GB/T 25068.4-2022信息技术安全技术网络安全第4部分：使用安全网关的网间通信安全保护

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T250684—2022/ISO/IEC27033-42014

.:

代替GB/T250683—2010

.

信息技术安全技术网络安全

第4部分使用安全网关的网间

:

通信安全保护

Informationtechnology—Securitytechniques—Networksecurity—

Part4Securincommunicationsbetweennetworksusinsecuritatewas

:ggygy

ISO/IEC27033-42014IDT

(:,)

2022-10-12发布2023-05-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T250684—2022/ISO/IEC27033-42014

.:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

文档结构

5…………………3

概述

6………………………3

安全威胁

7…………………5

安全需求

8…………………5

安全控制

9…………………6

通则

9.1…………………6

无状态包过滤

9.2………………………7

状态包检测

9.3…………………………7

应用防火墙

9.4…………………………7

内容过滤

9.5……………8

入侵防御系统和入侵检测系统

9.6……………………9

安全管理

9.7API………………………9

设计技术

10…………………9

安全网关组件

10.1………………………9

部署安全网关控件

10.2………………10

产品选择指南

11…………………………13

通则

11.1………………13

选择安全网关结构和适当组件

11.2…………………13

硬件和软件平台

11.3…………………13

配置

11.4………………13

安全功能设置

11.5……………………14

管理能力

11.6…………………………15

日志记录功能

11.7……………………15

审计功能

11.8…………………………15

培训和教育

11.9………………………15

实现类型

11.10…………………………15

高可用性和运行模式

11.11……………16

其他注意事项

11.12……………………16

参考文献

……………………17

GB/T250684—2022/ISO/IEC27033-42014

.:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是信息技术安全技术网络安全的第部分已发布了以

GB/T25068《》4。GB/T25068

下部分

:

第部分综述和概念

———1:;

第部分网络安全设计和实现指南

———2:;

第部分面向网络接入场景的威胁设计技术和控制

———3:、;

第部分使用安全网关的网间通信安全保护

———4:;

第部分使用虚拟专用网的跨网通信安全保护

———5:。

本文件代替信息技术安全技术网络安全第部分使用安全网关

GB/T25068.3—2010《IT3:

的网间通信安全保护与相比除结构调整和编辑性改动外主要技术变化

》。GB/T25068.3—2010,,

如下

:

更改了陈述范围时所使用的推荐条款和表述方式见第章年版的第章

a)“”(1,20101);

更改了术语和定义的内容见第章年版的第章

b)“”(3,20103);

删除了等缩略语增加了等缩略语

c)“IT”“IDP”“V.35”,“ACL”“ASIC”“CPU”“DDoS”“URL”

见第章年版的第章

(4,20104);

增加了文档结构概述安全威胁三章见第章第章

d)“”“”“”(5~7);

将安全要求更改为安全需求增加了表并将年版的有关内容更改后纳入见第

e)“”“”,“1”,2010(

章年版的第章

8,20105);

将安全网关技术更改为安全控制见第章年版的第章增加了要素通则见

f)“”“”(9,20106),“”(

入侵防御系统和入侵检测系统见安全管理见删除了要素网络地

9.1)、“”(9.6)、“API”(9.7),“

址转换见年版的

(NAT)”(20106.4);

删除了状态包检测防火墙与应用代理防火墙的优缺点比较并将年版的有关内容更

g)“”“”,2010

改后纳入见年版的

(9.3,20106.2);

将应用代理更改为应用防火墙并将年版的有关内容更改后纳入见年版

h)“”“”,2010(9.4,2010

的

6.3);

将内容分析和过滤更改为内容过滤增加了内容分析列项协议分析并将年版

i)“”“”,“”“”,2010

的有关内容更改后纳入见年版的

(9.5,20106.5);

将安全网关组件与安全网关体系结构两章合并为设计技术一章删除了悬空段引导

j)“”“”“”,

词重新绘制了示意图见图图年版的图图并将年版的有关内容更改

,(3~6,20101~4),2010

后纳入见第章年版的第章第章

(10,20107、8);

增加了可能存在负载均衡交换机的使用规则见年版的

k)“”(10.1.1,20107.1);

将应用级网关更改为应用层网关增加了网关的使用规则并将年版的有关

l)“”“”,“SIP”,2010

内容更改后纳入见年版的

(10.1.3,20107.3);

增加了监控功能的使用规则见

m)“”(10.1.5);

将安全网关体系结构更改为部署安全网关控件删除了悬置段见年版的

n)“”“”,(10.2,2010

8.1);

删除了要素层次化方法见年版的

o)“”(20108.2);

Ⅰ

GB/T250684—2022/ISO/IEC27033-42014

.:

删除了关于屏蔽主机体系结构优缺点的表述段落见年版的

p)“”(20108.1.3);

