GB/T 18020-1999 信息技术 应用级防火墙安全技术要求

GB/T18020-1999

协‘

前曰

本标准规定了网络安全设备—应用级防火墙的安全技术要求。

本标准由国家信息化办公室提出。

本标准由全国信息技术标准化技术委员会归口。

本标准起草单位：国家信息中心、中国国家信息安全测评认证中心。

本标准主要起草人：叶红、吴亚非、吴世忠、陈晓桦、李正男、严望佳。

中华人民共和国国家标准

信息技术

应用级防火墙安全技术要求GB/T18020一1999

Informationtechnology-

Securityrequirementsforapplicationlevelfirewall

1范围

本标准规定了应用级防火墙的安全技术要求。

本标准适用于应用级防火墙安全功能的研制、开发、测试、评估和产品采购。

2引用标准

下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均

为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第2部分：安全体系结构

3定义和记法约定

本章给出本标准中使用的术语和记法约定。

3.1定义

3.1.1用户user

在防火墙之外，但与防火墙相互作用的人，他不具有影响防火墙安全策略执行的特权。

3.1.2授权管理员authorizedadministrator

任何具有旁路或绕过防火墙安全策略权限的授权人，本标准中的“授权管理员”严格定义为防火墙

的管理员，他不具有网络管理的职责。

3.1.3主机host

在防火墙之外，但与防火墙相互作用的计算机，它不具有影响防火墙安全策略执行的特权。

3.1.4可信主机trustedhost

任何具有旁路或绕过防火墙安全策略权限的授权计算机。

3.2记法约定

细化：用于增加某一功能要求的细节，从而进一步限制该项要求。对功能要求的细化用黑体字表示。

示例见0

选择：用于在对某一功能要求的陈述中，突出一个或多个选项，用带下划线的斜体字表示。示例见

。

赋值：用于将一个特定值赋给某个未定参数，如某个口令字的长度。赋值出现在方括号中，要〔赋予

的值〕表示某个值。示例见.

4应用级防火墙概述

本标准规定了应用级防火墙在低风险敏（感但不保密）环境下的最低安全要求。明确了应用级防火

国家质f技术监督局1999一11一11批准2000一05一01实施

GB/T18020一1999

墙应阻止的威胁，定义了它的安全目标和使用环境，提出了应用级防火墙的安全功能和安全保证要求。

同时，说明了防火墙安全目标及功能和保证要求的基本原则。

防火墙的目的是对进、出内部网的服务访问实行控制和审计。准许、拒绝或重新定向通过防火墙的

数据流。虽然防火墙的体系结构和技术多种多样，但防火墙产品基本上可分成两类：包过滤防火墙和应

用级防火墙。网络中防火墙的典型位置如图1所示。

外部网防火墙内部网

里

公

一赞

一登

图1网络中防火墙的典型位置一

应用级防火墙的作用是：仲裁不同网络上客户和服务器之间的通信业务流。应用级防火墙通常与包

过滤控制配合使用，以承担对应用级协议包的进一步控制。例（如：FTP,Telnet)。应用级防火墙可以雇

用代理服务器筛选数据包。

5安全环境

符合本标准的防火墙用于敏感但不保密的信息处理环境。防火墙应提供访问控制策略、身份标识与

鉴别、远程管理员会话加密、一定的审计能力以及最基本的安全保证。

5．1安全条件假定

假定防火墙的运行环境符合以下条件：

5.1门单一接人A（.SINGLEPT)

如图1所示意的那样，防火墙是网络间唯一的互连点。

5.1.2物理访问控制A（.SECURE)

防火墙和与其直接相连的控制台在物理上是安全的，而且仅供授权人使用。

5.1.3通信保护A（.COMMS)

信息传输的保护级别应该与信息的敏感性一致例（如：受物理保护的传输媒体，加密），或者明确说

明该信息可以明文传输。

5.1.4用户A（.USER)

应用级防火墙提供的不是通常意义下的计算能力例（如：执行任意代码或应用程序），它对通过防火

墙发送通信业务流的用户进行身份标识和鉴别。只有授权管理员才能直接访问和远程访问防火墙。

5.1.5授权管理员A（.NOEVIL)

管理员应值得信任、无恶意，能够正确执行各项职责。

5.2安全威胁

本标准的目的在于提供一种能力，以控制通过防火墙的数据包，限制那些潜在恶意用户的活动能

力，阻止他们获得对内部网或者对内部网上的某一主机的访问权。

5.2.1防火墙阻止的威胁

符合本标准的防火墙应能阻止以下威胁：

未授权逻辑访问T（.LACCESS)

