GA∕T1177-2014-信息安全技术第二代防火墙安全技术要求

中华人民共和国公共安全行业标准信息安全技术第二代防火墙安全技术要求Informationsecuritytechnology—Securitytechniquereq中华人民共和国公安部发布I 12规范性引用文件 13术语和定义 14缩略语 25安全技术要求 25.1总体说明 25.2安全功能要求 55.3安全保证要求 5.4环境适应性要求 5.5性能要求 Ⅲ本标准按照GB/T1.1-2009给出的规则起草。本标准由公安部信息系统安全标准化技术委员会提出并归口。1信息安全技术第二代防火墙安全技术要求下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文GB17859—1999计算机信息系统安全保护划分准则GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法GB/T25069-2010信息安全技术术语GB17859-1999、GB/T20281-2006和GB/T25069—2010界定的以及下列术语和定义适用于包含威胁以及敏感内容。把SQL命令插人到web表单递交或者页面请求的参数中，以达到欺骗服务器执行恶意SQL命令2恶意攻击者往web页面里插入恶意HTML代码，当用户浏览该页面时，嵌入web页面里的DMZ:非军事区(DemilitarizedZDNAT:目的网络地址转换(DestinationNAT)FTP:文件传输协议(FileTransferProtocol)HTTP:超文本传输协议(HypertextTransferProtocol)ICMP:网间控制报文协议(InternetControlMessagesProtocol)IP:网际协议(InternetProtocIPV4:互联网协议第四版(InternetProtocolV4)IPV6:互联网协议第六版(InternetProtocolV6)MAC:介质访问控制(MediaAccessControP2P:对等网络(Peer-to-pecr)PHP:计算机编程语言(HypertextPreprocessor)POP3:邮局协议3(PostOfficeProtocol3)SMTP:简单邮件传送协议(SimpleSNAT:源网络地址转换(SourceIPNAT)SQL:结构化查询语言(StructuredQueryLanguage)SYN:TCP/IP建立连接时使用的握手信号(Synchronous)UDP:用户数据报协议(UserDatagramProtocol)URL:统一资源定位器(UniformResourceLocator)XSS:跨站脚本攻击(Cross控制和安全运维管理；3按照第二代防火墙安全功能的强度划分安全功能要求的级别，按照GB/T18336.3划分安全保证依据安全功能的强弱和安全保证要求的高低将安全等级分为基本级和增强级。基本级与增强级的划分见表1和表2。安全功能基本级网络层控制包过滤状态检测策略路由带宽管理连接数控制应用层控制应用协议访问控制应用内容访问控制入侵防御恶意代码防护信息泄露防护安全运维管理管理安全管理方式管理能力安全审计记录事件类型日志内容日志管理安全管理管理接口独立安全支撑系统异常处理机制高可靠性升级注：“一”表示无此要求。表2安全保证要求等级划分表安全保证基本级增强级部分配置管理自动化配置管理能力版本号配置项授权控制产生支持和接受程序配置管理范围一问题跟踪配置管理覆盖一交付与运行交付程序修改检测一安装、生成和启动程序功能规范非形式化功能规范充分定义的外部接口高层设计安全加强的高层设计安全功能实现的子集非形式化对应性证实非形式化产品安全策略模型指导性文档管理员指南用户指南安全措施标识开发者定义的生命周期模型明确定义的开发工具覆盖证据功能测试一致性脆弱性评定误用指南审查分析确认 中级抵抗力注：“一”表示无此要求。5b)包含基于源IP地址、目的IP地址的访问控制；d)包含基于传输层协议类型的访问控制；g)支持用户自定义，可以是以上条件的部分或a)支持双向NAT:SNAT和DNAT;第二代防火墙应支持自动或管理员手工绑定IP/MAC地址，当主机的IP地址、MAC地址与IP/具有多个相同属性的网络接口(即多个外部网络接口、多个内部网络接口或多个DMZ网络接口)b)能够支持基于时间段的带宽策略配置。6第二代防火墙应能够基于应用层协议分析识别各种应用协议并进行控制，应用协议识别库不低于2000种，包括但不限于：e)安全策略包含基于文件类型的访问控制，并可基于文件类型进行下载过滤。包括HTTP、d)能够对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP和POP37a)基于用户名/密码的本地认证方式；c)基于用户/用户组进行访问控制。b)IP地址及端口扫描行为；b)支持检测并拦截HTTP、FTP、电子邮件等协议所携带的恶b)XSS攻击检测与防护；c)对常见的Web服务器环境Web入侵的脚本攻击工具(webshell)的拦截，包含ASP8e)对同一授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别。b)支持通过网络接口进行远程管理，并能够限定可进行远程管理的网络接口和可管理的IP地址；d)远程管理过程中，管理端与第二代防火墙之间的所有通讯数据应保密传输。