IPv6网络安全设备技术要求 第2部分：Web应用防护系统（WAF）

ICS33.040.40

CCSM32

中华人民共和国国家标准

GB/TXXXXX.2—XXXX

`

IPv6网络安全设备技术要求

第2部分：Web应用防护系统（WAF）

TechnicalrequirementforIPv6networksecurityequipment-Part2:Webapplication

protectionsystem

(点击此处添加与国际标准一致性程度的标识)

草案版次选择

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX.2—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是“IPv6网络安全设备技术要求”系列标准之一，该系列标准的结构及名称如下：

——GB/TXXXXXIPv6网络安全设备技术要求第1部分：防火墙；

——GB/TXXXXXIPv6网络安全设备技术要求第2部分：Web应用防护系统（WAF）；

——GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中华人民共和国工业和信息化部提出。

本文件由全国通信标准化技术委员会（SAC/TC485）归口。

本文件起草单位：

本文件主要起草人：

II

GB/TXXXXX.2—XXXX

引言

根据《关于加快推进互联网协议第六版（IPv6）规模部署和应用工作的通知》，为更好面对网络复

杂化和用户规模扩大化带来的安全挑战，推动IPv6网络安全工作的标准化，我国制定了一系列IPv6安

全标准。其中，GB/TXXXXX《IPv6网络安全设备技术要求》是为规范在IPv6中网络安全产品的适用

性的技术标准，拟分为以下部分：

——第1部分：防火墙。目的在于IPv6部署后，保障防火墙在新的网络环境中的有效应用。

——第2部分：Web应用防护系统（WAF）。目的在于IPv6部署后，保障Web应用防火墙在新

的网络环境中的有效应用。

——第3部分：入侵防御系统（IPS）。目的在于IPv6部署后，保障入侵防御系统（IPS）在新的

网络环境中的有效应用。

III

GB/TXXXXX.2—XXXX

IPv6网络安全设备技术要求

第2部分：Web应用防护系统（WAF）

1范围

本文件规定了支持IPv6的Web应用防护系统（WAF）的技术要求，包括功能性、性能、兼容性、可

靠性、自身安全性和可维护性。

本文件适用于支持IPv6的Web应用防护系统（WAF）的设计、开发、部署、使用、维护与测试。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价方法

