标准搜索结果: 'GB/T 20281-2020'
标准编号 | GB/T 20281-2020 (GB/T20281-2020) | 中文名称 | 信息安全技术 防火墙安全技术要求和测试评价方法 | 英文名称 | Information security technology -- Security technical requirements and testing assessment approaches for firewall | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 58,542 | 发布日期 | 2020-04-28 | 实施日期 | 2020-11-01 | 旧标准 (被替代) | GB/T 32917-2016; GB/T 31505-2015; GB/T 20281-2015; GB/T 20010-2005 | 引用标准 | GB/T 18336.3-2015; GB/T 25069-2010 | 起草单位 | 公安部第三研究所、奇安信科技集团股份有限公司、北京天融信网络安全技术有限公司、网神信息技术(北京)股份有限公司、北京神州绿盟科技有限公司、杭州美创科技有限公司、北京网康科技有限公司、中国信息安全研究院有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息安全测评中心、国家计算机网络与信息安全管理中心、北京安华金和科技有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、沈阳东软系统集成工程有限公司、新华三技术有限公司、蓝盾信息安全技术股份有限公司、北京中安星云软件技术有 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | 范围 | 本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、开发与测试。 |
GB/T 20281-2020
Information security technology--Security technical requirements and testing assessment approaches for firewall
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 20010-2005,GB/T 20281-2015,GB/T 31505-2015和 GB/T 32917-2016
信息安全技术 防火墙安全
技术要求和测试评价方法
2020-04-28发布
2020-11-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 概述 3
6 安全技术要求 3
6.1 安全功能要求 3
6.2 自身安全要求 9
6.3 性能要求 10
6.4 安全保障要求 12
7 测评方法 14
7.1 测评环境 14
7.2 安全功能测评 15
7.3 自身安全测评 31
7.4 性能测评 33
7.5 安全保障测评 36
附录 A(规范性附录) 防火墙分类及安全技术要求等级划分 42
A.1 概述 42
A.2 网络型防火墙 42
A.3 WEB应用防火墙 44
A.4 数据库防火墙 45
A.5 主机型防火墙 47
附录B(规范性附录) 防火墙分类及测评方法等级划分 49
B.1 概述 49
B.2 网络型防火墙 49
B.3 WEB应用防火墙 51
B.4 数据库防火墙 52
B.5 主机型防火墙 54
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 20010-2005《信息安全技术 包过滤防火端评估准则》、GB/T 20281-2015《信
息安全技术 防火墙安全技术要求和测试评价方法》、GB/T 31505-2015《信息安全技术 主机型防火
墙安全技术要求和测试评价方法》、GB/T 32917-2016《信息安全技术 WEB应用防火墙安全技术要
求与测试评价方法》。本标准以GB/T 20281-2015为主,整合了GB/T 20010-2005、GB/T 31505-
2015和GB/T 32917-2016的部分内容,与GB/T 20281-2015相比,除编辑性修改外主要技术变化
如下:
---增加了网络型防火墙、数据库防火墙、WEB应用防火墙和主机型防火墙的定义(见第3章);
---修改了概述(见第5章,2015年版的第5章);
---增加了“设备虚拟化”要求(见6.1.1.4);
---修改了“应用内容控制”的要求(见6.1.3.3,2015版的6.2.1.2、6.3.1.2);
---增加了“攻击防护”的要求(见6.1.4);