a)向授权管理员提供设置和修改安全管理相关的数据参数的功能；c)向授权管理员提供管理审计日志的功能；e)能够根据安全风险的情况自动生成针对性的推荐策略；a)被防火墙包过滤策略允许/禁止的访问请求；b)被防火墙应用访问控制策略允许/禁止的访问请求；c)检测及防护的各类应用防护事件；c)攻击防护日志应记录各种类型攻击事件的详细描述；9d)支持以标准syslog方式把日志数据外发到统一日志服务器，对日志数据进行集第二代防火墙的支撑系统应满足以下要求：a):确保其支撑系统不提供多余的网络服务；b)不含可能导致产品权限丢失、a)安全策略恢复到关机前所保存的状态；c)管理员重新认证。a)支持物理设备状态检测。当一台防火墙自身出现断电或其他故障时，另外一台防火墙应及时发现并接管主防火墙进行工作，切换时间不超过5s;b)具备基于链路状态检测的双机热备功能，当一台防火墙直接相连的链路发生故障而无法正常工作时，另外一台防火墙应及时发现并接管主防火墙进行工作，切换时间不超过5s;c)能够支持主/主模式的双机部署；d)具备操作系统冗余保证系统稳定性。b)支持通过升级包以离线方式升级；c)支持手动或定期在线升级；d)采取相应措施保证升级过程安全。配置管理系统应提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进配置管理计划应描述在配置管理系统中所使用的自动工具，并描述在配置管理系统中如何使用自开发者应为产品的不同版本提供唯一的标识。开发者应使用配置管理系统并提供配置管理文档。配置管理文档应包括一个配置清单，配置清单应唯一标识组成产品的所有配置项并对配置项进行开发者提供的配置管理文档应包括一个配置管理计划，配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致。开发者提供的配置管理文档应包括一个接受计划，接受计划应描述用来接受修改过的或新建的作它们的修改是在一个正确授权的可控方式下进行的。交付文档应描述如何提供多种程序和技术上的措施来检测修改，或检测开发者的主拷贝和用户方所收到版本之间的任何差异。还应描述如何使用多种程序来发现试图伪装成开发者，甚至是在开发者a)使用非形式化风格来描述产品安全功能及其外部接口；b)内在一致；d)完备地表示产品安全功能。功能规范应包括安全功能是完备地表示的基本原理。c)按子系统描述安全功能的结构；d)描述每个安全功能子系统所提供的安全功能；e)标识安全功能所要求的任何基的支持性保护机制所提供功能的一个表示；f)标识安全功能子系统的所有接口；g)标识安全功能子系统的哪些接口是外部可见的。开发者提供的安全加强的高层设计应满足以下要求：b)把产品分成安全策略实施和其他子系统来描述。开发者应为选定的安全功能子集提供实现表示。实现表示应当无歧义且详细地定义安全功能，无须进一步设计就能生成安全功能。实现表示应内在一致。e)根据所提供的安全功能性和对其他模块的依赖关系两方面来定义模块间的相互关系；f)描述每个安全策略实施功能是如何被提供的；g)标识安全功能模块的所有接口；h)标识安全功能模块的哪些接口是外部可见的；j)把产品分为安全策略实施模块和其他模块来描述。开发者应提供产品安全功能表示的所有相邻对之间的对应性分析。b)描述所有能被模型化的安全策略的规则与特征；d)阐明安全策略模型和功能规范之间的对应性，即论证所有功能规范中的安全功能对于安全策c)在安全处理环境中应被控制的功能和权限；d)所有对与产品的安全操作有关的用户行为的假设；f)每一种与管理功能有关的安全相关事件，包括对安全功能所控制实体的安全特性进行的改变；g)所有与管理员有关的IT环境安全要求。a)产品的非管理员用户可使用的安全功能和接口；b)产品提供给用户的安全功能和接口的使用方法；c)用户可获取但应受安全处理环境所控制的所有功能和权限；d)产品安全操作中用户所应承担的职责；e)与用户有关的IT环境的所有安全要求。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档描述用于开发和维护产品的模型。开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义的定义实现中每个语句的含义和所有依赖于实现的选项的含义。开发者应提供测试覆盖的证据。在测试覆盖证据中，应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的。测试覆盖的分析结果应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能之间深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的。测试结果的顺序依赖性；a)标识所有可能的产品运行模式(包括失败或操作失误后的运行)、它们的后果以及对于保持安c)列出关于预期使用环境的所有假设；开发者应提供完备的分析文档论证指导性文档。开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分开发者应从用户可能破坏安全策略的明显途径出发，对产品的各种功能进行分析并提供文档。对开发者应提供文档证明经过标识脆弱性的产品可以抵御明显的穿透性攻击。开发者应提供文档证明产品可以抵御中级强度的穿透性攻击，并提供证据说明对脆弱性的搜索是第二代防火墙应支持透明模式。第二代防火墙应支持路由模式。b)IPv6NDP协议一致性。c)IPv6Autoconfig(自动编码)协议一致性。第二代防火墙应保证协议的健壮性，能够抵御IPv6网络环境下畸形协议报文攻击。畸形协议报文包括：第二代防火墙应支持在IPv6网络环境下自身管理。第二代防火墙应至少支持以下…种IPv6过渡网络环境：流量参考场景构成如下：