《信息安全技术 防火墙安全技术要求和测试评价方法-编制说明》

一、工作简况

1、任务来源

根据国家标准化管理委员会2017年下达的国家标准制修订计划，国家标准

《信息安全技术防火墙安全技术要求和测试评价方法》由公安部第三研究所、

北京网康科技有限公司负责主办。

2、协作单位

自接收编制任务后，主办单位随即与相关厂商、测评机构进行沟通，并得

到了多家业内知名厂商和测评机构的积极参与和反馈。最终确定由北京神州绿盟

科技有限公司、北京天融信网络安全技术有限公司、中国电子技术标准化研究院、

中国信息安全测评中心、杭州美创科技有限公司、深信服网络科技（深圳）有限

公司、启明星辰信息技术集团有限公司、沈阳东软系统集成工程有限公司、新华

三技术有限公司、蓝盾信息安全技术股份有限公司、华为技术有限公司、上海上

讯信息技术股份有限公司、杭州安恒信息技术有限公司、北京奇安信科技有限公

司、北京中安星云软件技术有限公司等单位作为标准编制协作单位。

3、主要工作过程

(一)标准制定的主要工作过程如下：

1）2017年6月接到标准编制任务，组建标准编制组，编制组成员由经验丰

富的防火墙的研发人员，以及具有资深产品测评经验的测试人员组成，人员包括

俞优、顾健、陆臻、熊瑛、雷晓峰、宫智、沈武林等。其中，俞优和熊瑛全面负

责标准编制工作，包括制定工作计划、确定编制内容和整体进度、人员的安排；

雷晓峰、宫智负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的

讨论处理、编制说明的编写等工作；陆臻负责标准校对审核等工作；顾健主要负

责标准编制过程中的各项技术支持和整体指导。

2）2017年7月，编制组首先制定了编制工作计划，并确定了编制组人员例

会安排以便及时沟通交流工作情况。按照项目进度要求，编制组人员首先对所参

阅的产品、文档以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提

纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。2017年7

月至8月，在前期调研和工作积累的基础上，编制组充分分析了各类防火墙的特

点，完成了草案（第一稿）的编制，主要由“安全技术要求”（安全功能要求、

1

自身安全功能要求、性能要求）和“测试评价方法”组成。

3）2017年8月，编制组以意见征求会形式进行现场征求意见，参与单位包

括新华三、绿盟科技、天融信、奇安信、网神、启明星辰、中科网威、杭州美创

等主流厂商，编制组认真分析并及时采纳了建议，形成了草案（第二稿）。

3）2017年9月，编制组在北京召开了标准修订项目启动会，与会专家对本

标准给出了进一步的指导意见。编制组根据专家意见进行修改完善，并重点考虑

本标准与相关强制标准的结合，形成草案（第三稿），主要由“安全技术要求”

