GB/T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。犐犆犛３５．０４０

犔８０

／—

犌犅犜２０２８１２０２０

／—，／—，／—／—

ＧＢＴ２００１０２００５ＧＢＴ２０２８１２０１５ＧＢＴ３１５０５２０１５ＧＢＴ３２９１７２０１６

—

犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狋犲犮犺狀狅犾狅犛犲犮狌狉犻狋狋犲犮犺狀犻犮犪犾狉犲狌犻狉犲犿犲狀狋狊犪狀犱

狔犵狔狔狇

狋犲狊狋犻狀犪狊狊犲狊狊犿犲狀狋犪狉狅犪犮犺犲狊犳狅狉犳犻狉犲狑犪犾犾

犵狆狆

２０２００４２８２０２０１１０１

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

／—

犌犅犜２０２８１２０２０

目次

前言…………………………Ⅰ

１范围………………………１

２规范性引用文件…………………………１

３术语和定义………………１

４缩略语……………………２

５概述………………………３

６安全技术要求……………３

６．１安全功能要求………………………３

６．２自身安全要求………………………９

６．３性能要求……………１０

６．４安全保障要求………………………１２

７测评方法…………………１４

７．１测评环境……………１４

７．２安全功能测评………………………１５

７．３自身安全测评………………………３１

７．４性能测评……………３３

７．５安全保障测评………………………３６

附录（规范性附录）防火墙分类及安全技术要求等级划分…………

Ａ４２

Ａ．１概述………………４２

Ａ．２网络型防火墙……………………４２

Ａ．３ＷＥＢ应用防火墙…………………４４

Ａ．４数据库防火墙……………………４５

Ａ．５主机型防火墙……………………４７

附录（规范性附录）防火墙分类及测评方法等级划分………………

Ｂ４９

Ｂ．１概述…………………４９

Ｂ．２网络型防火墙………………………４９

Ｂ．３ＷＥＢ应用防火墙…………………５１

Ｂ．４数据库防火墙………………………５２

Ｂ．５主机型防火墙………………………５４

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

／—

犌犅犜２０２８１２０２０

信息安全技术防火墙安全

技术要求和测试评价方法

１范围

本标准规定了防火墙的等级划分、安全技术要求及测评方法。

本标准适用于防火墙的设计、开发与测试。

２规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。，（）。

凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

／—信息技术安全技术信息技术安全评估准则第部分：安全保障组件

ＧＢＴ１８３３６．３２０１５３

／—信息安全技术术语

ＧＢＴ２５０６９２０１０

３术语和定义

／—界定的以及下列术语和定义适用于本文件。

ＧＢＴ２５０６９２０１０

３．１

防火墙犳犻狉犲狑犪犾犾

对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。

注：根据安全目的、实现原理的不同，通常可分为网络型防火墙、应用防火墙、数据库防火墙和主机型防火

ＷＥＢ

墙等。

３．２

网络型防火墙狀犲狋狑狅狉犽犫犪狊犲犱犳犻狉犲狑犪犾犾

部署于不同安全域之间，对经过的数据流进行解析，具备网络层、应用层访问控制及安全防护功能

的网络安全产品。

３．３

犠犈犅应用防火墙狑犲犫犪犾犻犮犪狋犻狅狀犳犻狉犲狑犪犾犾

狆狆

，／，

部署于ＷＥＢ服务器前端对流经的ＨＴＴＰＨＴＴＰＳ访问和响应数据进行解析具备ＷＥＢ应用的

访问控制及安全防护功能的网络安全产品。

３．４

数据库防火墙犱犪狋犪犫犪狊犲犳犻狉犲狑犪犾犾

部署于数据库服务器前端，对流经的数据库访问和响应数据进行解析，具备数据库的访问控制及安

全防护功能的网络安全产品。

３．５

主机型防火墙犺狅狊狋犫犪狊犲犱犳犻狉犲狑犪犾犾

部署于计算机（包括个人计算机和服务器）上，提供网络层访问控制、应用程序访问限制和攻击防护

功能的网络安全产品。

１

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

／—

犌犅犜２０２８１２０２０

３．６

反向代理狉犲狏犲狉狊犲狉狅狓

狆狔

作为服务器端的代理使用，代替服务器接受来自客户端的请求，然后将请求转发给内部服务器，并

将从服务器上得到的结果返回给请求客户端的一种部署模式。

３．７

拖库攻击犱狉犪犪狋狋犪犮犽

犵

通过非授权获得数据库访问或数据库所在操作系统的权限，批量下载数据库中数据或数据库数据

文件的恶意行为。

３．８

撞库攻击犪犮犮狅狌狀狋犮狉犲犱犲狀狋犻犪犾犲狀狌犿犲狉犪狋犻狅狀犪狋狋犪犮犽

批量尝试碰撞数据库数据的恶意行为。

注：、，，。

如通过收集已泄露已知的用户和密码信息生成对应的字典表并以此批量尝试登录其他的应用系统

４缩略语

下列缩略语适用于本文件。

：（）

ＢＧＰ边界网关协议ＢｏｒｄｅｒＧａｔｅｗａＰｒｏｔｏｃｏｌ

ｙ

：（）

ＣＳＲＦ跨站请求伪造Ｃｒｏｓｓｓｉｔｅｒｅｕｅｓｔｆｏｒｅｒ

ｑｇｙ

：非军事化区（）

ＤＭＺＤｅｍｉｌｉｔａｒｉｚｅｄＺｏｎｅ

：目的网络地址转换（）

ＤＮＡＴＤｅｓｔｉｎａｔｉｏｎＮＡＴ

：（）

ＦＴＰ文件传输协议ＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ

：（）

ＨＴＴＰ超文本传输协议ＨｅｒｔｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ

ｙｐ

：安全超文本传输协议（）

ＨＴＴＰＳＨｅｒｔｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌｏｖｅｒＳｅｃｕｒｅＳｏｃｋｅｔＬａｅｒ

