【国家标准(GB)】 信息技术 包过滤防火墙安全技术要求

GB/T18019—1999
本标推规定了采用\传输控制协议/网问协议”的包过滤防火墙的安全技术要求，本标准出国家信息化办公室提出。本标雅由全国信息技术标准化技术秀员会归1。本标准起草单位：中国国象信总安全测评认证中心、电子部30所本标雄王要起草人：吴世忠、陈晓桦.龚奇敏、张佳清、杨燕伟，贺卫东、黄元飞34
1范围
中华人民共和国国家标准
信息技术
包过滤防火墙安全技术要求
Informatlon technology
Security requirementy for packet filter firewallsCB/T180191999
本标推规定了采用\传输控制协议/网间协议（TC:P/IP)\的包过滤防火墙产品或系统的安全技术要求。
本标准适用于防火墙产品或系统安全功能的研制、开发、谢试、评估和产品的采购。2引用标准
下列标准所包含的条文，通过在本标准中引用而构成为本标推的条文。本标催出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性，GB/T9387.2—1995信息处理系统开放系统五连基本参考模型第2部分：安仑体系结构(idt IS0 7498 2:1989)
3定义和记法约定
本章给出本标准中使用的术语和记法约定。3. 1术语定义
本标准采用 GB/T 9387. 2 中的下列术语和定义;审计adit
鉴别quthentication
密钥理keymanagement
下列术语适用于本标准。
3.1.1用户user
一个在防火墙外与防火墙相互作用的人，此人不具有能够影响防火墙安全策略行的特权，3.1.2授权管理员authorized administrator任何具有旁路或绕过防火墙安全策略权限的个人，本标准中的“授权管理员”特指防火瑙的管理员，其职责不包括网络管理。
3. 1.3主机 host
台在防火境外与防火墙相互作用的机器，它不具有能够影响防火墙安全策略执行的特权。3.1.4可信七机ttusted host
任何具有旁路或统过防火墙安全策权限的机器。3.2记法约定
细化：用于增加某，功能要求的细节、从而进-·步限制该项要求.对功能要求的细化用黑体字表示。国家质量技术监督局1999-11-11批准846
2000-05-01实施
GB/T 18019—1999
示见7. 1.2. 3。
选择，用于从对某一功能要求的陈述中突山，·个成多个选项，用带不划线的斜体定表示。示例见7. 1. 5. 2.
赋值：用于将一个特定值赋给某个未定参数，如某个口令字的长度。赋值出现在方括号中，要嫩子的值]差示某个值。示例见 7. 1. 1. 34包谢防火境斑递wwW.bzxz.Net
本标准规定包过防火增的最低安全要求，指出该类防火墙应对付的威胁，定义其实现的安全吾标及环境，提出妄全功能和笨全保证瑟求，防火墙的国的是要在内部、外部两个网络之间建文一个安全控制点，通过充许、指绝重新定向经过砺火壤的数据滋，实现对进、出内部两络的服务和访问的审计和控谢，影然膀火塔的体系结梅和技术多种多样，但防火瑙产品主要分为两类包过滤和应用网关。本标谁规定了包过滤随火墙的最低安金要求。
符合本标准的防火播在内外网络之间的登的遇辑表示妇图1所示。包过滤防火壤应根据站点的安全策略,在内部网络和外部网络之间选择性地过滤包。其过规则主要是根据源地址，目的地址，协设、源端口、耳的端目以及包到达或发出的接翼而定。外部网
5安全环境
内部网
医1随火在网络的型位罩
符含本称准的防火墙产品质能提供访问控策略、身份识别和鉴别、远程管理的加密、安全审计功能和最基本的安全保证。可用于政府部门、企事业单位和商业领域等5.1安全使用的条件
