| 标准编号 | GB/T 44810.1-2024 (GB/T44810.1-2024) | | 中文名称 | IPv6网络安全设备技术要求 第1部分:防火墙 | | 英文名称 | Technical requirement for IPv6 network security equipment - Part 1: Firewall | | 行业 | 国家标准 (推荐) | | 中标分类 | M32 | | 国际标准分类 | 33.040.40 | | 字数估计 | 17,179 | | 发布日期 | 2024-10-26 | | 实施日期 | 2025-02-01 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 44810.1-2024
Technical requirement for IPv6 network security equipment - Part 1: Firewall
IPv6网络安全设备技术要求
第 1部分:防火墙
Technical requirement for IPv6 network security equipment-
Part 1:Firewall
ICS 33.040.40
CCS M 32
中华人民共和国国家标准
2024-10-26发布
2025-02-01实施
国家市场监督管理总局
国家标准化管理委员会 发 布
目次
前言 ··· Ⅲ
引言 ··· Ⅳ
1 范围 ···· 1
2 规范性引用文件 ···· 1
3 术语和定义 ···· 1
4 缩略语 ··· 1
5 功能性要求 ···· 2
5.1 网络环境 ···· 2
5.2 组网和部署 ···· 3
5.3 网络控制 ···· 4
5.4 流量管理 ···· 5
5.5 应用控制 ···· 5
5.6 攻击防护 ···· 6
5.7 安全审计、告警与统计 ···· 6
5.8 安全策略设置 ···· 7
6 性能要求 ··· 8
6.1 吞吐量 ···· 8
6.2 延迟 ··· 8
6.3 连接速率 ···· 8
6.4 并发连接数 ···· 8
7 兼容性要求 ···· 8
8 可靠性要求 ···· 8
8.1 系统容错 ···· 8
8.2 故障监测与恢复 ···· 9
8.3 双机热备 ···· 9
8.4 过载控制 ···· 9
8.5 备份与恢复 ···· 9
8.6 异常处理机制 ···· 9
9 自身安全性要求 ···· 9
9.1 标识和鉴别 ···· 9
9.2 自身访问控制 ···· 9
9.3 自身安全审计 ···· 9
9.4 通信安全 ···· 9
9.5 支撑系统安全 ···· 9
9.6 产品升级 ···· 10
9.7 用户信息安全 ···· 10
9.8 密码要求 ···· 10
9.9 协议栈安全性 ···· 10
参考文献 ··· 11
前言
本文件按照 GB/T 1.1-2020《标准化工作导则 第 1部分:标准化文件的结构和起草规则》的规
定起草。
本文件是 GB/T 44810《IPv6网络安全设备技术要求》的第 1部分。GB/T 44810已经发布了以下
部分:
第1部分:防火墙;-
第2部分:Web应用防护系统(WAF);-
第3部分:入侵防御系统(IPS)。-
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国通信标准化技术委员会(SAC/TC 485)归口。
本文件起草单位:中国信息通信研究院、华为技术有限公司、北京天融信网络安全技术有限公司、
北京神州绿盟科技有限公司、郑州信大捷安信息技术股份有限公司、北京浩瀚深度信息技术股份有限公
司、国家计算机网络应急技术处理协调中心、中国电信集团有限公司、天翼安全科技有限公司、杭州迪
普科技股份有限公司、北京通和实益电信科学技术研究所有限公司、国家工业信息安全发展研究中心、
中国福利会国际和平妇幼保健院、新华三技术有限公司、北京可信华泰信息技术有限公司、杭州安恒信
息技术股份有限公司、北京国泰网信科技有限公司、深圳大学、云南电网有限责任公司。
本文件主要起草人:孟楠、董悦、王雨晨、李翔、黄雅静、雷晓锋、彭晓军、叶建伟、刘为华、庞韶敏、
曹政、严定宇、秦佳伟、张建宇、康和、张熹、吴庆、左虹、黄澍、张大超、程曦、周昊、陈昌杰、
陈磊、万晓兰、杜君、段古纳、田丽丹、李欣、李元正、江魁、肖鹏、王海林。
引 言
根据《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》,为更好面对网络复
杂化和用户规模扩大化带来的安全挑战,推动 IPv6网络安全工作的标准化,我国制定了一系列 IPv6安