GB/T18020一1999

未经授权的人可能在逻辑上访问防火墙。未经授权的人是指除防火墙的授权用户之外，所有已经或

可能企图访问这个系统的人。

假冒网络地址攻击T（.ISPOOF)

一个主体可能假冒成另一个主体获得对特定信息的访问。例如，外部网上的一个用户可能利用假地

址伪装成内部网上的用户访问内部资源。

针对内部网络的攻击T（.NATTACK)

攻击者利用高层协议和服务，对内部受保护网络或者网上的主机进行攻击，这类攻击可能以拒绝服

务和穿透主机或网络结点为目的。

审计记录丢失或破坏T（.AUDIT)

攻击者可能采取耗尽审计存储量的方法导致审计记录丢失或破坏。

对防火墙的配置和其他与安全相关数据的更改T（.DCORRUPT)

这类攻击包括所有采用读取或修改防火墙的内部代码或数据结构，以及防火墙的配置参数和与安

全相关的数据，对防火墙实施的攻击。

绕开身份标识和鉴别机制T（.AUTH)

这类攻击企图绕过或欺骗身份识别和鉴别机制，假冒成另一个授权管理员或侵入已建立的会话连

接。例如，拦截鉴别信息如（口令字），重放有效的鉴别交换信息，以及截取会话连接等攻击。

5.2.2运行环境阻止的威胁

下述威胁必须通过物理控制、过程措施或者管理手段来对付。

被保护网上的恶意用户试图向外部用户提供信息T（.INSHARE)

这种威胁是指内部网络用户试图给外部网络上的非授权用户发送信息。由于防火墙主要用于保护

内部网络免受外部网络的侵害，因此，它们对抵御这种威胁作用不大。

5.2-2.2受保护网络上的恶意用户攻击同一网络上的计算机T（.INALL)

防火墙的主要目的是保护防火墙内部的网络用户免受外部用户的侵害。因此，它无法控制不经过防

火墙的通信业务流。属于此范畴的攻击是指来自受保护网络内的对本网络服务功能的攻击，以及对同一

网段上的计算机的攻击。

5.2-2.3攻击高层协议和服务T（.SERVICES)

此类威胁针对传输层以上的协议层和（利用这些协议的服务，如超文本传输协议HTTP）中的漏

洞。符合本标准的防火墙可以完全拒绝对特定主机或主机群的访问，但是，如果允许数据包通过的话，那

么，仍有可能攻击上述的这些服务。

5.2-2.4截取传输信息T（.PRIVACY)

攻击者可能截取通过防火墙传输的敏感信息。

6安全目标

6-1信息技术安全目标

防火墙应达到的信息技术安全目标如下：

6.1.?访问仲裁O（.ACCESS)

通过允许或拒绝从一个主体发（送实体）传到一个客体接（受实体）的信息流，在防火墙连接的网络

之间提供受控制的访问，这些控制是根据主体、客体的有关参数以及管理上配置的访问控制规则实现

的。

6.1.2管理员访问O（.ADMIN)

仅限授权的管理者才能访问防火墙，即只允许他们有配置防火墙的能力。

6.1.3个体身份记录O（.ACCOUNT)

个体身份记录提供了对用户身份的记录能力，并允许基于唯一身份对访问做出判定。鉴别为确定身

GB/T18020一1999

份是否真实提供了方法。

6.1.4防火墙的自保护O（.PROTECT)

为了成功地达到这一目标，防火墙应能把正在处理的数据与需要运算的数据分开，应保护自己不受

外部实体的攻击。此外，防火墙还应能保护授权管理员的通信会话。

6.1.5审计O（.AUDIT)

审计记录对于判定是否存在绕过安全策略的尝试，是否有因配置错误而允许了本应拒绝的访问这

类问题起着十分重要的作用。不仅应收集审计数据，还应使其具有可读性并容易使用。审计记录应受到

充分保护，并应了解丢失审计记录的可能性有多大，以帮助管理者做出正确的安全决定。

6.2非信息技术安全目标

非信息技术安全目标是指除防火墙技术要求之外还需满足的要求。它们不必实施防火墙硬件和软

件的机制，而是通过采用物理的、过程的或管理的方法来达到安全目标。

6.2.1安装与操作控制O（.INSTALL)

要确保防火墙的交付、安装、管理和操作都是安全可控的。

6.2.2物理控制0（.PACCESS)

应控制对防火墙的物理访问。

6.2.3授权管理人员培训O（.TRAIN)

对授权管理员进行培训，以保证建立和维护正确的安全策略和实施水准。

了安全要求

本章提出了符合本标准的防火墙必须满足的功能和保证要求。

7.1功能要求

本标准的安全功能要求概括于表l:

