GBT20281-2006信息安全技术防火墙技术要求和测试评价方法标准纲要

GBT20281-2006信息安全技术防火墙技术要求和测试评价方法标准纲要5技术要求5.1总体说明5.1.1技术要求分类5.1.2安全等级5.2功能要求5.2.1一级产品功能要求表1一级产品功能要求明细功能分类功能项目要求包过滤支持默认禁止原则。支持基于IP地址的访问控制。支持基于端口的访问控制。支持基于协议类型的访问控制。应用代理支持应用层协议代理。NAT支持双向NAT。流量统计支持根据IP地址、协议、时间等参数对流量进行统计。支持统计结果的报表形式输出。安全审计支持记录来自外部网络的被安全策略允许的访问请求。支持记录来自内部网络和DMZ的被安全策略允许的访问请求。支持记录任何试图穿越或到达防火墙的违反安全策略的访问请求。支持记录防火墙管理行为。审计记录内容。支持日志的访问授权。支持日志的管理。提供日志管理工具。管理支持对授权管理员的口令鉴别方式。支持对授权管理员、可信主机、主机和用户进行身份鉴别。支持本地和远程管理。支持设置和修改安全管理相关的数据参数。支持设置、查询和修改安全策略。支持管理审计日志。5.2.2二级产品功能要求二级产品除需满足一级产品的功能要求外，还需要具有如表2所示的功能要求。表2二级产品功能要求明细功能分类功能项目要求包过滤支持基于MAC地址的访问控制。支持基于时间的访问控制。支持基于用户自定义安全策略的访问控制。状态检测支持基于状态检测技术的访问控制。深度包检测支持基于URL的访问控制。支持基于电子邮件信头的访问控制。应用代理支持应用层协议代理。NAT支持动态NAT。IP/MAC地址绑定支持IP/MAC地址绑定。支持检测IP地址盗用。动态开放端口支持FTP的动态端口开放。策略路由支持根据数据包信息来设置路由策略。支持设置多个路由表。带宽管理支持客户端占用带宽大小限制。双机热备支持物理设备状态检测。支持VRRP和STP协议。负载均衡支持将网络负载均衡到多台服务器。安全审计支持记录对防火墙系统自身的操作。支持记录在防火墙管理端口上的认证请求。支持对日志事件和防火墙所采取的相应措施的描述。支持日志记录存储和备份的安全。支持日志管理工具管理日志。支持日志的统计分析和报表生成。支持日志的集中管理。管理支持智能卡、USB钥匙等身份鉴别信息载体。支持鉴别失败处理。支持授权管理员、可信主机、主机和用户的唯一安全属性。支持远程管理安全。支持防火墙状态和网络数据流状态监控。5.2.3三级产品功能要求三级产品除需满足一、二级产品的功能要求处，还需要具有如表3所示的功能要求。表3三级产品功能要求明细功能分类功能项目要求深度包检测支持基于文件类型的访问控制。支持基于用户的访问控制。支持基于关键字的访问控制。应用代理支持透明应用代理。动态开放端口支持以H.323协议建立视频会议。支持SQL*NET数据库协议。支持VLAN。带宽管理支持动态客户端带宽管理。双机热备支持链路状态检测的双机热备。负载均衡支持集群工作模式的负载均衡。VPN支持IPSec协议。支持建立“防火墙至防火墙”和“防火墙至客户机”两种形式的VPN。支持VPN认证。加密算法和验证算法符合国家密码管理的有关规定。协同联动支持与其它安全产品的协同联动。支持联动安全产品的身份鉴别。安全审计支持记录协同联动响应行为事件。支持日志存储耗尽处理机制。管理支持生物特征鉴别方式。支持管理员授权划分。5.3性能要求5.3.1吞吐量只有一条允许规则和不丢包情况下64字节短包10M和100M防火墙应不小于线速的20%1000M防火墙应不小于线速的35%512字节中长包10M和100M防火墙应不小于线速的70%1000M防火墙应不小于线速的80%1516字节长包10M和100M防火墙应不小于线速的90%1000M防火墙应不小于线速的95%有不同的200余条允许规则和不丢包情况下下降就不大于原吞吐量的3%5.3.2延迟只有一条允许规则和不丢包情况下10M最大延迟不超过1ms100M最大延迟不超过500us1000M最大延迟不超过90us有不同的200余条允许规则和不丢包情况下下降就不大于原来的3%5.3.3最大并发连接数10M不小于1千个100M不小于1万个1000M不小于10万个5.3.4最大连接速率10M不小于每秒500个100M不小于每秒1500个1000M不小于每秒5000个5.4安全要求5.4.1一级产品安全要求细目表4一级产品安全要求细目安全分类安全要求抗渗透抵御各种基本的拒绝服务攻击。检测和记录端口扫描行为。抵御源IP地址欺骗攻击。抵御IP碎片包攻击。恶意代码防御拦截典型木马攻击行为。支撑系统支撑系统不提供多余的网络服务。支撑系统应不含任何高、中风险安全漏洞。非正常关机安全策略恢复到关机前的状态。日志信息不会丢失。管理员重新认证。5.4.2二级产品安全要求细目二级产品除需满足一级产品的安全要求外，还需要具有如表5所示的安全要求。表5二级产品安全要求细目安全分类安全要求抗渗透抵御各种典型的拒绝服务攻击。检测和记录漏洞扫描行为。拦截典型邮件炸弹工具发送的垃圾邮件。恶意代码防御检测并拦截激活的蠕虫、木马、间谍软件等恶意代码的行为。支撑系统构建于安全增强的操作系统之上。5.4.3三级产品安全要求细目三级产品除需满足一、二级产品的安全要求外，还需要具有如表6所示的安全要求。表6三级产品安全要求细目安全分类安全要求抗渗透能够抵御网络扫描行为，不返回扫描信息。支持黑名单或特征匹配等方式的垃圾邮件拦截策略配置。恶意代码防御检测并拦截被HTTP网页和电子邮件携带的恶意代码。恶意代码检测警告。支撑系统构建于安全操作系统之上。5.5保证要求5.5.1一级产品保证要求5.5.2二级产品保证要求5.5.3三级产品保证要求6.测评方法