标准搜索结果: 'GB/T 20281-2015'
| 标准编号 | GB/T 20281-2015 (GB/T20281-2015) | | 中文名称 | 信息安全技术 防火墙安全技术要求和测试评价方法 | | 英文名称 | Information security technology -- Security technical requirements and testing and evaluation approaches for firewall | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 93,990 | | 发布日期 | 2015-05-15 | | 实施日期 | 2016-01-01 | | 旧标准 (被替代) | GB/T 20281-2006 | | 引用标准 | GB/T 18336.3-2008; GB/T 25069-2010 | | 标准依据 | 国家标准公告2015年第15号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了防火墙的安全技术要求、测试评价方法及安全等级划分。本标准适用于防火墙的设计、开发与测试。 | GB/T 20281-2015
Information security technology.Security technical requirements and testing and evaluation approaches for firewall
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 20281-2006
信息安全技术 防火墙安全技术要求
和测试评价方法
2015-05-15发布
2016-01-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 防火墙描述 2
6 安全技术要求 2
6.1 总体说明 2
6.1.1 要求分类 2
6.1.2 安全等级 3
6.2 基本级安全要求 5
6.2.1 安全功能要求 5
6.2.2 安全保证要求 8
6.3 增强级安全要求 10
6.3.1 安全功能要求 10
6.3.2 安全保证要求 15
6.4 环境适应性要求 20
6.4.1 传输模式 20
6.4.2 下一代互联网支持(有则适用) 20
6.5 性能要求 21
6.5.1 吞吐量 21
6.5.2 延迟 21
6.5.3 最大并发连接数 22
6.5.4 最大连接速率 22
7 测试评价方法 22
7.1 测试环境 22
7.1.1 安全功能与环境适应性测试环境 22
7.1.2 性能测试环境 23
7.2 基本级安全要求测试 23
7.2.1 安全功能测试 23
7.2.2 安全保证测试 28
7.3 增强级安全要求测试 32
7.3.1 安全功能测试 32
7.3.2 安全保证测试 40
7.4 环境适应性测试 49
7.4.1 传输模式 49
7.4.2 下一代互联网支持 49
7.5 性能测试 53
7.5.1 吞吐量 53
7.5.2 延迟 53
7.5.3 最大并发连接数 54
7.5.4 最大连接速率 54
参考文献 55
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 20281-2006《信息安全技术 防火墙技术要求和测试评价方法》。
本标准与GB/T 20281-2006的主要差异如下:
---修改了防火墙的描述;
---修改了防火墙的功能分类;
---增加了防火墙的高性能要求;
---加强了防火墙对应用层控制能力的要求;
---增加了下一代互联网协议支持能力的要求;
---级别统一划分为基本级和增强级。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、北京启明星辰信息安全技术
有限公司、华为技术有限公司、解放军信息安全测评认证中心、北京中科网威信息技术有限公司、北京网
康科技有限公司、公安部第三研究所。
本标准主要起草人:俞优、陆臻、邹春明、顾健、沈亮、李毅、韦湘、王光宇、吕颖轩、王平。
本标准所代替标准的历次版本发布情况为:
---GB/T 20281-2006。
信息安全技术 防火墙安全技术要求
和测试评价方法
1 范围
本标准规定了防火墙的安全技术要求、测试评价方法及安全等级划分。
本标准适用于防火墙的设计、开发与测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证
要求
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
防火墙 firewal
部署于不同安全域之间,具备网络层访问控制及过滤功能,并具备应用层协议分析、控制及内容检
测等功能,能够适用于IPv4、IPv6等不同的网络环境的安全网关产品。
3.2
深度包检测 deeppacketinspection
