【国家标准(GB)】 信息安全技术 防火墙技术要求和测试评价方法

ICS35.040
中华人民共和国国家标准
GB/T20281-—2006
信息安全技术
防火墙技术要求和测试评价方法Information security technologyTechnique requirements and testing and evaluation approaches forfirewall products
2006-05-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2006-12-01实施
规范性引用文件
3术语和定义
4符号和缩略语
5技术要求
5. 1总体说明
5. 1. 1 技术要求分类
5.1.2安全等级
5.2功能要求
一级产品功能要求
一级产品功能要求
三级”品功能要求
性能要求
吞叶吐量
最大并发连接数
最人连接速率
安全要求
级产品安全婴求
二级产品安全要求…·
三级产品安全要求.·
保证要求……．
级产品保证要求
二级产品保证要求·
三级产品保证要求.
测评方法
总休说明
功能测试·
測试环境与工具
包过滤·
状态检测·
深度包检測
应用代理
IP/MAC地址绑定
动态开端口
+++上
I++P+I+
KONKAa
GB/T 20281—2006
GB/T 20281—-2006
策略路由
流量统计
带宽管理
双机热备
负载均衡
协向联动
安全审计
性能测试·
测试环境与工具
吞吐量·
最大并发连接数，
最大连接速率·
6.4安全性测试-
测试环境与工具，
抗渗透·
恶意代码防御…
支撑系统·
非正常关机
6.5保证要求测试
配置管理
交付与运行
安全功能开发过程，
指导性文档…
生命周期支持
测试·
脆弱性评定·
附录A(资料性附录）
A.2工作模式
A.2.1路由模式
透明模式
工作环境
防火墙介绍
本标准的附录A为资料性附录。
本标推由全国倍息安全标准化技术委员会提出并归口。koNrKAca
GB/T20281—2006
本标准由解放车信息安全测评认证中心、北京中科网威信息技术有限公司负责起草本标准主要起草人：李京春、钟力、郑传波、付志峰、锁延锋、柱坚勇、陆驿。m
1范围
信息安全技术
防火墙技术要求和测试评价方法GB/T 20281--2006
本标准规定了采用“传输控制协议/网际协议（TCP/IP)\的防火墙类信息安全产品的技术要求和测试评价方法
本标准适用于采用“传输控制协议/网际协议（TCF/IP)\的防火墙类信息安全产品的研制、生产、测试和评粘。
2规范性引用文件
下列文件中的条款通过本标准的号用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括期误的内容）或修订版均不适用于本标准，然而，鼓励根据本标推达成协议的各方研究是否可使用这些文件的最新版本。凡不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8信息技术词汇第8部分：安全（GB/T5271.8—2001，idtISO/IEC2382-81998)
GB17859计算机信息系统安全保护等级划分准则GB/T18336.3信息技术：安全技术信息技术安全性评估准则第3部分：安全保证要求(GB/T18336.3--2001,idtISO/IEC15408-3:1999)3术语和定义
GB/T5271.8.GB17859和GB/T18336.3确立的以及下列术语和定义适用于本标准。3. 1
防火墙firewall
一个或一组在不同安全策略的网络或安全域之问实施访问控制的系统。3.2
内部网络interlalnetwork
通过防火墙隔离的可信任区域或保扩区域，通常是指单位内部的局域网。3.3
各external network
外部网络
通过防火墙隔离的不可信任区域或非保护区域。3.4
非军事区demilitary zone
一个网络对外提供网络服务的部分，受防火墙保护，通过防火墙与内部网络和外部网络隔离，执行与内部网络不同的安全策略：也有的称为安全服务网络（secureservicenetwork）。3.5
安全策略secarity policy
有关管理、保护和发布敏感信息的法律、规定和实施细则。3.6
授权管理员authorized administrator具有防火墙管理权限的用户，负责对防火墙的系统配置、安全策略、中计日志等进行管理。CB/T202812006
可信主机trustedhost
赋子权限能够管理防火墙的主机。3.8
主机host
一台与防火墙相互作用的机器，它在防火墙安全策略的控制下进行通信。3.9
