IPv6網(wǎng)絡安全設備技術要求 第3部分：入侵防御系統(tǒng)（IPS）

ICS33.040.40

CCSM32

中華人民共和國國家標準

GB/TXXXXX.3—XXXX

`

IPv6網(wǎng)絡安全設備技術要求

第3部分：入侵防御系統(tǒng)（IPS）

TechnicalrequirementforIPv6networksecurityequipment—Part3:

Intrusionpreventionsystem

(點擊此處添加與國際標準一致性程度的標識)

（征求意見稿）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX.3—XXXX

目次

前言..........................................................................III

引言...........................................................................IV

1范圍................................................................................5

2規(guī)范性引用文件......................................................................5

3術語和定義..........................................................................5

4縮略語..............................................................................6

5功能性..............................................................................7

數(shù)據(jù)探測........................................................................7

5.1.1數(shù)據(jù)收集....................................................................7

5.1.2協(xié)議分析....................................................................7

5.1.3行為監(jiān)測....................................................................7

5.1.4流量監(jiān)測....................................................................7

5.1.5流量過濾....................................................................7

入侵分析........................................................................7

5.2.1數(shù)據(jù)分析....................................................................7

5.2.2入侵取證....................................................................8

5.2.3攻擊防護....................................................................8

拒絕服務攻擊防護........................................................8

漏洞攻擊防護............................................................8

WEB攻擊防護.............................................................8

僵木蠕攻擊防護..........................................................9

自動化攻擊威脅防護......................................................9

攻擊逃逸防護............................................................9

外部系統(tǒng)協(xié)同防護........................................................9

威脅情報庫..............................................................9

入侵響應........................................................................9

管理控制........................................................................9

檢測結果處理....................................................................9

安全策略........................................................................9

5.6.1與IP地址無關的策略........................................................10

5.6.2自動化策略.................................................................10

5.6.3策略的集中管理.............................................................10

6性能...............................................................................10

網(wǎng)絡層吞吐量...................................................................10

混合應用層吞吐量...............................................................10

TCP新建連接速率................................................................10

TCP并發(fā)連接數(shù)..................................................................10

I

GB/TXXXXX.3—XXXX

誤攔截率.......................................................................10

漏攔截率.......................................................................10

7兼容性.............................................................................10

8可靠性.............................................................................11

9自身安全性.........................................................................11

10可維護性..........................................................................11

參考文獻.......................................................................12

II

GB/TXXXXX.3—XXXX

引言

根據(jù)《關于加快推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應用工作的通知》，為更好面對網(wǎng)絡復

雜化和用戶規(guī)模擴大化帶來的安全挑戰(zhàn)，推動IPv6網(wǎng)絡安全工作的標準化，我國制定了一系列IPv6安

全標準。其中，GB/TXXXXX《IPv6網(wǎng)絡安全設備技術要求》是為規(guī)范在IPv6中網(wǎng)絡安全產(chǎn)品的適用

性的技術標準，擬分為以下部分：

——第1部分：防火墻。目的在于IPv6部署后，保障防火墻在新的網(wǎng)絡環(huán)境中的有效應用。

——第2部分：Web應用防火墻。目的在于IPv6部署后，保障Web應用防火墻在新的網(wǎng)絡環(huán)境

中的有效應用。

——第3部分：入侵防御系統(tǒng)（IPS）。目的在于IPv6部署后，保障入侵防御系統(tǒng)（IPS）在新的

網(wǎng)絡環(huán)境中的有效應用。

IV

GB/TXXXXX.3—XXXX

IPv6網(wǎng)絡安全設備技術要求

第3部分：入侵防御系統(tǒng)（IPS）

1范圍

本文件規(guī)定了支持IPv6的入侵防御系統(tǒng)設備的安全技術要求，包括功能性、性能、兼容性、可靠性、

自身安全性和可維護性。

本文件適用于支持IPv6的入侵防御系統(tǒng)設備的設計、開發(fā)、部署、使用、維護與測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069-2022信息安全技術術語

GB/T28451-2023信息安全技術網(wǎng)絡型入侵防御產(chǎn)品技術要求和測試評價方法

GB42250-2022信息安全技術網(wǎng)絡安全專用產(chǎn)品安全技術要求

GB/TXXXXX.1IPv6網(wǎng)絡安全設備技術要求第1部分：防火墻

3術語和定義

GB/T25069-2022、GB/T28451-2023界定的術語和定義適用于本文件。

入侵防御系統(tǒng)