防火墙的使用操作环境应满足以下条件，5.1.1连接条件
防火墟的连接条件要求如下：
单接人：火墙是内、外网络它间的嘴·连接点，见图1。5.1.2物睡条件
防史瑙应满足下列物理条件。
5.1.2.1物理问控制
防火增及其所属的可直接懂接的挖谢增口在物理上是安全的，并只有授权的人员才可访问。5.1.2.2通信保护
对已传送的所有信息的保护级别与正在被发送的信息的保护级别相当（例如，受物理保护的传输媒体，那密,恒弱确规定以明文传输的信意睦外。847
5. 1. 3人员条件
CB/T 18019—1999
5.1.3. 1用月服务
包过滤防火不提供通常意义上的计算能力，对诚络用产基本上是“透明“的，灵有授校的管理员可直接访问或远程访间。
5. 1. 3.2授权管理员
投权的管理员应是证以信赖、且能群尽职守的人。5.2火墙面临的威脚
符合本标准的防火墙应能对付以下感距。5.2.末投权递访间(T.1.ACCESS)未经握权的人可能在逻辑上访问防火墙。未经授权的人是指除防火墙的授权用户之外所有巴经或可能企图访间这个系统的人。
5.2.2假网络地址攻击（T.ISPOOF)一个法述可能通过假管成另一个去体张得对特定息的齿问，例期，外部网上的·个用户可能剂用瘦址伪装戒内部网上的用户,访问内部资源。5.2.3针对内部网络的攻币(T.NATTACK）攻吉者可能利用高尽协设和服务，对内部受保护的网络或者网上的主机进行攻这类攻求可能以“拒绝服务“和穿透主或网络结点为固的。5..4审让记录丢炎或酸坏（TACDT)攻击者两躯采敢耗尽审计存蜡量的方法导致声计证录丢失或环，5.2.5对防火墙配叠利其他与安全有关数概的更改(T.DCORRUPT）这类攻齿包括所有采用读取或修改防火墟的内部代码或数握结构，配置术与安全相关的数瞬，对防光播实虑的攻亲。
5.2.6绕开身份识别和鉴别机制（T.AUTH）这类攻专是企率绕过或欺骗身份旗别和签翘杭制，假罩成另一个授权管理员或侵人已建立的会话连接。如，拦截鉴别信息（如日令字）、重放有效的鉴别交换信息以及取会话连接等收击。5.3运行环境面临的威胁
以下的可能威胁不是符合本标谁的防火增所能处理的。它应靠环境、制度程序来对付，丽列为对系统的潜在成胁。
5.3.1受保护网络（内部网）上的恶用H企图把信息传送给网外拥户T.！SIARE）这类威断涉及的甚内部（受保护）网络的用户企照把信息传送给外部网络的非授权用户，由于防火塔的设计主要是为了保护内部网络免受外部网的长害，所以难以对付此类感助。5.3.2变保护网终上的恶意用户攻击同--网上的理算机（T.INAI.T.）出于防火堵主要是用来保护防火增内的网络用户免受防火墙外的用户的攻击，函此它无法控制不经过防火墙的通信业务。属于此范畴的攻击是措来白受保护网络内的对本网络展务功的攻击，越者对同一网段主的计算机的敢击：
5.3.3对商层协议和服务的政击（T.SERVICES）此类戚蔽针对传输层以上的协议层（稚利用这些协议的务，如超文本传输协议HTTP)中的漏涡。符合本标崔的防火增可以究全报绝对特定主机或主机群的访问，但邀，如果允许数据包通过的话，那么仍有可能对上述的这些服务攻击。5.3.4懿取传输的信息T.PRFVACY)攻击者可能裁敢通过防火墙传输的嫩感信息。48
6安垒目标
6.1息技术性安全目标
GB/T 18019.-1999
防火墙应达到的倍息技术安全目标如下，6.1.1访间藏(.ACCESS)
自标是通过免许或拒绝从个主你（发送实休）传到一个客体（接受然体）的宿息流，为连接在防火墙上的两个网络之问提供受控制的访问，这些控制是根据主体，客体的有关参数，由防火璃生成的状态息和管理上配置的问境制规则实现的。6.1.2管理员访间(O.ADMIN)
