《信息安全技术 防火墙安全技术要求和测试评价方法》编制说明

1工作简况

1.1任务来源

国家发改委颁布了发改办高技[2012]288号文《国家发展改革委

办公厅关于组织实施2012年国家下一代互联网信息安全专项有关试

点和标准工作事项的通知》，开展实施一系列共81个下一代互联网信

息安全标准的“下一代互联网信息安全标准专项项目”。防火墙作为

发改委重点扶持发展的十类下一代信息安全产品之一，表明了防火墙

在下一代互联网信息安全产品中的地位，其标准的建设工作至关重

要。因此本标准项目建设工作主要是为配合国家下一代互联网产业中

信息安全产品层面的推广和落地。

经中国国家标准化管理委员会批准，全国信息安全标准化技术

委员会（SAC/TC260）主任办公会讨论通过，研究制定防火墙技术要

求和测试评价方法的国家标准。该项目由全国信息安全标准化技术委

员会提出，全国信息安全标准化技术委员会归口，由公安部计算机信

息系统安全产品质量监督检验中心（公安部第三研究所）负责主办。

1.2协作单位

在接到《信息安全技术防火墙技术要求和测试评价方法》标准

的任务后，公安部计算机信息系统安全产品质量监督检验中心立即与

各生产防火墙的厂商进行沟通，并得到了多家业内知名厂商的积极参

1

与和反馈。经过层层筛选之后，最后确定由启明星辰信息技术有限公

司、北京网康科技有限公司和华为技术有限公司作为标准编制协作单

位。

1.3主要工作过程

1.3.1成立编制组

2012年12月接到标准编制任务，组建标准编制组，由本检测中

心、启明星辰、华为及北京网康联合编制。检测中心的编制组成员均

具有资深的防火墙产品检测经验、有足够的标准编制经验、熟悉CC；

其他厂商的编制成员均为防火墙的研发负责人及主要研发人员。检

测中心人员包括俞优、顾健、邹春明、沈亮、陆臻等；厂商包括王光

宇、吕颖轩、王平等。

1.3.2制定工作计划

编制组首先制定了编制工作计划，并确定了编制组人员例会安排

以便及时沟通交流工作情况。

1.3.3参考资料

该标准编制过程中，主要参考了：

•GB/T5271.8-2001信息系统词汇第8部分：安全

•GB17859-1999计算机信息系统安全保护划分准则

•GB/T18336.3－2008信息技术安全技术信息技术安全性评

估准则第3部分：安全保证要求

2

•GB/T20271-2006信息安全技术信息系统通用安全技术要求

•GB/T20281-2006信息安全技术防火墙技术要求和测试评价

方法

•GB/T22239-2008信息安全技术信息系统安全等级保护基本

要求

•近几年到本检测中心所送检的相关防火墙产品及其技术资料

1.3.4确定编制内容

经标准编制组研究决定，以原国标内容和发改委专项测试要求为

理论基础，以现有防火墙的发展动向为研究目标，以GB17859-1999

《计算机信息系统安全保护等级划分准则》和GB/T18336-2008《信

息技术安全技术信息技术安全性评估准则》为主要参考依据，完成

《信息安全技术防火墙技术要求和测试评价方法》标准的编制工作。

1.3.5编制工作简要过程

按照项目进度要求，编制组人员首先对所参阅的产品、文档以及

标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完

成对提纲进行交流和修改的基础上，开始具体的编制工作。

2013年1月，完成了对防火墙的相关技术文档和有关标准的前期

基础调研。在调研期间，主要对我检测中心历年检测产品的记录、报

告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内外相

关产品的发展动向进行了研究，对相关产品的技术文档和标准进行了

分析理解。

3

2013年2月完成了标准草案的编制工作。以编制组人员收集的资

料为基础，在不断的讨论和研究中，完善内容，最终形成了本标准草

稿（第一稿）。

2013年3月，编制组在检测中心内部对标准草稿（第一稿）进行

了讨论，修改完成后形成草稿（第二稿）。

2013年4月，编制组以意见征求会形式邀请深圳市深信服电子科

技有限公司、北京中科网威信息技术有限公司等厂商进行现场征求意

见，根据反馈意见，增加了透明传输部署模式、多重鉴别、双机热备

和带宽管理等要求。

2013年6月，编制组以邮件方式征求了北京启明星辰信息安全技

术有限公司、华为技术有限公司、北京网康科技有限公司等参与编制

厂商的意见，根据反馈意见，增加连接数控制、会话管理、用户管控、