全标准。其中,GB/T 44810《IPv6网络安全设备技术要求》是为规范在 IPv6中网络安全产品的适用性
的技术标准,拟由三个部分构成。
第1部分:防火墙。目的在于IPv6部署后,保障防火墙在新的网络环境中的有效应用。-
第2部分: W e b应用防护系统(W A F) 。目的在于 IPv6部署后,保障Web应用防护系统
(WAF)在新的网络环境中的有效应用。
第3部分:入侵防御系统(IPS)。目的在于IPv6部署后,保障入侵防御系统(IPS)在新的网
络环境中的有效应用。
IPv6网络安全设备技术要求
第 1部分:防火墙
1 范围
本文件规定了支持 IPv6的防火墙设备的安全技术要求。
本文件适用于支持 IPv6的防火墙设备的设计、开发、部署、使用、维护与测试。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用
于本文件。
GB/T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法
GB/T 25069-2022 信息安全技术 术语
GB 42250-2022 信息安全技术 网络安全专用产品安全技术要求
GB/T 44810.3-2024 IPv6网络安全设备技术要求 第 3部分:入侵防御系统(IPS)
3 术语和定义
GB/T 25069-2022、GB/T 20281-2020界定的以及下列术语和定义适用于本文件。
3.1
防火墙 firewall
对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品。
注:在本文件中防火墙仅指“网络型防火墙”。
[来源:GB/T 20281-2020,3.1]
3.2
授权管理员 authorized administrator
具有防火墙管理权限的用户,能支持基于角色获得不同的管理权限。
注:如系统管理员、安全管理员和安全审计员。
4 缩略语
下列缩略语适用于本文件。
ALG:应用层网关(Application Layer Gateway)
BGP4+:边界网关协议第四版增强版(Border Gateway Protocol Version 4+)
DHCPv6:互联网协议第六版动态主机配置协议(Dynamic Host Configuration Protocol for IPv6)
DMZ:非军事区(Demilitarized Zone)
DNS:域名系统(Domain Name System)
DNSv6:IPv6域名系统(Domain Name System for IPv6)
FTP:文件传输协议(File Transfer Protocol)
HTTP:超文本传输协议(Hypertext Transfer Protocol)
ICMPv6:IPv6网间控制报文协议(Internet Control Messages Protocol for IPv6)
ID:标识符(Identifiers)
IMAP:邮件访问协议(Internet Mail Access Protocol)
IP:互联网协议(Internet Protocol)
IPv4:互联网协议第四版(Internet Protocol Version 4)
IPv6:互联网协议第六版(Internet Protocol Version 6)
ISATAP:站点内自动隧道寻址协议(Intra﹘Site Automatic Tunnel Addressing Protocol)
ISISv6:中间系统到中间系统第 6版(Intermediate System to Intermediate System Version 6)
LDAP:轻量目录访问协议(Lightweight Directory Access Protocol)
MAC:媒体访问控制(Media Access Control)
MIB:管理信息库(Management Information Base)
NAT:网络地址转换(Network Address Translation)
NDP:邻居发现协议(Neighbor Discovery Protocol)
NETCONF:网络配置协议(Network Configuration Protocol)
OSPFv3:开放式最短路径优先版本 3(Open Shortest Path First Version 3)
P2P:点对点(Point to Point)
POP3:邮局协议版本 3(Post Office Protocol Version 3)