此项日标是仅限授权的骨理者才能访问防火塔，即只允许他们有配暨防火墙的能力，6. T.3个体身份记录(O.ACCOUNT)个体记录提供对用户的记录能力，并允许基于唯一身份对访问作出判定。鉴别为确定身份是否真实提供了方法。
6.1. 4期灭墙的自保貌(0).PROTECT)为了成功地达到这一目标，防火墙应能把正在处理的数据与需要运算的数据分开，应保护自已不受外部实体的攻击，此外，防火培还应能保护握权管理显的通信会话连。6.1.5审计(O.AUDIT)
对乎判定是否存在绕过安全策略尝试，是再因配置错误而不知觉地允许了本应拒绝的访问，计记录越者重要的作用。不仅应收策审计数辨，还疫使其具有可读性并较易使用。审计逆录疯受到充分保护，并应了解丢失审计记录的可能性有多大，以帮助管理者做出正确的安余决定。6.2非信息技术安全目标
非偕息技术安全目标是指除防火增技术要求之外还带足的要求，它们不器防火墙链件和软件的机制实现。而是通过采用物理的、过程的或管理的方来达到、由于防火堆是完整的、独立的专用没，四此正常工作时不必依靠任何其他设备。但是，为广支持防火墙的安全功能，应达到有关运行环境方面的某些目标。防火墙的非橋息技术安全目标如下。6.2. 1安装与缴作控谢(O.INSTALE1要确保对防火培的交付、安装、管理、操件都是安全可控的。6.2.2物理挖(O,PACCESS)
对防火墙的物理访问遍而控制。6.2.3授权管期员培训(O.TRAIN)安全管理员应经过专曼培诞，并得到炎格认可，以避立并保持正确的安全策略和实施水准。7安全要求
本章给出了符合车标准的防火境应满悉的安全动要求。7.1功能要求
本标准的安全功能要求由表1的下列项目组成：7.1.1用户数揭保护功能类（FDP)要求概述：防火墙的安全策略由一项安余功能策略构成。该策略定义如下：该策璐称为未鉴别的端到端策略，用来处理随火墙一测的主依向另一测客体发送数据。849
功能分类
原户数据保护
识别和整别
察码支持
研信安全药館
的保护
安全审计
GB/T18019—1999
表1能要求
功能维件
FDPALX2
FDP.ACF.A
FEP_AFC.2
FDP_RIP.3
FEP SAM.1
FIF.SAQ.1
FIA_ADA.1
FIA_ADP.1
FIA_ ATD. 2
FIA_ UIAU.2
FIA_ UID. 2
FPT _ SEP.1
FPT _TSA. 2
FPT_TSM.1
FAU_GEN.1
FAU MGT.J
FAUFOP:1
FAU_SAF.1
FAU SAR. 3
完整的客体访阴控制
访问授权与拒绝
多种安全属性访间控测
资源分配时对遗关情息的充分保护管理员再性储改
曾理员属性查询
摄权管理册和可值主机整别数器协婚化授权管理员和可情主机整别数据的基本保护鉴别失收的基本处理
授被普，可循生排和主机异性的拓始化授权替理因,可值主机和主机唯一性定义报权管理风的基本鉴划
单一使用的案别机制
援权管理员，可值主机和走机唯一标证符合规定的加密操作
防火墙安全策略的不可旁路性
安全功能医实分
区分安全曾理角色
替理功能
审计数据生成
有计限理
司理解的格式
限制审计渠原访间
限制审诊叠阀
可选择查间申计
疗止审计数据丢失
(FDP ACC.2)
7.1. 1.1完整的客体访间控制
FDPACC.2.1随火墙的安全功应在以下方面执行未鉴别的端到端策略：a）［生体；未经随火避期的主机]：h）「客体;内部或外部网上的主机二，以及安全功能策略(SFH)所包括的主体，客体的所有作]，FDPACC.2.2防火墙的安全功能应确保安全功能策略包括了控制范函中的任何主体和客体之间的所有操作，
