GA/T 1726-2020 信息安全技术 负载均衡产品安全技术要求

ICS35240

A90.

中华人民共和国公共安全行业标准

GA/T1726—2020

信息安全技术负载均衡产品安全技术要求

Informationsecuritytechnology—Securitytechnicalrequirementsfor

loadbalancingproducts

2020-04-26发布2020-08-01实施

中华人民共和国公安部发布

GA/T1726—2020

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

负载均衡产品描述

5………………………2

总体说明

6…………………2

安全技术要求分类

6.1…………………2

安全等级划分

6.2………………………3

安全功能要求

7……………3

负载均衡

7.1……………3

负载均衡调度算法支持

7.2……………3

组件和链路监测

7.3……………………3

优化加速

7.4……………4

会话保持

7.5……………5

设备访问控制

7.6………………………5

高可用性

7.7……………5

自身安全

7.8……………5

性能要求

7.9……………6

虚拟化环境中纯软件形态部署有则适用

7.10()………7

云管理平台对接有则适用

7.11()………………………7

安全保障要求

8……………7

开发

8.1…………………7

指导性文档

8.2…………………………8

生命周期支持

8.3………………………9

测试

8.4…………………9

脆弱性评定

8.5…………………………10

不同安全等级的要求

9……………………10

安全功能要求

9.1………………………10

安全保障要求

9.2………………………12

Ⅰ

GA/T1726—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由公安部网络安全保卫局提出

。

本标准由公安部信息系统安全标准化技术委员会归口

。

本标准起草单位公安部网络安全保卫局公安部计算机信息系统安全产品质量监督检验中心深

:、、

信服科技股份有限公司

。

本标准主要起草人郭运尧严文卿张艳陆臻沈亮顾健张轶

:、、、、、、。

Ⅲ

GA/T1726—2020

信息安全技术负载均衡产品安全技术要求

1范围

本标准规定了负载均衡产品的安全功能要求安全保障要求及安全等级要求

、。

本标准适用于负载均衡产品的设计开发及测试

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息技术安全评估准则第部分安全保障组件

GB/T18336.3—20153:

信息安全技术术语

GB/T25069—2010

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

负载均衡loadbalancing

通过特定的算法将同一任务分摊到多个操作单元上执行使用健康检测机制保证调度合理性的

,

技术

。

32

.

自动化客户端automatedclient

可以对属于另一个应用程序的公开对象进行操作的应用程序

。

4缩略语

下列缩略语适用于本文件

。

分布式拒绝服务攻击

DDoS:(DistributedDenialofService)

高可用性

HA:(HighAvailability)

超文本传输协议

HTTP:(HypertextTransferProtocol)

基于安全套接层超文本传输协议

HTTPS:(HypertextTransferProtocoloverSecureSocketLayer)

因特网控制报文协议

ICMP:(InternetControlMessageProtocol)

简单网络管理协议

SNMP:(SimpleNetworkManagementProtocol)

安全套接层

SSL:(SecureSocketLayer)

传输控制协议

TCP:(TransmissionControlProtocol)

用户数据报协议

UDP:(UserDatagramProtocol)

统一资源定位符

URL:(UniformResourceLocator)

服务质量

QoS:(QualityofService)

地址解析协议

ARP:(AddressResolutionProtocol)

1

GA/T1726—2020

信息技术

IT:(InformationTechnology)

序列分组交换协议

SPX:(SequencedPacketExchangeprotocol)

重置连接复位连接

RST:、(ResettheConnection)

网络之间互连的协议

IP:(InternetProtocol)

5负载均衡产品描述

负载均衡产品能够为用户的业务发布提供包括多数据中心负载均衡多链路负载均衡服务器负载

、、

均衡的解决方案它利用多种检测手段实现对各个数据中心链路以及服务器状态的实时监控同时根

。、,

据预设规则将用户的访问请求分配给相应的数据中心链路以及服务器进而实现数据流的合理分配

、,,

使所有的数据中心链路和服务器都得到充分利用配合服务器卸载高速缓存流量压缩单边加速

、。、、、、

连接复用和虚拟化等多项智能优化技术可大幅提高业务系统的整体处理能力提高其稳定性切实改

,,,

善用户的访问体验有效降低投资成本图是负载均衡产品的一个典型运行环境

,IT。1。

图1负载均衡产品典型运行环境

6总体说明

61安全技术要求分类

.

负载均衡产品安全技术要求分为安全功能要求和安全保障要求两大类其中安全功能要求是对

。,

2

GA/T1726—2020

负载均衡产品应具备的安全功能提出具体要求包括负载均衡组件和链路监测访问控制及路由和攻

,、、

击防护等安全保障要求针对负载均衡产品的开发和使用文档提出具体的要求例如开发指导性文档

;,、、

生命周期支持和测试等

。

62安全等级划分

.

负载均衡产品的安全等级按照其安全功能要求和安全保障要求的强度不同划分为基本级和增强

级其中安全保障要求参考了

,GB/T18336.3—2015。

7安全功能要求

71负载均衡

.

711链路负载均衡

..

链路负载均衡分为出入站负载均衡

、:

出站链路负载均衡应能将内网用户发起的访问根据策略分发到对应出口线路供用户访问

a):,,

互联网

;

入站链路负载均衡应能将外网用户发起的访问根据策略设定的机制分发到对应线路供用

b):,,

户接入内部服务器

。

712服务器负载均衡

..

服务器负载均衡包括应用负载均衡和数据库负载均衡

:

应用服务器负载均衡应能将用户发起的访问根据策略分发到后台应用服务器

a),,;

数据库服务器负载均衡应通过分表读写分离等技术手段对数据服务器实现负载均衡

b),、。

713全局负载均衡

..

应将广域网包括互联网用户发起的访问根据策略设定的机制分发到不同地域的服务器

(),。

72负载均衡调度算法支持

.

基本级负载均衡产品应支持种及以上算法增强级负载均衡产品应支持种及以上算法

3,5:

轮循

a)(RoundRobin);

加权轮循

b)(WeightedRoundRobin);

随机

c)(Random);

最少连接数

d)(LeastConnection);

加权最少连接

e)(WeightedLeastConnection);

基于代理的自适应负载均衡

f)(AgentBasedAdaptiveBalancing);

固定权重

g)(FixedWeighted);

加权响应

h)(WeightedResponse);

源哈希

i)IP(SourceIPHash);

其他

j)。

73组件和链路监测

.

731链路状态检查

..

应可以检查链路的健康状况带宽延时和丢包等并将入站方向流量引至正常链路

(,),。

3

GA/T1726—2020

732服务器状态检查

..

应支持以下各层的服务器状态检查