审计空间耗尽处理等主要要求。通过修改，形成了草稿（第三稿）。

2013年7月，WG5工作组在上海召开了标准评审专家会，与会专

家对本标准进行了认真审议，并提出了相关意见和建议。经过与会专

家的评审，评审组同意通过评审。编制组根据专家意见进行修改完善，

形成了征求意见稿（第一稿）。

2013年8月，WG5工作组组织成员单位对本标准进行投票，全部

为赞成票。根据成员单位反馈的意见，标准编制组对标准进行了修改

完善，形成了征求意见稿（第二稿）。

2013年9月，冯慧老师对本标准的格式、用语等方面提出了的修

改建议，标准编制组依据专家意见进行了修改，形成了征求意见稿（第

4

三稿）。

1.3.6起草人及其工作

标准编制组具体由俞优、邹春明、沈亮、陆臻、顾健等人组成。

俞优全面负责标准编制工作，包括制定工作计划、确定编制内容和整

体进度、人员的安排；邹春明和沈亮主要负责标准的前期调研、现状

分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等

工作；陆臻负责标准校对审核等工作；顾健主要负责标准编制过程中

的各项技术支持和整体指导。

2标准主要内容

2.1编制原则

为了使防火墙标准的内容从一开始就与国家标准保持一致，本标

准的编写参考了其他国家有关标准，主要有GB/T17859-1999、GB/T

20271-2006、GB/T22239-2008和GB/T18336-2008。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。

具体原则与要求如下：

1）先进性

标准是先进经验的总结，同时也是技术的发展趋势。目前，我国

防火墙产品种类繁多，功能良莠不齐，要制定出先进的产品国家标准，

必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进

水平的标准。本标准的编写始终遵循这一原则。

5

2）实用性

标准必须是可用的，才有实际意义，因此本标准的编写是在对国

内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，

广泛了解了市场上主流产品的功能，吸收其精华，制定出符合我国国

情的、可操作性强的标准。

3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、

规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容

符合我国已经发布的有关政策、法律和法规。

2.2编制思路

目前，我国开展信息安全管理的纲领性文件有两个，一个

GB17859，另一个是GB/T18336。这两个国家标准从提纲挈领的角度

规定了我国开展信息安全管理和信息安全产品标准编制的基本原则。

具体理由阐述如下：

从20世纪80年代开始，世界各国相继制定了多个信息技术安全

评价标准。这些标准中美国国防部发布的可信计算机系统评估准则

（TCSEC）是这方面最早的标准。

在TCSEC发布后的十多年里，美国政府和机构的信息系统安全性

有了较大程度的提高，特别是在操作系统和数据库方面，开创了安全

标准的先河。根据TCSEC而进行的评估项目已经向一百多种商业安

全产品颁发了证书，达到C2级的操作系统安全已得到世界上广泛的

承认。并随后引发了加拿大和欧洲等国进行相似标准的研发。

6

随着信息安全的不断向前推进，人们发现TCSEC的一些要求太

严格，以致限制了其应用范围，需要新的评估准则来完成TCSEC所

不能完成的使命。同时，信息安全产品的厂商迫切需要一种国际性的

评估准则，而不是各国各自的不同准则来评估其产品，这样产品的国

际市场将大大拓宽。因此，1996年，CC作为时代发展的产物被推上

了历史的舞台。

为了更好的实现由TCSEC向CC的平稳过渡，美国国防部下属

机构，“国家安全电信与信息系统安全委员会”（简称NSTISSC,现已

更名为“国家系统安全委员会”简称CNSS）于1999年3月发布了“关

于可信计算机评估准则向国际信息技术安全评估通用准则过渡的咨

询备忘录”（NSTISSAMCOMPUSEC/1-99）。

“目前采用TCSEC准则进行评估的安全项目仍可进行，但自1999

年2月1日起，任何新的安全产品必须采用CC来评估。截止到2001

年12月31日，之前所有采用TCSEC进行评估的产品要么废止，要

么将TCSEC级别相应转换为CC的保证级别，否则所有TCSEC级别

将被视为无效。”