7.1.1.2访间授权与拒绝
(FDP ACF.4)
FIDPACF.4.1防火墙的安全功能成执行未鉴别的端到策略，根据主体和客体的安全属性值摄供明确的访问保障能力。
FDPACF.4.2防火墙的安全功能应执行未鉴别的端到端策略，根据主体和客体的安全展性值850
搓供明确的拒绝访问能力。
GB/T 18019—1999
7.1.1.3多种安会属性访控制（FDPACF.2）FLP，ACF.2.1防火增应报据[狐胞址、其的地址、传输层协设和请求的服务（如源带口号我目的端口号)对客体执行[未鉴别的端到端策略]。FDPACF.2.2防火墙应执行以下加规则以确定受控主体与受腔客体之间的操作是否许，
）［防火应拒绝从外部网络发出的、但拥有内部网络上的卡机源地址的访间或服务请求]：b）［防火拨应拒绝从外部网络发出的、但摘有广播网络上的主机游地址的请问或縣务请求]：c）二防火培应拒绝从外部网络发出的，但拥有保留网络上的主机源地址的访问或服务请求了；d）［防火墙应拒绝从外部网络发出的、但拥有环回网络上的主机源地证的访间或服务薄求]。资源分配时对进归信息的充分保护(FTDP_RIP. 3)7.1.1.41
FDP_RIP.3,1防火墙应保证在为所有客体进行资源分配时，不提供以前的任何息内容。应用注解：该要求是对用于支持连接的所有设备资源（例如寄存器，存器）管理的要求，目的是不让网络前户访问以前的任何会话信息。这样其他任何辆络用产纳通情中部本会包含别人的信息职会话片段。该要求通常是通过对这些设备资源进行清除取重等来达到。要求概述;下迷两项婴求(FBP_SAM.I,FIPSAQ. 1)确定了支持管理员完威其职能所必需的能力，特别是查阅和惨改与安全关参数的能力。这些耍求将在后续的对与安全有关数据初始化的要求中予以详述或补究。随后的识别与鉴别组的要求与有关安全参数（如鉴别数据)的定义、管理和使册的需要紧密韧关。
7.1.1.5管理员属性修改（FIPSAM.1)FDPSAM.T.1防火瑞应执行坊问控的功游策势(SFP)：未整翘的带商端策，向没权管员提供像敢下述参救的能力：
a）=标识与角色（例如：管理员)的关联]；h)[FIP_ACF,2 寸标误访问控制照性7;c)[与安全相关的管理数据]。
7.1.1.6管理员膚性查询（FDP_SAQ.1)DPSA复.1.防火墙应执行这问盘谢的功策跨：素坚别的燃药策略，向授权誉理员提供以下查询：
a）［FDP_ACF,2中标识的访问控谢屑性];b）主机名」。
7.1.2识别与鉴别功能类（F1A)
7.1.2.1授权篮理妥和信主概整别数据初婚化（F1AA均A.1）FIA _ADA, 1. 1 防火墙应提供与[FIAUAU,1 和 FIA _ UAU. 2 中规定的鉴别机制]有关的授权管理贝和可个主机监别数据的初始化功能。FIA_AA.1.2防火墙确操其充许授权管班员使肯这紫现能。授权前理员和可慎生机鉴别数据的基本保护（F1A_ADI.1）7. 1.2. 2
FIAADP.1.1防火增应保护储在于设备中的鉴别数据不受米授权查阅、修改和破坏。7.1.2.3鉴别失败的基本处理(FIA.AFI..1)FIA_AFL,1.1防火墙的安全功能应能够在鉴别尝试[经一个可设定的次数]失败以后，终止可值主机建立会话的过程，最多失败次数仅由授权管理员设定，FIA_AFI,1.2在可信主机会适建立过程终止后，防火境的安全功能应能够关闭可去机的激享，直笔！授权誓理员重新开后：7.1.2.4授权暂理员、可主机和生机属性的树始化（FIAATA.1）851
GB/T 180191999
