GBT180201999信息技术应用级防火墙安全技术要求

中华人民共和国国家标准信息技术应用级防火墙安全技术要求发布实施国家质量技术监督局发布前言本标准规定了网络安全设备应用级防火墙的安全技术要求本标准由国家信息化办公室提出本标准由全国信息技术标准化技术委员会归口本标准起草单位国家信息中心中国国家信息安全测评认证中心本标准主要起草人叶红吴亚非吴世忠陈晓桦李正男严望佳中华人民共和国国家标准信息技术应用级防火墙安全技术要求国家质量技术监督局批准实施范围本标准规定了应用级防火墙的安全技术要求本标准适用于应用级防火墙安全功能的研制开发测试评估和产品采购引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型第部分安全体系结构定义和记法约定本章给出本标准中使用的术语和记法约定定义用户在防火墙之外但与防火墙相互作用的人他不具有影响防火墙安全策略执行的特权授权管理员任何具有旁路或绕过防火墙安全策略权限的授权人本标准中的授权管理员严格定义为防火墙的管理员他不具有网络管理的职责主机在防火墙之外但与防火墙相互作用的计算机它不具有影响防火墙安全策略执行的特权可信主机任何具有旁路或绕过防火墙安全策略权限的授权计算机记法约定细化用于增加某一功能要求的细节从而进一步限制该项要求对功能要求的细化用黑体字表示示例见选择用于在对某一功能要求的陈述中突出一个或多个选项用带下划线的斜体字表示示例见赋值用于将一个特定值赋给某个未定参数如某个口令字的长度赋值出现在方括号中要赋予的值表示某个值示例见应用级防火墙概述本标准规定了应用级防火墙在低风险敏感但不保密环境下的最低安全要求明确了应用级防火墙应阻止的威胁定义了它的安全目标和使用环境提出了应用级防火墙的安全功能和安全保证要求同时说明了防火墙安全目标及功能和保证要求的基本原则防火墙的目的是对进出内部网的服务访问实行控制和审计准许拒绝或重新定向通过防火墙的数据流虽然防火墙的体系结构和技术多种多样但防火墙产品基本上可分成两类包过滤防火墙和应用级防火墙网络中防火墙的典型位置如图所示图网络中防火墙的典型位置应用级防火墙的作用是仲裁不同网络上客户和服务器之间的通信业务流应用级防火墙通常与包过滤控制配合使用以承担对应用级协议包的进一步控制例如应用级防火墙可以雇用代理服务器筛选数据包安全环境符合本标准的防火墙用于敏感但不保密的信息处理环境防火墙应提供访问控制策略身份标识与鉴别远程管理员会话加密一定的审计能力以及最基本的安全保证安全条件假定假定防火墙的运行环境符合以下条件单一接入如图所示意的那样防火墙是网络间唯一的互连点物理访问控制防火墙和与其直接相连的控制台在物理上是安全的而且仅供授权人使用通信保护信息传输的保护级别应该与信息的敏感性一致例如受物理保护的传输媒体加密或者明确说明该信息可以明文传输用户应用级防火墙提供的不是通常意义下的计算能力例如执行任意代码或应用程序它对通过防火墙发送通信业务流的用户进行身份标识和鉴别只有授权管理员才能直接访问和远程访问防火墙授权管理员管理员应值得信任无恶意能够正确执行各项职责安全威胁本标准的目的在于提供一种能力以控制通过防火墙的数据包限制那些潜在恶意用户的活动能力阻止他们获得对内部网或者对内部网上的某一主机的访问权防火墙阻止的威胁符合本标准的防火墙应能阻止以下威胁未授权逻辑访问未经授权的人可能在逻辑上访问防火墙未经授权的人是指除防火墙的授权用户之外所有已经或可能企图访问这个系统的人假冒网络地址攻击一个主体可能假冒成另一个主体获得对特定信息的访问例如外部网上的一个用户可能利用假地址伪装成内部网上的用户访问内部资源针对内部网络的攻击攻击者利用高层协议和服务对内部受保护网络或者网上的主机进行攻击这类攻击可能以拒绝服务和穿透主机或网络结点为目的审计记录丢失或破坏攻击者可能采取耗尽审计存储量的方法导致审计记录丢失或破坏对防火墙的配置和其他与安全相关数据的更改这类攻击包括所有采用读取或修改防火墙的内部代码或数据结构以及防火墙的配置参数和与安全相关的数据对防火墙实施的攻击绕开身份