（安全功能要求、自身安全功能要求、性能要求、基本要求和管理要求）、“测

试评价方法”组成。

4）2017年10月，WG5工作组在厦门召开在研标准推进会，与会专家对标准

草案（第三稿）进行了认真审议，提出了相关意见，并建议标准形成征求意见稿。

编制组根据意见完善并形成征求意见稿（第一稿）。

5）2018年2月，编制组在北京召开了标准内部研讨会，与会代表针对标准

文本内容进行了逐条分析，并重点讨论了“下一代防火墙命名”等问题，随后形

成了征求意见稿（第二稿）。

6）2018年3月，编制组根据中国电子技术标准化研究院专家所提意见进行

完善，形成了征求意见稿（第三稿）。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、编制原则

本标准以自主编写的方式完成，编写格式和方法依照GB/T1.1-2009标准

化工作导则第一部分：标准的结构和编写规则。

在标准制定过程中，坚持以国内外相关产品发展的动向为研究基础，对各类

防火墙的安全技术要求和测评方法提出规范化的要求，制定切实可行的测评标准。

标准可用于防火墙的开发及检测，有利于规范化、统一化。

该标准编制过程中，主要参考了：

•GB17859-1999计算机信息系统安全保护划分准则

•GB/T25069－2010信息安全技术术语

•GB/T20281-2015信息安全技术防火墙安全技术要求和测试评价方法

•GB/T31505~2015信息安全技术主机型防火墙安全技术要求和测试评

2

价方法

•GA/T1140-2014信息安全技术web应用防火墙安全技术要求

•防火墙相关产品及其技术资料

为了使本标准的内容从一开始就与现有国家标准保持一致，符合我国的实际

情况，遵从我国有关法律、法规的规定。编制过程中遵循的具体原则与要求如下：

1）实用性

标准必须是可用的，才有实际意义。本标准在编写过程中严格按照流程对产

品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关研发生产

单位的交流，广泛了解了市场上主流防火墙的安全功能，进行提炼和扩展，使得

标准更贴近产品实际情况，保证操作性。

2）先进性

标准是先进经验的总结，同时也是技术的发展趋势。目前，我国市场上防火

墙种类繁多，要制定出先进的产品标准，必须充分考虑我国防火墙发展成熟过程

中的技术，保持一定的前瞻性。

3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一

致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有

关政策、法律、法规和标准。

编制思路：为贴合各类防火墙产品的技术特点，编制组以访问控制、攻击防

护为研究内容，深入分析防火墙的技术特点，通过标准编制研究、验证，明确了

产品的定义，提出了科学的安全功能和性能要求，对于产品功能组件的描述尽可

能做到清晰、明确。标准安全功能产生的流程详见下图：

图1安全功能产生的流程图

编制目的：

3

1）首先，在统一的内容框架、统一的功能框架、统一的级别划分和强度要

求指导下重新梳理多类防火墙产品的标准，有助于保持标准内容的先进性，并起

到精简标准的作用；

2）第二，通过项目的执行，重新理清各种产品的差异和功能边界，并且体

现各种产品的关联性和衔接性，实现更好的知道厂商和用户的作用，确保标准的

实用性；

3）第三，对于下一代防火墙、数据库防火墙等新型产品，可以填补我们在

对应领域的空白，起到促进产业发展的积极作用。

2、确定主要内容的论据及解决的主要问题

(一)本标准在确定主要内容时主要基于如下方面：

1）解决的问题

当前，防火墙产品种类较多，具体包括网络层防火墙、下一代防火墙、Web

应用防火墙、数据库防火墙、主机型防火墙等。但目前各类防火墙标准繁多，缺

乏统一考虑、相互关联性差；其次，各类标准对不同类型防火墙安全功能的描述

存在重复，功能边界划分不清；此外，标准与市场现状脱节，诸如下一代防火墙、

数据库防火墙等产品暂无国标可依，制约产品的研发和测评。

本标准明确各类防火墙产品的功能边界，制定适用于各类产品，且体现各类

产品间关联性和技术要求衔接性的标准，并对已不适用于目前技术发展和不符合

市场现状的内容进行甄别和修改。从而整合同类标准（包括GB/T20010-2005、

