GB/T 18019-1999 信息技术 包过滤防火墙安全技术要求

GB/T18019-1999

健绪

前b

本标准规定了采用“传输控制协议／网间协议”的包过滤防火墙的安全技术要求。

本标准由国家信息化办公室提出。

本标准由全国信息技术标准化技术委员会归口。

本标准起草单位：中国国家信息安全测评认证中心、电子部30所。

本标准主要起草人：昊世忠、陈晓桦、龚奇敏、张桂清、杨燕伟、贺卫东、黄元飞。

中华人民共和国国家标准

信息技术

包过滤防火墙安全技术要求GB/T18019-1999

Informationtechnology一

Securityrequirementsforpacketfilterfirewalls

范围

本标准规定了采用“传输控制协议／网间协议T（CP/IP)”的包过滤防火墙产品或系统的安全技术要

本标准适用于防火墙产品或系统安全功能的研制、开发、测试、评估和产品的采购。

2引用标准

下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均

为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第2部分：安全体系结构

(idtISO7498-2：1989)

3定义和记法约定

本章给出本标准中使用的术语和记法约定。

3.1术语定义

本标准采用了GB/T9387.2中的下列术语和定义：

审计audit

鉴别authentication

密钥管理keymanagement

下列术语适用于本标准。

3.1.1用户user

一个在防火墙外与防火墙相互作用的人，此人不具有能够影响防火墙安全策略执行的特权。

3.1.2授权管理员authorizedadministrator

任何具有旁路或绕过防火墙安全策略权限的个人。本标准中的“授权管理员”特指防火墙的管理员，

其职责不包括网络管理。

3.1.3主机host

一台在防火墙外与防火墙相互作用的机器，它不具有能够影响防火墙安全策略执行的特权。

3.1.4可信主机trustedhost

任何具有旁路或绕过防火墙安全策略权限的机器。

3.2记法约定

细化：用于增加某一功能要求的细节，从而进一步限制该项要求。对功能要求的细化用黑体字表示。

国家质f技术监督局1999-11一11批准2000-05-01实施

GB/T18019-1999

示例见0

选择：用于从对某一功能要求的陈述中突出一个或多个选项，用带万圳翼劣粼举字表示。示例见

。

赋值：用于将一个特定值赋给某个未定参数，如某个口令字的长度。赋值出现在方括号中，要〔赋予

的值〕表示某个值。示例见0

4包过滤防火墙概述

本标准规定包过滤防火墙的最低安全要求，指出该类防火墙应对付的威胁，定义其实现的安全目标

及环境，提出安全功能和安全保证要求。

防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经

过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。虽然防火墙的体系结构和技术

多种多样，但防火墙产品主要分为两类：包过滤和应用网关。本标准规定了包过滤防火墙的最低安全要

求。

符合本标准的防火墙在内外网络之间的位置的逻辑表示如图1所示。包过滤防火墙应根据站点的

安全策略，在内部网络和外部网络之间选择性地过滤包。其过滤规则主要是根据源地址、目的地址、协

议、源端口、目的端口以及包到达或发出的接口而定。

外部网防火堵内翻网

9

篇

夏

9

图1防火墙在网络中的典型位置

5安全环境

符合本标准的防火墙产品应能提供访问控制策略、身份识别和鉴别、远程管理的加密、安全审计功

能和最基本的安全保证。可用于政府部门、企事业单位和商业领域等。

5．飞安全使用的条件

防火墙的使用操作环境应满足以下条件。

5.，．1连接条件

防火墙的连接条件要求如下：

单一接人：防火墙是内、外网络之间的唯一连接点，见图to

5.1.2物理条件

防火墙应满足下列物理条件。

物理访问控制

防火墙及其所属的可直接插接的控制端口在物理上是安全的，并只有授权的人员才可访问。

通信保护

对已传送的所有信息的保护级别与正在被发送的信息的保护级别相当例（如，受物理保护的传输媒

体、加密），但明确规定以明文传输的信息除外。

GB/T18019-1999

5.1.3人员条件

用户服务

包过滤防火墙不提供通常意义上的计算能力，对网络用户基本上是“透明”的。只有授权的管理员可

直接访问或远程访问。

授权管理员

授权的管理员应是可以信赖、且能善尽职守的人。

5.2防火墙面临的威胁

符合本标准的防火墙应能对付以下威胁。

5.2.1未授权逻辑访问T（.LACCESS)