F1A_ATA.1.1防火的安全功能应握供用默试值对授权筛理员、可借主机和主机属性初始化的能力。
7.1.2-5授毅营理员、可信主机和主机唯属性定义（F1A，A7I3.2）FIA_ATT).2.1防火墙的安全功能应为每一个规定的授权管理员、可僧生机和主机摄供一套唯一的、为了执行安全策略所必需的安全属性。7.1.2.6授极管瑾员的基本鉴辨（FIAUAU.1)FIAUAU. t.1防火瑙的安全功能应鉴别任何通过防火增的控制口鯉行授权管理员功能的管球员身份。
7.1.2.7单一使用的鉴别机制（F1A_UAU.2)FIA _LIAU. 2. 防火坳的安全功能应鉴别任何称要行接权曾理员和可恼主机功幽的管理奥和生机的身份。
FIAUAU.2.2防火增应预防多[远程管理和远程可信主机操作]有关的鉴别数据的重用。7.1.2.8接权管理质、逆信主机和主机唯一身份识别(FIAUID.2)FIA_UID.2. 1防火境的安全功能应确保在所有授权管理预，可信主机和主机请求执行的在何操作之前，对每个授权曾理员、可信主机和生机进行唯一身份识别。7.1.3保密劫能类（FEN)
7.1.3.1符合规定的加密操作（FCSCOP.2）FCSCOP.2.1防火境的安全功能应保证其远程臂理会的加密符合国家密码管理的有关规。
7.1.4前循安全功能保护类（FPT）要求概述：下面两项要求(FPT_RVM.1和FPT_SEP,1)规定了保护内部代码利数据结构的基础性体系结构的能力，并能够表安全策略始婆是有效的，7.1.4.1防火墙安全策略的不可旁路性（FPTRVM.1)FPTRVM.1.1防火墙的安全功能应骗保征何与安全有关的操作鼓充许执行之前，都必频遵试安余策略的检查。
7.1.4.2安全功能区域分隔(FPT_SEP.1)FPT_SEP.1. 1防火堆的安全功能应为其自身的执行过程设定一个安全区域,以保护其免遗不可信主体的干扰和意改。
FPT_SEP.1. 2防火墙的安全功躯应把妨火墙控制慈围内的各个主体的安全既域分隔开。庞用洼解：该琐可选。
7.1. 4. 3 区分安全管理角色(FPT_TSA. 2)FFT _ TSA,2.1防火瑙的安全坊能应将与安全相美的管塑功能与其他功能区分开,FPTTSA.2.2防火墙的安全功能中与安余相关的管理功能集应包括安装、配暨和管理防火瑙安全功能所需的所有功能，其中至少应包括[增娜和删除主体和容体查阅安全厨性;分配修改和橄销安全属性：变和管理审计数据，FPTTSA,2.3防火墙的安全功能应把执行与安全相关的管理功能的能力限定为一种安全管理职责，该职责具有一套特别授权的功能和嘛应的贫任，FITTSA.2.4防火墙的安全功能应能把授权执行管理功能的授权雷理员和可信主机与使用防火塔的所有其他个人或渠统分并。FPTTSA，2.5防火堆的交全功能应只允许授校管理员和前信主机承担安全情理职费。FPTTSA.2.6防火培的安全功能应任摄出一个明确的请求以后，才会让接权曾理员和可信主机承担安管理职责。
7.1.4.4理办能(FPTTSM.1)
GB/T 18019---1999
FPTTSM.1.：防火境的安全功能应查授权贯理员能够设置和更新与安全相关的数据。FPT_TSM.1.2防火墙的安全功能应向投权餐理员提供能够行E防火墙的安装及初始配置，系统点动和关谢劲能，备份和恢复的能力，备份能力应有自动工具的支特。如果防火的安全功能支持外部或内部接口的远程蓄理，部么它应该：a）具有对两个接口或其中之一关闭选程警理的选择权；表）能够限制那些可进行远程管理的地址；e）能够对加密来保护选程管理对话。7.1.5安全审计功能类（FAU)