ｙｐｙ

：网间控制报文协议（）

ＩＣＭＰＩｎｔｅｒｎｅｔＣｏｎｔｒｏｌＭｅｓｓａｅｓＰｒｏｔｏｃｏｌ

ｇ

：互联网邮件访问协议（）

ＩＭＡＰＩｎｔｅｒｎｅｔＭａｉｌＡｃｃｅｓｓＰｒｏｔｏｃｏｌ

：网际协议（）

ＩＰＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ

：（）

ＩＰＶ６互联网协议第六版ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌＶ６

：站内自动隧道寻址协议（）

ＩＳＡＴＡＰＩｎｔｒａＳｉｔｅＡｕｔｏｍａｔｉｃＴｕｎｎｅｌＡｄｄｒｅｓｓｉｎＰｒｏｔｏｃｏｌ

ｇ

：介质访问控制（）

ＭＡＣＭｅｄｉａＡｃｃｅｓｓＣｏｎｔｒｏｌ

：网络地址转换（）

ＮＡＴＮｅｔｗｏｒｋＡｄｄｒｅｓｓＴｒａｎｓｌａｔｉｏｎ

：网络时间协议（）

ＮＴＰＮｅｔｗｏｒｋＴｉｍｅＰｒｏｔｏｃｏｌ

：开放式最短路径优先（）

ＯＳＰＦＯｅｎＳｈｏｒｔｅｓｔＰａｔｈＦｉｒｓｔ

ｐ

：对等网络（）

Ｐ２ＰＰｅｅｒｔｏｅｅｒ

ｐ

：路由信息协议（）

ＲＩＰＲｏｕｔｉｎＩｎｆｏｒｍａｔｉｏｎＰｒｏｔｏｃｏｌ

ｇ

：（）

ＳＮＡＴ源网络地址转换ＳｏｕｒｃｅＮＡＴ

：简单网络管理协议（）

ＳＮＭＰＳｉｍｌｅＮｅｔｗｏｒｋＭａｎａｅｍｅｎｔＰｒｏｔｏｃｏｌ

ｐｇ

：结构化查询语言（）

ＳＱＬＳｔｒｕｃｔｕｒｅｄＱｕｅｒＬａｎｕａｅ

ｙｇｇ

：系统日志（）

ＳＹＳＬＯＧＳｓｔｅｍＬｏ

ｙｇ

：统一资源定位器（）

ＵＲＬＵｎｉｆｏｒｍＲｅｓｏｕｒｃｅＬｏｃａｔｏｒ

：（）

ＷＥＢ万维网ＷｏｒｌｄＷｉｄｅＷＥＢ

：跨站脚本（）

ＸＳＳＣｒｏｓｓＳｉｔｅＳｃｒｉｔｉｎ

ｐｇ

２

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

／—

犌犅犜２０２８１２０２０

５概述

防火墙是作用于不同安全域之间，具备访问控制及安全防护功能的网络安全产品，主要分为网络型

、、、。

防火墙ＷＥＢ应用防火墙数据库防火墙主机型防火墙或其组合

、、。

防火墙的安全技术要求分为安全功能要求自身安全要求性能要求和安全保障要求四个大类其

，，、、

中安全功能要求对防火墙应具备的安全功能提出具体要求包括组网与部署网络层控制应用层控

、；，

制攻击防护和安全审计与分析自身安全要求针对防火墙的自身安全提出具体的要求包括身份标识

与鉴别、管理能力、管理审计、管理方式和安全支撑系统；性能要求则是对防火墙应达到的性能指标作出

，、、；

规定包括吞吐量延迟连接速率和并发连接数安全保障要求针对防火墙的生命周期过程提出具体要

，、、、。

求包括开发指导性文档生命周期支持测试和脆弱性评定

，

防火墙的等级分为基本级和增强级安全功能与自身安全的强弱以及安全保障要求的高低是等级