GB/T25069-2022信息安全技术术语

GB42250-2022信息安全技术网络安全专用产品安全技术要求

GB/TXXXXX-XXXXIPv6网络安全设备技术要求第1部分：防火墙

GB/TXXXXX-XXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）

3术语和定义

GB/T25069-2022界定以及下列术语和定义适用于本文件。

Web应用防火墙Webapplicationfirewall

部署于Web服务器前端，对流经的HTTP/HTTPs访问和响应数据进行解析，具备Web应用的访问控

制及安全防护功能的网络安全产品。

4缩略语

下列缩略语适用于本文件。

CC：挑战黑洞（ChallengeCollapsar）

CSRF：跨站请求伪造（Cross-siterequestforgery）

FTP：文件传输协议（FileTransferProtocol）

HTTP：超文本传输协议（HypertextTransferProtocol）

HTTPs：安全超文本传输协议（HypertextTransferProtocolSecure）

ID：标识符（Identifiers）

IP：互联网协议（InternetProtocol）

IPv4：互联网协议第4版（InternetProtocolVersion4）

4

GB/TXXXXX.2—XXXX

IPv6：互联网协议第6版（InternetProtocolVersion6）

SQL：结构化查询语言（StructuredQueryLanguage）

TCP：传输控制协议（TransportControlProtocol）

URL：统一资源定位器（UniformResourceLocator）

WAF：Web应用防火墙（WebApplicationFirewall）

XML：可扩展标记语言（ExtensibleMarkupLanguage）

XSS：跨站脚本（CrossSiteScripting）

5功能性

Web应用内容控制

设备应支持基于IPv6环境中的以下内容对Web应用的访问进行控制，包括但不限于：

a)应能对所请求的URL中的内容设置关键字过滤规则，并根据过滤规则允许或者禁止访问；

b)应能根据HTTP的请求类型设置过滤规则，并根据过滤规则允许或禁止访问；

c)应能对HTTP协议头的各个部分长度设置过滤规则，并根据过滤规则允许或者禁止访问，以防

止缓冲区溢出攻击；

d)应能对所请求的Web资源文件后缀名设置过滤规则，并根据过滤规则允许或者禁止访问；

e)应能对HTTP服务器返回的响应码设置过滤规则，并根据过滤规则允许或者禁止访问；

f)应能对Web服务器返回的内容设置关键字过滤规则，并根据过滤规则允许或者禁止访问。

攻击防护

5.2.1拒绝服务攻击防护

设备应支持基于IPv6的拒绝服务攻击防护功能，包括但不限于：

a)TCPFlood攻击防护；

b)HTTPFlood攻击防护；

c)HTTPSFlood攻击防护；

5.2.2漏洞攻击防护

应符合GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）中规定的

要求。

5.2.3WEB攻击防护

设备具备特征库，应支持IPv6网络环境下的Web攻击防护功能，包括但不限于：

a)SQL注入攻击防护；

b)XSS攻击防护；

c)第三方组件漏洞攻击防护；

d)目录遍历攻击防护；

e)Cookie注入攻击防护；

f)CSRF攻击防护；

5

GB/TXXXXX.2—XXXX

g)文件包含攻击防护；

h)盗链防护；

i)命令注入攻击防护；

j)Webshell攻击防护；

k)反序列化攻击防护；

l)CC攻击防护；

m)暴力破解攻击防护；

n)爬虫防护；

o)非法上传防护；

p)非法下载防护；

q)XML攻击防护。

5.2.4自动化攻击威胁防护

设备具备特征库，应支持防护IPv6网络环境下自动化攻击发起的攻击，包括但不限于：

a)应用扫描行为防护；

b)漏洞利用工具防护；

c)其它自动化工具攻击防护。

5.2.5攻击逃逸防护

应符合GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）中规定的

要求。

5.2.6外部系统协同防护

应符合GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）中规定的

要求。

5.2.7威胁情报库

应符合GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）中规定的

要求。

安全审计、告警与统计

5.3.1安全审计

设备应支持安全审计功能，包括但不限于：

a)记录事件类型：

1）被设备安全策略匹配的访问请求；

2）检测到的攻击行为。

b)日志内容：

1）事件发生的日期和时间；

2）事件发生的主体、客体和描述，其中数据包日志包括协议类型、源地址、目标地址、源端

口和目标端口等；

6

GB/TXXXXX.2—XXXX

3）攻击事件的描述；

4）设备应支持IPv6协议的日志内容审计，日志内容源地址和目的地址字段应支持IPv6格

式。

c)日志管理：

1）仅允许授权管理员访问日志，并提供日志查阅、导出等功能；

2）能对审计事件按日期、时间、主体、客体等条件查询；

3）日志存储于掉电非易失性存储介质中；

4）日志存储周期设定不小于6个月；

5）存储空间达到阈值时，能通知授权管理员，并确保审计功能的正常运行；

6）日志支持自动化备份至其他存储设备。

5.3.2安全告警

设备应支持对检测到的攻击行为进行告警，并能对高频发生的相同告警事件进行合并告警，避免出

现告警风暴。告警信息至少包括以下内容：

a)事件主体；

b)事件客体；

c)事件描述；

d)危害级别；

e)事件发生的日志和时间。

5.3.3统计

应用流量统计

设备应支持以图形化界面展示应用流量情况，包括但不限于：

a)按照IP、时间段和应用类型等条件或以上条件组合对应用流量进行统计；

b)以报表形式输出统计结果；

c)对不同时间段的统计结果进行对比；

d)应用流量统计支持IPv6网络。

攻击事件统计

设备应支持以图形化界面展示攻击事件情况，包括但不限于：

a)按照攻击事件类型、IP和时间段等条件或以上条件组合对攻击事件进行统计；

b)以报表形式输出统计结果；

c)攻击事件统计支持IPv6网络环境中的内容。

6性能

HTTP吞吐量

设备在IPv6网络环境中的HTTP吞吐量，视不同速率的产品有所不同，开启Web攻击防护功能的情

况下，具体指标应至少符合GB/T20281-2020中规定的要求。

HTTP请求速率

7

GB/TXXXXX.2—XXXX

设备在IPv6网络环境中的HTTP请求速率，视不同速率的产品有所不同，具体指标应至少符合

GB/T20281-2020中规定的要求。

HTTP并发连接数

设备在IPv6网络环境中的HTTP并发连接数，视不同速率的产品有所不同，具体指标应至少符合

GB/T20281-2020中规定的要求。

7兼容性

部署

设备应支持在IP网络中的常规部署模式，包括但不限于：串联部署、旁路路由部署、反向代理部署、

镜像监听部署、透明桥接模式部署等。

接口

设备的对外接口需要兼容IPv6，包括但不限于REST接口、日志接口、管理接口等。

界面