要求概述：下列功能安全要求（FAU类）规定了安全审计信息的生成、管理、保护和处理。7.1.5.1审计数掷生战(FAUGEN.1)FAUGEN.1.1防火接的安全动能应能够对下列可审计事件生成一个审计记录：2）审计功能的启动和关闭：
b）在安全县标包括的所有功能性项目中，在表？中定义为落本审计级别的所有可审计事性，c）安全目标包括的所有功能性项目中,在表2史迹为“扩展“的事性。FAUGEN.1.2防火墙的安全功能应在每一个审计记聚中至少记录以下佰息：a）事发生的日期和时间,事性的类感，主体身份和变功或失事片。b）在本标准对其他功能性项目的可审计事件定义的基础上,衰2第 4 列对每一类审计事件所说明的随担信患。
表2可审计事件
功能嵌
FAU MGT
FAU PRO
#DP_ACF
FDP_SAM
FIA_ADA
FIAADF
FEAAFE
FIA_UAU
FPTISM
可审计事许
谢加审计记录内容
任病时审计取腺进行据作的尝试，忽插关闭事计功或子系统先！若造用,受影响客体的标识
任间读取，将改、慰坏审计最略的尝试所有对安全功能策略题进的将体执行操作的体求修改安全质性的所有尝试，包括抵静激的客体的身份所有逆用安·全功能中整剧数推管理机整的质求所访间鉴别数措的清求
风整别尝试不成功的改数相出了设定的限值，导效的会适连接路
任问对整别机制的使用
：听有使用标识机带（包括所举供的身份）的尝试所有对裁全功能配置参激的能战（设觉和更新），关论成功与查7. 1. 5. 2审计眼联管理
(FAL MGT.1)
受影响的容体的标识
修改后安全端性的新值
问请求龄目标
使用的标识符
配置鑫数的新值
FAUMGT.1.1防火墙的安全功能应使管理员能创建、存档，翻麻和清空计记录，7.1.5.3可理解的格式（FAU，POP.I）FAU_POP.L.1站火辖的安全功能应使使存绪于永久性事计记录中的所有审计数措可为人所理解。
7.1.5.4限制审计限踪访间（FAUFRO.1)FAUPRO.1.1防火装的安全功能应只允诈授权管理访问审计记录。7.1.5.5限制审计查阅(FAUSAR.1)FAU_SAR.1.1火墙的安全功熊应提供具有查阅审计数据能力的工其。FAUSAR.1.2防火墙应只危许授权管理员使用审计查谢工具。$53
GB/T 18019—1999
7.1.5.6可选择变阅审计（FAUSAR.3)防火墟的安全功舶底提供能对市计数据进行找和排序的审计查阅工具a 主体D+
b）客体
)期：
d时闭；
e）上述各参数的逻辑组合（如“和”、\与\)汀。应用法解，防火的开发者应伴细描述审计牵阅工具的功能，待别是应说清楚根与安全相关的属性聋找排序的能力
7.1.5.7随止审计数据丢失（FAUSTG.3)FAUISTG，3.1购火瑶的安全攻能应生成的销舒记录储存手一小求久性的市书记录中。FAU_STG.3.2防火墙的安全功能应限制由于效障和改击造成的审计事件丢失的数期。FAU，STG.3.3-三谢计存储耗尽，防火播应较保证在授权管理员所采取的举计行为以外来其他可审计行为的出现。
应用注：对因故障或荐储耗竭壁致审计教据丢失的最大容量，防火境的开发考应提供相应的针哲靖巢。
7.2保证要求
随火猎的安全保证要求题对防火境产品或系统的开发研制放供应离提出的管理性规定。这些要求与“信息技术安全评估通用准(CC)\中的安全保证要求是一致的。为容见下裁表3保证要求
深斑分类
配量管理
交付帝操作
器静女择
脆弱性分析
7.2.1配蛋管理保证
7.2.1.1最低限度的支持
ACM CAP.1
ALO_ KGS. 1
ALV. aL.D.1
ATE_IND.1
Are αv.1
ATE_FUN.1
ATE,DFT.1
AVA SOF.!