基于应用层的流量检测和控制技术,通过读取IP包载荷的内容并对应用层信息进行重组,从而得
到整个应用程序的内容,然后按照系统定义的策略对内容进行相应处置。
3.3
能够对应用协议进行深入解析,识别出协议中的各种要素(如http协议,可具体解析到如cookie、
Get参数、Post表单等)以及协议所承载的业务内容(如业务系统交互中包含在协议或文件中的数据内
容),并对这些数据进行快速的解析,以还原其原始通信的信息。根据这些解析后的原始信息,可以检测
其是否包含威胁以及敏感内容。
3.4
SQL注入 SQLinjection
把SQL命令插入到web表单递交或者页面请求的参数中,以达到欺骗服务器执行恶意SQL命令
的目的。
3.5
跨站脚本 crosssitescripting
恶意攻击者往 web页面里插入恶意 HTML代码,当用户浏览该页面时,嵌入 web页面里面的
HTML代码会被执行,从而达到恶意攻击用户的目的。
4 缩略语
下列缩略语适用于本文件。
XSS:跨站脚本(CrossSiteScripting)
防火墙的目的是在不同的安全域之间建立安全控制点,根据预先定义的访问控制策略和安全防护
策略,解析和过滤经过防火墙的数据流,实现向被保护的安全域提供访问可控的服务请求。此外,适用
于下一代互联网网络环境的防火墙的协议栈除支持IPv4技术外,还能够支持IPv6、IPv4/IPv6过渡
技术。
防火墙保护的资产是受安全策略保护的网络服务和资源等,此外,防火墙本身及其内部的重要数据
也是受保护的资产。防火墙通常以路由模式或透明模式运行,且一般将网络划分为若干个安全域,通过
安全策略实现对不同安全域间服务和访问的审计和控制。
图1是防火墙的一个典型运行环境。它将网络分为内部网络、外部网络和DMZ三个区域。内部
网络是一个可信区域,外部网络是一个不可信区域,DMZ中的服务器可以向外部网络和内部网络用户
提供应用服务。
图1 防火墙典型运行环境
6 安全技术要求
6.1 总体说明
6.1.1 要求分类
本标准将防火墙安全技术要求分为安全功能、安全保证、环境适应性和性能要求四个大类。其中,
安全功能要求是对防火墙应具备的安全功能提出具体要求,包括网络层控制、应用层控制和安全运维管
理;安全保证要求针对防火墙的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开
发和指导性文档等;环境适应性要求是对防火墙的部署模式和应用环境提出具体的要求;性能要求则是
对防火墙应达到的性能指标作出规定,包括吞吐量、延迟、最大并发连接数和最大连接速率。
6.1.2 安全等级
本标准按照防火墙安全功能的强度划分安全功能要求的级别,按照GB/T 18336.3-2008划分安
全保证要求的级别。安全等级分为基本级和增强级,如表1、表2所示。安全功能强弱和安全保证要求
高低是等级划分的具体依据。安全等级突出安全特性,环境适应性要求和性能要求不作为等级划分依
据。其中,达到基本级要求的产品安全保证要求内容对应GB/T 18336.3-2008的EAL2级,推荐使用
在安全保护等级为第一、二级的信息系统中;达到增强级要求的产品安全保证要求内容对应
GB/T 18336.3-2008的EAL4+级,推荐使用在安全保护等级为第三、四级的信息系统中。与基本级
内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。
表1 安全功能要求等级划分表
安全功能 基本级 增强级
网络层控制
包过滤 * **
NAT * **
状态检测 * *
策略路由 * **
动态开放端口 * **
IP/MAC地址绑定 * *
流量会话管理
流量统计 * *
带宽管理 - *
连接数控制 * *
会话管理 - *
抗拒绝服务攻击 * *
网络扫描防护 * **
应用层控制
用户管控 - *
应用协议控制 * **
应用内容控制 - *
恶意代码防护 - *
应用攻击防护 - *
表1(续)
安全功能 基本级 增强级
安全运维管理
运维管理 * **
安全审计 * **
安全管理
管理接口独立 * *
安全支撑系统 * *
异常处理机制 * *
高可用性
双机热备 - *
负载均衡 - *
注:“*”具有该要求;“**”要求有所增强;“-”不适用。
表2 安全保证要求等级划分表
安全保证 基本级 增强级
配置管理
部分配置管理自动化 - *
配置管理能力
版本号 * *
配置项 * *
授权控制 - *
产生支持和接受程序 - *
配置管理范围
配置管理覆盖 - *
问题跟踪配置管理覆盖 - *
交付与运行
交付程序 * *
修改检测 - *
安装、生成和启动程序 * *
开发
功能规格说明
非形式化功能规格说明 * *
充分定义的外部接口 - *
高层设计
描述性高层设计 * *
安全加强的高层设计 - *
安全功能实现的子集 - *
描述性低层设计 - *
非形式化对应性证实 * *
非形式化产品安全策略模型 - *
表2(续)
安全保证 基本级 增强级