未经授权的人可能在逻辑上访问防火墙。未经授权的人是指除防火墙的授权用户之外所有已经或

可能企图访问这个系统的人。

5.2.2假冒网络地址攻击T（.ISPOOF)

一个主体可能通过假冒成另一个主体获得对特定信息的访问。例如，外部网上的一个用户可能利用

假地址伪装成内部网上的用户，访问内部资源。

5.2.3针对内部网络的攻击T（.NATTACK)

攻击者可能利用高层协议和服务，对内部受保护的网络或者网上的主机进行攻击，这类攻击可能以

“拒绝服务”和穿透主机或网络结点为目的。

5.2.4审计记录丢失或破坏T（.AUDIT)

攻击者可能采取耗尽审计存储量的方法导致审计记录丢失或破坏。

5.2.5对防火墙配置和其他与安全有关数据的更改T（.DCORRUPT)

这类攻击包括所有采用读取或修改防火墙的内部代码或数据结构、配置和与安全相关的数据，对防

火墙实施的攻击。

5.2.6绕开身份识别和鉴别机制T（.AUTH)

这类攻击是企图绕过或欺骗身份识别和鉴别机制，假冒成另一个授权管理员或侵人已建立的会话

连接。例如，拦截鉴别信息如（口令字）、重放有效的鉴别交换信息以及截取会话连接等攻击。

5.3运行环境面临的威胁

以下的可能威胁不是符合本标准的防火墙所能处理的。它们应靠环境、制度程序来对付，可列为对

系统的潜在威胁。

5.3.1受保护网络（内部网）上的恶意用户企图把信息传送给网外用户T（.INSHARE)

这类威胁涉及的是内部受（保护）网络的用户企图把信息传送给外部网络的非授权用户。由于防火

墙的设计主要是为了保护内部网络免受外部网的侵害，所以难以对付此类威胁。

5.3.2受保护网络上的恶意用户攻击同一网上的计算机T（.INALL)

由于防火墙主要是用来保护防火墙内的网络用户免受防火墙外的用户的攻击，因此它无法控制不

经过防火墙的通信业务。属于此范畴的攻击是指来自受保护网络内的对本网络服务功能的攻击，或者对

同一网段上的计算机的攻击。

5.3.3对高层协议和服务的攻击T（.SERVICES)

此类威胁针对传输层以上的协议层和（利用这些协议的服务，如超文本传输协议HTTP）中的漏

洞。符合本标准的防火墙可以完全拒绝对特定主机或主机群的访问，但是，如果允许数据包通过的话，那

么仍有可能对上述的这些服务攻击。

5.3.4截取传输的信息T（.PRIVACY)

攻击者可能截取通过防火墙传输的敏感信息。

GB/T18019-1999

6安全目标

6.1信息技术性安全目标

防火墙应达到的信息技术安全目标如下。

6.1.1访问仲裁O（.ACCESS)

目标是通过允许或拒绝从一个主体发（送实体）传到一个客体接（受实体）的信息流，为连接在防火

墙上的两个网络之间提供受控制的访问，这些控制是根据主体、客体的有关参数，由防火墙生成的状态

信息和管理上配置的访问控制规则实现的。

6.1.2管理员访问O（.ADM工N)

此项目标是仅限授权的管理者才能访问防火墙，即只允许他们有配置防火墙的能力。

6.1.3个体身份记录O（.ACCOUNT)

个体记录提供对用户的记录能力，并允许基于唯一身份对访问作出判定。鉴别为确定身份是否真实

提供了方法。

6.1.4防火墙的自保护O（.PROTECT)

为了成功地达到这一目标，防火墙应能把正在处理的数据与需要运算的数据分开，应保护自己不受

外部实体的攻击。此外，防火墙还应能保护授权管理员的通信会话连接。

6.1．5审计O（.AUDIT)