(ACM CAP.1)
惊证照势
最低限度的支择
安装、生成帮启动计程
防火脂和安全策略
高县设计描述
非形式的--致性证明
管理员南
肃户搭南
独立测试·——致性
谢然覆英能非形式分析
功能到试
谢成--功规
防灵增安全功胆强疫的评估
开发老照弱性分板
7.2.1.1.1开发者应使用能爱管理系统（ACM、CAP.t.ID37. 2. 1. 7.2开发者应摄供配密管理文件，(ACM CAF, ZD)
7. 2. 1. 1. 3 配置管理定件应包据一个配爱几疑。(ACM CAP. IC)
7.2.1.1.4配置国录流描述防火培的各个配置颈目+并色括防炎增使用的外两的服劳换目。54
(ACM CAP.2C)
GB/T18019-1999
7.2.1.1.5配置臀理文件应描述用于唯..-识别防火瑙的配置项的方法。(ACM CAP.3C)
7.2.1.1.6评估素应确认所提供的信息满足在内容和表述上的所有要求。7.2.2交付和操作保证
7.2.2.1安装，生成和启动过释（ADO）IS.!）(ACMCAP.IE)
7.2.2.1.1开发者应以文件方式说明用于防火墙的安全安装、生成和启动的过程。IGS. 1. 1D)
7.2.2.1.2说谢文件4应播述防火墙的安全安装，生球和启动所必须的步骤。(ADOIGS. 1.1C)
7.2.2.1.3评估者应确认所提供的借息满是内容和表述上的所有要求。（ADO）IGS.1.IE)7.2.3开发过程保证
7.2.3.1防火墙和安全策略(ADV_FSF,1)7.2.3.1.1发者应提供防火墙的功能规范。（ADV_FSP.1.1D）7.2.3 1.2开发者应提供防火堆的安余策略。(A力V_FSP. 1.2)7.2.3.1.3功规范症以非形式方法来播述安全策略。(ADVFSP,1.1C)7.2. 3. 1. 4
功能规范应包括以非形式方法表述的所有外部安余功能接口的语法和语义，ADV
FSP.1 2GX
7.2.3.1.5功能规范应包括能证明安全功能已完全实现了的证据。（ADVFSP.1.3C）应用注解：这条要求可以通过安全目标和外部接口指标等文件的组合来达到。7.2.3.1.6评估者应确认所提供的信息满足内容和表述上的所有要求。（ADVFSP.1.IE）7.2.3.1.7评估者应确认功能规范与安全策略是一致的。（ADV_FSP.1,2E）7. 2. 3. 1. 8评估者应确认安全功能的表述是否包会了姿全且标(ST)中的每一项功能要求。(ADVFSP. 1. 3E
7.2.3.2高层设计描述(ADV_HLD.1)7.2.3.2.1开发者险提供防火塔安全动能的高层设计。（AEVHLD.1.ID)高层设计应以非形式方法表述。（ADVHLD.1.1C）7.2. 3.2.2
高层设计应根据子系统来描述安会功能的结构。(ADV,HI.D,1,2C)7.2. 3. 2. 3是
7. 2. 3. 2. 4
高层设计应摧述由安全动能的每一个子系统提供的安全功能。（ADVIHLD.1.3C）7.2.3.2.5高层设计应标明安全功能子系统的接口。（AIVHI.D,1.4C）7.2.3.2.6高层投计应说期安全功能所需的所有底层硬件、固件和软件，以及其中已实现的保护机制所提供的动能、（ADVHLD.1.5C)7.2.3.2.7评估者应确认所提供的信息满足内容和表述上的所有要求。(ADVHLE, 1. IE)
7.2.3.2. 8评估者应确认安全功能的表述是否包含了安全良标(ST>中的每一项功能要求。(ADVHI.D.1.2E)
7.2.3.3非形式的一致性证明（AI2V_RCR.1）7.2.3.3.1开发者应证明所提供的对安全功能的掘要表述，准瘤、一致并且完整堪反座了安全目标中的功能要求。(ADVRCR.1. ID)
7.2.3.3.2对于间一安金功能的两个据邻层的表述，开发者应证明在较商昙抽象表述的所有部分在效底偿抽象中得到了细花。（ADVRCR，1.JC)7.2.3.3.3对于同一安全功能的两个相邻层的表述，其对应关系可以用非形式化方法表述。（ADVRCR.1.2C)