RESTCONF:以超文本传输协议描述的网络配置协议(Restful Network Configuration Protocol)
RIPng:下一代路由信息协议(Routing Information Protocol next generation)
SMTP:简单邮件传送协议(Simple Mail Transfer Protocol)
SNMP:简单网络管理协议(Simple Networking Management Protocol)
SRv6:IPv6段路由(Segment Routing IPv6)
SSL:安全套接层(Secure Socket Layer)
TFTP:简单文件传输协议(Trivial File Transfer Protocol)
URL:统一资源定位器(Uniform Resource Locator)
VLAN:虚拟局域网(Virtual Local Area Network)
VNI:网络标识符(VXLAN Network Identifier)
VPN:虚拟专用网(Virtual Private Network)
VXLAN:虚拟可扩展的局域网(Virtual eXtensible Local Area Network)
5 功能性要求
5.1 网络环境
5.1.1 IPv6网络环境
设备应支持在 IPv6网络环境中正常工作,包括:
在IPv6组网环境,以及IPv6与IPv4混合组网环境下正常工作,能有效提供安全功能并保障自身
的安全性;
a)
支持全功能的IPv6协议栈,让防火墙设备能作为全功能的IPv6网元、IPv6网关、接入网络正常
组网。
b)
注:支持的 IPv6协议包括 IPv6核心协议、IPv6 NDP协议、IPv6自动配置协议、ICMPv6协议、DHCPv6协议、
DNSv6协议等。
5.1.2 IPv4与 IPv6混合网络环境
设备应支持在以下一种或多种 IPv6过渡网络环境下工作,并作为 IPv4与 IPv6网络之间的网关,实
现下列功能。
IPv6/IPv4双协议栈功能:设备在同一网络中同时支持IPv4 和IPv6协议。设备通过维护IPv6和
IPv4两套路由协议栈使设备既能与IPv4主机,也能与IPv6主机通信,分别支持独立的IPv6和
IPv4路由协议。
a)
IPv6/IPv4的协议转换功能:支持NAT64和NAT46,能进行IPv6与IPv4之间的网络地址与协议的
转换,实现IPv6网络与IPv4网络的双向互访。
b)
隧道模式功能:满足IPv4到IPv6过渡期间网络穿越功能要求。支持的隧道协议包括IPv6 over
IPv4、IPv4 over IPv6、ISATAP等隧道技术。
c)
注1:IPv6 over IPv4指一种网络过渡技术,通常用于 IPv6孤岛之间的连接,支持 IPv6在 IPv4网络上运行,直到
IPv6网络得到全面部署。
注2:IPv4 over IPv6指一种网络过渡技术,利用现有的 IPv6网络为相互孤立的 IPv4网络提供连通性,将 IPv4报文封
装在 IPv6报文中,从而实现 IPv4报文的透明传输。
5.2 组网和部署
5.2.1 部署模式
设备应支持以下部署模式:透明传输模式、路由转发模式等。
5.2.2 路由
5.2.2.1 静态路由
设备应支持 IPv6静态路由功能,且能配置静态路由。
5.2.2.2 动态路由
设备应支持 IPv6动态路由功能,包括 RIPng、BGP4+、ISISv6、OSPFv3等。
5.2.2.3 策略路由
具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个 DMZ网络接口)的设
备,应支持 IPv6的策略路由功能,包括:
基于源、目的IP策略路由;a)
基于接口的策略路由;b)
基于协议和端口的策略路由;c)
基于应用类型的策略路由;d)
基于多链路负载情况自动选择路由。e)
注1:内部网络指通过防火墙隔离的可信任区域或保护区域,通常是指单位内部的局域网。
注2:外部网络指通过防火墙隔离的不可信区域或非保护区域。
5.2.3 IPv6扩展字段
设备宜支持基于 IPv6协议的扩展字段,以支撑更多的业务系统,实现更强的网络功能。IPv6增强
协议包括 SRv6协议等,需要支持对应协议的解析、过滤和转发。
5.2.4 高可用性要求
5.2.4.1 冗余部署
设备应支持“主﹘备”“主﹘主”或“集群”中的一种或多种冗余部署模式。
5.2.4.2 负载均衡
设备应支持 IPv6流量下的负载均衡功能,能根据策略将网络流量均衡到多台服务器上。
5.2.5 设备虚拟化
5.2.5.1 虚拟系统