划分的具体依据，等级突出安全特性。其中，基本级产品的安全保障要求内容对应／—

ＧＢＴ１８３３６．３

，／—。

的级增强级产品的安全保障要求内容对应的级各类防

２０１５ＥＡＬ２ＧＢＴ１８３３６．３２０１５ＥＡＬ４＋

火墙（简称“产品”）的具体安全技术要求和等级划分详见附录，测评方法及等级划分详见附录。

ＡＢ

６安全技术要求

６．１安全功能要求

６．１．１组网与部署

６．１．１．１部署模式

产品应支持以下部署模式：

ａ）透明传输模式；

ｂ）路由转发模式；

）反向代理模式。

ｃ

６．１．１．２路由

６．１．１．２．１静态路由

产品应支持静态路由功能，且能配置静态路由。

６．１．１．２．２策略路由

具有多个相同属性网络接口（多个外部网络接口、多个内部网络接口或多个ＤＭＺ网络接口）的产

品，应支持策略路由功能，包括但不限于：

）基于源、目的策略路由；

ａＩＰ

ｂ）基于接口的策略路由；

）基于协议和端口的策略路由；

ｃ

ｄ）基于应用类型的策略路由；

）基于多链路负载情况自动选择路由。

ｅ

６．１．１．２．３动态路由

产品应支持动态路由功能，包括、或中一种或多种动态路由协议。

ＲＩＰＯＳＰＦＢＧＰ

３

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

／—

犌犅犜２０２８１２０２０

６．１．１．３高可用性

６．１．１．３．１冗余部署

“”、“”“”。

产品应支持主备主主或集群中的一种或多种冗余部署模式

６．１．１．３．２负载均衡

产品应支持负载均衡功能，能根据安全策略将网络流量均衡到多台服务器上。

设备虚拟化可选

６．１．１．４（）

６．１．１．４．１虚拟系统

，，

若产品支持在逻辑上划分为多个虚拟子系统虚拟子系统间应支持隔离和独立管理包括但不

限于：

ａ）对虚拟子系统分别设置管理员，实现针对虚拟子系统的管理配置；

）、；

ｂ虚拟子系统能分别维护路由表安全策略和日志系统

）对虚拟子系统的资源使用配额进行限制。

ｃ

６．１．１．４．２虚拟化部署

若产品为虚拟化形态，应支持部署于虚拟化平台，并接受平台统一管理，包括但不限于：

）支持部署于一种虚拟化平台，如、、和等；

ａＶＭｗａｒｅＥＳＸｉＫＶＭＣｉｔｒｉｘＸｅｎｓｅｒｖｅｒＨｅｒＶ

ｙｐ

ｂ）结合虚拟化平台实现产品资源弹性伸缩，根据虚拟化产品的负载情况动态调整资源；

）结合虚拟化平台实现故障迁移，当虚拟化产品出现故障时能实现自动更新、替换。

ｃ

６．１．１．５犐犘狏６支持（可选）

６．１．１．５．１支持犐犘狏６网络环境

若产品支持ＩＰｖ６，应支持在ＩＰｖ６网络环境下正常工作，能有效运行其安全功能和自身安全

功能。

６．１．１．５．２协议一致性

，，、、

若产品支持ＩＰｖ６应满足ＩＰｖ６协议一致性的要求至少包括ＩＰｖ６核心协议ＩＰｖ６ＮＤＰ协议ＩＰｖ６

