GB/T 25068.3-2010信息技術安全技術IT網絡安全第3部分：使用安全網關的網間通信安全保護

ICS35020

L80.

中華人民共和國國家標準

GB/T250683—2010/ISO/IEC18028-32005

.:

信息技術安全技術IT網絡安全

第3部分使用安全網關的

:

網間通信安全保護

Informationtechnology—Securitytechniques—ITnetworksecurity—

Part3Securincommunicationsbetween

:g

networksusingsecuritygateways

(ISO/IEC18028-3:2005,IDT)

2010-09-02發(fā)布2011-02-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T250683—2010/ISO/IEC18028-32005

.:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術語和定義………………

31

縮略語……………………

43

安全要求…………………

54

安全網關技術……………

64

包過濾…………………

6.14

狀態(tài)包檢測……………

6.25

應用代理………………

6.35

網絡地址轉換…………………

6.4(NAT)5

內容分析和過濾………………………

6.55

安全網關組件……………

76

交換機…………………

7.16

路由器…………………

7.26

應用級網關……………

7.36

安全裝置………………

7.47

安全網關體系結構………………………

87

結構化方法……………

8.17

層次化方法……………

8.210

選擇和配置指南…………………………

913

安全網關體系結構和適當組件的選擇………………

9.113

硬件和軟件平臺………………………

9.214

配置……………………

9.314

安全特點和設置………………………

9.414

常規(guī)管理………………

9.515

日志……………………

9.615

文檔化…………………

9.715

審計……………………

9.816

培訓和教育……………

9.916

其他…………………

9.1016

參考文獻……………………

17

Ⅰ

GB/T250683—2010/ISO/IEC18028-32005

.:

前言

在信息技術安全技術網絡安全總標題下擬由以下個部分組成

GB/T25068《IT》,5:

第部分網絡安全管理

———1:;

第部分網絡安全體系結構

———2:;

第部分使用安全網關的網間通信安全保護

———3:;

第部分遠程接入的安全保護

———4:;

第部分使用虛擬專用網的跨網通信安全保護

———5:。

本部分為的第部分

GB/T250683。

本部分使用翻譯法等同采用國際標準信息技術安全技術網絡安全

ISO/IEC18028-3:2005《IT

第部分使用安全網關的網間通信安全保護英文版根據的規(guī)定做了如下一

3:》()。GB/T1.1—2000,

些編輯性修改

:

第章中增加了引用文件

———2“ISO/IECTR15947”;

在中對內容過濾加以說明并在中補充了內容過濾的內容關鍵字過濾為今后技

———3.6“”,6.5“”,

術發(fā)展預留了空間

;

刪除了第章中縮略語英文名稱中的以與中

———4S/MIME“protocol”,GB/T25068.4—2010

定義的同一術語統(tǒng)一另外增加了一些縮略語增加的縮略語在所在頁邊的

2.34S/MIME。,,

空白處用單豎線標出

“|”。

本部分由全國信息安全標準化技術委員會提出并歸口

(TC260)。

本部分起草單位黑龍江省電子信息產品監(jiān)督檢驗院中國電子技術標準化研究所哈爾濱工程大

:、、

學北京勵方華業(yè)技術有限公司山東省標準化研究院

、、。

本部分主要起草人王希忠張國印李健利王向輝黃俊強馬遙方舟王大萌樹彬張清江

:、、、、、、、、、、

王智許玉娜劉亞東邱意民王運福

、、、、。

Ⅲ

GB/T250683—2010/ISO/IEC18028-32005

.:

引言

通信和信息技術業(yè)界一直在尋找經濟有效的全面安全解決方案安全的網絡應受到保護免遭惡

。,

意和無意的攻擊并且應滿足業(yè)務對信息和服務的保密性完整性可用性抗抵賴可核查性真實性和

,、、、、、

可靠性的要求保護網絡安全對于適當維護計費或使用信息的準確性也是必要的產品的安全保護能

。。

力對于全網的安全包括應用和服務是至關重要的然而當更多的產品被組合起來以提供整體解決

()。,

方案時互操作性的優(yōu)劣將決定這種解決方案的成功與否安全不僅是對每種產品或服務的關注還必

,。,

須以促進全面的端到端安全解決方案中各種安全能力交合的方式來開發(fā)因此的目的

。,GB/T25068

是為網絡的管理操作和使用及其互連等安全方面提供詳細指南組織中負責一般安全和特定

IT、。IT

網絡安全的人員應能夠調整中的材料以滿足他們的特定要求的主要目

ITGB/T25068。GB/T25068

標如下

:

定義和描述網絡安全的相關概念并提供網絡安全管理指南包括考慮如

———GB/T25068.1,———

何識別和分析與通信相關的因素以確立網絡安全要求還介紹可能的控制領域和特定的技術

,

領域在的后續(xù)部分中涉及

(GB/T25068);

定義一個標準的安全體系結構它描述一個支持規(guī)劃設計和實施網絡安全的

———GB/T25068.2,、

一致框架

;

定義使用安全網關保護網絡間信息流安全的技術

———GB/T25068.3;

定義保護遠程接入安全的技術

———GB/T25068.4;

定義對使用虛擬專用網建立的網絡間連接進行安全保護的技術

———GB/T25068.5(VPN)。

與涉及擁有操作或使用網絡的所有人員相關除了對信息安全和或網絡安

GB/T25068.1、。(IS)/

全及網絡操作負有特定責任的或對組織的全面安全規(guī)劃和安全策略開發(fā)負有責任的管理者和管理員

,

外還包括高級管理者和其他非技術性管理者或用戶

,。

與涉及規(guī)劃設計和實施網絡安全體系結構方面的所有人員例如網絡管理者

GB/T25068.2、(IT、

管理員工程師和網絡安全主管相關

、IT)。

與涉及詳細規(guī)劃設計和實施安全網關的所有人員例如網絡管理者管理員

GB/T25068.3、(IT、、

工程師和網絡安全主管相關

IT)。

與涉及詳細規(guī)劃設計和實施遠程接入安全的所有人員例如網絡管理者管理

GB/T25068.4、(IT、

員工程師和網絡安全主管相關

、IT)。

與涉及詳細規(guī)劃設計和實施安全的所有人員例如網絡管理者管理員

GB/T25068.5、VPN(IT、、

工程師和網絡安全主管相關

IT)。

Ⅳ

GB/T250683—2010/ISO/IEC18028-32005

.:

信息技術安全技術IT網絡安全

第3部分使用安全網關的

:

網間通信安全保護

1范圍

的本部分規(guī)定了各種安全網關技術組件和各種類型的安全網關體系結構它還提

GB/T25068、。

供安全網關的選擇和配置指南

。

盡管個人防火墻使用類似的技術但因為它不作為安全網關使用所以它不在本部分的范圍之內

,,。

本部分適用于技術和管理人員例如管理者系統(tǒng)管理員網絡管理員和安全人員本部分

,IT、、IT。

提供的指南有助于用戶正確地選擇最能滿足其安全要求的安全網關體系結構類型

。

2規(guī)范性引用文件

下列文件中的條款通過的本部分的引用而成為本部分的條款凡是注日期的引用文

GB/T25068。

件其隨后所有的修改單不包括勘誤的內容或修訂版均不適用于本部分然而鼓勵根據本部分達成

,(),,

協(xié)議的各方研究是否可使用這些文件的最新版本凡是不注日期的引用文件其最新版本適用于本

。