GB/T31505-2015、GB/T32917-2016）、确保标准内容先进性、适用于防火墙的

设计、开发与测评。

2）防火墙主要模块

防火墙是用于不同安全域之间，具备访问控制及过滤功能的安全产品，可以

是软硬件或者纯软件的产品。根据防火墙的使用场景、产品形态以及功能范围，

可以分为网络层防火墙、下一代防火墙、WEB应用防火墙、数据库防火墙、主机

型防火墙等，它们在纵深防御体系中部署于不同的位置，并保护着不同的对象和

资产。防火墙系统架构如图2所示：

4

图2防火墙模块图

a)组网与部署

系统的基础模块，通过IP地址、路由、HA等功能参数的设置，实现在所保护

网络中的部署，保证网络连通性和可用性。

b)网络层控制

基于源IP地址、目的IP地址、端口等对网络流量进行基础访问控制，并通过

连接、流量管控实现网络资源分配。

c)应用层控制

基于网络流量中的用户、应用和内容信息执行精细化、细粒度的管控，提供

基于应用层信息的访问控制能力。

d)攻击防护

基于预置特征库、规则库，对来自网络层和应用层的拒绝服务、扫描、漏洞

等类型的攻击进行高效防护。

e)事件分析与审计

对网络行为产生的日志、数据进行统计分析和审计，满足安全管理的需要。

3）核心技术指标

本标准将防火墙安全技术要求分为安全功能要求、自身安全功能要求、性能

要求、基本要求和管理要求四个大类。其中，安全功能要求是对防火墙应具备的

安全功能提出具体要求，包括组网与部署、网络层控制、应用层控制、攻击防护

和事件分析与审计；自身安全功能要求针对防火墙的自身安全功能提出具体的要

求，例如身份标识和鉴别、管理能力、管理审计等；性能要求则是对防火墙应达

到的性能指标作出规定，包括吞吐量、延迟、连接速率、最大并发连接数；基本

要求和管理要求针对防火墙提供者提出具体的管理要求，例如恶意程序防范、安

全维护、用户信息保护等。安全等级上，本标准按照防火墙安全技术要求的强度

5

划分级别。安全等级分为基本级和增强级，安全功能和自身安全功能强弱是等级

划分的具体依据。

三、主要情况分析

编制组在编制过程中，通过对各类防火墙（天融信的猎豹系列防火墙、360

网神的天堤新一代智慧防火墙、绿盟科技的Web应用防火墙、杭州美创的数据库

防火墙和奇安信的天擎主机防火墙等）的测试，对标准指标合理性进一步进行了

验证，最终给出了各类防火墙的安全技术要求和测试评价方法。

其中，网络层防火墙基于其运用需求选择适用的安全技术要求，安全技术要

求划分表具体如表1所示。

表1网络层防火墙安全功能

安全技术要求基本级增强级

部署模式a)~b)

a)~b)

静态路由.1.1

.2

路由策略路由.2a)

a)~c）

动态路由——.3

冗余部署——

.1.1

虚拟系统

设备虚拟有则适用有则适用

组网与

化.2.2

部署虚拟化部署

有则适用有则适用

支持纯IPv6.1.1

网络环境有则适用有则适用

安全功能

.2.2

要求协议一致性

有则适用有则适用

IPv6支持

.3.3

协议健壮性

有则适用有则适用

支持IPv6过.4.4

渡网络环境有则适用有则适用

.1

包过滤.1

a)~d)

.2

NAT.2

网络层a)~c)

访问控制

控制状态检测.3.3

动态开放端口.4a).4

IP/MAC地址

——.5

绑定

6

.1

带宽管理.1a)

a)~b)

流量管理

连接数控制.2.2

会话管理.3.3

用户管控——

应用层

a)、

控制应用类型控制——

c)

攻击防拒绝服务攻击防护a)~f)

a)~f)

护

外部系统协同防护——

安全审计

安全审

安全告警——

计与分

网络流量统计.1.1

析统计分析

攻击事件统计.3a).3

身份识别与鉴别6.2.1a)~e)6.2.1

管理能力6.2.2a)~d)6.2.2

自身安全

管理审计6.2.36.2.3

功能要求

管理方式6.2.4a)~c)6.2.4

异常处理机制6.2.56.2.5

吞吐量网络层吞吐量

延迟6.3.26.3.2

连接速

TCP新建连接速率

性能要求率

最大并

发连接TCP并发连接数

数

安全架构

功能规范

开发

产品设计a)~b)

实现表示——

指导性操作用户指南

文档准备程序

配置管理能力a)~c)

配置管理范围a)