用户ser
FKONrKACa
个在防火墙安全策略的控制下，通过防火墙访问防火墙的一个区域的人，此人不具有能影响防火墙安全策略执行的权限
吞吐量
throughpuy
防火墙在不丢包情况一
股以所能达到线速的首分比（或称通过速率)来表示。发数据的能力：一
延迟delay
数据恢的最后
外部网络输出端口
①意的末尾到达防火墙内部网络输人端口至数据顿的第一个量的首部到达防火墙
的时间间隔。
TCP最大并代方接数
maximun concurrent TcP connection capacity的最大TCP并发连接数量。
防火墙所能保
TCP最大连速
maximum TCP
防火墙在单立时间内所能建立的4符号和缩略语
自网备地让转换
超文本传输团
网间控制文协议
入侵检测系统
网际协议
网络地址转换
邮局协议3
策略路由
简单件传送协议
源网络地址转换
安全服务网络
生成树协议
传输控制协议
用户数据报协议
统资源定位器
ectioa establishment
TOP连
般是每秒的连接数。
DemilitaryZ
Destination
Domain
File Transfer Protog
HypertexiTransferPrcyocol
Internet Comtrol Messages ProtocolIntrusion Detectian System
Internet Paococol
NetworkAddressTranslation
Post Office Protocol 3
Policy-based Routing
SimpleMailTransierProtocol
SourceNAT
Secure Service Nerwork
Spanning Tree Protocol
Transport Control Protocol
User Datagram Protocol
Uniform Resource Locator
5技术要求
5.1总体说明
通用串行总线
虚拟局域网
虚拟专用网
虚拟路由器元余协议
Universal Serial Bus
Virtual Local Area Aetwork
Virtual Private Network
GB/T20281—2006
VirtualRouterRedundancyPrctocol5.1.1技术要求分类
本标准将防火墙通用技术要求分为功能、性能、安全和保证要或四个大类。其中，功能要求是对防火墙产品应具备的安全功能提出具体的要求，包措包过滤、应用代理、内容过滤、安全审计和安全管理创如存降量、延退最大并发连接数和最大连接应到的生能指标作出规定
等，性能要求对防火墙产
速率，安全要求是对防更
针对防火墙开发者和
5.1.2安全等级
本标准依据（
安全和防护能力提出具体的要求，例如抵御备和网络攻击：保证要求则贵者身提出具体的要求，例如臂理配置交付操作指南文件等。证机构、制评技术和我国防火墙产品$9和GB
景国内测评认
开发现状，对防火
分。安
嘉进行安全等级划
中保订要求高低是等级划
价的具
强弱、安全强度
划分依据。
5.2功能要求
5.2.1一级产
5.2.1.1功能
能要求
要求由表1所列项目
一级产品的功自
级分为
级产品环
功能分类
包过滤
应用代理
流基统计
安全审计
支持默认禁止原证
持基于IP地
基于端日的
防同控制
无协议类型的访间控制
层协议代理
支持双NAT
二级，三级个遵级提高级别，功能吸突出安全借性，准能高低不作为等级歡求
支持根据IP地址，协议，时间等参数对流量进机统计支持统计结果的报表形式物出
支持记录来自外部网络的被安全策略允许的访间请求支特记录来自内部网络和DMZ的被安全策略允许的访问请求支持记录任何试图穿越或到达防火瑙的违反安全策略的访间请求支持记录防火墙管理行为
审计记录内容
支持日志的访间授权
支持日志的管理
提供日志管理工具
GB/T 20281—2006
功能分类
5. 2. 1. 2包过滤
表1(续）
支持对授权管理员的口令鉴别方式功能项目要求
支持对授权管理员、可信主机、主机和用户进行身份鉴别支持本地和选程管理
支持设置和修改安全管理相关的数据参数支持设肃，查询和修改安全策略支持誉理审计日志
防火墙应具备包过滤功能，具体技术要求如下：防火墙的安全策略应使用最小安全原则，即除非明确允许，否则就禁止，防火墙的安全策略应包含基于源IP地址、目的IP地址的访问控制！h）
防火增的安全策略应包含基于源端口、月的端口的访问控制；d）防火墙的安全策略应包含基于协议类型的访问控制。5.2.1.3应用代理
KONrKAa
