电力行业信息技术应用创新基础软硬件测试方法 第6部分：防火墙

3电力行业信息技术应用创新基础软硬件测试方法第6部分：防火墙GB/T20281—2020信息安全技术防火墙安全技术要求和测试评价GB/T22239—2019信息安全技术网络安全等级保护基本到整个应用程序的内容，然后按照系统定义的策略对内容并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的4为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安4符号、代号和缩略语DNS：域名系统（DomainNameSysteFTP：文件传输系统（FileTransferProtocHTTP：超文本传输协议（HypertextTransferProtoMAC：介质访问控制层（MediaAccessControl）NAT：网络地址转换（NetworkAddNTP：网络时间同步协议（NetworkTimeProtocol）OSPF：开放式最短路径优先（OpenRIP：路由选择信息协议（RoutingSMTP：简单邮件（SimpleMailTransferPrDPI：深度包检测（DeepPacketInspectiDCI：深度内容检测（DeepContentInspectXSS：跨站脚本（CrossSiteScrip5测评方法5.1测试环境5测试终端业务系统测试终端交换机被测设备交换机二二二二二攻击模拟工具漏洞扫描工具性能测试仪代码扫描工具5.2测试工具12345.3测试要求d）兼容性测试侧重防火墙对国产硬件、系统和国密e）电力行业适应性测试侧重在电力特殊场景下防火墙的可用性和适5.4测试内容序号12.支持基于IP地址的访3.支持基于端口的访问控4.支持基于协议类型的访1.防火墙采用最小安全原则，6序号5.支持基于时间的访问控6.支持基于用户自定义安4.配置基于源端口、目的端口的包5.配置基于协议类型的包过滤策6.配置基于时间的包过滤策略，产7.配置用户自定义的包过滤策略，2试1.为内部网络用户访问外部网络主机分别设置“多对一”和“多对多”访问DMZ的服务器，实现双向NAT；的源地址和目的地址正确转换，3测支持基于状态检测技术的2.配置包过滤策略，允许特定条件3.产生满足该特定条件的一个完整4.产生满足该特定条件的网络会话中的不是第一个连接请求SYN包的一防火墙可依据状态表进行访问一个完整的网络会话能够通过网络会话中的不是第一个连接请求SYN包的一个或多个数据41.防火墙设置IP/MAC地址绑定策2.使用自动绑定或手工绑定功能将IP/MAC地址能够自动或手工绑5理议、时间等参数对流量进2.支持统计结果的报表形1.配置防火墙流量统计策略，产生2.检查防火墙能否进行流量统计，或它们的组合对流量进行正确2.防火墙能够实时或者以报表2.从内部网络指定主机向外部网络衡支持将网络流量负载均衡2.在外部网络主机上，产生大量访3.通过协议分析仪或包捕获工具观防火墙能够将网络访问均衡到7序号理支持主动释放会话占用的1.防火墙应具有默认超时机制，则2.在不经过防火墙的条件下，从客确认该会话不会在防火墙所设定的3.从内部网络指定主机向外部网络防火墙应具有默认的会话超时62.支持和记录扫描的行1.在防火墙开启自动化工具威胁防火墙是否能识别并防御该类自动化2.使用漏洞扫描工具，经防火墙发是否能识别并防御该类自动化工具1.防火墙能识别并抵御网络、2.扫描后结果可生成相关记71.按照拓扑，防火墙使用两根互联2.测试防火墙与交换机互联的两个(2)配置防火墙聚合接口为路由模(3)交换机的聚合接口和与服务器1.防火墙与交换机可以正常建立聚合对接，并实现跨网段通8力1.根据目标地址参数及出接口配置两台防火墙均启用动态路由协议查防火墙获得路由信息的周期及路3.检查防火墙是否能够根据数据包1.防火墙应支持静态路由功4.防火墙应能够根据数据包源口，传输层接口数据包负载内应用类型等参数来设置路由策8序号议和端口或应用类型等参数配置防5.产生相应的网络会话，检查策略92.验证是否仅主防火墙处于工作状3.关闭主防火墙或使其断开网络连断开网络时，流量切换到备设1.将两台设备部署于双机主主环境2.不间断访问防护对象，不间断对4.不间断访问防护对象，不间断对断开网络时，流量切换到备设2.支持抵御来自应用层的3.配置基于文件类型的内容过滤策4.配置基于用户的内容过滤策略，件、文件夹和关键字的访问控支持识别和控制各种应用1.在防火墙开启恶意代码防护策2.在防火墙开启恶意代码防护策防火墙可识别和过滤主流应用等应用对文件类型进行访问控2.支持恶意代码检测和拦1.检查防火墙是否具备恶意代码防3.检查防火墙是否具有分类的恶意1.防火墙具有恶意代码防护引2.防火墙具有分类的不良网址码的HTTP访问和电子邮件收支持具备抗拒绝服务攻击1.