特別設計用來提供主動響應能力的入侵檢測系統(tǒng)的變體。

注：［來源：GB/T25069-2022，3.497］

安全事件incident

對網(wǎng)絡和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害的事件。

告警alert

當攻擊或入侵發(fā)生時，網(wǎng)絡入侵檢測系統(tǒng)向授權管理員發(fā)出的緊急通知，告警。

支撐系統(tǒng)supportingsystem

支撐網(wǎng)絡入侵檢測系統(tǒng)運行的操作系統(tǒng)。

5

GB/TXXXXX.3—XXXX

誤截falseblocking

入侵防御系統(tǒng)設備在未發(fā)生攻擊時對會話進行攔截的情況。

注：［來源：GB/T28451-2023］

漏截missblocking

當出現(xiàn)設備支持的攻擊行為時，入侵防御系統(tǒng)設備未實現(xiàn)攔截攻擊的情況。

注：［來源：GB/T28451-2023］

4縮略語

下列縮略語適用于本文件。

CC：挑戰(zhàn)黑洞（ChallengeCollapsar）

ALG：應用層網(wǎng)關（ApplicationLayerGateway）

CGN：運營商級NAT(CarriergradeNAT)

CPU：中央處理單元(CentralProcessUnit)

CSRF：跨站請求偽造（Cross-siterequestforgery）

DHCPv6：IPv6動態(tài)主機配置協(xié)議（DynamicHostConfigurationProtocolforIPv6)

DMZ：非軍事區(qū)（DemilitarizedZone）

DNSv6：IPv6域名系統(tǒng)（DomainNameSystemforIPv6）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）

HTTPs：安全超文本傳輸協(xié)議（HypertextTransferProtocolSecure）

ICMP:網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocol）

ICMPv6：IPv6網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocolforIPv6）

ID：標識符（Identifiers）

IMAP：郵件訪問協(xié)議(InternetMailAccessProtocol,Internet)

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

IPv4：互聯(lián)網(wǎng)協(xié)議第4版（InternetProtocolVersion4）

IPv6：互聯(lián)網(wǎng)協(xié)議第6版（InternetProtocolVersion6）

ISATAP：站點內(nèi)自動隧道尋址協(xié)議(Intra-SiteAutomaticTunnelAddressingProtocol)

LDAP：輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol)

MAC：媒體訪問控制（MediaAccessControl）

MIB：管理信息庫(ManagementInformationBase)

NAT：網(wǎng)絡地址轉換（NetworkAddressTranslation）

NDP：鄰居發(fā)現(xiàn)協(xié)議(NeighborDiscoveryProtocol)

NETCONF：網(wǎng)絡配置協(xié)議（NetworkConfigurationProtocol）

OSPFv3：開放式最短路徑優(yōu)先版本3（OpenShortestPathFirstVersion3）

P2P：點對點（PointtoPoint)

6

GB/TXXXXX.3—XXXX

POP3：郵局協(xié)議版本3（PostOfficeProtocolVersion3）

RESTCONF：以HTTP協(xié)議描述的網(wǎng)絡配置協(xié)議（RestfulNetworkConfigurationProtocol）

RIPng：下一代路由信息協(xié)議（RoutingInformationProtocolnextgeneration）

SMTP：簡單郵件傳送協(xié)議（SimpleMailTransferProtocol）

SNMP：簡單網(wǎng)絡管理協(xié)議（SimpleNetworkingManagementProtocol）

SQL：結構化查詢語言（StructuredQueryLanguage）

SRv6：IPv6段路由（SegmentRoutingIPv6）

SSL：安全套接層(SecureSocketLayer)

