GA∕T1177-2014-信息安全技術(shù)第二代防火墻安全技術(shù)要求

中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)信息安全技術(shù)第二代防火墻安全技術(shù)要求Informationsecuritytechnology—Securitytechniquereq中華人民共和國(guó)公安部發(fā)布I 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 25安全技術(shù)要求 25.1總體說(shuō)明 25.2安全功能要求 55.3安全保證要求 5.4環(huán)境適應(yīng)性要求 5.5性能要求 Ⅲ本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。1信息安全技術(shù)第二代防火墻安全技術(shù)要求下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB17859—1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)劃分準(zhǔn)則GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)GB17859-1999、GB/T20281-2006和GB/T25069—2010界定的以及下列術(shù)語(yǔ)和定義適用于包含威脅以及敏感內(nèi)容。把SQL命令插人到web表單遞交或者頁(yè)面請(qǐng)求的參數(shù)中，以達(dá)到欺騙服務(wù)器執(zhí)行惡意SQL命令2惡意攻擊者往web頁(yè)面里插入惡意HTML代碼，當(dāng)用戶瀏覽該頁(yè)面時(shí)，嵌入web頁(yè)面里的DMZ:非軍事區(qū)(DemilitarizedZDNAT:目的網(wǎng)絡(luò)地址轉(zhuǎn)換(DestinationNAT)FTP:文件傳輸協(xié)議(FileTransferProtocol)HTTP:超文本傳輸協(xié)議(HypertextTransferProtocol)ICMP:網(wǎng)間控制報(bào)文協(xié)議(InternetControlMessagesProtocol)IP:網(wǎng)際協(xié)議(InternetProtocIPV4:互聯(lián)網(wǎng)協(xié)議第四版(InternetProtocolV4)IPV6:互聯(lián)網(wǎng)協(xié)議第六版(InternetProtocolV6)MAC:介質(zhì)訪問(wèn)控制(MediaAccessControP2P:對(duì)等網(wǎng)絡(luò)(Peer-to-pecr)PHP:計(jì)算機(jī)編程語(yǔ)言(HypertextPreprocessor)POP3:郵局協(xié)議3(PostOfficeProtocol3)SMTP:簡(jiǎn)單郵件傳送協(xié)議(SimpleSNAT:源網(wǎng)絡(luò)地址轉(zhuǎn)換(SourceIPNAT)SQL:結(jié)構(gòu)化查詢語(yǔ)言(StructuredQueryLanguage)SYN:TCP/IP建立連接時(shí)使用的握手信號(hào)(Synchronous)UDP:用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol)URL:統(tǒng)一資源定位器(UniformResourceLocator)XSS:跨站腳本攻擊(Cross控制和安全運(yùn)維管理；3按照第二代防火墻安全功能的強(qiáng)度劃分安全功能要求的級(jí)別，按照GB/T18336.3劃分安全保證依據(jù)安全功能的強(qiáng)弱和安全保證要求的高低將安全等級(jí)分為基本級(jí)和增強(qiáng)級(jí)?；炯?jí)與增強(qiáng)級(jí)的劃分見(jiàn)表1和表2。安全功能基本級(jí)網(wǎng)絡(luò)層控制包過(guò)濾狀態(tài)檢測(cè)策略路由帶寬管理連接數(shù)控制應(yīng)用層控制應(yīng)用協(xié)議訪問(wèn)控制應(yīng)用內(nèi)容訪問(wèn)控制入侵防御惡意代碼防護(hù)信息泄露防護(hù)安全運(yùn)維管理管理安全管理方式管理能力安全審計(jì)記錄事件類型日志內(nèi)容日志管理安全管理管理接口獨(dú)立安全支撐系統(tǒng)異常處理機(jī)制高可靠性升級(jí)注：“一”表示無(wú)此要求。