GA/T 1177-2014 信息安全技术 第二代防火墙安全技术要求

ICS35.040

A90

中华人民共和国公共安全行业标准

/—

GAT11772014

信息安全技术

第二代防火墙安全技术要求

ㅤㅤㅤㅤ

Informationsecurittechnolo—Securittechniuereuirementsfor

ygyyqq

thesecondenerationfirewallroducts

gp

2014-07-24发布2014-09-01实施

中华人民共和国公安部发布

/—

GAT11772014

目次

前言…………………………Ⅲ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………2

5安全技术要求……………2

5.1总体说明……………2

5.2安全功能要求………………………5

5.3安全保证要求………………………10

5.4环境适应性要求……………………15

5.5性能要求……………16

ㅤㅤㅤㅤ

Ⅰ

/—

GAT11772014

信息安全技术

第二代防火墙安全技术要求

1范围

、、、

本标准规定了第二代防火墙产品的安全功能要求安全保证要求环境适应性要求性能要求和安

全等级划分。

、。

本标准适用于第二代防火墙产品的设计开发和测试

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

—计算机信息系统安全保护划分准则

GB178591999

/—:

信息技术安全技术信息技术安全性评估准则第部分安全保证要求

GBT18336.320083

/—信息安全技术防火墙技术要求和测试评价方法

GBT202812006

/—信息安全技术术语

GBT250692010

ㅤㅤㅤㅤ

3术语和定义

—、/—和/—界定的以及下列术语和定义适用于

GB178591999GBT202812006GBT250692010

本文件。

3.1

第一代防火墙irewall

f

,、

一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统具备包过滤网络地址转换

()、。

NAT状态检测等安全功能

3.2

第二代防火墙thesecondenerationfirewall

g

,、、、

除具备第一代防火墙基本功能之外还具有应用流量识别应用层访问控制应用层安全防护用户

、、。

控制深度内容检测高性能等特征的控制的系统

3.3

深度内容检测deecontentinsection

pp

,(,,、

对应用协议进行深入解析识别出协议中的各种要素如针对htt协议可具体解析到如cookie

p

、)(,

Get参数Post表单等内容及协议所承载的业务内容如业务系统交互中包含在协议或文件中的数据

),,。,

内容并对这些数据进行快速解析以还原其原始通信的信息根据解析后的原始信息检测其中是否

包含威胁以及敏感内容。

3.4

SL注入SLinection

QQj

把命令插入到表单递交或者页面,

SQLweb请求的参数中以达到欺骗服务器执行恶意SQL命令

的目的。

1

/—

GAT11772014

3.5

跨站脚本crosssitescritin

pg

,,

恶意攻击者往web页面里插入恶意HTML代码当用户浏览该页面时嵌入web页面里的

,。

HTML代码会被执行从而达到恶意攻击用户的目的

4缩略语

下列缩略语适用于本文件。

:()

DMZ非军事区DemilitarizedZone

:目的网络地址转换()

DNATDestinationNAT

:()

FTP文件传输协议FileTransferProtocol

:()

HTTP超文本传输协议HertextTransferProtocol

yp

:()

ICMP网间控制报文协议InternetControlMessaesProtocol

g

:()

IP网际协议InternetProtocol

:()

IPV4互联网协议第四版InternetProtocolV4

:()

IPV6互联网协议第六版InternetProtocolV6

:()

MAC介质访问控制MediaAccessControl

:()

NAT网络地址转换NetworkAddressTranslation

:()

P2P对等网络Peer-to-eer

p

:()

PHP计算机编程语言HertextPrerocessor

ypp

:()

POP3邮局协议3PostOfficeProtocol3

:()ㅤㅤㅤㅤ

SSH安全外壳协议SecureShell

:()

SMTP简单邮件传送协议SimleMailTransferProtocol

p

:()

SNAT源网络地址转换SourceIPNAT

:()

SQL结构化查询语言StructuredQuerLanuae

ygg

:/建立连接时使用的握手信号()

SYNTCPIPSnchronous

y

:()

TCP传输控制协议TransortControlProtocol

p

:()

UDP用户数据报协议UserDataramProtocol

g

:()

URL统一资源定位器UniformResourceLocator

:()

XSS跨站脚本攻击CrossSiteScritin

pg

5安全技术要求

5.1总体说明

5.1.1要求分类

、、。:

第二代防火墙技术要求分为安全功能安全保证环境适应性和性能要求四个大类其中

):,、

a安全功能要求针对第二代防火墙应具备的安全功能提出具体要求包括网络层控制应用层

控制和安全运维管理;

):,、

b安全保证要求针对第二代防火墙的开发和使用过程提出具体要求包括配置管理交付和运

、;

行开发和指南文件等

):;

c环境适应性要求针对第二代防火墙的部署模式和应用环境提出具体要求

):,、、

d性能要求针对第二代防火墙应达到的性能指标作出规定包括应用层吞吐量网络层吞吐量

、。

延迟最大新建连接速率和最大并发连接数

2

/—

GAT11772014

5.1.2安全等级划分

,/

按照第二代防火墙安全功能的强度划分安全功能要求的级别按照GBT18336.3划分安全保证

。,。

要求的级别安全等级突出安全特性环境适应性要求和性能要求不作为等级划分依据

。

依据安全功能的强弱和安全保证要求的高低将安全等级分为基本级和增强级基本级与增强级的

划分见表和表。

12

表1安全功能要求等级划分表

安全功能基本级增强级

))、

a~d

包过滤

))

f~g

状态检测

))

NATa~c

/绑定

IPMAC

策略路由))

网络层控制a~b

带宽管理.1a).1

流量统计))

.2a~d.2

流量会话管理

连接数控制.3.3

会话管理.4.4

抗拒绝服务攻击a)

应用协议访问控制ㅤㅤㅤㅤ))

a~c

应用内容访问控制))

a~c

用户管控

应用层控制入侵防御))

a~c

恶意代码防护

WEB攻击防护—

信息泄露防护—

管理安全))

.1a~c.1

运维管理管理方式))

.2a~b.2

管理能力))

.3a~c.3

记录事件类型))

.1a~e.1

安全审计日志内容.2.2

日志管理.3.3

安全运维管理

报警

管理接口独立—.1

安全管理安全支撑系统.2.2

异常处理机制.3.3

高可靠性))

a~b

升级—

注:“—”表示无此要求。

3

/—

GAT11772014

表2安全保证要求等级划分表

安全保证基本级增强级

部分配置管理自动化—

版本号.1.1

配置项.2.2

配置管理能力

配置管理授权控制—.3

产生支持和接受程序—.4

配置管理覆盖—.1

配置管理范围

问题跟踪配置管理覆盖—.2

交付程序

交付与运行修改检测—

、

安装生成和启动程序

非形式化功能规范.1.1

功能规范

充分定义的外部接口—.2

描述性高层设计.1.1

高层设计

安全加强的高层设计—