TCP：傳輸控制協(xié)議（TransportControlProtocol）

TFTP：簡單文件傳輸協(xié)議（TrivialFileTransferProtocol）

UDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol）

URL：統(tǒng)一資源定位器（UniformResourceLocator）

VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）

VNI：網(wǎng)絡標識符（VXLANNetworkIdentifier）

VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）

VXLAN：虛擬可擴展的局域網(wǎng)（VirtualeXtensibleLocalAreaNetwork）

XSS：跨站腳本（CrossSiteScripting）

5功能性

數(shù)據(jù)探測

5.1.1數(shù)據(jù)收集

設備應具有實時獲取受保護網(wǎng)段內(nèi)的IPv6協(xié)議數(shù)據(jù)包的能力用于檢測分析。

5.1.2協(xié)議分析

設備應對收集的IPv6協(xié)議數(shù)據(jù)包進行協(xié)議分析，統(tǒng)計報文信息，還原協(xié)議棧內(nèi)容，識別攻擊載荷。

5.1.3行為監(jiān)測

設備應支持監(jiān)視基于IPv6協(xié)議的端口掃描、非法外聯(lián)或非授權訪問、應用層暴力破解等攻擊。

5.1.4流量監(jiān)測

設備應支持監(jiān)視IPv6協(xié)議的報文流量和字節(jié)流量。

5.1.5流量過濾

設備應支持通過配置IPv6黑白名單，過濾掉不關注的流量或者僅接收關注流量。

入侵分析

5.2.1數(shù)據(jù)分析

7

GB/TXXXXX.3—XXXX

設備應對收集的IPv6數(shù)據(jù)包進行分析，發(fā)現(xiàn)安全事件。

5.2.2入侵取證

設備應對含有IPv6地址的入侵內(nèi)容進行證據(jù)保留，用于進一步分析和判定。

5.2.3攻擊防護

拒絕服務攻擊防護

設備應支持基于IPv6的拒絕服務攻擊防護功能，包括但不限于：

a)NDPFlood攻擊防護；

b)UDPFlood攻擊防護；

c)TCPFlood攻擊防護；

d)HTTPFlood攻擊防護；

e)HTTPSFlood攻擊防護；

f)DNSFlood攻擊防護；

g)SIPFlood攻擊防護；

h)ICMPFlood攻擊防護；

i)IPv6擴展頭攻擊防護。

漏洞攻擊防護

設備具備特征庫，應支持在IPv6網(wǎng)絡環(huán)境中能發(fā)現(xiàn)并阻斷已知應用層漏洞攻擊事件，防止入侵行為

進入目標網(wǎng)絡，包括但不限于：

a)操作系統(tǒng)類漏洞攻擊防護；

b)中間件類漏洞攻擊防護；

c)控件類漏洞攻擊防護；

d)數(shù)據(jù)庫類漏洞攻擊防護。

WEB攻擊防護

設備具備特征庫，應支持IPv6網(wǎng)絡環(huán)境下的Web攻擊防護功能，包括但不限于：

a)SQL注入攻擊防護；

b)XSS攻擊防護；

c)第三方組件漏洞攻擊防護；

d)目錄遍歷攻擊防護；

e)Cookie注入攻擊防護；

f)CSRF攻擊防護；

g)文件包含攻擊防護；

h)盜鏈防護；

i)命令注入攻擊防護；

j)Webshell攻擊防護；

8

GB/TXXXXX.3—XXXX

k)反序列化攻擊防護；

l)CC攻擊防護。

僵木蠕攻擊防護

設備具備特征庫，應支持IPv6網(wǎng)絡環(huán)境下的僵尸網(wǎng)絡、木馬蠕蟲、遠程控制類的攻擊防護。

自動化攻擊威脅防護

設備具備特征庫，應支持防護IPv6網(wǎng)絡環(huán)境下自動化攻擊發(fā)起的攻擊，包括但不限于：

a)網(wǎng)絡端口掃描行為防護；

b)應用掃描行為防護；

c)漏洞利用工具防護。

攻擊逃逸防護

設備應支持檢測并阻斷經(jīng)逃逸技術處理過的攻擊行為。

外部系統(tǒng)協(xié)同防護

設備應提供聯(lián)動接口，能通過接口與其它網(wǎng)絡安全設備進行聯(lián)動，如執(zhí)行其它網(wǎng)絡安全設備下發(fā)的

安全策略、黑名單等，應支持IPv6網(wǎng)絡環(huán)境下的對接聯(lián)動能力。

威脅情報庫

設備應支持IPv6威脅情報庫，用于配合相關安全功能。

入侵響應

設備應根據(jù)定義的策略對入侵行為進行攔截、告警等。

管理控制

設備的管理控制功能要求如下：

a)定制安全策略、審閱日志、產(chǎn)品狀態(tài)管理，并以可視化形式提交授權用戶進行管理；