安全保障

生命周交付程序

要求

期支持开发安全——

生命周期定义——

工具和技术——

测试覆盖a)

测试深度——

测试

功能测试

独立测试

脆弱性评定6.4.56.4.5

7

注：“——”表示不适用。

下一代防火墙基于其运用需求选择适用的安全技术要求，安全技术要求划分

表具体如表2所示。

表2下一代防火墙安全功能

安全技术要求基本级增强级

部署模式a)~b)

a)~b)

静态路由.1.1

.2

路由策略路由.2

a)~d)

动态路由——.3

冗余部署——

.1.1

虚拟系统

有则适用有则适用

设备虚拟化

虚拟化部.2.2

组网与

署有则适用有则适用

部署

支持纯

.1.1

IPv6网络

有则适用有则适用

环境

协议一致.2.2

性有则适用有则适用

IPv6支持

协议健壮.3.3

性有则适用有则适用

安全功能

支持IPv6

要求.4.4

过渡网络

有则适用有则适用

环境

包过滤.1a~d).1

NAT.2a~c).2

状态检测.3.3

访问控制动态开放

.4.4

端口

网络层

IP/MAC地

控制——.5

址绑定

带宽管理.1a).1

连接数控

流量管理.2.2

制

会话管理.3.3

用户管控

应用类型控制a)~d)

应用层

.1.1

控制应用内容控WEB应用

a)~c)a)~d)、g)

制

其他应用——.3

8

拒绝服务攻击防护a)~f)

a)~f)

WEB攻击防护a)~c)a~c)

数据库攻击防护a)~b)

攻击防a)~b)

护恶意代码防护

其他应用攻击防护a)~c)

自动化工具威胁防护a)~b)

攻击逃逸防护——

外部系统协同防护——

安全审计

安全告警

网络流量

安全审.1.1

统计

计与分

应用流量

析统计分析.2a).2

统计

攻击事件

.3a).3

统计

身份识别与鉴别6.2.1a)~e)6.2.1

管理能力6.2.2a)~d)6.2.2

自身安全

管理审计6.2.36.2.3

功能要求

管理方式6.2.4a)~c)6.2.4

异常处理机制6.2.56.2.5

网络层吞吐量

吞吐量

混合应用层吞吐量

延迟6.3.26.3.2

连接速

性能要求TCP新建连接速率

率

最大并

发连接TCP并发连接数

数

安全架构

功能规范

开发

产品设计a)~b)

实现表示——

指导性操作用户指南

安全保障文档准备程序

要求配置管理能力a)~c)

配置管理范围a)

生命周交付程序

期支持开发安全——

生命周期定义——

工具和技术——

9

测试覆盖a)

测试深度——

测试

功能测试

独立测试

脆弱性评定6.4.56.4.5

注：“——”表示不适用。

WEB应用防火墙基于其运用需求选择适用的安全技术要求，安全技术要求划

分表具体如表3所示。

表3WEB应用防火墙安全功能

安全技术要求基本级增强级

a)、

部署模式a)、c)

c)

冗余部署——

设备虚.2.2

虚拟化部署

拟化有则适用有则适用

支持纯IPv6.1.1

组网与部

网络环境有则适用有则适用

署

.2.2

协议一致性

IPv6有则适用有则适用

支持.3.3

协议健壮性

有则适用有则适用

支持IPv6过.4.4

渡网络环境有则适用有则适用

网络层控访问控.1

包过滤——

安全功能制制b)~c)

要求应用类型控制a)a)

应用层控应用内.1.1

WEB应用

制容控制b)~f）b)~g)

负载均衡——a)

拒绝服务攻击防护g)g)