---增加了“安全审计与分析”的要求(见6.1.5);
---增加了“混合应用层吞吐量”“HTTP吞吐量”“HTTP请求速率”“SQL请求速率”“HTTP并
发连接数”“SQL并发连接数”性能要求(见6.3.1.2、6.3.1.3、6.3.3.2、6.3.3.3、6.3.4.2、6.3.4.3);
---增加了规范性附录(见附录A、附录B)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:公安部第三研究所、奇安信科技集团股份有限公司、北京天融信网络安全技术有
限公司、网神信息技术(北京)股份有限公司、北京神州绿盟科技有限公司、杭州美创科技有限公司、北京
网康科技有限公司、中国信息安全研究院有限公司、中国电子技术标准化研究院、中国网络安全审查技
术与认证中心、中国信息安全测评中心、国家计算机网络与信息安全管理中心、北京安华金和科技有限
公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、沈阳东软系统集成工程有限公
司、新华三技术有限公司、蓝盾信息安全技术股份有限公司、北京中安星云软件技术有限公司、上海上讯
信息技术股份有限公司。
本标准主要起草人:俞优、王志佳、邹春明、陆臻、沈亮、陆磊、顾健、吴云坤、熊瑛、雷晓锋、叶晓虎、周
杰、王伟、陈华平、吴亚东、谢建业、王猛、谌德俊、潘云、申永波、杨晨、王晖。
本标准所代替标准的历次版本发布情况为:
---GB/T 20010-2005;
---GB/T 20281-2006、GB/T 20281-2015;
---GB/T 31505-2015;
---GB/T 32917-2016。
信息安全技术 防火墙安全
技术要求和测试评价方法
1 范围
本标准规定了防火墙的等级划分、安全技术要求及测评方法。
本标准适用于防火墙的设计、开发与测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
防火墙 firewal
对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品。
注:根据安全目的、实现原理的不同,通常可分为网络型防火墙、WEB应用防火墙、数据库防火墙和主机型防火
墙等。
3.2
网络型防火墙 network-basedfirewal
部署于不同安全域之间,对经过的数据流进行解析,具备网络层、应用层访问控制及安全防护功能
的网络安全产品。
3.3
部署于 WEB服务器前端,对流经的HTTP/HTTPS访问和响应数据进行解析,具备 WEB应用的
访问控制及安全防护功能的网络安全产品。
3.4
数据库防火墙 databasefirewal
部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安
全防护功能的网络安全产品。
3.5
主机型防火墙 host-basedfirewal
部署于计算机(包括个人计算机和服务器)上,提供网络层访问控制、应用程序访问限制和攻击防护
功能的网络安全产品。
3.6
反向代理 reverseproxy
作为服务器端的代理使用,代替服务器接受来自客户端的请求,然后将请求转发给内部服务器,并
将从服务器上得到的结果返回给请求客户端的一种部署模式。
3.7
拖库攻击 dragattack
通过非授权获得数据库访问或数据库所在操作系统的权限,批量下载数据库中数据或数据库数据
文件的恶意行为。
3.8
批量尝试碰撞数据库数据的恶意行为。
注:如通过收集已泄露、已知的用户和密码信息,生成对应的字典表,并以此批量尝试登录其他的应用系统。
4 缩略语
下列缩略语适用于本文件。
CSRF:跨站请求伪造(Cross-siterequestforgery)
DNAT:目的网络地址转换(DestinationNAT)
IP:网际协议(InternetProtocol)
MAC:介质访问控制(MediaAccessControl)
SNAT:源网络地址转换(SourceNAT)
SYSLOG:系统日志(SystemLog)
WEB:万维网(WorldWideWEB)
XSS:跨站脚本(CrossSiteScripting)
防火墙是作用于不同安全域之间,具备访问控制及安全防护功能的网络安全产品,主要分为网络型
防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙或其组合。
防火墙的安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类。其
中,安全功能要求对防火墙应具备的安全功能提出具体要求,包括组网与部署、网络层控制、应用层控
制、攻击防护和安全审计与分析;自身安全要求针对防火墙的自身安全提出具体的要求,包括身份标识
