GB∕T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法

书书书犐犆犛３５．０４０犔８０!#$%&’’()*犌犅／犜２０２８１—２０２０!ＧＢ／Ｔ２００１０—２００５，ＧＢ／Ｔ２０２８１—２０１５，ＧＢ／Ｔ３１５０５—２０１５#ＧＢ／Ｔ３２９１７—２０１６!#$%&　’()#$%&*+,-./012犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犪狀犱狋犲狊狋犻狀犵犪狊狊犲狊狊犿犲狀狋犪狆狆狉狅犪犮犺犲狊犳狅狉犳犻狉犲狑犪犾犾２０２００４２８34２０２０１１０１56’(+,-./012’()*3/045634目　　次前言Ⅰ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义１………………………………………………………………………………………………４　缩略语２……………………………………………………………………………………………………５　概述３………………………………………………………………………………………………………６　安全技术要求３……………………………………………………………………………………………　６．１　安全功能要求３………………………………………………………………………………………　６．２　自身安全要求９………………………………………………………………………………………　６．３　性能要求１０……………………………………………………………………………………………　６．４　安全保障要求１２………………………………………………………………………………………７　测评方法１４…………………………………………………………………………………………………　７．１　测评环境１４……………………………………………………………………………………………　７．２　安全功能测评１５………………………………………………………………………………………　７．３　自身安全测评３１………………………………………………………………………………………　７．４　性能测评３３……………………………………………………………………………………………　７．５　安全保障测评３６………………………………………………………………………………………附录Ａ（规范性附录）　防火墙分类及安全技术要求等级划分４２…………………………………………　Ａ．１　概述４２………………………………………………………………………………………………　Ａ．２　网络型防火墙４２……………………………………………………………………………………　Ａ．３　ＷＥＢ应用防火墙４４…………………………………………………………………………………　Ａ．４　数据库防火墙４５……………………………………………………………………………………　Ａ．５　主机型防火墙４７……………………………………………………………………………………附录Ｂ（规范性附录）　防火墙分类及测评方法等级划分４９………………………………………………　Ｂ．１　概述４９…………………………………………………………………………………………………　Ｂ．２　网络型防火墙４９………………………………………………………………………………………　Ｂ．３　ＷＥＢ应用防火墙５１…………………………………………………………………………………　Ｂ．４　数据库防火墙５２………………………………………………………………………………………　Ｂ．５　主机型防火墙５４………………………………………………………………………………………犌犅／犜２０２８１—２０２０前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。本标准代替ＧＢ／Ｔ２００１０—２００５《信息安全技术　包过滤防火端评估准则》、ＧＢ／Ｔ２０２８１—２０１５《信息安全技术　防火墙安全技术要求和测试评价方法》、ＧＢ／Ｔ３１５０５—２０１５《信息安全技术　主机型防火墙安全技术要求和测试评价方法》、ＧＢ／Ｔ３２９１７—２０１６《信息安全技术　ＷＥＢ应用防火墙安全技术要求与测试评价方法》。