b)提供北向API，第三方可通過API對系統(tǒng)實現(xiàn)安全策略配置管理，產(chǎn)品狀態(tài)管理，并提供合理

的安全校驗機制；

c)管理接口與業(yè)務接口使用不同的物理接口，確保管理數(shù)據(jù)流和業(yè)務數(shù)據(jù)流的分離。

檢測結果處理

發(fā)現(xiàn)安全事件后可以通過郵件、短消息、調(diào)用特定API等方式，在5分鐘內(nèi)提醒管理者或者安全運維

人員。

安全策略

在使用IPv6網(wǎng)絡入侵防御設備時，用戶無法再以IP地址及五元組作為基礎實現(xiàn)安全策略和事件響應

策略的配置管理。要想高效使用入侵防御設備內(nèi)的各種安全功能，就需要支持更為靈活的安全策略設置

與管理方法。

9

GB/TXXXXX.3—XXXX

5.6.1與IP地址無關的策略

在安全策略的設置中應支持使用以下方式：包括但不限于基于用戶身份、基于網(wǎng)絡域名以及域名前

后綴、基于網(wǎng)絡應用種類、基于協(xié)議類型、基于協(xié)議標簽（如：IPv6標簽、VXLANID等）、基于物理

端口、基于網(wǎng)絡數(shù)據(jù)流流向、基于VLANID等。

5.6.2自動化策略

設備宜通過與AD服務器、證書系統(tǒng)、域名系統(tǒng)的對接，自動獲得網(wǎng)絡通信對應的用戶身份或者可

靠網(wǎng)絡標識，以實現(xiàn)動態(tài)靈活的安全策略管理。

5.6.3策略的集中管理

設備應支持功能面與策略面的分離，各種安全策略應當能夠統(tǒng)一配置，以保證安全策略的準確性，

適用于多設備分布式部署場景。

6性能

網(wǎng)絡層吞吐量

設備在IPv6網(wǎng)絡環(huán)境中，視不同速率的產(chǎn)品有所不同，應至少符合GB/T28451-2023中6.3.1規(guī)定的

要求。

混合應用層吞吐量

設備在IPv6網(wǎng)絡環(huán)境中，視不同速率的產(chǎn)品有所不同，應至少符合GB/T28451-2023中6.3.2規(guī)定的

要求。

TCP新建連接速率

設備在IPv6網(wǎng)絡環(huán)境中，視不同速率的產(chǎn)品有所不同，應至少符合GB/T28451-2023中6.3.3規(guī)定的

要求。

TCP并發(fā)連接數(shù)

設備在IPv6網(wǎng)絡環(huán)境中，視不同速率的產(chǎn)品有所不同，應至少符合GB/T28451-2023中6.3.4規(guī)定的

要求。

誤攔截率

設備在IPv6網(wǎng)絡環(huán)境中，視不同速率的產(chǎn)品有所不同，應至少符合GB/T28451-2023中6.3.5規(guī)定的

要求。

漏攔截率

設備在IPv6網(wǎng)絡環(huán)境中，視不同速率的產(chǎn)品有所不同，應至少符合GB/T28451-2023中6.3.6規(guī)定的

要求。

7兼容性

10

GB/TXXXXX.3—XXXX

應符合GB/TXXXXX.1IPv6網(wǎng)絡安全設備技術要求第1部分：防火墻6.3規(guī)定的要求。

8可靠性

應符合GB/TXXXXX.1IPv6網(wǎng)絡安全設備技術要求第1部分：防火墻8可靠性規(guī)定的要求。

9自身安全性

應符合GB/TXXXXX.1IPv6網(wǎng)絡安全設備技術要求第1部分：防火墻9自身安全性規(guī)定的要求。

10可維護性

應符合GB/TXXXXX.1IPv6網(wǎng)絡安全設備技術要求第1部分：防火墻10可維護性規(guī)定的要求。

11

GB/TXXXXX.3—XXXX

參考文獻

[1]GB/T25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價（SQuaRE）第51部分：就緒

可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測試細則

12

GB/TXXXXX.3—XXXX

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定

起草。

本文件是“IPv6網(wǎng)絡安全設備技術要求”系列標準之一，該系列標準的結構及名稱如下：

——GB/TXXXXXIPv6網(wǎng)絡安全設備技術要求第1部分：防火墻；

——GB/TXXXXXIPv6網(wǎng)絡安全設備技術要求第2部分：Web應用防火墻；

——GB/TXXXXXIPv6網(wǎng)絡安全設備技術要求第3部分：入侵防御系統(tǒng)（IPS）（本文件）。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。