7.2.3.3.4评估者应确认所提供的信息满足内容和表达上的所有要求。(ADVRCR,1.IE)
7.2.3.3.5评估新应对安企目标中所陈巡的功能要求和以最低层捕象之闻的对应关系进行分析，以保还准确、一致和完整，
(ADV RCR.1.2E)
7.2.4指南文件保证
GB/T 18019—1999
7.2.4. 1 书用员指南（AGD ADM.1)7.2.4.1.1开发者应提供能满足系统书理者冠要的管理员措南。（AGLIAM.1.1D）7、2.4.1.2管理员指南应描述惩样以安全的方式替理龄火墙。（AGDAIM.1.1C)7.2.4.1.3对于应该控制在安全处理环境中的功能和特权，管理员指南应有警告。（AGD_ADM.1.2C)
7. 2.4. 1. 4 管理员指南应对一致、有效地使用安全功能提供指导。(AGD_ADM. 1.3C)7.2.4.1.5管理员指寓应说两种类型功能之间的差别：一种感允许管理负控制安全参数，前另一.种是只允许管理员获得信息。（AGD_ADM.1.4C)7.2.4.1.6管理员指南应据述管理员挖制下的所有安全参数。（AGD_ADM.1.5C）7.2.4.1.7管理员指南应摘述各类髓要执行管理功能的安全相关事件，包括在安全功能控制下改变实体的安全待性。
(AGDADM.1.6C)
7.2.4.1.8管埋员指南应包括安全功如何相互作用的指导，（AGDADM.1.7C）7.2.4.1.9管员指南应包怎样配置防火墙的指令，（AGDADM.1.8C）7.2.4.1.10管理负指南应措逐在防火墙的安金安装过程中可能要使用的所有配置选项。（AGDADM.1. 9C)
7.2.4.1.11管理员指南应充分摘述与安全管理相关的详细过程。（AGDADM.1.10C）2管理负指南应与提交评估的所有其他文件一致。（AGDADM.1,I1C）7. 2. 4. 1. 12
评估者应确认所供的信嵌能离是在内容和装球上的所有累求。（AGD_ADM.1.1E）7.2. 4. 1.13
7.2.4.1.14评估着应确认安装过程能产生一个安全的配量。（AGD_ADM.1.2E）7.2.4.2用户指南（AGD_USR.1)
7.2.4.2.1开发者应提供虏户指南。(AGD _ USR. 1.1D)
7.2.4.2.2用户指南应描述用户可使用的安全功能和接口。（AGD_USR.1.1C)7.2.4.2.3：用户指膚应包合使用贴火读提供的安全功能的指导，：（AGD，USR、1.2C）7.2.4.2.4对于应该控制在安全的处理环境中的功能和特权用户指南应有警告。（AGDUSR.1. 3C)
7.2.4.2.5用户指南魔述那些用户可见的安全功能之间的相互作用。（AGDUSR.1.4C）7.2.4.2.6用产指南应与提交评估的所有其他文件一致。（AGD_USR.1.5C）7.2.4.2.7评估者应确认所提供的信意舶满足在内容和表述上的所有要求。（AGD，USR，1.1E）7.2.5测试保证
7.2.5.1独立测试--—致性(ATEIND.1)7.2.5.1.1发者应向国家搜权的宿息安全产品测评认证机构挺供用卡测试的防火墙.IND. 1.1)
7.2.5.1.2防火堪应适合干测试。（ATE_INI)1.1C）ATE
7.2.5.1.3评估者应确认所据供的信息能满足在内容和表述上的所有要求。(ATEIND.1.IE)
7.2.5.2潮试覆盖面非形式分析（ATEC()V.1）7.2.5.2.1开发者府提携一个对测试覆盖范围的分。(ATE COV.1.1D)
7.2.5.2.2测试覆盖范固分析应证明测试文件中确定的测试项目能益防火墙的安全功能。（(ATE
7.2.5.2.3评估者应确认所提供的信息能满足在内和装述上的所有要求，(ATE CDV,1.IE)
7.2.5.3功能测试(ATEFUN.1)
7.2.5.3.1开发者应测试防火境安全功能，并记录其结果，7.2.5.3.2并发者放提供测试文件，(ATE...FUN. 1. 2D)
(ATEFUN,1.ID)
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。