IPv6网络安全设备技术要求 第1部分：防火墙

ICS33.040.40

CCSM32

中华人民共和国国家标准

GB/TXXXXX.1—XXXX

`

IPv6网络安全设备技术要求

第1部分：防火墙

TechnicalrequirementforIPv6networksecurityequipment—Part1:Firewall

(点击此处添加与国际标准一致性程度的标识)

（征求意见稿）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX.1—XXXX

目次

前言..........................................................................III

引言...........................................................................IV

1范围................................................................................5

2规范性引用文件......................................................................5

3术语和定义..........................................................................5

.................................................................................5

.................................................................................5

.................................................................................5

.................................................................................5

4缩略语..............................................................................6

5功能性..............................................................................7

网络环境........................................................................7

5.1.1IPv6网络环境................................................................7

5.1.2IPv4-IPv6混合网络环境.......................................................7

组网和部署......................................................................7

5.2.1部署模式....................................................................7

5.2.2路由........................................................................7

5.2.3IPv6扩展字段................................................................8

5.2.4高可用性要求................................................................8

5.2.5设备虚拟化..................................................................8

5.2.6IPv6VPN技术................................................................8

网络层控制......................................................................8

5.3.1基于报文的访问控制..........................................................9

5.3.2网络地址转换与应用层网关（ALG）功能.........................................9

5.3.3IPv6/MAC地址绑定............................................................9

5.3.4状态检测....................................................................9

流量管理........................................................................9

5.4.1带宽管理....................................................................9

5.4.2连接数控制..................................................................9

5.4.3会话管理....................................................................9

应用层控制.....................................................................10

5.5.1用户管控...................................................................10

5.5.2应用管控...................................................................10

5.5.3应用内容控制...............................................................10

攻击防护.......................................................................10

安全审计、告警与统计...........................................................10

5.7.1安全审计...................................................................10

I

GB/TXXXXX.1—XXXX

5.7.2安全告警...................................................................11

5.7.3统计.......................................................................11

安全策略设置...................................................................11

5.8.1混合地址策略...............................................................11

5.8.2与IP地址无关的策略........................................................12

5.8.3组策略.....................................................................12

5.8.4自动化策略.................................................................12

5.8.5策略的集中管理.............................................................12

6性能...............................................................................12

吞吐量.........................................................................12

6.1.1网络层吞吐量...............................................................12

6.1.2混合应用层吞吐量...........................................................12

延迟...........................................................................12

连接速率.......................................................................12

并发连接数.....................................................................12

7兼容性.............................................................................13

8可靠性.............................................................................13

系统容错.......................................................................13

故障监测与恢复.................................................................13

双机热备.......................................................................13

过载控制.......................................................................13

备份与恢复.....................................................................13

9自身安全性.........................................................................13

标识和鉴别.....................................................................13

自身访问控制...................................................................13

自身安全审计...................................................................14

通信安全.......................................................................14

支撑系统安全...................................................................14

产品升级.......................................................................14

用户信息安全...................................................................14

密码要求.......................................................................14

协议栈安全性...................................................................14

10可维护性..........................................................................14

操作用户指南..................................................................14

准备程序......................................................................14

配置管理能力..................................................................15

配置管理范围..................................................................15

交付程序......................................................................15

运维能力......................................................................15

参考文献.......................................................................16

II

GB/TXXXXX.1—XXXX

引言

根据《关于加快推进互联网协议第六版（IPv6）规模部署和应用工作的通知》，为更好面对网络复

杂化和用户规模扩大化带来的安全挑战，推动IPv6网络安全工作的标准化，我国制定了一系列IPv6安

全标准。其中，GB/TXXXXX《IPv6网络安全设备技术要求》是为规范在IPv6中网络安全产品的适用

性的技术标准，拟分为以下部分：

——第1部分：防火墙。目的在于IPv6部署后，保障防火墙在新的网络环境中的有效应用。

——第2部分：Web应用防火墙。目的在于IPv6部署后，保障Web应用防火墙在新的网络环境

中的有效应用。

——第3部分：入侵防御系统（IPS）。目的在于IPv6部署后，保障入侵防御系统（IPS）在新的

网络环境中的有效应用。

IV

GB/TXXXXX.1—XXXX

IPv6网络安全设备技术要求

第1部分：防火墙

1范围

本文件规定了支持IPv6的防火墙设备的安全技术要求，包括功能性、性能、兼容性、可靠性、自身

安全性和可维护性。

本文件适用于支持IPv6的防火墙设备的设计、开发、部署、使用、维护与测试。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价方法