应用代理型和复合型防火墙应具备应用代理功能，且应至少支持HTTP、FTP、TEL.VET、POP3和SMTP等协议的应用代理。
5.2.1.4NAT
包过滤型和复合型防火墙应具备NAT功能，具体技术要求如下：防火墙应支持双间 NAT:SNAT 和 DNAT；a
b）SNAT 应至少可实现多对一”地址转换，使得内部网络主机正常访问外部网络时其源 IP地址被转换：
c）DNAT应至少可实现\一对多”地址转换，将DMZ的IP地址映射为外部网络合法IP地址，使外部网络主机通过访问映射地址实现对DMZ服务器的访问。5.2. 1.5流量统计
防火墙应具备流量统计功能.具体技术要求如下：a）防火墙应能够通过IP地址、网络服务、时间和协议类型等参数或它们的组合进行流量统计：b）防火墙应能够实时或者以报表形式输山流量统计结果。5.2.1.6安全审计
防火墙应具备安全审计功能，具体技术要求如下：a）记录事件类型
被防火墙策略允许的从外部网络访问内部网络、DMZ和防火墙自身的访问请求：1
被防火墙策略允许的从内部网络和DMZ访问外部网络服务的访问请求，2）
从内部网络、外部网络和DM7.发起的试图穿越或到达防火墙的违反安全策略的访问3）
请求；
4）试图登录防火墙管理端口和管理身份鉴别请求。b）日志内容
1）数据包发生的时间，H期必须包括年、月、日，时间必须包括时、分、秒：2）数据包的协议类型、源地址，目标地址、源端口和目标端口等。）甘志管理
1）防火墙应只允许授权管理员访问且志；4
防火墙曾理员应支持对日志存档、删除和清空的权限；2
GB/T 20281—2006
防火墙成提供能查阅口志的工具，并月只充许授权管理员使用查阅工具：防火墙应提供对审计事件一定的检索和排序的能力，包括对审计事件以时间、期、主体1
TD,客体 TD 等排序的功能。
5.2. 1.7管理
防火墙应具备曾理功能，具体技术要求如下：赞理安全
1）支持对授权管理员的口令鉴别方式，且口令设置满足安全要求：防火墙应在所有授权管理员、可信土机、土机和用户请求执行任何操作之前，对每个授权2）
管理员,信主机、主机和用户逊行惟一的身份识别。b)
管理方式
1）防火墙应文持通过 console端进行本地管理；防火墙应支持通过网络接口进行远程管理。2）
管理能力
1）防火墙向授权管理员提供设置和修改安全管理相关的数据参数的功能：2）防火墙向授权管理员提供设置、查询和修改各种安个策略的功能；3）
防火墙向授权管员提供管理审计日志的功能5.2.2二级产品功能要求
5.2.2.1功能要求列表
二级产品除需满足一级产品的功能要求外，还需增加如表2所示的功能要求。表2二级产品增加的功能要求细目功能分类
包过滤
状态检测
深度包检测
应用代理
TP/MACbzxZ.net
地址绑定
动态开放端口
策略路由
带宽管理
双机热备
负载均衡
支持基于 MAC 地址的访问控制
支持基时间的访问控制
功能项目要求
支持基于用户自定义安全策略的访间控制支持基于状态检测技术的访间控制支持基于URL的访间控制
支持基于电子邮件信头的访间挖制支持应用员协议代理
支持动态NAT
支持LP/MAC地址绑定
支持检 IP 地址盔用
支持 FTP的动态端口开放
支持根据数据包信息来设置路由策略支持设置多个路由表
支持客户端占用带宽大小限制
支持物理设备状态检测
支持 VRRP 和 STP 协议
支持将网络负裁均衡到多台服务器GB/T20281—2006
功能分类
安全审计
包过滤
防火墙应具备包
防火墙的
防火墙的
防火墙应
表2（续）
支持记录对防火墙系统自身的操作功能项目要求
支持记录在防火墙管理端口上的认证请求支持对目志事件和防火墙所采取的相应措施的描述支持日志记录存储和备份的安全支持日志管理工具管理月志
支持日志的统计分析和报表生成支持日志的集中管理
支寻智能卡、VSB钥匙等身份鉴别信息载体支持鉴别
政处理
支持豪权责，可信！
理安全
麦持墙状态和网络数据流状态
男能，具体技术要求如下
第略可包含基于
略可包含基于时间的访问挖制：月户自定义的安全策略
全部组合。
时间的部
5.2.2.3状态检测口
防火墙应具备代态检测功能。
TYTKANTKACa
策略用以是MAC地址、IP地址、端口、协议类型和5.2.2.4深度包检如门
防火墙应具备深金测功能，具体技术要求如第应包含基专URL的访问控制：
a）防火墙的安
To.Ftom域售进行约访问控制。
防火墙的安全策包含基于电子邮件中的Subjecnb）
5.2.2.5应用代理
高具备DNS协议的应用代理
应用代理型和复合型防
5.2.2.6NAT
包过滤型和复合型防火墙应具备NA工功能具体快术要求如下防火墙应支持动态SNAT技术实现“多对多”的SNATa)