增加了包过滤防火墙的使用规则见

q)“”(10.2.1);

增加了要素通则见

r)“”(11.1);

将安全特点和设置更改为安全功能设置增加了支持对打包的企业或其他业务应用程序

s)“”“”,“

的代理服务和支持识别协议流中运行的应用如办公效率应用嵌入式视频即时消息等

”“(、、)”

的推荐条款并将年版的有关内容更改后纳入见年版的

,2010(11.5,20109.4);

增加规定了细粒度的访问权限见年版的

t)“”(11.6,20109.6);

删除了要素文档化见年版的

u)“”(20109.7);

增加了要素实现类型和要素高可用性和运行模式见

v)“”“”(11.10、11.11)。

本文件等同采用信息技术安全技术网络安全第部分使用安全

ISO/IEC27033-4:2014《4:

网关的网间通信安全保护

》。

本文件做了下列最小限度的编辑性改动

:

用资料性引用的替换了见

———GB/T20985.2—2020ISO/IEC27035(9.1);

用资料性引用的替换了见

———GB/T28454—2020ISO/IEC27039(9.5);

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位黑龙江省网络空间研究中心中国电子技术标准化研究院安天科技集团股份有

:、、

限公司黑龙江安信与诚科技开发有限公司上海工业控制安全创新科技有限公司哈尔滨理工大学哈

、、、、

尔滨工业大学

。

本文件主要起草人方舟曲家兴谷俊涛于海宁肖鸿江李琳琳李锐宋雪杨霄璇白瑞

:、、、、、、、、、、

王大萌上官晓丽甘俊杰杜宇芳呼大永马遥黄海树彬张国华燕思嘉许言吴琼姜天一周莹

、、、、、、、、、、、、、、

曹威方伟童松华赵超祝宇琳石冬青单建中孟庆川倪华

、、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2010GB/T25068.3—2010;

本次为第一次修订编号调整为

———,GB/T25068.4—2022。

Ⅱ

GB/T250684—2022/ISO/IEC27033-42014

.:

引言

的目的是为信息系统网络的管理运行使用及互联互通提供安全方面的详细指导

GB/T25068、、。

方便组织内负责信息安全特别是网络安全的人员能够采纳本文件以满足其特定需求拟由六个部分

。

构成

。

第部分综述和概念目的是定义和描述与网络安全相关的概念并提供管理指导

———1:。。

第部分网络安全设计和实现指南目的是为组织如何规划设计实现高质量的网络安全

———2:。、、

体系以确保网络安全适合相应的业务环境提供指导

,。

第部分面向网络接入场景的威胁设计技术和控制目的是列举与典型的网络接入场景相

———3:、。

关的具体风险设计技术和控制适用于所有参与网络安全架构方面规划设计和实施的人员

、,、。

第部分使用安全网关的网间通信安全保护目的是确保使用安全网关的网间通信安全

———4:。。

它提供了如何识别和分析与安全网关相关的网络安全威胁基于威胁分析定义安全网关的网

、

络安全需求介绍了以解决典型网络场景相关的威胁和控制方面的网络技术安全结构设计技

、

术实现并解决与使用安全网关实施操作监视和审查网络安全控制相关问题的指南本文

,、、。

件适用于所有参与安全网关详细规划设计和实施的人员例如网络架构师和设计人员网络

、(、

管理员和网络安全主管

)。

第部分使用虚拟专用网的跨网通信安全保护目的是定义使用虚拟专用网络建立安全连

———5:。

接的具体风险设计技术和控制要素

、。

第部分无线网络访问安全目的是为选择实施和监测使用无线网络提供安全通信所必需

———6:。、

的技术控制提供指南并用于第部分中涉及使用无线网络的技术安全架构或设计选项的审

,2

查与选择

。

是在信息技术安全技术信息安全控制实践指南的基础上进一步

GB/T25068GB/T22081《》,

对网络安全控制提供了详细的实施指导仅强调业务类型等因素影响网络安全的重要性

。GB/T25068

而不做具体说明

。

本文件凡涉及采用密码技术解决保密性完整性真实性抗抵赖性需求的遵循密码相关国家标准

、、、,

和行业标准

。

Ⅲ

GB/T250684—2022/ISO/IEC27033-42014

.:

信息技术安全技术网络安全

第4部分使用安全网关的网间

:

通信安全保护

1范围

本文件提供了使用安全网关防火墙应用防火墙入侵防护系统等的网络间通信安全保护指

(、、)

南这些安全网关按照文档化的信息安全策略进行通信指南包括

,,:

识别和分析与安全网关相关的网络安全威胁

a);

基于威胁分析来定义安全网关的网络安全需求

b);

使用设计和实现的技术来解决与典型的网络场景相关的威胁和控制方面的问题

c);

指出实施操作监视和评审网络安全网关控制措施相关的问题

d)、、。

2规范性引用文件

下列