《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》编制说明

1.编制背景

1.1项目背景

随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，越来越多的政府、

企业组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网上银行、

网络办公等；互联网企业提供给用户各类WEB应用服务，如提供信息发布、信息搜索、

电子购物、网上游戏等业务，提供了极大的便利。

与此同时，信息安全的重要性也在不断提升。近年来，政府、企业各类组织所面

临的WEB应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，

如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、WEB应用安全漏洞利用等，

给组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的

入侵和攻击、保证WEB应用系统的安全和正常运行成为政府、企业所面临的一个重要

问题。

传统的网络安全设备如安全网关、入侵检测、防病毒、抗DoS攻击设备、各种

VPN设备等等，由于针对不同的网络安全问题，很难形成完善的防护网，且这些产品

的很多功能又存在着冗余，往往造成处理性能和响应速度的下降。

以上这些都为WEB应用防火墙类产品带来了广泛的应用需求，同时也对WEB应用

防火墙类产品的提供者提出了更高的要求。近年来WEB应用防火墙类产品的数量增长

迅速，市场不断扩大。

为了规范WEB应用防火墙的研发和应用，《信息安全技术WEB应用防火墙安全技

术要求与测试评价方法》，对国内的WEB应用防火墙提出统一的安全技术要求以及相

应的测试评价方法，使得国内的检测机构根据该标准，能够对WEB应用防火墙进行标

准化的测试和评价，从而保证测试评价结果的完整性和一致性；同时也可对WEB应用

防火墙的开发者提供指导作用。

为此，上海天泰网络技术有限公司、公安部第三研究所、北京神州绿盟科技有限公司、

北京中软华泰信息技术有限责任公司向全国信息安全标准化技术委员会（以下简称：安标委）

提交了《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》的制订申请。

1

1.2项目来源

安标委于2011年12月下达了《信息安全技术WEB应用防火墙安全技术要求与测试

评价方法》标准任务。

2.编制意义和目的

随着用户对WEB服务安全问题的重视程度不断提升，WEB应用防火墙在全国范围也

快速发展起来，涌现出一大批信息安全厂商研制开发的WEB应用防火墙产品。我中心从

2012年至今，一共检测了30个国内外厂商的37个WEB应用防火墙产品。

本标准的制订，将规范WEB应用防火墙产品的技术发展，帮助厂商更好的研制开发

WEB应用防火墙产品，帮助用户更好的选择WEB应用防火墙产品，促进WEB应用防火墙

产品市场的有序、健康发展。

3.编制依据和原则

3.1编制依据

《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》在编制时，参考了多

个现行的国家标准、行业标准，同时结合了我国信息安全等级保护技术需求以及计算机安全

技术开发成果及产业状况而撰写完成的。

本标准引用或参考的标准有：

1)GB17859-1999计算机信息系统安全保护等级划分准则

2)GB/T22239-2008信息安全技术信息系统安全等级保护基本技术要求

3)GB/T20271-2006信息安全技术信息系统通用安全技术要求

4)GB/T20272-2006信息安全技术操作系统安全技术要求

5)GB/T21028-2007信息安全技术服务器安全技术要求

6)GB/T20281—2006信息安全技术防火墙技术要求和测试评价方法

7)GB/T20275—2006信息安全技术入侵检测系统技术要求和测试评价方法

2

8)GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分：简

介和一般模型

9)GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第2部分：安

全功能要求

10)GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分：安

全保证要求

3.2编制原则

1）、全局性、系统性原则

本标准遵从等级保护体系的整体思路与方法，以《计算机信息系统安全保护等级划分准

则》(GB17859-1999)为指导，以《信息安全技术信息系统通用安全技术要求》(GB/T