若设备支持在逻辑上划分为多个虚拟子系统,虚拟子系统间宜支持隔离和独立管理,包括:
对虚拟子系统分别设置管理员,实现针对虚拟子系统的管理配置;a)
虚拟子系统能分别维护路由表、安全策略和日志系统;b)
对虚拟子系统的资源使用配额进行限制;c)
支持基于物理端口、VLAN、IP地址段、ICMPv6标签、SRv6 VNI等网络属性,设置虚拟化
实例。
d)
5.2.5.2 虚拟化部署
若设备为虚拟化形态,宜支持部署于虚拟化平台,并接受平台统一管理,包括:
至少支持部署于一种虚拟化平台;a)
结合虚拟化平台实现设备资源弹性伸缩,根据虚拟化设备的负载情况动态调整资源;b)
结合虚拟化平台实现故障迁移,当虚拟化设备出现故障时能实现自动更新、替换。c)
5.2.6 IPv6 VPN 技术
设备宜支持 IPSec6、SSL VPN等能力,数据通过隧道进行传输,能为用户提供安全的数据传输服
务,应使用国家密码管理主管部门认证核准的密码算法。
注:IPSec6指 IPv6 IPsec封装用于保护所有类型的 IPv6单播和组播流量。
5.3 网络控制
5.3.1 基于报文的访问控制
设备的安全策略功能要求如下:
安全策略应使用最小安全原则;a)
安全策略应包含基于IPv6和IPv4的源IP地址、目的IP地址的访问控制;b)
安全策略中的IPv6地址支持基于前缀和地址段进行配置;c)
安全策略应支持双栈混合配置,单条策略中不区分IPv4和IPv6类型;d)
安全策略应包含基于源端口、目的端口的访问控制;e)
安全策略应包含基于协议类型的访问控制;f)
安全策略应包含基于MAC地址的访问控制;g)
安全策略应包含基于时间的访问控制;h)
应支持用户自定义的安全策略,安全策略包括MAC地址、IP地址、端口、协议类型和时间的部
分或全部组合。
i)
5.3.2 NAT 与 ALG 功能
设备应支持多种基于 IPv6的 NAT技术,实现 IPv4与 IPv6地址之间的映射策略:
设备应支持NAT66,包括源NAT66、目的NAT66和双向NAT66,保护内网IPv6用户的隐私
安全;
a)
设备应支持针对特殊协议,如FTP协议的ALG功能,提供对报文载荷数据进行地址转换的
能力;
b)
设备应支持常用ALG功能,包括FTP、TFTP、DNS、HTTP等。c)
5.3.3 IPv6/MAC 地址绑定
设备应支持基于 IPv6的自动或手动绑定 IP/MAC地址,当主机的 IP地址、MAC地址与 IP/MAC绑
定表中不一致时,阻止其流量通过。
5.3.4 状态检测
设备应支持基于 IPv6协议的状态检测包过滤功能。
5.4 流量管理
5.4.1 带宽管理
设备应支持对 IPv6流量的带宽管理功能,能根据策略调整客户端占用的带宽,包括:
根据源IP、目的IP、应用类型和时间段的流量速率或总额进行限制;a)
根据源IP、目的IP、应用类型和时间段设置包带宽;b)
在网络空闲时自动解除流量限制,并在总带宽占用率超过阈值时自动启用限制。c)
5.4.2 连接数控制
设备应支持对 IPv6流量的单 IP的最大并发会话数和新建连接速率限制能力,防止大量非法连接产
生时影响网络性能。
5.4.3 会话管理
在会话处于非活跃状态一定时间或会话结束后,设备应终止会话。
5.5 应用控制
5.5.1 用户管控
设备应支持基于用户认证的网络访问控制功能,包括:
本地用户认证方式;a)
可自动对接第三方认证系统以完成用户身份认证与授权,如基于远程用户拨号认证系统(Radius)、
LDAP服务器的认证方式;
b)
支持通过IPv6协议对接认证服务器。c)
5.5.2 应用管控
设备应支持根据应用特性识别并控制各种 IPv6网络环境下的应用类型,包括:
支持DNS、HTTP、FTP、远程登录(TELNET)、SMTP、POP3和IMAP等常见协议中承
载的应用识别和管控;
a)
支持数据库、即时聊天类、P2P类、网络流媒体类、网络游戏、股票交易等类型的应用识别和
管控;
b)
支持逃逸或隧道加密特点的应用识别和管控,如加密代理类应用;c)
支持自定义的应用识别和管控。d)
5.5.3 应用内容控制
5.5.3.1 Web 应用
设备应支持基于以下内容对Web应用的访问进行控制,包括:
URL网址,并具备分类网址库;a)
HTTP传输内容的关键字;b)
HTTP请求方式,包括GET、POST、PUT、HEAD等;c)
注:GET、POST、PUT、HEAD指 HTTP协议的请求命令。
HTTP请求文件类型。d)
5.5.3.2 其他应用
设备应支持基于以下内容对 FTP、TELNET、SMTP、POP3和 IMAP等应用进行控制,包括:
传输文件类型;a)
传输内容,如协议命令或关键字。b)