Ａｕｔｏｃｏｎｆｉｇ协议和ＩＣＭＰｖ６协议。

６．１．１．５．３协议健壮性

若产品支持ＩＰｖ６，应满足ＩＰｖ６协议健壮性的要求，抵御ＩＰｖ６网络环境下畸形协议报文攻击。

６．１．１．５．４支持犐犘狏６过渡网络环境

若产品支持ＩＰｖ６，应支持在以下一种或多种ＩＰｖ６过渡网络环境下工作：

协议转换将和两种协议相互转换

ａ），ＩＰｖ４ＩＰｖ６；

）隧道，将封装在中穿越网络，如、、等。

ｂＩＰｖ６ＩＰｖ４ＩＰｖ４ＩＰｖ６ｏｖｅｒＩＰｖ４ＩＰｖ６ｔｏＩＰｖ４ＩＳＡＴＡＰ

４

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

／—

犌犅犜２０２８１２０２０

６．１．２网络层控制

６．１．２．１访问控制

６．１．２．１．１包过滤

产品的包过滤功能要求如下：

ａ）安全策略应使用最小安全原则，即除非明确允许，否则就禁止；

）安全策略应包含基于源地址、目的地址的访问控制；

ｂＩＰＩＰ

）安全策略应包含基于源端口、目的端口的访问控制；

ｃ

ｄ）安全策略应包含基于协议类型的访问控制；

）安全策略应包含基于地址的访问控制；

ｅＭＡＣ

）安全策略应包含基于时间的访问控制；

ｆ

），、、、

应支持用户自定义的安全策略安全策略包括地址地址端口协议类型和时间的部

ＭＡＣＩＰ

ｇ

分或全部组合。

６．１．２．１．２网络地址转换

产品的网络地址转换功能要求如下：

）支持和；

ａＳＮＡＴＤＮＡＴ

）应实现“多对一”地址转换，使得内部网络主机访问外部网络时，其源地址被转换；

ｂＳＮＡＴＩＰ

）应实现“一对多”地址转换，将的地址／端口映射为外部网络合法地址／端

ｃＤＮＡＴＤＭＺＩＰＩＰ

口，使外部网络主机通过访问映射地址和端口实现对ＤＭＺ服务器的访问；

ｄ）支持动态ＳＮＡＴ技术，实现“多对多”的ＳＮＡＴ。

６．１．２．１．３状态检测

，。

产品应支持基于状态检测技术的包过滤功能具备状态检测能力

６．１．２．１．４动态开放端口

产品应支持协议的动态端口开放，包括但不限于：

）协议；

ａＦＴＰ

ｂ）Ｈ．３２３等音视频协议。

／地址绑定

６．１．２．１．５犐犘犕犃犆

产品应支持自动或手工绑定／地址，当主机的地址、地址与／绑定表中不

ＩＰＭＡＣＩＰＭＡＣＩＰＭＡＣ

一致时，阻止其流量通过。

６．１．２．２流量管理

６．１．２．２．１带宽管理

产品应支持带宽管理功能能根据策略调整客户端占用的带宽包括但不限于

，，：

）根据源、目的、应用类型和时间段的流量速率或总额进行限制；

ａＩＰＩＰ

）根据源、目的、应用类型和时间段设置保障带宽；

ｂＩＰＩＰ

）在网络空闲时自动解除流量限制，并在总带宽占用率超过阈值时自动启用限制。

ｃ

５

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