与鉴别、管理能力、管理审计、管理方式和安全支撑系统;性能要求则是对防火墙应达到的性能指标作出
规定,包括吞吐量、延迟、连接速率和并发连接数;安全保障要求针对防火墙的生命周期过程提出具体要
求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定。
防火墙的等级分为基本级和增强级,安全功能与自身安全的强弱以及安全保障要求的高低是等级
划分的具体依据,等级突出安全特性。其中,基本级产品的安全保障要求内容对应GB/T 18336.3-
2015的EAL2级,增强级产品的安全保障要求内容对应GB/T 18336.3-2015的EAL4+级。各类防
火墙(简称“产品”)的具体安全技术要求和等级划分详见附录A,测评方法及等级划分详见附录B。
6 安全技术要求
6.1 安全功能要求
6.1.1 组网与部署
6.1.1.1 部署模式
产品应支持以下部署模式:
a) 透明传输模式;
b) 路由转发模式;
c) 反向代理模式。
6.1.1.2 路由
6.1.1.2.1 静态路由
产品应支持静态路由功能,且能配置静态路由。
6.1.1.2.2 策略路由
具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的产
品,应支持策略路由功能,包括但不限于:
a) 基于源、目的IP策略路由;
b) 基于接口的策略路由;
c) 基于协议和端口的策略路由;
d) 基于应用类型的策略路由;
e) 基于多链路负载情况自动选择路由。
6.1.1.2.3 动态路由
产品应支持动态路由功能,包括RIP、OSPF或BGP中一种或多种动态路由协议。
6.1.1.3 高可用性
6.1.1.3.1 冗余部署
产品应支持“主-备”、“主-主”或“集群”中的一种或多种冗余部署模式。
6.1.1.3.2 负载均衡
产品应支持负载均衡功能,能根据安全策略将网络流量均衡到多台服务器上。
6.1.1.4 设备虚拟化(可选)
6.1.1.4.1 虚拟系统
若产品支持在逻辑上划分为多个虚拟子系统,虚拟子系统间应支持隔离和独立管理,包括但不
限于:
a) 对虚拟子系统分别设置管理员,实现针对虚拟子系统的管理配置;
b) 虚拟子系统能分别维护路由表、安全策略和日志系统;
c) 对虚拟子系统的资源使用配额进行限制。
6.1.1.4.2 虚拟化部署
若产品为虚拟化形态,应支持部署于虚拟化平台,并接受平台统一管理,包括但不限于:
a) 支持部署于一种虚拟化平台,如VMwareESXi、KVM、CitrixXenserver和Hyper-V等;
b) 结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;
c) 结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新、替换。
6.1.1.5 IPv6支持(可选)
6.1.1.5.1 支持IPv6网络环境
若产品支持IPv6,应支持在IPv6网络环境下正常工作,能有效运行其安全功能和自身安全
功能。
6.1.1.5.2 协议一致性
若产品支持IPv6,应满足IPv6协议一致性的要求,至少包括IPv6核心协议、IPv6NDP协议、IPv6
Autoconfig协议和ICMPv6协议。
6.1.1.5.3 协议健壮性
若产品支持IPv6,应满足IPv6协议健壮性的要求,抵御IPv6网络环境下畸形协议报文攻击。
6.1.1.5.4 支持IPv6过渡网络环境
若产品支持IPv6,应支持在以下一种或多种IPv6过渡网络环境下工作:
a) 协议转换,将IPv4和IPv6两种协议相互转换;
b) 隧道,将IPv6封装在IPv4中穿越IPv4网络,如IPv6overIPv4、IPv6toIPv4、ISATAP等。
6.1.2 网络层控制
6.1.2.1 访问控制
6.1.2.1.1 包过滤
产品的包过滤功能要求如下:
a) 安全策略应使用最小安全原则,即除非明确允许,否则就禁止;
b) 安全策略应包含基于源IP地址、目的IP地址的访问控制;
c) 安全策略应包含基于源端口、目的端口的访问控制;
d) 安全策略应包含基于协议类型的访问控制;
e) 安全策略应包含基于 MAC地址的访问控制;
f) 安全策略应包含基于时间的访问控制;
g) 应支持用户自定义的安全策略,安全策略包括 MAC地址、IP地址、端口、协议类型和时间的部
分或全部组合。
6.1.2.1.2 网络地址转换
产品的网络地址转换功能要求如下:
a) 支持SNAT和DNAT;
b) SNAT应实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源IP地址被转换;
c) DNAT应实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地址/端