本标准以ＧＢ／Ｔ２０２８１—２０１５为主，整合了ＧＢ／Ｔ２００１０—２００５、ＧＢ／Ｔ３１５０５—２０１５和ＧＢ／Ｔ３２９１７—２０１６的部分内容，与ＧＢ／Ｔ２０２８１—２０１５相比，除编辑性修改外主要技术变化如下：———增加了网络型防火墙、数据库防火墙、ＷＥＢ应用防火墙和主机型防火墙的定义（见第３章）；———修改了概述（见第５章，２０１５年版的第５章）；———增加了“设备虚拟化”要求（见６．１．１．４）；———修改了“应用内容控制”的要求（见６．１．３．３，２０１５版的６．２．１．２、６．３．１．２）；———增加了“攻击防护”的要求（见６．１．４）；———增加了“安全审计与分析”的要求（见６．１．５）；———增加了“混合应用层吞吐量”“ＨＴＴＰ吞吐量”“ＨＴＴＰ请求速率”“ＳＱＬ请求速率”“ＨＴＴＰ并发连接数”“ＳＱＬ并发连接数”性能要求（见６．３．１．２、６．３．１．３、６．３．３．２、６．３．３．３、６．３．４．２、６．３．４．３）；———增加了规范性附录（见附录Ａ、附录Ｂ）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口。本标准起草单位：公安部第三研究所、奇安信科技集团股份有限公司、北京天融信网络安全技术有限公司、网神信息技术（北京）股份有限公司、北京神州绿盟科技有限公司、杭州美创科技有限公司、北京网康科技有限公司、中国信息安全研究院有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息安全测评中心、国家计算机网络与信息安全管理中心、北京安华金和科技有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、沈阳东软系统集成工程有限公司、新华三技术有限公司、蓝盾信息安全技术股份有限公司、北京中安星云软件技术有限公司、上海上讯信息技术股份有限公司。本标准主要起草人：俞优、王志佳、邹春明、陆臻、沈亮、陆磊、顾健、吴云坤、熊瑛、雷晓锋、叶晓虎、周杰、王伟、陈华平、吴亚东、谢建业、王猛、谌德俊、潘云、申永波、杨晨、王晖。本标准所代替标准的历次版本发布情况为：———ＧＢ／Ｔ２００１０—２００５；———ＧＢ／Ｔ２０２８１—２００６、ＧＢ／Ｔ２０２８１—２０１５；———ＧＢ／Ｔ３１５０５—２０１５；———ＧＢ／Ｔ３２９１７—２０１６。Ⅰ犌犅／犜２０２８１—２０２０信息安全技术　防火墙安全技术要求和测试评价方法１　范围本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、开发与测试。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ１８３３６．３—２０１５　信息技术　安全技术　信息技术安全评估准则　第３部分：安全保障组件ＧＢ／Ｔ２５０６９—２０１０　信息安全技术　术语３　术语和定义ＧＢ／Ｔ２５０６９—２０１０界定的以及下列术语和定义适用于本文件。３．１　防火墙　犳犻狉犲狑犪犾犾对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。注：根据安全目的、实现原理的不同，通常可分为网络型防火墙、ＷＥＢ应用防火墙、数据库防火墙和主机型防火墙等。３．２　网络型防火墙　狀犲狋狑狅狉犽犫犪狊犲犱犳犻狉犲狑犪犾犾部署于不同安全域之间，对经过的数据流进行解析，具备网络层、应用层访问控制及安全防护功能的网络安全产品。３．３　犠犈犅应用防火墙　狑犲犫犪狆狆犾犻犮犪狋犻狅狀犳犻狉犲狑犪犾犾部署于ＷＥＢ服务器前端，对流经的ＨＴＴＰ／ＨＴＴＰＳ访问和响应数据进行解析，具备ＷＥＢ应用的访问控制及安全防护功能的网络安全产品。３．４　数据库防火墙　犱犪狋犪犫犪狊犲犳犻狉犲狑犪犾犾部署于数据库服务器前端，对流经的数据库访问和响应数据进行解析，具备数据库的访问控制及安全防护功能的网络安全产品。３．