／—

犌犅犜２０２８１２０２０

６．１．２．２．２连接数控制

产品应支持限制单的最大并发会话数和新建连接速率，防止大量非法连接产生时影响网络

ＩＰ

性能。

６．１．２．２．３会话管理

在会话处于非活跃状态一定时间或会话结束后，产品应终止会话。

６．１．３应用层控制

６．１．３．１用户管控

产品应支持基于用户认证的网络访问控制功能，包括但不限于：

ａ）本地用户认证方式；

）结合第三方认证系统，如基于、服务器的认证方式。

ｂＲａｄｉｕｓＬＤＡＰ

６．１．３．２应用类型控制

产品应支持根据应用特征识别并控制各种应用类型，包括：

ａ）ＨＴＴＰ协议；

ｂ）数据库协议；

）、、、和等常见协议；

ｃＦＴＰＴＥＬＮＥＴＳＭＴＰＰＯＰ３ＩＭＡＰ

）、、、、；

ｄ即时聊天类Ｐ２Ｐ类网络流媒体类网络游戏股票交易类等应用

）逃逸或隧道加密特点的应用，如加密代理类应用；

ｅ

）自定义应用。

ｆ

６．１．３．３应用内容控制

６．１．３．３．１犠犈犅应用

产品应支持基于以下内容对ＷＥＢ应用的访问进行控制，包括但不限于：

ａ）ＵＲＬ网址，并具备分类网址库；

）传输内容的关键字；

ｂＨＴＴＰ

）请求方式，包括、、、等；

ｃＨＴＴＰＧＥＴＰＯＳＴＰＵＴＨＥＡＤ

ｄ）ＨＴＴＰ请求文件类型；

）协议头中各字段长度，包括ｅｎｅｒａｌｈｅａｄｅｒ、、等；

ｅＨＴＴＰｒｅｕｅｓｔｈｅａｄｅｒｒｅｓｏｎｓｅｈｅａｄｅｒ

ｇｑｐ

）上传文件类型；

ｆＨＴＴＰ

）ＨＴＴＰ请求频率；

ｇ

ｈ）ＨＴＴＰ返回的响应内容，如服务器返回的出错信息等；

）支持流量解密。

ｉＨＴＴＰＳ

６．１．３．３．２数据库应用

产品应支持基于以下内容对数据库的访问进行控制，包括但不限于：

ａ）访问数据库的应用程序、运维工具；

ｂ）数据库用户名、数据库名、数据表名和数据字段名；

）语句关键字、数据库返回内容关键字；

ｃＳＱＬ

ｄ）影响行数、返回行数。

６

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

GB∕T20281-2020信息安全技术防火墙安全技术要求和测试评价方法，本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、

开发与测试。

／—

犌犅犜２０２８１２０２０

６．１．３．３．３其他应用

产品应支持基于以下内容对、、、和等应用进行控制，包括但不

ＦＴＰＴＥＬＮＥＴＳＭＴＰＰＯＰ３ＩＭＡＰ

限于：

ａ）传输文件类型；

ｂ）传输内容，如协议命令或关键字。

６．１．４攻击防护

６．１．４．１拒绝服务攻击防护

，，：

产品具备特征库应支持拒绝服务攻击防护功能包括但不限于

）攻击防护；

ａＩＣＭＰＦｌｏｏｄ

ｂ）ＵＤＰＦｌｏｏｄ攻击防护；

）攻击防护；

ｃＳＹＮＦｌｏｏｄ