本文件由中華人民共和國工業(yè)和信息化部提出。

本文件由全國通信標準化技術委員會（SAC/TC485）歸口。

本文件起草單位：

本文件主要起草人：

III

GB/TXXXXX.3—XXXX

IPv6網(wǎng)絡安全設備技術要求

第3部分：入侵防御系統(tǒng)（IPS）

1范圍

本文件規(guī)定了支持IPv6的入侵防御系統(tǒng)設備的安全技術要求，包括功能性、性能、兼容性、可靠性、

自身安全性和可維護性。

本文件適用于支持IPv6的入侵防御系統(tǒng)設備的設計、開發(fā)、部署、使用、維護與測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069-2022信息安全技術術語

GB/T28451-2023信息安全技術網(wǎng)絡型入侵防御產(chǎn)品技術要求和測試評價方法

GB42250-2022信息安全技術網(wǎng)絡安全專用產(chǎn)品安全技術要求

GB/TXXXXX.1IPv6網(wǎng)絡安全設備技術要求第1部分：防火墻

3術語和定義

GB/T25069-2022、GB/T28451-2023界定的術語和定義適用于本文件。

入侵防御系統(tǒng)

特別設計用來提供主動響應能力的入侵檢測系統(tǒng)的變體。

注：［來源：GB/T25069-2022，3.497］

安全事件incident

對網(wǎng)絡和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害的事件。

告警alert

當攻擊或入侵發(fā)生時，網(wǎng)絡入侵檢測系統(tǒng)向授權管理員發(fā)出的緊急通知，告警。

支撐系統(tǒng)supportingsystem

支撐網(wǎng)絡入侵檢測系統(tǒng)運行的操作系統(tǒng)。

5

GB/TXXXXX.3—XXXX

誤截falseblocking

入侵防御系統(tǒng)設備在未發(fā)生攻擊時對會話進行攔截的情況。

注：［來源：GB/T28451-2023］

漏截missblocking

當出現(xiàn)設備支持的攻擊行為時，入侵防御系統(tǒng)設備未實現(xiàn)攔截攻擊的情況。

注：［來源：GB/T28451-2023］

4縮略語

下列縮略語適用于本文件。

CC：挑戰(zhàn)黑洞（ChallengeCollapsar）

ALG：應用層網(wǎng)關（ApplicationLayerGateway）

CGN：運營商級NAT(CarriergradeNAT)

CPU：中央處理單元(CentralProcessUnit)

CSRF：跨站請求偽造（Cross-siterequestforgery）

DHCPv6：IPv6動態(tài)主機配置協(xié)議（DynamicHostConfigurationProtocolforIPv6)

DMZ：非軍事區(qū)（DemilitarizedZone）

DNSv6：IPv6域名系統(tǒng)（DomainNameSystemforIPv6）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）

HTTPs：安全超文本傳輸協(xié)議（HypertextTransferProtocolSecure）

ICMP:網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocol）

ICMPv6：IPv6網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocolforIPv6）

ID：標識符（Identifiers）

IMAP：郵件訪問協(xié)議(InternetMailAccessProtocol,Internet)

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

IPv4：互聯(lián)網(wǎng)協(xié)議第4版（InternetProtocolVersion4）

IPv6：互聯(lián)網(wǎng)協(xié)議第6版（InternetProtocolVersion6）

ISATAP：站點內(nèi)自動隧道尋址協(xié)議(Intra-SiteAutomaticTunnelAddressingProtocol)

LDAP：輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol)

MAC：媒體訪問控制（MediaAccessControl）

MIB：管理信息庫(ManagementInformationBase)

NAT：網(wǎng)絡地址轉換（NetworkAddressTranslation）

NDP：鄰居發(fā)現(xiàn)協(xié)議(NeighborDiscoveryProtocol)

NETCONF：網(wǎng)絡配置協(xié)議（NetworkConfigurationProtocol）

OSPFv3：開放式最短路徑優(yōu)先版本3（OpenShortestPathFirstVersion3）

P2P：點對點（PointtoPoint)

6

GB/TXXXXX.3—XXXX

POP3：郵局協(xié)議版本3（PostOfficeProtocolVersion3）

RESTCONF：以HTTP協(xié)議描述的網(wǎng)絡配置協(xié)議（RestfulNetworkConfigurationProtocol）

RIPng：下一代路由信息協(xié)議（RoutingInformationProtocolnextgeneration）

SMTP：簡單郵件傳送協(xié)議（SimpleMailTransferProtocol）

SNMP：簡單網(wǎng)絡管理協(xié)議（SimpleNetworkingManagementProtocol）

SQL：結構化查詢語言（Struct