表1功能要求

功能分类功能组件

FDPACC.2完整的客体访问控制

FDPACF.4访问授权与拒绝

FDPAFC.2多种安全属性访问控制

用户数据保护

FDPRIP.3资源分配时对遗留信息的充分保护

FDPSAM.1管理员属性修改

FDPSAQ.1管理员属性查询

FIA＿ADA.1授权管理员、可信主机和用户鉴别数据初始化

FIAADP.1授权管理员、可信主机和用户鉴别数据的基本保护

FIAAFL.1鉴别失败的基本处理

FIAATA.1授权管理员、可信主机、主机和用户属性初始化

标识与鉴别

FIAATM授权管理员、可信主机、主机和用户唯一属性定义

FIA＿UAU.1授权管理员的基本鉴别

FIA＿UAU.2单一使用的鉴别机制

FIA＿UID.2授权管理员、可信主机、主机和用户唯一身份标识

密码支持FCSCOP.2符合规定的加密操作

GB/T18020一1999

表1（完）

功能分类功能组件

FPTRVM.1防火墙安全策略的不可旁路性

可信安全功能FPTSEP.1安全功能区域分隔

保护FPTTSA.2区分安全管理角色

FPTTSM.1管理功能

FAUGEN.1审计数据生成

FAUMGT.1审计跟踪管理

FAUPOP.1可理解的格式

安全审计FAUPRO.1限制审计跟踪访问

FAUSAR.1限制审计查阅

FAUSAR.3可选择查阅审计

FAUSTG.3防止审计数据丢失

要求综述：防火墙的安全策略由多级安全功能策略S（FPs）组成。下面定义两种策略，第一种策略称

为：未鉴别的端到端策略，主要讨论一个内部或外部网络上的主体通过防火墙发送数据流到一个外部或

内部网络上的客体。第二种策略称为：有鉴别的端到端策略，主要讨论一个内部或外部网络上的主体在

发送数据流前，必须通过防火墙的鉴别，才能将数据流传送给一个外部或内部网络上的客体。

7.1.1用户数据保护类F（DP)

完整的客体访问控制1（)(FDPACC.2)

FDP＿AM2.1防火墙的安全功能应在以下方面执行未［鉴别的端到端策略〕；

a)主「体：未经防火墙鉴别的主机〕；

b)客［体：内部或外部网上的主机」；

「以及安全功能策略S（FP）所包括的主体、客体的所有操作〕。

FDPAM2.2防火墙的安全功能应确保安全功能策略包括了控制范围内的任何主体和客体之

间的所有操作。

7.1.12完整的客体访问控制2（)(FDPACC.2)

FDP＿ACC.2.1防火墙的安全功能应在以下方面执行有［鉴别的端到端策略］：

a)主［体：经防火墙鉴别的用户〕；

b)客「体：在内部或外部网络上的主机］；

「以及安全功能策略所包括的主体、客体的所有操作］。

FDPACC,2.2防火墙的安全功能应确保安全功能策略包括了控制范围内的任何主体和客体之

间的所有操作。

访问授权与拒绝F（DPACF.4)

FDPAM4.1防火墙的安全功能应执行：

a)未［鉴别的端到端策略〕；

b)有「鉴别的端到端策略〕；

根据主体和客体的安全属性值提供明确的访问保障能力。

FDPACF.4.2防火墙的安全功能应执行：

a)［未鉴别的端到端策略］；

b)有［鉴别的端到端策略〕；

根据主体和客体的安全属性值提供明确的拒绝访问能力。

GB/T18020一1999

7}1}1}4多种安全属性访问控制（1)(FDPACF.2)

FDP＿ACF.2.1防火墙应根据仁源地址、目的地址、运输层协议和请求的服务如（源端口号和／或

目的端口号）〕对客体执行未「鉴别的端到端策略〕。

FDPACF.2.2防火墙应执行以下附加规则，以确定受控主体与受控客体之间的操作是否被允

许：

a)防「火墙应拒绝从外部网络发出的、但拥有内部网络上的主机源地址的访问或服务请求〕；

b)仁防火墙应拒绝从外部网络发出的、但拥有广播网络上的主机源地址的访问或服务请求〕；

c)［防火墙应拒绝从外部网络发出的、但拥有保留网络上的主机源地址的访问或服务请求〕；

d)防〔火墙应拒绝从外部网络发出的、但拥有环回网络上的主机源地址的访问或服务请求〕。

多种安全属性的访问控制(2（)(FDPACE2)

FDPACF.2.1防火墙应根据巨用