对于判定是否存在绕过安全策略尝试，是否因配置错误而不知觉地允许了本应拒绝的访问，审计记

录起着重要的作用。不仅应收集审计数据，还应使其具有可读性并较易使用。审计记录应受到充分保护，

并应了解丢失审计记录的可能性有多大，以帮助管理者做出正确的安全决定。

6.2非信息技术安全目标

非信息技术安全目标是指除防火墙技术rc求之外还需满足的要求，它们不需防火墙硬件和软件的

机制实现。而是通过采用物理的、过程的或管理的方法来达到。

由于防火墙是完整的、独立的专用设备，因此正常工作时不必依靠任何其他设备。但是，为了支持防

火墙的安全功能，应达到有关运行环境方面的某些目标。

防火墙的非信息技术安全目标如下。

6.2.1安装与操作控制O（.INSTALL)

要确保对防火墙的交付、安装、管理、操作都是安全可控的。

6.2.2物f控制O（.PACCESS)

对防火墙的物理访问应可控制。

6.2.3授权管理fpl培训O（.TRAIN)

安全管理员应经过专业培训，并得到资格认可，以建立并保持正确的安全策略和实施水准。

7安全要求

术章给出了符合本标准的防火墙应满足的安全功能要求。

71功能要求

本标准的安全功能要求由表1的下列项目组成：

7.1.1用户数据保护功能类F（DP)

要求概述：防火墙的安全策略由一项安全功能策略构成。该策略定义如下：该策略称为未鉴别的端

到端策略，用来处理防火墙一侧的主体向另一侧客体发送数据。

GB/T18019-1999

表1功能要求

功能分类功能组件

FDPACC.2完整的客体访问控制

FDPACF.4访问授权与拒绝

FDPAFC.2多种安全属性访问控制

用户数据保护

FDPRIP.3资源分配时对遗留信息的充分保护

FDPSAM.1管理员属性修改

FDPSAQ.1管理员属性查询

FIAADA.1授权管理员和可信主机鉴别数据初始化

FIAADP.1授权管理员和可信主机鉴别数据的基本保护

FIAAFL.1鉴别失败的基本处理

FIAATA.1授权管理员、可倍主机和主机属性的初始化

识别和鉴别

FIAATD.2授权管理员、可信主机和主机唯一属性定义

FIAUAU.I授权管理员的基本鉴别

FIAUAU.2单一使用的鉴别机制

FIAUID.2授权管理员、可信主机和主机唯一标识

密码支持FCSCOP.2符合规定的加密操作

FPTRVM.1防火墙安全策略的不可旁路性

可信安全功能FPTSEP.1安全功能区域分隔

的保护FPTTSA.2区分安全管理角色

FPTTSM.1管理功能

FAUGEN.1审计数据生成

FAUMGT.1审计跟踪管理

FAUPOP.1可理解的格式

安全审计FAUPRO.1限制审计跟踪访问

FAUSAR.1限制审计查阅

FAUSAR.3可选择查阅审计

FAUSTG.3防止审计数据丢失

完整的客体访问控制F（DP_ACC.2)

FDPACC.2.1防火墙的安全功能应在以下方面执行未鉴别的端到端策略：

a)主〔体：未经防火墙鉴别的主机〕：

b)客〔体：内部或外部网上的主机」。

「以及安全功能策略S（FP）所包括的主体、客体的所有操作〕。

FDPACC.2.2防火墙的安全功能应确保安全功能策略包括了控制范围中的任何主体和客体之

间的所有操作。

访问授权与拒绝F（DP＿ACE4)

FDPACF.4.1防火墙的安全功能应执行未鉴别的端到端策略，根据主体和客体的安全属性值

提供明确的访问保障能力。

FDPACF.4.2防火墙的安全功能应执行未鉴别的端到端策略，根据主体和客体的安全属性值

Gs/T18019-1999

提供明确的拒绝访问能力。

多种安全属性访问控制F（DPACF.2)

FDPACF.2.1防火墙应根据源「地址、目的地址、传输层协议和请求的服务如（源端口号或目的

端口号）〕对客体执行未「鉴别的端到端策略〕。

FDPACF.2.2防火墙应执行以下附加规则以确定受控主体与受控客体之间的操作是否被允

许：

a)防「火墙应拒绝从外部网络发出的、但拥有内部网络上的主机源地址的访问或服务请求〕；

b)防〔火墙应拒绝从外部网络发出的、但拥有广播网络上的主机源地址的访问或服务请求〕；

c)［防火墙应拒绝从外部网络发出的、但拥有保留网络上的主机源地址的访问或服务请求〕；