5.6 攻击防护
应符合 GB/T 44810.3-2024中 5.2.3规定的要求。
5.7 安全审计、告警与统计
5.7.1 安全审计
设备应支持安全审计功能,包括以下内容。
记录事件类型:a)
被设备安全策略匹配的访问请求;1)
检测到的攻击行为。2)
日志内容:b)
事件发生的日期和时间;1)
事件发生的主体、客体和描述,其中数据包日志包括协议类型、源地址、目标地址、源端
口和目标端口等;
2)
攻击事件的描述;3)
设备应支持IPv6协议的日志内容审计,日志内容源地址和目的地址字段支持IPv6格式。4)
日志管理:c)
仅授权管理员能访问日志,并提供日志查阅、导出等功能;1)
能对审计事件按日期、时间、主体、客体等条件查询;2)
日志存储于掉电非易失性能存储介质中;3)
日志存储周期设定不小于6个月;4)
存储空间达到阈值时,能通知授权管理员,并确保审计功能的正常运行;5)
日志支持自动化备份至其他存储设备。6)
5.7.2 安全告警
设备应支持对 5.6中的攻击行为进行告警,并能对高频发生的相同告警时间进行合并告警,防止出
现告警风暴。告警信息应至少包括以下内容:
事件主体;a)
事件客体;b)
事件描述;c)
危害级别;d)
事件发生的日志和时间。e)
5.7.3 统计
5.7.3.1 网络流量统计
设备应支持以图形化界面展示网络流量情况,包括:
按照IP、时间段、协议类型等条件或以上条件组合对网络流量进行统计;a)
实时或以报表形式输出统计结果。b)
5.7.3.2 应用流量统计
设备应支持以图形化界面展示应用流量情况,包括:
按照IP、时间段和应用类型等条件或以上条件组合对应用流量进行统计;a)
以报表形式输出统计结果;b)
对不同时间段的统计结果进行对比。c)
5.7.3.3 攻击事件统计
设备应支持以图形化界面展示攻击事件情况:包括按照攻击事件类型、IP和时间段等条件或以上条
件组合对攻击事件进行统计等,并以报表形式输出统计结果。
5.8 安全策略设置
5.8.1 混合地址策略
在安全策略设置中,应能同时适用不同的地址空间。
5.8.2 与 IP 地址无关的策略
在安全策略的设置中应支持使用以下方式:包括基于用户身份、基于网络域名以及域名前后缀、基
于网络应用种类、基于协议类型、基于协议标签(如 IPv6标签、VXLAN ID等)、基于物理端口、基
于网络数据流流向等。
5.8.3 组策略
设备应支持设置安全组策略:包括网络端口组、特定用户组、相同域名后缀的地址集合、域名关键
字、特定应用集合,以及实体的各种其他属性的组合。
5.8.4 自动化策略
设备应通过与 AD服务器、证书系统、DNS的对接,自动获得网络通信对应的用户身份或者可靠网
络标识,以实现动态灵活的安全策略管理。
5.8.5 策略的集中管理
设备应支持功能面与策略面的分离,各种安全策略应当能够统一配置,以保证安全策略的准确性,
适用于多设备分布式部署场景。
6 性能要求
6.1 吞吐量
6.1.1 网络层吞吐量
设备在 IPv6 网络环境中,视不同速率的产品有所不同,应至少符合 G B/T 2 0 2 8 1 - 2 0 2 0 中
6.3.1.1规定的要求。
6.1.2 混合应用层吞吐量
设备在 IPv6 网络环境中,视不同速率的产品有所不同,应至少符合 G B/T 2 0 2 8 1 - 2 0 2 0 中
6.3.1.2规定的要求。
6.2 延迟
设备在 IPv6网络环境中,视不同速率的产品有所不同,应至少符合 GB/T 20281-2020中 6.3.2规
定的要求。
6.3 连接速率
设备在 IPv6 网络环境中,视不同速率的产品有所不同,应至少符合 G B/T 2 0 2 8 1 - 2 0 2 0 中
6.3.3.1规定的要求。
6.4 并发连接数
设备在 IPv6 网络环境中,视不同速率的产品有所不同,应至少符合 G B/T 2 0 2 8 1 - 2 0 2 0 中
6.3.4.1规定的要求。
7 兼容性要求
设备应兼容常规的MIB/SNMP实现设备功能监控,支持基于 NETCONF/RESTCONF开放北向接
口,实现设备管理与监控功能,可对接第三方网管系统。
8 可靠性要求
8.1 系统容错
在 IPv6网络环境中,设备:
应提供针对命令、配置、操作等人机接口的错误防护机制,保证错误输入下系统仍保持稳定;a)
应支持对通信接口的输入进行有效性校验,保证错误输入下系统仍保持稳定;b)
升级重启时,宜能自动旁路绕过(bypass)不断网;c)
应支持升级失败可回退,系统可恢复正常工作。d)
8.2 故障监测与恢复
在 IPv6网络环境中,设备:
应对设备关键进程提供重启......
|