标识和鉴别机制这类攻击企图绕过或欺骗身份识别和鉴别机制假冒成另一个授权管理员或侵入已建立的会话连接例如拦截鉴别信息如口令字重放有效的鉴别交换信息以及截取会话连接等攻击运行环境阻止的威胁下述威胁必须通过物理控制过程措施或者管理手段来对付被保护网上的恶意用户试图向外部用户提供信息这种威胁是指内部网络用户试图给外部网络上的非授权用户发送信息由于防火墙主要用于保护内部网络免受外部网络的侵害因此它们对抵御这种威胁作用不大受保护网络上的恶意用户攻击同一网络上的计算机防火墙的主要目的是保护防火墙内部的网络用户免受外部用户的侵害因此它无法控制不经过防火墙的通信业务流属于此范畴的攻击是指来自受保护网络内的对本网络服务功能的攻击以及对同一网段上的计算机的攻击攻击高层协议和服务此类威胁针对传输层以上的协议层和利用这些协议的服务如超文本传输协议中的漏洞符合本标准的防火墙可以完全拒绝对特定主机或主机群的访问但是如果允许数据包通过的话那么仍有可能攻击上述的这些服务截取传输信息攻击者可能截取通过防火墙传输的敏感信息安全目标信息技术安全目标防火墙应达到的信息技术安全目标如下访问仲裁通过允许或拒绝从一个主体发送实体传到一个客体接受实体的信息流在防火墙连接的网络之间提供受控制的访问这些控制是根据主体客体的有关参数以及管理上配置的访问控制规则实现的管理员访问仅限授权的管理者才能访问防火墙即只允许他们有配置防火墙的能力个体身份记录个体身份记录提供了对用户身份的记录能力并允许基于唯一身份对访问做出判定鉴别为确定身份是否真实提供了方法防火墙的自保护为了成功地达到这一目标防火墙应能把正在处理的数据与需要运算的数据分开应保护自己不受外部实体的攻击此外防火墙还应能保护授权管理员的通信会话审计审计记录对于判定是否存在绕过安全策略的尝试是否有因配置错误而允许了本应拒绝的访问这类问题起着十分重要的作用不仅应收集审计数据还应使其具有可读性并容易使用审计记录应受到充分保护并应了解丢失审计记录的可能性有多大以帮助管理者做出正确的安全决定非信息技术安全目标非信息技术安全目标是指除防火墙技术要求之外还需满足的要求它们不必实施防火墙硬件和软件的机制而是通过采用物理的过程的或管理的方法来达到安全目标安装与操作控制要确保防火墙的交付安装管理和操作都是安全可控的物理控制应控制对防火墙的物理访问授权管理人员培训对授权管理员进行培训以保证建立和维护正确的安全策略和实施水准安全要求本章提出了符合本标准的防火墙必须满足的功能和保证要求功能要求本标准的安全功能要求概括于表表功能要求功能分类功能组件用户数据保护完整的客体访问控制访问授权与拒绝多种安全属性访问控制资源分配时对遗留信息的充分保护管理员属性修改管理员属性查询标识与鉴别授权管理员可信主机和用户鉴别数据初始化授权管理员可信主机和用户鉴别数据的基本保护鉴别失败的基本处理授权管理员可信主机主机和用户属性初始化授权管理员可信主机主机和用户唯一属性定义授权管理员的基本鉴别单一使用的鉴别机制授权管理员可信主机主机和用户唯一身份标识密码支持符合规定的加密操作表完功能分类功能组件可信安全功能保护防火墙安全策略的不可旁路性安全功能区域分隔区分安全管理角色管理功能安全审计审计数据生成审计跟踪管理可理解的格式限制审计跟踪访问限制审计查阅可选择查阅审计防止审计数据丢失要求综述防火墙的安全策略由多级安全功能策略组成下面定义两种策略第一种策略称为未鉴别的端到端策略主要讨论一个内部或外部网络上的主体通过防火墙发送数据流到一个外部或内部网络上的客体第二种策略称为有鉴别的端到端策略主要讨论一个内部或外部网络上的主体在发送数据流前必须通过防火墙的鉴别才能将数据流传送给一个外部或内部网络上的客体用户数据保护类完整的客体访问控制防火墙的安全功能应在以下方面执行未鉴别的端到端策略主体未经防火墙鉴别的主机客体内部或外部网上的主机以及安全功能策略所包括的主体客体的所有操作防火墙的安全功能应确保安全功能策略包括了控制范围内的任何主体和客体之间的所有操作完整的客体访问控制防火墙的安全功能应在以下方面执行有鉴别的端到端策略