GB/T25069-2022信息安全技术术语

GB42250-2022信息安全技术网络安全专用产品安全技术要求

GB/TXXXXX.3IPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）

3术语和定义

GB/T25069-2022、GB/T20281-2020界定以及下列术语和定义适用于本文件。

防火墙firewall

对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。

注1：来源于[GB/T20281-2020，3.1]。

注2：在本文件中防火墙仅指“网络型防火墙”。

内部网络internalnetwork

通过防火墙隔离的可信任区域或保护区域，通常是指单位内部的局域网。

外部网络externalnetwork

通过防火墙隔离的不可信任区域或非保护区域。

授权管理员authorizedadministrator

5

GB/TXXXXX.1—XXXX

具有防火墙管理权限的用户，可支持基于角色获得不同的管理权限，如：系统管理员、安全管理员

和安全审计员。

4缩略语

下列缩略语适用于本文件。

ALG：应用层网关（ApplicationLayerGateway）

BGP4+：边界网关协议第四版增强版（BorderGatewayProtocolVersion4+）

CPU：中央处理单元(CentralProcessUnit)

DHCPv6：IPv6动态主机配置协议（DynamicHostConfigurationProtocolforIPv6)

DMZ：非军事区（DemilitarizedZone）

DNSv6：IPv6域名系统（DomainNameSystemforIPv6）

FTP：文件传输协议（FileTransferProtocol）

HTTP：超文本传输协议（HypertextTransferProtocol）

HTTPs：安全超文本传输协议（HypertextTransferProtocolSecure）

ICMP:网间控制报文协议（InternetControlMessagesProtocol）

ICMPv6：IPv6网间控制报文协议（InternetControlMessagesProtocolforIPv6）

ID：标识符（Identifiers）

IMAP：邮件访问协议(InternetMailAccessProtocol,Internet)

IP：互联网协议（InternetProtocol）

IPv4：互联网协议第4版（InternetProtocolVersion4）

IPv6：互联网协议第6版（InternetProtocolVersion6）

ISATAP：站点内自动隧道寻址协议(Intra-SiteAutomaticTunnelAddressingProtocol)

ISIS：中间系统到中间系统（IntermediateSystemtoIntermediateSystem）

LDAP：轻量目录访问协议(LightweightDirectoryAccessProtocol)

MAC：媒体访问控制（MediaAccessControl）

MIB：管理信息库(ManagementInformationBase)

NAT：网络地址转换（NetworkAddressTranslation）

NDP：邻居发现协议(NeighborDiscoveryProtocol)

NETCONF：网络配置协议（NetworkConfigurationProtocol）

OSPFv3：开放式最短路径优先版本3（OpenShortestPathFirstVersion3）

P2P：点对点（PointtoPoint)

POP3：邮局协议版本3（PostOfficeProtocolVersion3）

RESTCONF：以HTTP协议描述的网络配置协议（RestfulNetworkConfigurationProtocol）

RIPng：下一代路由信息协议（RoutingInformationProtocolnextgeneration）

SMTP：简单邮件传送协议（SimpleMailTransferProtocol）

SNMP：简单网络管理协议（SimpleNetworkingManagementProtocol）

SRv6：IPv6段路由（SegmentRoutingIPv6）

SSL：安全套接层(SecureSocketLayer)

