(chǔ)軟硬件測試方法第6部分：防火墻

范 GB/T20281—2020信息安全技術(shù)GB/T22239—2019信息安全技術(shù)GB/T36630.1—2018信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評價指標(biāo)1?防火墻測等功能，能夠適用于IPv4、IPv6?深度包檢測deeppacketIP?深度內(nèi)容檢測deepcontent?SQLstructuredquerylanguageSQLwebSQL?跨站腳本crosssite?DMZdemilitarizedDNS：域名系統(tǒng)（DomainNameFTP：文件傳輸系統(tǒng)（FileTransferHTTP：超文本傳輸協(xié)議（HypertextTransferICMP：網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocol）IP：網(wǎng)際協(xié)議（InternetProtocol）IPv66（InternetProtocolVersion6）MAC：介質(zhì)訪問控制層（MediaAccessControl）NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）NTP：網(wǎng)絡(luò)時間同步協(xié)議（NetworkTimeProtocol）OSPF：開放式最短路徑優(yōu)先（OpenShortestPathFirst）POP33（PostOfficeProtocol3）RIP：路由選擇信息協(xié)議（RoutingInformationProtocol）SMTP：簡單郵件（SimpleMailTransferProtocol）DPI：深度包檢測（DeepPacketInspection）DCI：深度內(nèi)容檢測（DeepContentInspection）SQL：結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）XSS：跨站腳本（CrossSiteScripting）IPv4IPv6、IPv4/IPv61。

112。2IP防火墻能夠根據(jù)MAC地址，IPIP配置基于協(xié)議類型的包過濾策過濾條件是1~6NATDMZ內(nèi)部網(wǎng)絡(luò)主機可通過SNATDMZNAT。中的不是第一個連接請求SYN防火墻可依據(jù)狀態(tài)表進行訪問一個完整的網(wǎng)絡(luò)會話能夠通過網(wǎng)絡(luò)會話中的不是第一個連接SYN防火墻設(shè)置IP/MAC地址綁定策分別發(fā)送IP/MACIP/MACIP或它們的組合對流量進行正確IPIPTCPDMZ防火墻能夠?qū)⒕W(wǎng)絡(luò)訪問均衡到確認(rèn)該會話不會在防火墻所設(shè)定的防火墻應(yīng)具有默認(rèn)的會話超時支持和記錄掃描的行火墻是否能識別并防御該類自動化是否能識別并防御該類自動化工具掃描后結(jié)果可生成相關(guān)記配置防火墻聚合接口為路由模交換機的聚合接口和與服務(wù)器PC立聚合對接，并實現(xiàn)跨網(wǎng)段通OSPF兩臺防火墻均啟用動態(tài)路由協(xié)議RIP查防火墻獲得路由信息的周期及路防火墻應(yīng)支持靜態(tài)路由功防火墻應(yīng)支持OSPFRIPIPIP口，傳輸層接口數(shù)據(jù)包負(fù)載內(nèi)應(yīng)用類型等參數(shù)來設(shè)置路由策議和端口或應(yīng)用類型等參數(shù)配置防斷開網(wǎng)絡(luò)時，流量切換到備設(shè)斷開網(wǎng)絡(luò)時，流量切換到備設(shè)URL、電子郵配置基于URLFrom配置基于HTTP件、文件夾和關(guān)鍵字的訪問控防火墻能夠檢測并抵御在防火墻開啟惡意代碼防護策在防火墻開啟惡意代碼防護策防火墻可識別和過濾主流應(yīng)用HTTP、FTP、SMTP等應(yīng)用對文件類型進行訪問控HTTP碼的HTTP訪問和電子郵件收能力包括：ICMP、UDP、SYN防火墻建立正常的TCP（新建檢查拒絕服務(wù)攻擊包通過的比2.攻擊包通過的比例不大于90%IPv6IPv6IPv6境下正常配置策略，實現(xiàn)包過濾功IPv6IPv6IPv4支持對登錄失敗的處843或兩種以上組合的鑒別技術(shù)進4390份鑒別在經(jīng)過一個可設(shè)定的鑒用戶賬戶的登錄和注銷?系3。3全開的線速度不應(yīng)小于能全開的線速度不應(yīng)小70%；全開的線速度不應(yīng)小于分別使用64B、128B、256BUDP（1518）防火墻的吞吐量視不同速率的防200Mbps，千兆和萬兆20%，千兆和萬兆防火墻應(yīng)不小于線速的512吞吐量不小于600Mbps，千兆和萬百兆防火墻應(yīng)不小于線速的70%，千兆和萬兆防火墻應(yīng)不小于線速80%；1Gbps，千兆和萬兆90%，千兆和萬兆防火墻應(yīng)不小于線速的95%各場景下開啟主要的增加不應(yīng)該大于原延遲防火墻的時延視不同速率的防火64512各場景下開啟主要的增加不應(yīng)該大于原延遲各場景下開啟主要的增加不應(yīng)該大于原延遲字節(jié)最大網(wǎng)絡(luò)吞吐量90%條件下的最大延遲對應(yīng)不應(yīng)超過100us64512最大延遲對應(yīng)不應(yīng)超過40us64512最大延遲對應(yīng)不應(yīng)超過30us40us，50us200問控制策略上最大連接1問控制策略上最大連接4有效訪問控制策略的情況下最大連接速率應(yīng)不10200控制策略的情況下最大連接速率1控制策略的情況下最大連接速率4控制策略的情況下最大連接速率10200有效訪問控制策略的情況下最大并發(fā)連接數(shù)應(yīng)100有效訪問控制策略的情況下最大并發(fā)連接數(shù)應(yīng)200有效訪問控制策略的情況下最大并發(fā)連接數(shù)應(yīng)最大并發(fā)連接數(shù)視不同速率的防火墻有所不同，具體測試要求如200控制策略的情況下最大并發(fā)連接100控制策略的情況下最大并發(fā)連接200控制策略的情況下最大并發(fā)連接4。4異常處理安全管理驗證防火墻是否支持通過端與防火墻之間的所有通信數(shù)據(jù)是否并可限定可進行遠程管理的網(wǎng)絡(luò)接源代碼安審查送檢系統(tǒng)/裝置的源代碼安全審明確指出未檢出高危漏洞（包含但不限于以下類型的漏洞跨站請求偽造、使用含有已知漏洞的組件未驗證的重定向和轉(zhuǎn)發(fā)；中包含軟件信息安全檢測相關(guān)的項目）備份與恢防火墻具備配置信息備份與恢復(fù)功5。5系統(tǒng)兼容操作系統(tǒng)內(nèi)核支持國產(chǎn)操作系統(tǒng)操作系統(tǒng)可適配國產(chǎn)操作系硬件兼容硬件系列支持國產(chǎn)硬件包括處理國密算法支持國密算法進46。6按要求配置內(nèi)網(wǎng)或?qū)＞W(wǎng)，包括網(wǎng)絡(luò)拓件在特定網(wǎng)絡(luò)環(huán)境防火墻能夠在內(nèi)網(wǎng)或?qū)＞W(wǎng)通信環(huán)內(nèi)網(wǎng)或?qū)?/p>