设备的界面需要兼容IPv6，包括但不限于基础网络配置、站点、策略、安全防护日志等。

数据存储

设备的所有数据存储需要兼容IPv6格式，包括但不限于基础网络配置、站点、策略、安全防护日

志等。

8可靠性

应符合GB/TXXXXXIPv6网络安全设备技术要求第1部分：防火墙8可靠性规定的要求。

9自身安全性

应符合GB/TXXXXXIPv6网络安全设备技术要求第1部分：防火墙9自身安全性规定的要求。

10可维护性

应符合GB/TXXXXXIPv6网络安全设备技术要求第1部分：防火墙10可维护性规定的要求。

8

GB/TXXXXX.2—XXXX

参考文献

[1]GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪

可用软件产品（RUSP）的质量要求和测试细则

9

GB/TXXXXX.2—XXXX

目次

前言...........................................................................II

引言..........................................................................III

1范围................................................................................4

2规范性引用文件......................................................................4

3术语和定义..........................................................................4

4缩略语..............................................................................4

5功能性..............................................................................5

Web应用内容控制.................................................................5

攻击防护........................................................................5

5.2.1拒绝服务攻击防护............................................................5

5.2.2漏洞攻击防护................................................................5

5.2.3WEB攻击防护.................................................................5

5.2.4自动化攻击威胁防护..........................................................6

5.2.5攻击逃逸防护................................................................6

5.2.6外部系统协同防护............................................................6

5.2.7威胁情报库..................................................................6

安全审计、告警与统计............................................................6

5.3.1安全审计....................................................................6

5.3.2安全告警....................................................................7

5.3.3统计........................................................................7

6性能................................................................................7

HTTP吞吐量......................................................................7

HTTP请求速率....................................................................7

HTTP并发连接数..................................................................8

7兼容性..............................................................................8

部署............................................................................8

接口............................................................................8

界面............................................................................8

数据存储........................................................................8

8可靠性..............................................................................8

9自身安全性..........................................................................8

10可维护性...........................................................................8

参考文献........................................................................9

I

GB/TXXXXX.2—XXXX

IPv6网络安全设备技术要求

第2部分：Web应用防护系统（WAF）

1范围

本文件规定了支持IPv6的Web应用防护系统（WAF）的技术要求，包括功能性、性能、兼容性、可

靠性、自身安全性和可维护性。

本文件适用于支持IPv6的Web应用防护系统（WAF）的设计、开发、部署、使用、维护与测试。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价方法