５　主机型防火墙　犺狅狊狋犫犪狊犲犱犳犻狉犲狑犪犾犾部署于计算机（包括个人计算机和服务器）上，提供网络层访问控制、应用程序访问限制和攻击防护功能的网络安全产品。１犌犅／犜２０２８１—２０２０３．６　反向代理　狉犲狏犲狉狊犲狆狉狅狓狔作为服务器端的代理使用，代替服务器接受来自客户端的请求，然后将请求转发给内部服务器，并将从服务器上得到的结果返回给请求客户端的一种部署模式。３．７　拖库攻击　犱狉犪犵犪狋狋犪犮犽通过非授权获得数据库访问或数据库所在操作系统的权限，批量下载数据库中数据或数据库数据文件的恶意行为。３．８　撞库攻击　犪犮犮狅狌狀狋犮狉犲犱犲狀狋犻犪犾犲狀狌犿犲狉犪狋犻狅狀犪狋狋犪犮犽批量尝试碰撞数据库数据的恶意行为。注：如通过收集已泄露、已知的用户和密码信息，生成对应的字典表，并以此批量尝试登录其他的应用系统。４　缩略语下列缩略语适用于本文件。ＢＧＰ：边界网关协议（ＢｏｒｄｅｒＧａｔｅｗａｙＰｒｏｔｏｃｏｌ）ＣＳＲＦ：跨站请求伪造（Ｃｒｏｓｓｓｉｔｅｒｅｑｕｅｓｔｆｏｒｇｅｒｙ）ＤＭＺ：非军事化区（ＤｅｍｉｌｉｔａｒｉｚｅｄＺｏｎｅ）ＤＮＡＴ：目的网络地址转换（ＤｅｓｔｉｎａｔｉｏｎＮＡＴ）ＦＴＰ：文件传输协议（ＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ）ＨＴＴＰ：超文本传输协议（ＨｙｐｅｒｔｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ）ＨＴＴＰＳ：安全超文本传输协议（ＨｙｐｅｒｔｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌｏｖｅｒＳｅｃｕｒｅＳｏｃｋｅｔＬａｙｅｒ）ＩＣＭＰ：网间控制报文协议（ＩｎｔｅｒｎｅｔＣｏｎｔｒｏｌＭｅｓｓａｇｅｓＰｒｏｔｏｃｏｌ）ＩＭＡＰ：互联网邮件访问协议（ＩｎｔｅｒｎｅｔＭａｉｌＡｃｃｅｓｓＰｒｏｔｏｃｏｌ）ＩＰ：网际协议（ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ）ＩＰＶ６：互联网协议第六版（ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌＶ６）ＩＳＡＴＡＰ：站内自动隧道寻址协议（ＩｎｔｒａＳｉｔｅＡｕｔｏｍａｔｉｃＴｕｎｎｅｌＡｄｄｒｅｓｓｉｎｇＰｒｏｔｏｃｏｌ）ＭＡＣ：介质访问控制（ＭｅｄｉａＡｃｃｅｓｓＣｏｎｔｒｏｌ）ＮＡＴ：网络地址转换（ＮｅｔｗｏｒｋＡｄｄｒｅｓｓＴｒａｎｓｌａｔｉｏｎ）ＮＴＰ：网络时间协议（ＮｅｔｗｏｒｋＴｉｍｅＰｒｏｔｏｃｏｌ）ＯＳＰＦ：开放式最短路径优先（ＯｐｅｎＳｈｏｒｔｅｓｔＰａｔｈＦｉｒｓｔ）Ｐ２Ｐ：对等网络（Ｐｅｅｒｔｏｐｅｅｒ）ＲＩＰ：路由信息协议（ＲｏｕｔｉｎｇＩｎｆｏｒｍａｔｉｏｎＰｒｏｔｏｃｏｌ）ＳＮＡＴ：源网络地址转换（ＳｏｕｒｃｅＮＡＴ）ＳＮＭＰ：简单网络管理协议（ＳｉｍｐｌｅＮｅｔｗｏｒｋＭａｎａｇｅｍｅｎｔＰｒｏｔｏｃｏｌ）ＳＱＬ：结构化查询语言（ＳｔｒｕｃｔｕｒｅｄＱｕｅｒｙＬａｎｇｕａｇｅ）ＳＹＳＬＯＧ：系统日志（ＳｙｓｔｅｍＬｏｇ）ＵＲＬ：统一资源定位器（ＵｎｉｆｏｒｍＲｅｓｏｕｒｃｅＬｏｃａｔｏｒ）ＷＥＢ：万维网（ＷｏｒｌｄＷｉｄｅＷＥＢ）ＸＳＳ：跨站脚本（ＣｒｏｓｓＳｉｔｅＳｃｒｉｐｔｉｎｇ）２犌犅／犜２０２８１—２０２０５　概述防火墙是作用于不同安全域之间，具备访问控制及安全防护功能的网络安全产品，主要分为网络型防火墙、ＷＥＢ应用防火墙、数据库防火墙、主机型防火墙或其组合。防火墙的安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类。其中，安全功能要求对防火墙应具备的安全功能提出具体要求，包括组网与部署、网络层控制、应用层控制、攻击防护和安全审计与分析；自身安全要求针对防火墙的自身安全提出具体的要求，包括身份标识与鉴别、管理能力、管理审计、管理方式和安全支撑系统；性能要求则是对防火墙应达到的性能指标作出规定，包括吞吐量、延迟、连接速率和并发连接数；安全