目前，NSA根据CC已将TCSEC中的C2、B1、B2、B3级操作

系统形成了各自的PP，各类防火墙的PP已经完成。

根据此备忘录的精神，国家计算机安全处（NCSC）出版的包括

TCSEC在内的彩虹系列在之后的时间里分别根据CC的需求进行相

应的分类，要么不再采用，要么修改采用以满足CC的需求。

CC根据“安全保证要求”不断递增而分为7个保证级，但实际上

7

除了这7个保证级外，“保护轮廓”（PP）根据数据的敏感性、信息所

面对的威胁级别等要求也分为三种强健性级别：基本、中等、高级。

因此，即使是同种产品，由于应用于不同强健级别的环境中，对其安

全功能要求不同，故PP的级别不同。这一点在本质上与TCSEC的

按安全功能要求分为5级是相似的，也是CC在理论上承继TCSEC

的具体体现。

上述资料表明，TCSEC与CC两者虽然在不同的历史时期出现，

但在本质上它们是一脉相承，互相融合的。由于信息技术及市场需求

的发展，TCSEC准则在过渡到CC的时候，将自身有价值的方面融

入新出现的CC准则中，让其不断发扬光大。

另一方面，TCSEC进入中国以后，也结合中国的特点进行了修

改与完善，并形成了强制性国家标准GB17859。

GB17859首先对计算机信息系统及其可信计算基（TCB）作了规

范性说明，指出：“计算机信息系统”是由计算机及其相关的配套设

备、设施（含网络）构成的，按照一定的应用目标和规格对信息进行

采集、加工、存储、传输、检索等处理的人机系统，而“可信计算基”