TCP：传输控制协议（TransportControlProtocol）

TFTP：简单文件传输协议（TrivialFileTransferProtocol）

6

GB/TXXXXX.1—XXXX

URL：统一资源定位器（UniformResourceLocator）

VLAN：虚拟局域网（VirtualLocalAreaNetwork）

VNI：网络标识符（VXLANNetworkIdentifier）

VPN：虚拟专用网（VirtualPrivateNetwork）

VXLAN：虚拟可扩展的局域网（VirtualeXtensibleLocalAreaNetwork）

5功能性

网络环境

5.1.1IPv6网络环境

设备应支持在IPv6网络环境中正常工作，包括：

a)设备应支持在IPv6组网环境，以及IPv6-IPv4混合组网环境下正常工作，能有效提供安全功能

并保障自身的安全性；

b)设备应支持全功能的IPv6协议栈，以保证防火墙设备可以作为全功能的IPv6网元、IPv6网

关、接入网络正常组网；

c)设备宜支持的IPv6协议包括但不限于IPv6核心协议、IPv6NDP协议、IPv6Autoconfig协议、

ICMPv6协议、DHCPv6协议、DNSv6协议等。

5.1.2IPv4-IPv6混合网络环境

设备应支持在以下一种或多种IPv6过渡网络环境下工作，并可作为IPv4与IPv6网络之间的网关，实

现下列功能：

a)IPv6/IPv4双协议栈功能：设备在同一网络中同时支持IPv4和IPv6协议。设备通过维护IPv6

和IPv4两套路由协议栈使设备既能与IPv4主机，也能与IPv6主机通信，分别支持独立的IPv6

和IPv4路由协议；

b)IPv6/IPv4的协议转换功能：支持NAT64和NAT46，可进行IPv6与IPv4之间的网络地址与

协议的转换，实现IPv6网络与IPv4网络的双向互访；

c)隧道模式功能：满足IPv4到IPv6过渡期间网络穿越功能要求。支持的隧道协议包括：IPv6

overIPv4、IPv4overIPv6、ISATAP等隧道技术；

组网和部署

5.2.1部署模式

设备应支持包括但不限于以下部署模式：透明传输模式、路由转发模式等。

5.2.2路由

静态路由

设备应支持IPv6静态路由功能，且能配置静态路由。

动态路由

设备应支持IPv6动态路由功能，包括但不限于RIPng、BGP4+、ISISv6、OSPFv3等。

7

GB/TXXXXX.1—XXXX

策略路由

具有多个相同属性网络接口（多个外部网络接口、多个内部网络接口或多个DMZ网络接口）的设

备，应支持IPv6的策略路由功能，包括但不限于：

a）基于源、目的IP策略路由；

b）基于接口的策略路由；

c）基于协议和端口的策略路由；

d）基于应用类型的策略路由；

e）基于多链路负载情况自动选择路由等。

5.2.3IPv6扩展字段

设备宜支持基于IPv6协议的扩展字段，以支撑更多的业务系统，实现更强的网络功能。IPv6增强协

议包括SRv6协议等，需要支持对应协议的解析、过滤和转发。

5.2.4高可用性要求

冗余部署

设备应支持“主-备”、“主-主”或“集群”中的一种或多种冗余部署模式。

负载均衡

设备应支持IPv6流量下的负载均衡功能，能根据策略将网络流量均衡到多台服务器上。

5.2.5设备虚拟化

虚拟系统

若设备支持在逻辑上划分为多个虚拟子系统，虚拟子系统间宜支持隔离和独立管理，包括但不限于：

a）对虚拟子系统分别设置管理员，实现针对虚拟子系统的管理配置；

b）虚拟子系统能分别维护路由表、安全策略和日志系统；

c）对虚拟子系统的资源使用配额进行限制。

d）宜支持基于物理端口、VLAN、IP地址段、ICMPv6标签、SRv6VNI等网络属性，设置虚拟

化实例。

虚拟化部署

若设备为虚拟化形态，宜支持部署于虚拟化平台，并接受平台统一管理，包括但不限于：

a)至少支持部署于一种虚拟化平台；

b)结合虚拟化平台实现设备资源弹性伸缩，根据虚拟化设备的负载情况动态调整资源；

c)结合虚拟化平台实现故障迁移，当虚拟化设备出现故障时能实现自动更新、替换。

5.2.6IPv6VPN技术

设备宜支持IPSec6、SSLVPN等能力，数据可通过隧道进行传输，能够为用户提供安全的数据传输

服务，应使用国家密码管理主管部门认证核准的密码算法。

网络层控制

8

GB/TXXXXX.1—XXXX

5.3.1基于报文的访问控制

设备的安全策略功能要求如下：

a)安全策略应使用最小安全原则，即除非明确允许，否则就禁止；

b)安全策略应包含基于IPv6和IPv4的源IP地址、目的IP地址的访问控制；

c)安全策略中的IPv6地址支持基于前缀和地址段进行配置；

d)安全策略应支持双栈混合配置，不区分IPv4和IPv6类型；

e)安全策略应包含基于源端口、目的端口的访问控制；