GB/T25069-2022信息安全技术术语

GB42250-2022信息安全技术网络安全专用产品安全技术要求

GB/TXXXXX-XXXXIPv6网络安全设备技术要求第1部分：防火墙

GB/TXXXXX-XXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）

3术语和定义

GB/T25069-2022界定以及下列术语和定义适用于本文件。

Web应用防火墙Webapplicationfirewall

部署于Web服务器前端，对流经的HTTP/HTTPs访问和响应数据进行解析，具备Web应用的访问控

制及安全防护功能的网络安全产品。

4缩略语

下列缩略语适用于本文件。

CC：挑战黑洞（ChallengeCollapsar）

CSRF：跨站请求伪造（Cross-siterequestforgery）

FTP：文件传输协议（FileTransferProtocol）

HTTP：超文本传输协议（HypertextTransferProtocol）

HTTPs：安全超文本传输协议（HypertextTransferProtocolSecure）

ID：标识符（Identifiers）

IP：互联网协议（InternetProtocol）

IPv4：互联网协议第4版（InternetProtocolVersion4）

4

GB/TXXXXX.2—XXXX

IPv6：互联网协议第6版（InternetProtocolVersion6）

SQL：结构化查询语言（StructuredQueryLanguage）

TCP：传输控制协议（TransportControlProtocol）

URL：统一资源定位器（UniformResourceLocator）

WAF：Web应用防火墙（WebApplicationFirewall）

XML：可扩展标记语言（ExtensibleMarkupLanguage）

XSS：跨站脚本（CrossSiteScripting）

5功能性

Web应用内容控制

设备应支持基于IPv6环境中的以下内容对Web应用的访问进行控制，包括但不限于：

a)应能对所请求的URL中的内容设置关键字过滤规则，并根据过滤规则允许或者禁止访问；

b)应能根据HTTP的请求类型设置过滤规则，并根据过滤规则允许或禁止访问；

c)应能对HTTP协议头的各个部分长度设置过滤规则，并根据过滤规则允许或者禁止访问，以防

止缓冲区溢出攻击；

d)应能对所请求的Web资源文件后缀名设置过滤规则，并根据过滤规则允许或者禁止访问；

e)应能对HTTP服务器返回的响应码设置过滤规则，并根据过滤规则允许或者禁止访问；

f)应能对Web服务器返回的内容设置关键字过滤规则，并根据过滤规则允许或者禁止访问。

攻击防护

5.2.1拒绝服务攻击防护

设备应支持基于IPv6的拒绝服务攻击防护功能，包括但不限于：

a)TCPFlood攻击防护；

b)HTTPFlood攻击防护；

c)HTTPSFlood攻击防护；

5.2.2漏洞攻击防护

应符合GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）中规定的

要求。

5.2.3WEB攻击防护

设备具备特征库，应支持IPv6网络环境下的Web攻击防护功能，包括但不限于：

a)SQL注入攻击防护；

b)XSS攻击防护；

c)第三方组件漏洞攻击防护；

d)目录遍历攻击防护；

e)Cookie注入攻击防护；

f)CSRF攻击防护；

5

GB/TXXXXX.2—XXXX

g)文件包含攻击防护；

h)盗链防护；

i)命令注入攻击防护；

j)Webshell攻击防护；

k)反序列化攻击防护；

l)CC攻击防护；

m)暴力破解攻击防护；

n)爬虫防护；

o)非法上传防护；

p)非法下载防护；

q)XML攻击防护。

5.2.4自动化攻击威胁防护

设备具备特征库，应支持防护IPv6网络环境下自动化攻击发起的攻击，包括但不限于：

a)应用扫描行为防护；

b)漏洞利用工具防护；

c)其它自动化工具攻击防护。

5.2.5攻击逃逸防护

应符合GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）中规定的

要求。

5.2.6外部系统协同防护

应符合GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）中规定的

要求。

5.2.7威胁情报库

应符合GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）中规定的

要求。

安全审计、告警与统计

5.3.1安全审计

设备应支持安全审计功能，包括但不限于：

a)记录事件类型：

1）被设备安全策略匹配的访问请求；

2）检测到的攻击行为。

b)日志内容：

1）事件发生的日期和时间；

2）事件发生的主体、客体和描述，其中数据包日志包括协议类型、源地址、目标地址、源端

口和目标端口等；

6

GB/TXXXXX.2—XXXX

3）攻击事件的描述；

4）设备应支持IPv6协议的日志内容审计，日志内容源地址和目的地址字段应支持IPv6格

式。

c)日志管理：

1）仅允许授权管理员访问日志，并提供日志查阅、导出等功能；

2）能对审计事件按日期、时间、主体、客体等条件查询；

3）日志存储于掉电非易失性存储介质中；

4）日志存储周期设定不小于6个月；

5）存储空间