表2安全保證要求等級(jí)劃分表安全保證基本級(jí)增強(qiáng)級(jí)部分配置管理自動(dòng)化配置管理能力版本號(hào)配置項(xiàng)授權(quán)控制產(chǎn)生支持和接受程序配置管理范圍一問(wèn)題跟蹤配置管理覆蓋一交付與運(yùn)行交付程序修改檢測(cè)一安裝、生成和啟動(dòng)程序功能規(guī)范非形式化功能規(guī)范充分定義的外部接口高層設(shè)計(jì)安全加強(qiáng)的高層設(shè)計(jì)安全功能實(shí)現(xiàn)的子集非形式化對(duì)應(yīng)性證實(shí)非形式化產(chǎn)品安全策略模型指導(dǎo)性文檔管理員指南用戶指南安全措施標(biāo)識(shí)開(kāi)發(fā)者定義的生命周期模型明確定義的開(kāi)發(fā)工具覆蓋證據(jù)功能測(cè)試一致性脆弱性評(píng)定誤用指南審查分析確認(rèn) 中級(jí)抵抗力注：“一”表示無(wú)此要求。5b)包含基于源IP地址、目的IP地址的訪問(wèn)控制；d)包含基于傳輸層協(xié)議類型的訪問(wèn)控制；g)支持用戶自定義，可以是以上條件的部分或a)支持雙向NAT:SNAT和DNAT;第二代防火墻應(yīng)支持自動(dòng)或管理員手工綁定IP/MAC地址，當(dāng)主機(jī)的IP地址、MAC地址與IP/具有多個(gè)相同屬性的網(wǎng)絡(luò)接口(即多個(gè)外部網(wǎng)絡(luò)接口、多個(gè)內(nèi)部網(wǎng)絡(luò)接口或多個(gè)DMZ網(wǎng)絡(luò)接口)b)能夠支持基于時(shí)間段的帶寬策略配置。6第二代防火墻應(yīng)能夠基于應(yīng)用層協(xié)議分析識(shí)別各種應(yīng)用協(xié)議并進(jìn)行控制，應(yīng)用協(xié)議識(shí)別庫(kù)不低于2000種，包括但不限于：e)安全策略包含基于文件類型的訪問(wèn)控制，并可基于文件類型進(jìn)行下載過(guò)濾。包括HTTP、d)能夠?qū)M(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET、SMTP和POP37a)基于用戶名/密碼的本地認(rèn)證方式；c)基于用戶/用戶組進(jìn)行訪問(wèn)控制。b)IP地址及端口掃描行為；b)支持檢測(cè)并攔截HTTP、FTP、電子郵件等協(xié)議所攜帶的惡b)XSS攻擊檢測(cè)與防護(hù)；c)對(duì)常見(jiàn)的Web服務(wù)器環(huán)境Web入侵的腳本攻擊工具(webshell)的攔截，包含ASP8e)對(duì)同一授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別。b)支持通過(guò)網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理，并能夠限定可進(jìn)行遠(yuǎn)程管理的網(wǎng)絡(luò)接口和可管理的IP地址；d)遠(yuǎn)程管理過(guò)程中，管理端與第二代防火墻之間的所有通訊數(shù)據(jù)應(yīng)保密傳輸。a)向授權(quán)管理員提供設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)的功能；c)向授權(quán)管理員提供管理審計(jì)日志的功能；e)能夠根據(jù)安全風(fēng)險(xiǎn)的情況自動(dòng)生成針對(duì)性的推薦策略；a)被防火墻包過(guò)濾策略允許/禁止的訪問(wèn)請(qǐng)求；b)被防火墻應(yīng)用訪問(wèn)控制策略允許/禁止的訪問(wèn)請(qǐng)求；c)檢測(cè)及防護(hù)的各類應(yīng)用防護(hù)事件；c)攻擊防護(hù)日志應(yīng)記錄各種類型攻擊事件的詳細(xì)描述；9d)支持以標(biāo)準(zhǔn)syslog方式把日志數(shù)據(jù)外發(fā)到統(tǒng)一日志服務(wù)器，對(duì)日志數(shù)據(jù)進(jìn)行集第二代防火墻的支撐系統(tǒng)應(yīng)滿足以下要求：a):確保其支撐系統(tǒng)不提供多余的網(wǎng)絡(luò)服務(wù)；b)不含可能導(dǎo)致產(chǎn)品權(quán)限丟失、a)安全策略恢復(fù)到關(guān)機(jī)前所保存的狀態(tài)；c)管理員重新認(rèn)證。a)支持物理設(shè)備狀態(tài)檢測(cè)。