则是计算机系统内保护装置的总体，包括硬件、固件、软件和负责执

行安全策略的组合体。它建立了一个基本的保护环境，并提供一个可

信计算系统所要求的附加用户服务。

GB17859在系统、科学地分析计算机信息系统安全问题的基础

上，结合我国信息系统建设的实际情况，从技术角度将计算机信息系

统安全保护等级划分为五个级别，即：用户自主保护级、系统审计保

8

护级、安全标记保护级、结构化保护级和访问验证保护级。这五个级

别定义了不同强度的信息系统保护能力，包含有不同要素和不同强度

的安全控制。安全保护能力从第一级到第五级逐级增强。

从某种意义上说，GB17859代表了中国信息安全的实际需求，

GB/T18336则代表了与国际接轨的需求。

所以，基于TCSEC的GB17859与翻译自ISO/IEC15408的

GB/T18336共同组成了我国信息安全标准体系的两大基础。

作为单一的信息安全产品标准，必须同时兼顾GB17859与

GB/T18336的要求，才能做到既有特色与又能兼容，满足国家主管部

门、厂商与用户对防火墙标准的实际需求。所以，本标准的编制将主

要基于GB17859和GB/T18336进行。

2.3标准内容

2.3.1标准结构

本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则

第一部分：标准的结构和编写规则。

本标准主要结构包括如下内容：

1.范围2.规范性引用文件

3.术语和定义4.缩略语

5.防火墙描述6.技术要求

7.测试评价方法

2.3.2主要内容

9

2.3.2.1范围、规范性引用文件、术语和定义和缩略语

该部分定义了本标准适应的范围，所引用的其它标准情况，及以

何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。

在术语中明确了“防火墙”、“深度包检测”、“深度内容检测”、

“SQL注入”和“跨站脚本”等重要概念。

2.3.2.2防火墙描述

防火墙的目的是在不同的安全域之间建立安全控制点，根据预先

定义的访问控制策略和安全防护策略，解析和过滤经过防火墙的数据

流，实现向被保护的安全域提供访问可控的服务请求。此外，适用于

下一代互联网网络环境的防火墙的协议栈除支持IPv4技术外，还应

支持IPv6、IPv4/IPv6过渡技术。

防火墙保护的资产是受安全策略保护的网络服务和资源等，此

外，防火墙本身及其内部的重要数据也是受保护的资产。防火墙通常

以路由模式或透明模式运行，且一般将网络划分为若干个安全域，通

过安全策略实现对不同安全域间服务和访问的审计和控制。

下图1是防火墙的一个典型运行环境。它将网络分为内部网络、

外部网络和DMZ三个区域。内部网络是一个可信区域，外部网络是一

个不可信区域，DMZ中的服务器可以向外部网络和内部网络用户提供

应用服务。

10

图1防火墙典型运行环境

2.3.2.3技术要求

标准将防火墙技术要求分为安全功能、安全保证、环境适应性和

性能要求四个大类。其中，安全功能要求是对防火墙应具备的安全功

能提出具体要求，包括网络层控制、应用层控制和安全运维管理；安

全保证要求针对防火墙的开发和使用文档的内容提出具体的要求，例

如配置管理、交付和运行、开发和指南文件等；环境适应性要求是对

防火墙的部署模式和应用环境提出具体的要求；性能要求则是对防火

墙应达到的性能指标作出规定，包括吞吐量、延迟、最大并发连接数

和最大连接速率。

此外，按照防火墙安全功能要求强度，以及参照GB/T18336.3-

2008，对防火墙安全等级进行划分。安全等级分为基本级和增强级，

11

安全功能强弱和安全保证要求高低是等级划分的具体依据。安全等级

突出安全特性，环境适应性要求和性能要求不作为等级划分依据。

一、安全功能要求

产品安全功能要求主要对产品实现的功能进行了要求。主要包括

网络层控制、应用层控制和安全运维管理三部分。

其中网络层控制包括：包过滤、NAT、状态检测、策略路

由、动态端口开放、IP/MAC绑定、流量会话管理、抗拒绝服务攻击

和网络扫描防护等；应用层控制包括：用户管控、应用协议控制、

应用内容控制、恶意代码防护和应用攻击防护；安全运维管理包括：

运维管理、安全审计、安全管理和高可用性。

表1安全功能要求分级说明

安全功能要求基本级增强级

包过滤**

NAT***

状态检测**

策略路由***

动态开放端口***

网络层IP/MAC地址绑定**

控制流量统计**

流量会带宽管理*

话管理连接数控制**

会话管理*

抗拒绝服务攻击**

网络扫描防护***

用户管控*

应用层

应用协议控制**

控制

应用内容控制*