f)安全策略应包含基于协议类型的访问控制；

g)安全策略应包含基于MAC地址的访问控制；

h)安全策略应包含基于时间的访问控制；

i)应支持用户自定义的安全策略，安全策略包括MAC地址、IP地址、端口、协议类型和时间的

部分或全部组合。

5.3.2网络地址转换与应用层网关（ALG）功能

设备应支持多种基于IPv6的NAT技术，并支持在进行NAT时，IPv4与IPv6地址之间映射策略。

a)设备应支持NAT66，包括源NAT66、目的NAT66和双向NAT66，保护内网IPv6用户的隐私

安全；

b)设备应支持针对特殊协议，如FTP协议的ALG功能，提供对报文载荷数据进行地址转换的能

力。设备应支持的常用ALG功能，包括但不限于FTP、TFTP、DNS、HTTP等。

5.3.3IPv6/MAC地址绑定

设备应支持基于IPv6的自动或手动绑定IP/MAC地址，当主机的IP地址、MAC地址与IP/MAC

绑定表中不一致时，阻止其流量通过。

5.3.4状态检测

设备应支持基于IPv6协议的状态检测包过滤功能，具备基于IPv6协议的状态检测能力。

流量管理

5.4.1带宽管理

设备应支持对IPv6流量的带宽管理功能，能根据策略调整客户端占用的带宽，包括但不限于：

a)根据源IP、目的IP、应用类型和时间段的流量速率或总额进行限制；

b)根据源IP、目的IP、应用类型和时间段设置包带宽；

c)在网络空闲时自动解除流量限制，并在总带宽占用率超过阈值时自动启用限制。

5.4.2连接数控制

设备应支持对IPv6流量的单IP的最大并发会话数和新建连接速率限制能力，防止大量非法连接产生

时影响网络性能。

5.4.3会话管理

在会话处于非活跃状态一定时间或会话结束后，设备应终止会话。

9

GB/TXXXXX.1—XXXX

应用层控制

5.5.1用户管控

设备应支持基于用户认证的网络访问控制功能，包括：

a)本地用户认证方式；

b)可自动对接第三方认证系统以完成用户身份认证与授权，如基于Radius、LDAP服务器的认证

方式；

c)支持通过IPv6协议对接认证服务器。

5.5.2应用管控

设备应支持根据应用特性识别并控制各种IPv6网络环境下的应用类型，包括：

a)支持DNS、HTTP、FTP、TELNET、SMTP、POP3和IMAP等常见协议中承载的应用识别和

管控；

b)支持数据库、即时聊天类、P2P类、网络流媒体类、网络游戏、股票交易等类型的应用识别和

管控；

c)支持逃逸或隧道加密特点的应用，如加密代理类应用；

d)支持自定义应用。

5.5.3应用内容控制

Web应用

设备应支持基于以下内容对Web应用的访问进行控制，包括但不限于：

a)URL网址，并具备分类网址库；

b)HTTP传输内容的关键字；

c)HTTP请求方式，包括GET、POST、PUT、HEAD等；

d)HTTP请求文件类型；

其它应用

设备应支持基于以下内容对FTP、TELNET、SMTP、POP3和IMAP等应用进行控制，包括但不限于：

a)传输文件类型；

b)传输内容，如协议命令或关键字。

攻击防护

应符合GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）5.2.3规定的要求。

安全审计、告警与统计

5.7.1安全审计

设备应支持安全审计功能，包括但不限于：

a)记录事件类型：

1）被设备安全策略匹配的访问请求；

2）检测到的攻击行为。

10

GB/TXXXXX.1—XXXX

b)日志内容：

1）事件发生的日期和时间；

2）事件发生的主体、客体和描述，其中数据包日志包括协议类型、源地址、目标地址、源端

口和目标端口等；

3）攻击事件的描述；

4）设备应支持IPv6协议的日志内容审计，日志内容源地址和目的地址字段支持IPv6格式。

c)日志管理：

1）仅允许授权管理员访问日志，并提供日志查阅、导出等功能；

2）能对审计事件按日期、时间、主体、客体等条件查询；

3）日志存储于掉电非易失性能存储介质中；

4）日志存储周期设定不小于6个月；

5）存储空间达到阈值时，能通知授权管理员，并确保审计功能的正常运行；

6）日志支持自动化备份至其他存储设备。

5.7.2安全告警

设备应支持对5.6中的攻击行为进行告警，并能对高频发生的相同告警时间进行合并告警，避免出

现告警风暴。告警信息至少包括以下内容：

a)事件主体；

b)事件客体；

c)事件描述；

d)危害级别；

e)事件发生的日志和时间。

5.7.3统计

.1网络流量统计

设备应支持以图形化界面展示网络流量情况，包括但不限于：

a)按照IP、时间段、协议类型等条件或以上条件组合对网络流量进行统计；

b)实时或以报表形式输出统计结果。

.2应用流量统计

设备应支持以图形化界面展示应用流量情况，包括但不限于：