b）防火墙应支持动态DNAT技术，实现多对多“的DNAT5.2.2.7IP/MAC地址定
防火墙应具备IP/MAC地址绑定功能，具体技术要求如下：防火墙应支持自动或管理员手工绑定TP/MAC地址：b）防火墙应能够检测IP地址盗用，拦截盗用IP地址的主机经过防火墙的各种访问。5.2.2.8动态开放端口
防火墙应具备动态开放端口功能，支持主动模式和被动模式的FTP。6
5.2.2.9策略路由
GB/T20281—2006
具有多个相同属性网络接口（多个外部网络接口、多个内部网络接口或多个DMZ网络接口）的防火墙应具备策略路由功能，具体技术要求如下：a）防火墙应能够根据数据包源目的地址、进人接口、传输层接口或数据包负载内容等参数来设置路由策略：
b）防火墙应能够设置多个路由表，工每个路由表能包含多条路由信息。5.2.2.10带宽管理
防火墙应具备带宽管理功能，能够根据安全策略中管理员设定的大小限剖客户端占用的带宽。5.2.2.11双机热备
防火墙应具备双机热备功能，具体技术更求如下：a)
防火墙应支持物理设备状套检测。当主防火墙自身出现断电或其他故障时，备防火墙应及时发现并接管主防火墙进行工作
b）在路山模式下，防墙可域VRRP协议）在透明模式下，阿小支持SP协议5.2.2.12负载均衡
防火墙应具备负慧均衡勤能，能够根据安全策略将网络流量均道到多台服务器上，5.2.2.13安全审计
防火墙应具备安
个计功能，具体技术要求如下
a）记录事件美型
1）每次
启动，包括防火厨系统自身的启动和安全策略重新启动：2）所有的火墙系统时钟的手动修改操作b）日志内窖
查学理端口上的认证请求是成功还是失败，若认证请求失败必顾记费失败的原因；1）指明
2）对日志事件和防火墙采取的相应普施进行详的捐还c
日志管理
1）防火增持把月志存储甜冬份在一个安全、永久性前地方：防火墙款
防火墙属
日志应该
5.2.2.14管理
只能使月且志管理工具管理日志！于日志的靠计分析和生成报表的功送到日志服务群上集中管理
防火墙应具备安全管理力能体技术要求如下a）应支持智能卡，USB钥比等身份鉴别信息载体，身份鉴别在经过一个可设患的鉴别失败最大次数后，防火婚应终止可信主机或用户建立会话b)
的过程；
防火墙应为每一个规定的授权管理员，可信主机、主机和用户提供一套惟一的为执行安全策略c
所必需的安全属性；
d）远程管理过程中，管理端与防火墙之间的所有通讯应加案确保安全：c）防火墙向授权管理员提供监控防火墙状态和网络数据流状态的动能，5.2.3三级产品功能要求
5.2.3.7功能要求列表
三级产品除需满足一，二级产品的功能要求外，还需增加如表3所示的功能要求。7
GB/T20281—2006
功能分类
深度包捡测
应用代理
动态开放端口
带宽管理
双机热备
负载均衡
协同联动
安全审计
深度包检测
表 3三级产品增加的功能要求细目功能项自要求
支持基于文件类型的访问控制
支持基于用户的访问控制
支持茶于关键字的访问控制
支持透明应用代理
支持以H.323协议建立视频会议
支持SQL*NET数据库协议
支持VLAN
支持动态客户端带宽管理
支持链路状态检测的双机热备
支持集群工作模式的负载均衡
支持IPSce协议
支持建立“防火墙至防火壤”和“防火墙至客户机”两种形式的VPN支持VPN认证
加密算法和验证算法符合国家密码管理的有关规定支持与其他安全产品的协同联动支持联动安全产品的身份监别
支持记录协同联动响应行为事件支持日志存储耗尽处理机制
支持生物特征鉴别方式
支持管理员权限划分
防火墙应其备深度包检测功能，具体技术要求如下a
防火墙的安全策略应包含基于文件类型的访问控制：防火墙的安全策略应包含基于用户的访问控制；TKONrKAca
防火墙的安全策略可包含基于关键字的访问控制，对HTTP网页数据和电子邮件正文数据进c）
行检查。
5. 2. 3. 3 应用代理
应用代理型和复合型防火墙应具备透明应用代理功能，支持HTTP,FTP、TELNET、SMTP，POP3和DNS等协议：
5.2.3.4动态开放端口
防火墙应具备动态开放端口功能，具体技术要求如下：防火墙应支持以H.323协议建立视频会议：a）
防火墙应支持SQL*NET数据库协议：h)
防火墙应支持VI.AN协议，
5.2.3.5带宽管理
防火墙应具备带宽管理功能，能够根据安全策略和网络流量动态调整客户端占用的带宽。5.2.3.6双机热备
防火墙应具备基于链路状态检测的双机热备功能，当主防火墙直接相连的链路发生故障而无法正8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。