當(dāng)一臺(tái)防火墻自身出現(xiàn)斷電或其他故障時(shí)，另外一臺(tái)防火墻應(yīng)及時(shí)發(fā)現(xiàn)并接管主防火墻進(jìn)行工作，切換時(shí)間不超過(guò)5s;b)具備基于鏈路狀態(tài)檢測(cè)的雙機(jī)熱備功能，當(dāng)一臺(tái)防火墻直接相連的鏈路發(fā)生故障而無(wú)法正常工作時(shí)，另外一臺(tái)防火墻應(yīng)及時(shí)發(fā)現(xiàn)并接管主防火墻進(jìn)行工作，切換時(shí)間不超過(guò)5s;c)能夠支持主/主模式的雙機(jī)部署；d)具備操作系統(tǒng)冗余保證系統(tǒng)穩(wěn)定性。b)支持通過(guò)升級(jí)包以離線方式升級(jí)；c)支持手動(dòng)或定期在線升級(jí)；d)采取相應(yīng)措施保證升級(jí)過(guò)程安全。配置管理系統(tǒng)應(yīng)提供一種自動(dòng)方式來(lái)支持產(chǎn)品的生成，通過(guò)該方式確保只能對(duì)產(chǎn)品的實(shí)現(xiàn)表示進(jìn)配置管理計(jì)劃應(yīng)描述在配置管理系統(tǒng)中所使用的自動(dòng)工具，并描述在配置管理系統(tǒng)中如何使用自開(kāi)發(fā)者應(yīng)為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)。開(kāi)發(fā)者應(yīng)使用配置管理系統(tǒng)并提供配置管理文檔。配置管理文檔應(yīng)包括一個(gè)配置清單，配置清單應(yīng)唯一標(biāo)識(shí)組成產(chǎn)品的所有配置項(xiàng)并對(duì)配置項(xiàng)進(jìn)行開(kāi)發(fā)者提供的配置管理文檔應(yīng)包括一個(gè)配置管理計(jì)劃，配置管理計(jì)劃應(yīng)描述如何使用配置管理系統(tǒng)。實(shí)施的配置管理應(yīng)與配置管理計(jì)劃相一致。開(kāi)發(fā)者提供的配置管理文檔應(yīng)包括一個(gè)接受計(jì)劃，接受計(jì)劃應(yīng)描述用來(lái)接受修改過(guò)的或新建的作它們的修改是在一個(gè)正確授權(quán)的可控方式下進(jìn)行的。交付文檔應(yīng)描述如何提供多種程序和技術(shù)上的措施來(lái)檢測(cè)修改，或檢測(cè)開(kāi)發(fā)者的主拷貝和用戶方所收到版本之間的任何差異。還應(yīng)描述如何使用多種程序來(lái)發(fā)現(xiàn)試圖偽裝成開(kāi)發(fā)者，甚至是在開(kāi)發(fā)者a)使用非形式化風(fēng)格來(lái)描述產(chǎn)品安全功能及其外部接口；b)內(nèi)在一致；d)完備地表示產(chǎn)品安全功能。功能規(guī)范應(yīng)包括安全功能是完備地表示的基本原理。c)按子系統(tǒng)描述安全功能的結(jié)構(gòu)；d)描述每個(gè)安全功能子系統(tǒng)所提供的安全功能；e)標(biāo)識(shí)安全功能所要求的任何基的支持性保護(hù)機(jī)制所提供功能的一個(gè)表示；f)標(biāo)識(shí)安全功能子系統(tǒng)的所有接口；g)標(biāo)識(shí)安全功能子系統(tǒng)的哪些接口是外部可見(jiàn)的。開(kāi)發(fā)者提供的安全加強(qiáng)的高層設(shè)計(jì)應(yīng)滿足以下要求：b)把產(chǎn)品分成安全策略實(shí)施和其他子系統(tǒng)來(lái)描述。開(kāi)發(fā)者應(yīng)為選定的安全功能子集提供實(shí)現(xiàn)表示。實(shí)現(xiàn)表示應(yīng)當(dāng)無(wú)歧義且詳細(xì)地定義安全功能，無(wú)須進(jìn)一步設(shè)計(jì)就能生成安全功能。實(shí)現(xiàn)表示應(yīng)內(nèi)在一致。e)根據(jù)所提供的安全功能性和對(duì)其他模塊的依賴關(guān)系兩方面來(lái)定義模塊間的相互關(guān)系；f)描述每個(gè)安全策略實(shí)施功能是如何被提供的；g)標(biāo)識(shí)安全功能模塊的所有接口；h)標(biāo)識(shí)安全功能模塊的哪些接口是外部可見(jiàn)的；j)把產(chǎn)品分為安全策略實(shí)施模塊和其他模塊來(lái)描述。開(kāi)發(fā)者應(yīng)提供產(chǎn)品安全功能表示的所有相鄰對(duì)之間的對(duì)應(yīng)性分析。