a)按照IP、时间段和应用类型等条件或以上条件组合对应用流量进行统计；

b)以报表形式输出统计结果；

c)对不同时间段的统计结果进行对比。

.3攻击事件统计

设备应支持以图形化界面展示攻击事件情况，包括但不限于：按照攻击事件类型、IP和时间段等条

件或以上条件组合对攻击事件进行统计等、并以报表形式输出统计结果。

安全策略设置

5.8.1混合地址策略

11

GB/TXXXXX.1—XXXX

在安全策略设置中，应能同时适用不同的地址空间。

5.8.2与IP地址无关的策略

在安全策略的设置中应支持使用以下方式：包括但不限于基于用户身份、基于网络域名以及域名前

后缀、基于网络应用种类、基于协议类型、基于协议标签（如：IPv6标签、VXLANID等）、基于物理

端口、基于网络数据流流向、基于VLANID等。

5.8.3组策略

设备应支持设置安全组策略。包括但不限于：网络端口组、特定用户组、相同域名后缀的地址集合、

域名关键字、特定应用集合，以及实体的各种其他属性的组合。

5.8.4自动化策略

设备宜通过与AD服务器、证书系统、域名系统的对接，自动获得网络通信对应的用户身份或者可

靠网络标识，以实现动态灵活的安全策略管理。

5.8.5策略的集中管理

设备应支持功能面与策略面的分离，各种安全策略应当能够统一配置，以保证安全策略的准确性，

适用于多设备分布式部署场景。

6性能

吞吐量

6.1.1网络层吞吐量

设备在IPv6网络环境中，视不同速率的产品有所不同，应至少符合GB/T20281-2020中规定的

要求。

6.1.2混合应用层吞吐量

设备在IPv6网络环境中，视不同速率的产品有所不同，应至少符合GB/T20281-2020中规定

的要求。

延迟

设备在IPv6网络环境中，视不同速率的产品有所不同，应至少符合GB/T20281-2020中6.3.2规定的

要求。

连接速率

设备在IPv6网络环境中，视不同速率的产品有所不同，应至少符合GB/T20281-2020中规定的

要求。

并发连接数

12

GB/TXXXXX.1—XXXX

设备在IPv6网络环境中，视不同速率的产品有所不同，应至少符合GB/T20281-2020中规定的

要求。

7兼容性

设备宜兼容常规的MIB/SNMP实现设备功能监控，支持基于NETCONF/RESTCONF开放北向接口，

实现设备管理与监控功能，可对接第三方网管系统。

8可靠性

系统容错

在IPv6网络环境中，设备：

a）应提供针对命令、配置、操作等人机接口的错误防护机制，保证错误输入下系统仍保持稳定；

b）应支持对通信接口的输入进行有效性校验，保证错误输入下系统仍保持稳定

c）升级重启时，宜能自动Bypass不断网；

d）应支持升级失败可回退，系统可恢复正常工作。

故障监测与恢复

在IPv6网络环境中，设备：

a)应对设备关键进程提供重启等恢复手段；

b)应支持恢复出厂设置。

双机热备

在IPv6网络环境中，应具备双机热备功能，当设备出现故障时，备设备应及时发现并接管主设备进

行工作。

过载控制

在IPv6网络环境中，当流量超过设备所能处理的最大性能时，宜采取措施优先转发业务流量，保障

业务正常，也可采用限流措施保障设备的稳定性。

备份与恢复

在IPv6网络环境中，设备：

a）应支持配置文件的备份与恢复，保证其完整可用；

b）应支持文件系统的备份与恢复，保证其完整可用。

9自身安全性

标识和鉴别

设备应至少符合GB42250-2022中5.1规定的要求。

自身访问控制

13

GB/TXXXXX.1—XXXX

设备应至少符合GB42250-2022中5.2规定的要求。

自身安全审计

设备应至少符合GB42250-2022中5.3规定的要求。

通信安全

设备应至少符合GB42250-2022中5.4规定的要求。

支撑系统安全

设备应至少符合GB42250-2022中5.5规定的要求。

产品升级

设备应至少符合GB42250-2022中5.6规定的要求。

用户信息安全

设备应至少符合GB42250-2022中5.7规定的要求。

密码要求

本文件凡涉及密码使用和管理的相关内容，按有关标准的规定。

协议栈安全性

设备应保证自身所使用协议栈的安全性：

a)应满足IPv4/IPv6协议健壮性的要求，可抵御IPv4和IPv6网络环境下畸形协议报文攻击，如

针对协议扩展头的检查等；

b)宜支持IPv6安全邻居发现，防止NDP攻击；

c)宜支持关闭设备发送和接收指定类型的ICMPv6报文的功能，阻止或抑制ICMPv6攻击。

10可维护性

操作用户指南

开发者应提供明确和合理的操作用户指南，对每一种用户角色的描述应满足以下要求：

a)描述用户能访问的功能和特权，包含适当的警示信息；

b)描述设备安全功能及接口的用户操作方法，包括配置参数的安全值等；

c)标识和描述设备运行的所有可能状态，包括操作导致的失败或者操作性错误；