口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问;
d) 支持动态SNAT技术,实现“多对多”的SNAT。
6.1.2.1.3 状态检测
产品应支持基于状态检测技术的包过滤功能,具备状态检测能力。
6.1.2.1.4 动态开放端口
产品应支持协议的动态端口开放,包括但不限于:
a) FTP协议;
b) H.323等音视频协议。
6.1.2.1.5 IP/MAC地址绑定
产品应支持自动或手工绑定IP/MAC地址,当主机的IP地址、MAC地址与IP/MAC绑定表中不
一致时,阻止其流量通过。
6.1.2.2 流量管理
6.1.2.2.1 带宽管理
产品应支持带宽管理功能,能根据策略调整客户端占用的带宽,包括但不限于:
a) 根据源IP、目的IP、应用类型和时间段的流量速率或总额进行限制;
b) 根据源IP、目的IP、应用类型和时间段设置保障带宽;
c) 在网络空闲时自动解除流量限制,并在总带宽占用率超过阈值时自动启用限制。
6.1.2.2.2 连接数控制
产品应支持限制单IP的最大并发会话数和新建连接速率,防止大量非法连接产生时影响网络
性能。
6.1.2.2.3 会话管理
在会话处于非活跃状态一定时间或会话结束后,产品应终止会话。
6.1.3 应用层控制
6.1.3.1 用户管控
产品应支持基于用户认证的网络访问控制功能,包括但不限于:
a) 本地用户认证方式;
b) 结合第三方认证系统,如基于Radius、LDAP服务器的认证方式。
6.1.3.2 应用类型控制
产品应支持根据应用特征识别并控制各种应用类型,包括:
a) HTTP协议;
b) 数据库协议;
c) FTP、TELNET、SMTP、POP3和IMAP等常见协议;
d) 即时聊天类、P2P类、网络流媒体类、网络游戏、股票交易类等应用;
e) 逃逸或隧道加密特点的应用,如加密代理类应用;
f) 自定义应用。
6.1.3.3 应用内容控制
6.1.3.3.1 WEB应用
产品应支持基于以下内容对 WEB应用的访问进行控制,包括但不限于:
a) URL网址,并具备分类网址库;
b) HTTP传输内容的关键字;
c) HTTP请求方式,包括GET、POST、PUT、HEAD等;
d) HTTP请求文件类型;
e) HTTP协议头中各字段长度,包括general-header、request-header、response-header等;
f) HTTP上传文件类型;
g) HTTP请求频率;
h) HTTP返回的响应内容,如服务器返回的出错信息等;
i) 支持HTTPS流量解密。
6.1.3.3.2 数据库应用
产品应支持基于以下内容对数据库的访问进行控制,包括但不限于:
a) 访问数据库的应用程序、运维工具;
b) 数据库用户名、数据库名、数据表名和数据字段名;
c) SQL语句关键字、数据库返回内容关键字;
d) 影响行数、返回行数。
6.1.3.3.3 其他应用
产品应支持基于以下内容对FTP、TELNET、SMTP、POP3和IMAP等应用进行控制,包括但不
限于:
a) 传输文件类型;
b) 传输内容,如协议命令或关键字。
6.1.4 攻击防护
6.1.4.1 拒绝服务攻击防护
产品具备特征库,应支持拒绝服务攻击防护功能,包括但不限于:
a) ICMPFlood攻击防护;
b) UDPFlood攻击防护;
c) SYNFlood攻击防护;
d) TearDrop攻击防护;
e) Land攻击防护;
f) PingofDeath攻击防护;
g) CC攻击防护。
6.1.4.2 WEB攻击防护
产品具备特征库,应支持 WEB攻击防护功能,包括但不限于:
a) SQL注入攻击防护;
b) XSS攻击防护;
c) 第三方组件漏洞攻击防护;
d) 目录遍历攻击防护;
e) Cookie注入攻击防护;
f) CSRF攻击防护;
g) 文件包含攻击防护;
h) 盗链防护;
i) OS命令注入攻击防护;
j) WEBshel识别和拦截;
k) 反序列化攻击防护。
6.1.4.3 数据库攻击防护
产品具备特征库,应支持数据库攻击防护功能,包括但不限于:
a) 数据库漏洞攻击防护;
b) 异常SQL语句阻断;
c) 数据库拖库攻击防护;
d) 数据库撞库攻击防护。
6.1.4.4 恶意代码防护
产品具备特征库,应支持恶意代码防护功能,包括但不限于:
a) 能拦截典型的木马攻击行为;
b) 检测并拦截被HTTP网页和电子邮件等携带的恶意代码。
6.1.4.5 其他应用攻击防护
产品具备特征库,应支持防护来自应用层的其他攻击,包括但不限于:
a) 操作系统类漏洞攻击防护;
b) 中间件类漏洞攻击防护;
c) 控件类漏洞攻击防护。
6.1.4.6 自动化工具威胁防护
产品具备特征库,应支持防护自动化工具发起的攻击,包括......
|