b)描述所有能被模型化的安全策略的規(guī)則與特征；d)闡明安全策略模型和功能規(guī)范之間的對(duì)應(yīng)性，即論證所有功能規(guī)范中的安全功能對(duì)于安全策c)在安全處理環(huán)境中應(yīng)被控制的功能和權(quán)限；d)所有對(duì)與產(chǎn)品的安全操作有關(guān)的用戶行為的假設(shè)；f)每一種與管理功能有關(guān)的安全相關(guān)事件，包括對(duì)安全功能所控制實(shí)體的安全特性進(jìn)行的改變；g)所有與管理員有關(guān)的IT環(huán)境安全要求。a)產(chǎn)品的非管理員用戶可使用的安全功能和接口；b)產(chǎn)品提供給用戶的安全功能和接口的使用方法；c)用戶可獲取但應(yīng)受安全處理環(huán)境所控制的所有功能和權(quán)限；d)產(chǎn)品安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；e)與用戶有關(guān)的IT環(huán)境的所有安全要求。開(kāi)發(fā)安全文檔應(yīng)描述在產(chǎn)品的開(kāi)發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的所開(kāi)發(fā)者應(yīng)建立一個(gè)生命周期模型對(duì)產(chǎn)品的開(kāi)發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔描述用于開(kāi)發(fā)和維護(hù)產(chǎn)品的模型。開(kāi)發(fā)者應(yīng)明確定義用于開(kāi)發(fā)產(chǎn)品的工具，并提供開(kāi)發(fā)工具文檔無(wú)歧義的定義實(shí)現(xiàn)中每個(gè)語(yǔ)句的含義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的含義。開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋的證據(jù)。在測(cè)試覆蓋證據(jù)中，應(yīng)表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的產(chǎn)品的安全功能是對(duì)應(yīng)的。測(cè)試覆蓋的分析結(jié)果應(yīng)表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的產(chǎn)品的安全功能之間深度分析應(yīng)證實(shí)測(cè)試文檔中所標(biāo)識(shí)的測(cè)試足以證實(shí)該產(chǎn)品的功能是依照其高層設(shè)計(jì)運(yùn)行的。測(cè)試結(jié)果的順序依賴性；a)標(biāo)識(shí)所有可能的產(chǎn)品運(yùn)行模式(包括失敗或操作失誤后的運(yùn)行)、它們的后果以及對(duì)于保持安c)列出關(guān)于預(yù)期使用環(huán)境的所有假設(shè)；開(kāi)發(fā)者應(yīng)提供完備的分析文檔論證指導(dǎo)性文檔。開(kāi)發(fā)者應(yīng)對(duì)指導(dǎo)性文檔中所標(biāo)識(shí)的每個(gè)具有安全功能強(qiáng)度聲明的安全機(jī)制進(jìn)行安全功能強(qiáng)度分開(kāi)發(fā)者應(yīng)從用戶可能破壞安全策略的明顯途徑出發(fā)，對(duì)產(chǎn)品的各種功能進(jìn)行分析并提供文檔。對(duì)開(kāi)發(fā)者應(yīng)提供文檔證明經(jīng)過(guò)標(biāo)識(shí)脆弱性的產(chǎn)品可以抵御明顯的穿透性攻擊。開(kāi)發(fā)者應(yīng)提供文檔證明產(chǎn)品可以抵御中級(jí)強(qiáng)度的穿透性攻擊，并提供證據(jù)說(shuō)明對(duì)脆弱性的搜索是第二代防火墻應(yīng)支持透明模式。第二代防火墻應(yīng)支持路由模式。b)IPv6NDP協(xié)議一致性。c)IPv6Autoconfig(自動(dòng)編碼)協(xié)議一致性。第二代防火墻應(yīng)保證協(xié)議的健壯性，能夠抵御IPv6網(wǎng)絡(luò)環(huán)境下畸形協(xié)議報(bào)文攻擊?；螀f(xié)議報(bào)文包括：第二代防火墻應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下自身管理。第二代防火墻應(yīng)至少支持以下…種IPv6過(guò)渡網(wǎng)絡(luò)環(huán)境：流量參考場(chǎng)景構(gòu)成如下：