12

安全功能要求基本级增强级

恶意代码防护*

应用攻击防护*

运维管理***

安全审计**

管理口独立**

安全运安全管

安全支撑系统**

维管理理

异常处理机制**

高可用双击热备*

性负载均衡*

注：“*”表示具有该要求，“**”表示要求有所增强。

二、安全保证要求

该部分对产品的开发和使用文档的内容进行了要求，包括配置管

理、交付与运行、开发、指导性文档、生命周期支持、测试保证和脆

弱性分析保证。

13

表2安全保证要求分级说明

安全保证要求基本级增强级

部分配置管理自动化*

版本号**

配置项**

配置管

配置理能力授权控制*

管理产生支持和接受程

*

序

配置管理覆盖*

配置管

问题跟踪配置管理

理范围*

覆盖

交付交付程序**

与运修改检测*

行安装、生成和启动程序**

非形式化功能规范**

功能规

充分定义的外部接

范*

口

描述性高层设计**

高层设

安全加强的高层设

计*

开发计

安全功能实现的子集*

描述性低层设计*

非形式化对应性证实**

非形式化产品安全策略模型*

指导管理员指南**

性文

用户指南**

档

生命安全措施标识*

周期开发者定义的生命周期模型*

支持明确定义的开发工具*

测试覆覆盖证据**

盖覆盖分析*

测试：高层设计*

测试

功能测试**

独立测一致性**

试抽样**

14

指南审查*

误用

分析确认*

脆弱

产品安全功能强度评估**

性评

开发者脆弱性分析**

定脆弱性

独立的脆弱性分析*

分析

中级抵抗力*

三、环境适应性要求

该部分对防火墙产品的部署模式、以及对下一代互联网环境的适

应性支持。

四、性能要求

该部分对防火墙的吞吐量、延迟、最大并发连接数、最大连接速

率和最大事务数等性能指标进行了要求。

2.3.2.4安全功能基本原理

本部分资料用以说明防火墙安全功能要求产生的过程。下述内容

详细描述了与防火墙安全需求相关的使用环境、安全风险和组织策

略，定义了防火墙及其支撑环境的安全目的，并通过对应关系论证了

安全功能要求能够追溯并覆盖产品安全目的，安全目的能够追溯并覆

盖安全需求相关的使用环境、安全风险和组织策略。

一、安全需求

1、使用环境

防火墙安全需求相关的使用环境如表3所示。

表3使用环境

使用环境名称使用环境描述

所有实施防火墙安全策略相关的硬件和软件应受到保

物理访问

护，以免受非授权的物理更改

15

使用环境名称使用环境描述

只用授权的管理员才能直接访问或远程访问防火墙；

人员能力授权管理员是无恶意的，训练有素的，并遵循管理员

指南

连接性防火墙是被分隔的安全域网络之间的唯一连接点

当防火墙的应用环境发生变化时，应立即反映在产品

安全维护

的安全策略中并保持其安全功能有效

2、安全风险

防火墙安全需求相关的安全风险如表4所示。

表4安全风险

安全风险名称安全风险描述

非授权用户可能试图访问和使用防火墙提供的安全功

未授权访问能；未授权用户是指除防火墙授权用户之外所有已经

或可能企图访问的人

未授权信息流未授权的信息流的流入\流出，可能导致外网非法信息

入、流出的入侵或内网信息的泄露

网络地址欺骗外部网络的用户可能尝试伪装利用内网网络地址，访

攻击问内部资源

攻击者可能对内部受保护的网络或主机进行攻击，这

网络恶意攻击

类攻击可能已拒绝服务和穿透主机或网络节点为目的

攻击者可能对内部受保护的服务资源进行攻击，这类

应用恶意攻击攻击可能以恶意代码的形式进入网络，导致服务资源

的信息泄露或崩溃

攻击者可能绕过或欺骗身份鉴别机制，假冒授权管理

绕开鉴别机制

员或侵入已建立的会话连接。例如，拦截鉴别信息、

攻击

重放有效地鉴别数据以及截取会话连接等攻击

非授权用户可能通过反复猜测鉴别数据的方法，进一

持续鉴别攻击

步获取管理员权限

审计记录丢失攻击者可能采取耗尽审计存储空间的方法导致审计记

或破坏录丢失或破坏

设备脆弱性攻攻击者可能通过防火墙的自身缺陷进行攻击，导致产

击品权限丢失或功能故障

防火墙可能出现超负载、断电故障等异常情况，导致

设备状态异常

防火墙无法提供正常服务

3、组织策略

防火墙安全需求相关的组织策略如表5所示。

16

表5组织策略

组织策略名称组织策略描述

为追踪与安全相关活动的责任，防火墙应对与安全相

安全审计关的事件进行记录、保存和审查，并提供一种可理解

方式供管理员读取

防火墙应为授权管理员提供管理手段，使其以安全的

安全管理

方式进行管理

二、安全目的基本原理

1、产品安全目的

表6定义了防火墙的安全目的。这些安全目的旨在对应已标