WEB攻击防护a)~g）

恶意代码防护——a）

攻击防护b）

自动化工具威胁防护——

~c）

攻击逃逸防护——

外部系统协同防护——

安全审计

安全审计安全告警

与分析统计分应用流量统计.2a).2

析攻击事件统计.3a).3

自身安全身份识别与鉴别6.2.1a)~e)6.2.1

功能要求管理能力6.2.2a)~d)6.2.2

10

管理审计6.2.36.2.3

管理方式6.2.4a)~c)6.2.4

异常处理机制6.2.56.2.5

吞吐量HTTP吞吐量

连接速率HTTP请求速率

性能要求

最大并发

HTTP并发连接数

连接数

安全架构

功能规范

开发

产品设计a)~b)

实现表示——

指导性文操作用户指南

档准备程序

配置管理能力a)~c)

配置管理范围a)

安全保障

生命周期交付程序

要求

支持开发安全——

生命周期定义——

工具和技术——

测试覆盖a)

测试深度——

测试

功能测试

独立测试

脆弱性评定6.4.56.4.5

注：“——”表示不适用。

数据库防火墙基于其运用需求选择适用的安全技术要求，安全技术要求划分

表具体如表4所示。

表4数据库防火墙安全功能

安全技术要求基本级增强级

a)、

部署模式a)、c)

c)

冗余部署——

设备虚虚拟化部.2.2

拟化署有则适用有则适用

支持纯

安全功能.1.1

组网与部署IPv6网络

要求有则适用有则适用

环境

IPv6支协议一致.2.2

持性有则适用有则适用

协议健壮.3.3

性有则适用有则适用

支持IPv6.4.4

11

过渡网络有则适用有则适用

环境

.1

包过滤——

访问控b)~c)

网络层控制

制动态开放

.4c).4c)

端口

应用类型控制b)b)

应用内数据库应.2

应用层控制.2

容控制用a)~c)

负载均衡——b)

a)~b)、

数据库攻击防护

d)~e)

攻击防护

攻击逃逸防护——

外部系统协同防护——

安全审计

安全告警

安全审计与应用流量

.2a）.2

分析统计分统计

析攻击事件

.3a）.3

统计

身份识别与鉴别6.2.1a)~e)6.2.1

管理能力6.2.2a)~d)6.2.2

自身安全

管理审计6.2.36.2.3

功能要求

管理方式6.2.4a)~c)6.2.4

异常处理机制6.2.56.2.5

吞吐量SQL吞吐量

连接速率SQL请求速率

性能要求

最大并发连

SQL并发连接数

接数

安全架构

功能规范

开发

产品设计a)~b)

实现表示——

操作用户指南

指导性文档

准备程序

安全保障配置管理能力a)~c)

要求配置管理范围a)

生命周期支交付程序

持开发安全——

生命周期定义——

工具和技术——

测试覆盖a)

测试

测试深度——

12

功能测试

独立测试

脆弱性评定6.4.56.4.5

注：“——”表示不适用。

主机型防火墙基于其运用需求选择适用的安全技术要求，安全技术要求划分

表具体如表5所示。

表5主机型防火墙安全功能

安全技术要求基本级增强级

设备虚虚拟化部.2有.2有

拟化署则适用则适用

组网与部署支持纯

IPv6支.1.1

IPv6网络

持有则适用有则适用

环境

.1.1

包过滤

访问控b)~d)b)~g)

制IP/MAC地

——.5

址绑定

网络层控制.1

带宽管理.1a)

a)~b）

流量管

连接数控

理——.2

制

会话管理——.3

应用层控制应用类型控制a)~d)

安全功能

要求拒绝服务攻击防护a)~c)

a)~c)

恶意代码防护

其他应用攻击防护a)~c)

攻击防护

自动化工具威胁防护a)

a)~b)

攻击逃逸防护——

外部系统协同防护——

安全审计

安全告警

网络流量

.1.1

安全审计与统计

分析统计分应用流量

——.2a)

析统计

攻击事件

.3a).3

统计

身份识别与鉴别6.2.1a)~e)6.2.1

自身安全

管理能力6.2.2a)~d)6.2.2

功能要求

管理审计