d)描述实现设备安全目的必需执行的安全策略。

准备程序

开发者应提供设备及其准备程序，准备程序描述应满足以下要求：

a)描述与开发者交付程序相一致的安全接收所交付设备必需的所有步骤；

b)描述安全安装设备及其运行环境必需的所有步骤。

14

GB/TXXXXX.1—XXXX

配置管理能力

开发者的配置管理能力应满足以下要求：

a)为设备的不同版本提供唯一的标识；

b)使用配置管理系统对组成设备的所有配置项进行维护，并进行唯一标识；

c)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；

d)配置管理系统提供自动方式来支持设备的生成，通过自动化措施确保配置项仅接受授权变更；

e)配置管理文档包括一个配置管理计划，描述用来接受修改过的或新建的作为设备组成部分的

配置项的程序。配置管理计划描述应描述如何使用配置管理系统开发设备，开发者实施的配置

管理应与配置管理计划相一致。

配置管理范围

开发者应提供设备配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：设备及其组

成部分、安全保障要求的评估证据、实现表示、安全缺陷报告及其解决状态。

交付程序

开发者应使用一定的交付程序交付设备，并将交付过程文档化。在给用户交付设备的各版本时，交

付文档应描述为维护安全所必需的所有程序。

运维能力

设备应支持以下运维要求：

a)支持收集系统异常信息，包括但不限于：CPU异常、内存异常、进程异常、分区异常、文件异

常、温度异常等，便于快速排查设备问题；

b)支持对设备的运行状态进行收集；

c)支持在软件系统故障后进行修复或恢复；

d)支持记录系统运行日志，并可支持实时设置日志的级别；

e)支持debug信息收集；

f)支持提供基本的诊断工具，如ping6、traceroute、抓包、top等；

g)提供系统指示灯区分不同的故障告警。

15

GB/TXXXXX.1—XXXX

参考文献

[1]GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪

可用软件产品（RUSP）的质量要求和测试细则

16

GB/TXXXXX.1—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是“IPv6网络安全设备技术要求”系列标准之一，该系列标准的结构及名称如下：

——GB/TXXXXXIPv6网络安全设备技术要求第1部分：防火墙（本文件）；

——GB/TXXXXXIPv6网络安全设备技术要求第2部分：Web应用防火墙；

——GB/TXXXXXIPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中华人民共和国工业和信息化部提出。

本文件由全国通信标准化技术委员会（SAC/TC485）归口。

本文件起草单位：

本文件主要起草人：

III

GB/TXXXXX.1—XXXX

IPv6网络安全设备技术要求

第1部分：防火墙

1范围

本文件规定了支持IPv6的防火墙设备的安全技术要求，包括功能性、性能、兼容性、可靠性、自身

安全性和可维护性。

本文件适用于支持IPv6的防火墙设备的设计、开发、部署、使用、维护与测试。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价方法

GB/T25069-2022信息安全技术术语

GB42250-2022信息安全技术网络安全专用产品安全技术要求

GB/TXXXXX.3IPv6网络安全设备技术要求第3部分：入侵防御系统（IPS）

3术语和定义

GB/T25069-2022、GB/T20281-2020界定以及下列术语和定义适用于本文件。

防火墙firewall

对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。

注1：来源于[GB/T20281-2020，3.1]。

注2：在本文件中防火墙仅指“网络型防火墙”。

内部网络internalnetwork

通过防火墙隔离的可信任区域或保护区域，通常是指单位内部的局域网。

外部网络externalnetwork

通过防火墙隔离的不可信任区域或非保护区域。

授权管理员authorizedadministrator

5

GB/TXXXXX.1—XXXX

具有防火墙管理权限的用户，可支持基于角色获得不同的管理权限，如：系统管理员、安全管理员

和安全审计员。

4缩略语

下列缩略语适用于本文件。

ALG：应用层网关（ApplicationLayerGateway）

BGP4+：边界网关协议第四版增强版（BorderGatewayProtocolVersion4+）

CPU：中央处理单元(CentralProcessUnit)