配置启用防火墙抗拒绝服务攻击1.防火墙具备抗拒绝服务攻击能力包括：ICMP、UDP、SYN、9序号2.采用攻击模拟工具，通过防火墙4.检查拒绝服务攻击包通过的比2.攻击包通过的比例不大于持境下正常配置策略，实现包过滤功1.防火墙支持通过隧道技术实2.防火墙支持双栈技术，可同理证等身份鉴别措施，并对4.支持密码管理和复杂性6.支持对登录失败的处理，包括鉴别失败的最大1.查看登录页面，是否需要口令鉴2.在账号管理页面尝试创建同名用3.查看是否支持两种或两种以上组4.在登录页面输入账号密码登录，5.查看账号管理页面，口令复杂度6.首次登录，查看是否有提示修改7.配置鉴别失败最大次数，多次失8.查看防火墙管理员角色，并查看1.支持对授权管理员的口令鉴2.支持对授权管理员选择两种或两种以上组合的鉴别技术进3.对用户身份鉴别信息进行安4.对于采用静态口令认证技术5.支持首次登录修改密码、密6.具有登录失败处理功能，身份鉴别在经过一个可设定的鉴7.防火墙应区分管理员角色，序号计2.支持检测到事件后记录3.支持审计日志的有效管1.查阅日志信息，检查日志审计工2.针对防火墙尝试进行用户登录和加／删除／修改管理员、保存/删除3.模拟对防火墙及其模块的异常状4.检查防火墙的审计日志是否包括5.检查防火墙是否仅允许授权管理1.用户账户的登录和注销、系2.在检测日志记录中包括如下3.保护审计日志，防止未授权5.4.2性能测试序号1整机吞吐全开的线速度不应小于能全开的线速度不应小全开的线速度不应小于1.建立测试环境，使用性能测试2.开启防火墙功能，工作在透明6.分别使用64B、128B、256B、7.测试高性能的万兆防火墙在不丢包情况下，整机双向UDP协议防火墙的吞吐量视不同速率的防兆和万兆防火墙应不小于线速的百兆防火墙应不小于线速的70%，千兆和万兆防火墙应不小于线速兆和万兆防火墙应不小于线速的21.各场景下开启主要的增加不应该大于原延迟2.开启防火墙功能，工作在透明防火墙的时延视不同速率的防火序号2.各场景下开启主要的增加不应该大于原延迟3.各场景下开启主要的增加不应该大于原延迟4.使用性能测试仪连接防火墙的5.测试防火墙对相应速率的端口字节最大网络吞吐量90%条件下的最大延迟对应不应超过100us，最大延迟对应不应超过40us，最大延迟对应不应超过30us，3整机最大问控制策略上最大连接问控制策略上最大连接有效访问控制策略的情况下最大连接速率应不2.配置防火墙工作模式为路由模3.使用性能测试仪连接防火墙的4.测试高性能的万兆防火墙整机1.百兆防火墙在200条有效访问控制策略的情况下最大连接速率控制策略的情况下最大连接速率控制策略的情况下最大连接速率4最大并发有效访问控制策略的情况下最大并发连接数应有效访问控制策略的情况下最大并发连接数应有效访问控制策略的情况下最大并发连接数应2.配置防火墙工作模式为路由模3.使用性能测试仪连接防火墙的4.测试高性能的万兆防火墙整机最大并发连接数视不同速率的防火墙有所不同，具体测试要求如1.百兆防火墙在200条有效访问控制策略的情况下最大并发连接控制策略的情况下最大并发连接控制策略的情况下最大并发连接序号11.防火墙路由模式部署并且开启安全2.漏洞扫描工具对被测设备进行漏洞4.利用端口扫描设备进行防火墙端口2支持安全完整的2.利用端口扫描设备对防火墙进行扫支撑系统不含任何可能导致防火墙权限丢失、拒绝服务和敏感信息泄露的序号3异常处理支持异常处理的2.管理员访问防火墙检查已产生的日4安全管理支持防火墙的安1.验证防火墙是否支持通过console2.验证防火墙是否支持通过网络接口端与防火墙之间的所有通信数据是否5.验证防火墙是否具备独立的管理接并可限定可进行远程管理的网络接5源代码安支持提供安全源1.原厂商提供自主可控版本防火墙对2.通过代码扫描工具对防火墙代码进3.提供第三方检测机构出具的代码审审查送检系统/装置的源代码安全审跨站请求伪造、使用含有已知漏洞的机构资质证明，送检的检测机构需具中包含软件信息安全检测相关的项6备份与恢复支持备份与恢复防火墙具备配置信息备份与恢复功5.4.4兼容性测试表5。序号1系统兼容性操作系统内核支持国产操作系统2.在国产操作系统能正常实现防火墙的全量操作系统可适配国产操作系2硬件兼容性硬件系列支持国产硬件包括处理3.使用国产硬件检查是否能正常实现防火墙硬件处理器兼容包括龙芯、兆列，且内存和交换芯片均支持自主可控品牌，并满足全量功序号3国密算法支持国密算法进支持国密的相关算法，可以支电力行业适用性测试主要包括在电力行业内网或专用环境下的可用性测试、电力生产环境下可用1性按要求配置内网或专网，包括网络拓件在特定网络环境1.配置内网或专网环境，确保2.在内网或专网中使用防火墙3.以手动或自动化方式，对防察其在内网或专网环境下的运1.防火墙能够在内网或专网通信环2.内网或