识的安全风险或组织策略。

表6产品安全目的

产品安全目的对应的安全风险

产品安全目的描述

名称或组织策略

在允许用户访问产品功能之前，产

身份认证品必须对用户身份进行唯一的标识未授权访问

和鉴别

防火墙应控制流入\流出防火墙的

未授权信息流

信息流控制信息流，除了一般的协议控制之外，

入、流出

还应包括对信息的深度检测并控制

网络地址欺骗攻

防火墙应能抵抗地址欺骗、拒绝服

击

抗攻击渗透务、网络扫描、恶意代码、应用漏

网络恶意攻击

洞等常见攻击

应用恶意攻击

防火墙应具备安全机制防止恶意用

鉴别失败处理持续鉴别攻击

户反复猜测鉴别数据

审计记录应受到充分保护，防火墙审计记录丢失或

审计记录保护

应具备防止事件记录丢失的措施破坏

为更好地防范防火墙自身的漏洞，

绕开鉴别机制攻

应确保底层支撑系统的可靠性和稳

自身保护击

定性；此外防火墙还应保护授权管

设备脆弱性攻击

理员的通信会话连接

防火墙应具备负载均衡、双击热备

失效处理设备状态异常

等高可用性保证措施

未授权信息流

产品应记录安全相关的事件，以便

入、流出

安全审计追踪安全相关行为的责任，并应提

网络恶意攻击

供方法审查所记录的数据

审计记录丢失或

17

破坏

审计

产品应向授权管理员提供以安全方

安全管理管理

式进行管理的有效手段

2、环境安全目的

表7定义了非技术或程序方法进行处理的安全目的。该部分确定

的使用环境被包含在环境安全目的中。

表7环境安全目的

环境安全目的

环境安全目的描述对应的使用环境

名称

所有实施防火墙安全策略相关的

物理访问硬件和软件应受到保护，以免受物理访问

非授权的物理更改

只用授权的管理员才能直接访问

或远程访问防火墙；授权管理员

人员能力人员能力

是无恶意的，训练有素的，并遵

循管理员指南

防火墙是被分隔的安全域网络之

连接性连接性

间的唯一连接点

当防火墙的应用环境发生变化

安全维护时，应立即反映在产品的安全策安全维护

略中并保持其安全功能有效

三、安全功能要求基本原理

表8说明了安全功能要求的充分必要性的基本原理，即每个产品

安全目的都至少有一个安全功能要求与其对应，每个安全功能要求都

至少解决了一个产品安全目的，因此安全功能要求是充分和必要的。

表8中的“”即表明对应关系。

表8安全功能要求基本原理

产品安

信息抗攻鉴别审计

全目的身份自身失效安全安全

流控击渗失败记录

认证保护处理审计管理

制透处理保护

产品功能要求

网络包过滤

层控NAT

18

产品安

信息抗攻鉴别审计

全目的身份自身失效安全安全

流控击渗失败记录

认证保护处理审计管理

制透处理保护

产品功能要求

制状态检测

策略路由

动态开放端口

IP/MAC地址绑

定

流量会话管理

抗拒绝服务攻

击

网络扫描防护

用户管控

应用应用协议控制

层控应用内容控制

制恶意代码防护

应用攻击防护

运维管理

安全

安全审计

运维

安全管理

管理

高可用性

2.3.2.5新旧国家标准对比

本标准与GB/T20281-2006的主要差异如下：

——增加了高性能防火墙的描述；

——增加了防火墙的功能分类；

——加强了防火墙的应用层控制能力；

——增加了下一代互联网协议支持能力的要求；

——级别统一划分为基本级和增强级。

2.4编制的背景和意义

2011年12月23日温家宝总理在国务院常务会议上，明确提出

了研究部署加快发展我国下一代互联网产业的目标。表明了在我国将

19

全面启动IPv6，并在2015年开展大规模商用。IPv6作为发展下一代

互联网技术和物联网技术的关键环节。随着IPv6的推广与普及，原

有的信息安全产品必然面临着全新的设计与实现。一方面，现有的信

息安全产品必须适应IPv6的网络环境；另一方面，随着IPv6使用时

间的延伸，新的安全问题必将逐渐暴露，新的安全防护技术也必将逐

渐产生。这必将对防火墙等边界安全类产品造成严重影响。然而我国

目前的IPv6规范大部分还未完成，广泛部署条件也尚未成熟。IPv6

的应用前景已经逼迫我国信息安全行业越来越关注我国IPv6技术标

准的制定和开发工作。因此，在这种需求背景下，发改委开展实施一

系列共81个“下一代互联网信息安全专项标准”，具体工作由公安部

网络安全保卫局具体实施。

“下一代互联网关键信息安全产品相关标准项目”就是建设这

81个下一代互联网IPv6系列标准中，发改委产业化扶持的三类/十

个下一代互联网关键信息安全产品。这三类分别是：边界安全类产

品、网络通信安全类产品、安全管理与支持类产品。如表9所示。

表9下一代互联网关键信息安全产品

产品类型具体产品