指导性文档
管理员指南 * *
用户指南 * *
生命周期支持
安全措施标识 - *
开发者定义的生命周期模型 - *
明确定义的开发工具 - *
测试
测试覆盖
覆盖证据 * *
覆盖分析 - *
测试:高层设计 - *
功能测试 * *
独立测试
一致性 * *
抽样 * *
脆弱性评定
误用
指南审查 - *
分析确认 - *
产品安全功能强度评估 * *
脆弱性分析
开发者脆弱性分析 * *
独立的脆弱性分析 - *
中级抵抗力 - *
注:“*”具有该要求;“-”不适用。
6.2 基本级安全要求
6.2.1 安全功能要求
6.2.1.1 网络层控制
6.2.1.1.1 包过滤
防火墙的包过滤要求如下:
a) 安全策略应使用最小安全原则,即除非明确允许,否则就禁止;
b) 安全策略应包含基于源IP地址、目的IP地址的访问控制;
c) 安全策略应包含基于源端口、目的端口的访问控制;
d) 安全策略应包含基于协议类型的访问控制;
e) 安全策略应包含基于时间的访问控制;
f) 应支持用户自定义的安全策略,安全策略可以是IP地址、端口、协议类型和时间的部分或全部
组合。
6.2.1.1.2 NAT
防火墙应具备NAT功能,具体技术要求如下:
a) 应支持双向NAT:SNAT和DNAT;
b) SNAT应至少可实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源IP地址被
转换;
c) DNAT应至少可实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地
址/端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问。
6.2.1.1.3 状态检测
防火墙应具备状态检测功能,支持基于状态检测技术的访问控制。
6.2.1.1.4 策略路由
具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的防
火墙应具备基于源、目的IP策略路由功能。
6.2.1.1.5 动态开放端口
防火墙应具备动态开放端口功能,支持主动模式和被动模式的FTP。
6.2.1.1.6 IP/MAC地址绑定
防火墙应支持自动或管理员手工绑定IP/MAC地址;应能够检测IP地址盗用,拦截盗用IP地址
的主机经过防火墙的各种访问。
6.2.1.1.7 流量会话管理
6.2.1.1.7.1 流量统计
防火墙应具备流量统计功能:
a) 能够通过IP地址、网络服务、时间和协议类型等参数或它们的组合对流量进行正确的统计;
b) 能够实时或者以报表形式输出流量统计结果。
6.2.1.1.7.2 连接数控制
防火墙应能够设置单IP的最大并发会话数,防止大量非法连接产生时影响网络的性能。
6.2.1.1.8 抗拒绝服务攻击
防火墙应具有抗拒绝服务攻击的能力,具体技术要求如下:
a) ICMPFlood攻击;
b) UDPFlood攻击;
c) SYNFlood攻击;
d) TearDrop攻击;
e) Land攻击;
f) 超大ICMP数据攻击。
6.2.1.1.9 网络扫描防护
防火墙应能够检测和记录扫描行为,包括对防火墙自身和受保护网络的扫描。
6.2.1.2 应用层协议控制
防火墙应能识别并控制各种应用类型,支持HTTP、FTP、TELNET、SMTP和POP3等常见应用。
6.2.1.3 安全运维管理
6.2.1.3.1 运维管理
防火墙应具备管理功能,具体技术要求如下:
a) 管理安全:
1) 支持对授权管理员的口令鉴别方式,且口令设置满足安全要求;
2) 应在所有授权管理员、可信主机、主机和用户请求执行任何操作之前,对每个授权管理员、
可信主机、主机和用户进行唯一的身份鉴别;
3) 应具有登录失败处理功能,身份鉴别在经过一个可设定的鉴别失败最大次数后,防火墙应
终止可信主机或用户建立的会话;
4) 防火墙应为每一个规定的授权管理员、可信主机、主机和用户提供一套唯一的为执行安全
策略所必需的安全属性。
b) 管理方式:
1) 应支持通过console端口进行本地管理;
2) 应支持通过网络接口进行远程管理,并可限定可进行远程管理的网络接口;
3) 远程管理过程中,管理端与防火墙之间的所有通讯数据应非明文传输。
c) 管理能力:
1) 向授权管理员提供设置和修改安全管理相关的数据参数的功能;
2) 向授权管理员提供设置、查询和修改各种安全策略的功能;
3) 向授权管理员提供管理审计日志的功能。
6.2.1.3.2 安全审计
防火墙应具备安全审计功能,具体技术要求如下:
a) 记录事件类型:
1) 被防火墙策略允许、禁止的访问请求;
2) 从内部网络、外部网络和DMZ区发起的试图穿越或到达防火墙的违反安全策略的访问
请求;
3) 试图登录防火墙管理端口和管理身份鉴别请求;
4) 防火墙的重要管理配置操作:如增加/删除/修改管理员、保存/删除审计日志、更改安全策
略和配置参数等。
b) 日志内容:
1) 事件发生的时间,日期应包括年、月、日,时间应包括时、分、秒;
2) 事件发生的主体、客体和描述,其中数据包应包括协议类型、源地址、目标地址、源端口和
目标端口等。
c) 日志管理:
1) 应只允许授权管理员访问日志;
2) 管理员应能够对日志进行存档、删除和清空;
3) 应提供能查阅日志的工具,具备对审计事件以时间、日期、主体ID、客体ID等条件检索的
能力,并且只允许授权管理员使用查阅工具;
4) 应支持对日志的统计分析和生成报表的功能;
5) 审计事件应存储于掉电非易失性存储介质中,且在存储空间达到阈值时至少能够通知授
权管理员。
6.2.1.3.3 安全管理
6.2.1.3.3.1 管理接口独立
防火墙的应具备独立的管理接口,与业务接口分离。
6.2.1.3.3.2 安全支撑系统
防火墙的底层支撑系统应满足以下要求:
a) 确保其支撑系统不提供多余的网络服务;
b) 不含任何导致产品权限丢失、拒绝服务等的安全漏洞。
6.2.1.3.3.3 异常处理机制
防火墙在非正常条件(如掉电、强行关机)关机再重新启动后,应满足如下技术要求:
a) 安全策略恢复到关机前的状态;
b) 日志信息不会丢失;
c) 管理员重新鉴别。
6.2.2 安全保证要求
6.2.2.1 配置管理
6.2.2.1.1 版本号
开发者应为产品的不同版本提供唯一的标识。
6.2.2.1.2 配置项
开发者应使用配置管理系统并提供配置管理文档。
配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行
描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。
6.2.2.2 交付与运行
6.2.2.2.1 交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。
在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。
6.2.2.2.2 安装、生成和启动程序
开发者应提供文档说明产品的安装、生成和启动的过程。
6.2.2.3 开发
6.2.2.3.1 非形式化功能规格说明
开发者应提供一个功能规格说明,功能规格说明应满足以下要求:
a) 使用非形式化风格来描述产品安全功能及其外部接口;
b) 是内在一致的;
c) 描述所有外部接口的用途与使用方法,适当时应提供效果、例外情况和出错消息的细节;
d) 完备地表示产品安全功能。
6.2.2.3.2 描述性高层设计
开发者应提供产品安全功能的高层设计,高层设计应满足以下要求:
a) 表示应是非形式化的;
b) 是内在一致的;
c) 按子系统描述安全功能的结构;
d) 描述每个安全功能子系统所提供的安全功能性;
e) 标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现
的支持性保护机制所提供功能的一个表示;
f) 标识安全功能子系统的所有接口;
g) 标识安全功能子系统的哪些接口是外部可见的。
6.2.2.3.3 非形式化对应性证实
开发者应提供产品安全功能表示的所有相邻对之间的对应性分析。
对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功
能,应在较具体的安全功能表示中得到正确且完备地细化。
6.2.2.4 指导性文档
6.2.2.4.1 管理员指南
开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致。
管理员指南应说明以下内容:
a) 管理员可使用的管理功能和接口;
b) 怎样安全地管理产品;
c) 在安全处理环境中应被控制的功能和权限;
d) 所有对与产品的安全操作有关的用户行为的假设;
e) 所有受管理员控制的安全参数,如果可能,应指明安全值;
f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变;
g) 所有与管理员有关的IT环境安全要求。
6.2.2.4.2 用户指南
开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致。
用户指南应说明以下内容:
a) 产品的非管理员用户可使用的安全功能和接口;
b) 产品提供给用户的安全功能和接口的使用方法;
c) 用户可获取但应受安全处理环境所控制的所有功能和权限;
d) 产品安全操作中用户所应承担的职责;
e) 与用户有关的IT环境的所有安全要求。
6.2.2.5 测试
6.2.2.5.1 覆盖证据
开发者应提供测试覆盖的证据。
在测试覆盖证据中,应表明测试文档中所标识的测试与功能规格说明中所描述的产品的安全功能
是对应的。
6.2.2.5.2 功能测试
开发者应测试安全功能,将结果文档化并提供测试文档。
测试文档应包括以下内容:
a) 测试计划,应标识要测试的安全功能,并描述测试的目标;
b) 测试过程,应标识要执行的测试,并描述每个安全功能的测......
|