主体经防火墙鉴别的用户客体在内部或外部网络上的主机以及安全功能策略所包括的主体客体的所有操作防火墙的安全功能应确保安全功能策略包括了控制范围内的任何主体和客体之间的所有操作访问授权与拒绝防火墙的安全功能应执行未鉴别的端到端策略有鉴别的端到端策略根据主体和客体的安全属性值提供明确的访问保障能力防火墙的安全功能应执行未鉴别的端到端策略有鉴别的端到端策略根据主体和客体的安全属性值提供明确的拒绝访问能力多种安全属性访问控制防火墙应根据源地址目的地址运输层协议和请求的服务如源端口号和或目的端口号对客体执行未鉴别的端到端策略防火墙应执行以下附加规则以确定受控主体与受控客体之间的操作是否被允许防火墙应拒绝从外部网络发出的但拥有内部网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有广播网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有保留网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有环回网络上的主机源地址的访问或服务请求多种安全属性的访问控制防火墙应根据用户源地址目的地址运输层协议和请求的服务如源端口号和或目的端口号以及服务命令例如对客体执行有鉴别的端到端策略防火墙应执行以下附加规则以确定受控主体与受控客体之间的操作是否被允许防火墙应拒绝从外部网络发出的但拥有内部网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有广播网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有保留网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有环回网络上的主机源地址的访问或服务请求资源分配时对遗留信息的充分保护防火墙安全功能应确保在为所有客体进行资源分配时不提供以前的信息内容应用注解该要求用于支持连接所有设备资源例如寄存器缓存器的管理要求目的是不允许用户访问以前的会话信息通常通过清除或覆盖这些信息来达到该项要求要求综述下述两项要求确定了支持管理员完成其职能所必需的能力特别是查阅和修改与安全相关参数的能力这些要求将在后续的对与安全有关数据初始化的要求中予以详述或补充管理员属性修改防火墙应执行访问控制安全功能策略未鉴别的端到端策略有鉴别的端到端策略以向授权管理员提供修改以下参数的能力标识与角色例如授权管理员的关联中标识的访问控制属性与安全相关的管理数据管理员属性查询防火墙应执行访问控制安全功能策略未鉴别的端到端策略有鉴别的端到端策略以向授权管理员提供以下查询能力中标识的访问控制属性主机名用户名标识与鉴别功能类授权管理员可信主机和用户鉴别数据初始化防火墙应提供与和中规定的鉴别机制有关的授权管理员可信主机以及用户鉴别数据的初始化功能防火墙应确保只允许授权管理员使用这些功能授权管理员可信主机和用户鉴别数据的基本保护防火墙安全功能应保护存储于设备中的鉴别数据不被未授权查阅修改和破坏鉴别失败的基本处理防火墙的安全功能应能够在鉴别尝试经一个可设定的次数失败以后终止可信主机或用户建立会话的过程最多失败次数仅由授权管理员设定在可信主机或用户会话建立过程终止后防火墙的安全功能应能够关闭相应的可信主机或用户的帐号直至授权管理员重新开启授权管理员可信主机主机和用户属性初始化防火墙的安全功能应提供用默认值对授权管理员可信主机主机和用户属性初始化的能力唯一的授权管理员可信主机主机和用户属性的定义防火墙的安全功能应为每一个规定的授权管理员可信主机主机和用户提供一套唯一的为执行安全策略所必需的安全属性授权管理员的基本鉴别防火墙的安全功能应鉴别任何通过防火墙控制台履行授权管理员职能的管理员身份单一使用的鉴别机制防火墙的安全功能应当在执行任何与授权管理员可信主机或用户相关功能之前鉴别授权管理员可信主机或用户的身份防火墙的安全功能应防止与远程授权管理员远程可信主机和用户