DHCPv6：IPv6动态主机配置协议（DynamicHostConfigurationProtocolforIPv6)

DMZ：非军事区（DemilitarizedZone）

DNSv6：IPv6域名系统（DomainNameSystemforIPv6）

FTP：文件传输协议（FileTransferProtocol）

HTTP：超文本传输协议（HypertextTransferProtocol）

HTTPs：安全超文本传输协议（HypertextTransferProtocolSecure）

ICMP:网间控制报文协议（InternetControlMessagesProtocol）

ICMPv6：IPv6网间控制报文协议（InternetControlMessagesProtocolforIPv6）

ID：标识符（Identifiers）

IMAP：邮件访问协议(InternetMailAccessProtocol,Internet)

IP：互联网协议（InternetProtocol）

IPv4：互联网协议第4版（InternetProtocolVersion4）

IPv6：互联网协议第6版（InternetProtocolVersion6）

ISATAP：站点内自动隧道寻址协议(Intra-SiteAutomaticTunnelAddressingProtocol)

ISIS：中间系统到中间系统（IntermediateSystemtoIntermediateSystem）

LDAP：轻量目录访问协议(LightweightDirectoryAccessProtocol)

MAC：媒体访问控制（MediaAccessControl）

MIB：管理信息库(ManagementInformationBase)

NAT：网络地址转换（NetworkAddressTranslation）

NDP：邻居发现协议(NeighborDiscoveryProtocol)

NETCONF：网络配置协议（NetworkConfigurationProtocol）

OSPFv3：开放式最短路径优先版本3（OpenShortestPathFirstVersion3）

P2P：点对点（PointtoPoint)

POP3：邮局协议版本3（PostOfficeProtocolVersion3）

RESTCONF：以HTTP协议描述的网络配置协议（RestfulNetworkConfigurationProtocol）

RIPng：下一代路由信息协议（RoutingInformationProtocolnextgeneration）

SMTP：简单邮件传送协议（SimpleMailTransferProtocol）

SNMP：简单网络管理协议（SimpleNetworkingManagementProtocol）

SRv6：IPv6段路由（SegmentRoutingIPv6）

SSL：安全套接层(SecureSocketLayer)

TCP：传输控制协议（TransportControlProtocol）

TFTP：简单文件传输协议（TrivialFileTransferProtocol）

6

GB/TXXXXX.1—XXXX

URL：统一资源定位器（UniformResourceLocator）

VLAN：虚拟局域网（VirtualLocalAreaNetwork）

VNI：网络标识符（VXLANNetworkIdentifier）

VPN：虚拟专用网（VirtualPrivateNetwork）

VXLAN：虚拟可扩展的局域网（VirtualeXtensibleLocalAreaNetwork）

5功能性

网络环境

5.1.1IPv6网络环境

设备应支持在IPv6网络环境中正常工作，包括：

a)设备应支持在IPv6组网环境，以及IPv6-IPv4混合组网环境下正常工作，能有效提供安全功能

并保障自身的安全性；

b)设备应支持全功能的IPv6协议栈，以保证防火墙设备可以作为全功能的IPv6网元、IPv6网

关、接入网络正常组网；

c)设备宜支持的IPv6协议包括但不限于IPv6核心协议、IPv6NDP协议、IPv6Autoconfig协议、

ICMPv6协议、DHCPv6协议、DNSv6协议等。

5.1.2IPv4-IPv6混合网络环境

设备应支持在以下一种或多种IPv6过渡网络环境下工作，并可作为IPv4与IPv6网络之间的网关，实

现下列功能：

a)IPv6/IPv4双协议栈功能：设备在同一网络中同时支持IPv4和IPv6协议。设备通过维护IPv6

和IPv4两套路由协议栈使设备既能与IPv4主机，也能与IPv6主机通信，分别支持独立的IPv6

和IPv4路由协议；