20271-2006)和《信息安全技术信息系统安全等级保护基本技术要求》（GB/T22239-2008）

为基础和蓝本，根据WEB应用防火墙技术特点和在整个信息系统中的角色定位，建立WEB

应用防火墙等级保护安全技术模型，由此确立各等级的安全技术要求和测试评价方法。

2）、适用性原则

本标准在清晰分析我国各行业的信息系统中WEB应用防火墙的安全技术现状和实际需

求的基础上，充分考虑我国相关厂商的产业化能力，提出合适的安全技术指标体系与内容，

使WEB应用防火墙厂商和WEB应用防火墙用户能直接按标准实施相关操作，实现相关目标，

使标准真正发挥出实效。

3）、先进性原则

根据当前计算机安全技术与产业发展趋势，构建WEB应用防火墙安全功能框架，进而形

成相应的安全功能技术要求与分等级安全技术要求。

4.编制过程说明

一、成立编制组

2012年1月，由公安部第三研究所、上海天泰网络技术有限公司、北京神州绿盟科技

有限公司、北京中软华泰信息技术有限责任公司联合成立了《信息安全技术WEB应用防

3

火墙安全技术要求与测试评价方法》标准编制组，由4个单位的技术骨干组成，计10人。

二、制定工作计划

按照项目计划要求，标准编制组专门制定了工作计划，并确定编制组人员例会机制。

采用的编制方式是：先会议集中讨论，定思路和内容框架，然后分头编写内容，再集中

评议和修改内容，形成稳定版本后再向国内相关专家进行咨询，听取意见和修改文本。一直

按这种方式开展工作。

三、确定编制内容

经过标准编制组充分讨论和酝酿，以等级保护相关标准为标准框架，根据实际检测产品

的情况和我国目前WEB应用防火墙的实际安全水平，提出WEB应用防火墙的分等级安全

技术要求，然后根据技术要求建立相应测试评价方法。

四、编制工作简要过程

1)2012年1月-6月，制订了《信息安全技术WEB应用防火墙安全技术要求与测试

评价方法》（标准草案第一稿）；

2)2012年7月-12月，在标准编制组内部进行了多次讨论，形成了标准草案第二稿；

3)2013年1月-6月，征求了国内比较大的厂商意见，根据反馈意见进行了修改完善，

形成了标准草案第三稿；

4)2013年6月17日，WG5工作组在北京召开了标准评审专家会，与会专家对本标

准进行了认真审议，并提出了相关意见和建议（详见“意见汇总处理表”（一））。

经过与会专家的评审，评审组同意通过评审。编制组根据专家意见进行修改完善，

形成了征求意见稿第一稿。

5.标准内容构成

本标准包含两部分，一部分是WEB应用防火墙的通用安全技术要求，用以指导设计者如

何设计和实现WEB应用防火墙，使其达到信息系统所需安全等级，主要从信息系统安全保

护等级划分的角度来说明对WEB应用防火墙的通用安全技术要求，即主要说明WEB应用

防火墙为实现每一个保护等级的安全要求应采取的安全技术措施；另一部分是依据技术要

求，提出了具体的测试评价方法，用以指导评估者对各安全等级的WEB应用防火墙进行测

试和评估，同时也对WEB应用防火墙的开发者也提供指导作用。

4

然后针对上述每一级各安全功能点的技术要求内容，提出了相应的测试评价方法。对于

每一个测试评价项目，分为：测试评价方法、测试评价结果两部分。

以下用表格形式列举了不同等级的WEB应用防火墙的相关要求：

安全技术要求基本级增强级

允许/禁止HTTP请求类型**

HTTP协议头各个字段的长度限制**

后缀名过滤**

HTTP过

支持多种编码格式**

滤功能

识别和限制HTTP响应码**

产品URL内容关键字过滤**

安全WEB服务器返回内容过滤**

功能安全防WEB应用防护功能**

要求护功能WEB攻击防护功能a)~f)a)~i)

自定义错误页面功能**

白名单功能——*

其他功

支持HTTPS——*

能

规则库管理**

报警功能——*

唯一性标识**

身份鉴别**

标识与

鉴别数据保护**

鉴别

鉴别失败处理a)a)~b)

自身安全管理角色——*

安全审计数据生成a)~b)a)~c)

保护安全审审计日志管理功能**

计可理解的格式**

防止审计数据丢失**

统计功能a)a)~b)

远程管理加密**

HTTP吞吐量**

性能

HTTP最大请求速率**

要求

HTTP最大并发连接数**

配置管理*+

交付与运行*+

安全开发*+

保证指导性文档*+

要求生命周期支持——*

测试*+

脆弱性评定*+

注：“*”表示具有该项要求，“——”表示不具有该项要求，“+”表示具有更高的要求。

5

7．与国外标准的关系

本标准的部分“安全功能要求”和“SSOTC设计和实现”引用了GB/T20271-2006的

相关要求。GB/T20271-2006大量采用了GB/T18336-2001（idtISO/IEC15408:1999，信息技

术安全技术