1、书 书 书犐 犆犛 犔 ? ? ? ? ? ? ? ? ? ? ?犌犅犜 ? , , ? ?犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犛 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 犻 犮 犪 犾狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犪 狀 犱狋 犲 狊 狋 犻 狀 犵犪 狊 狊 犲 狊 狊犿犲 狀 狋犪 狆 狆 狉 狅 犪 犮 犺 犲 狊犳 狅 狉犳 犻 狉 犲狑犪 犾 犾 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?目次前言范围规范性引用文件术语和定义缩略语概述安全技术要求 安全功能
2、要求 自身安全要求 性能要求 安全保障要求 测评方法 测评环境 安全功能测评 自身安全测评 性能测评 安全保障测评 附录(规范性附录)防火墙分类及安全技术要求等级划分 概述 网络型防火墙 应用防火墙 数据库防火墙 主机型防火墙 附录(规范性附录)防火墙分类及测评方法等级划分 概述 网络型防火墙 应用防火墙 数据库防火墙 主机型防火墙 犌犅犜 前言本标准按照 给出的规则起草。本标准代替 信息安全技术包过滤防火端评估准则 、 信息安全技术防火墙安全技术要求和测试评价方法 、 信息安全技术主机型防火墙安全技术要求和测试评价方法 、 信息安全技术应用防火墙安全技术要求与测试评价方法 。本标准以 为主,
3、整合了 、 和 的部分内容,与 相比,除编辑性修改外主要技术变化如下: 增加了网络型防火墙、数据库防火墙、应用防火墙和主机型防火墙的定义(见第章) ; 修改了概述(见第章, 年版的第章) ; 增加了“设备虚拟化”要求(见 ) ; 修改了“应用内容控制”的要求(见 , 版的 、 ) ; 增加了“攻击防护”的要求(见 ) ; 增加了“安全审计与分析”的要求(见 ) ; 增加了“混合应用层吞吐量” “吞吐量”“请求速率” “请求速率” “并发连接数” “并发连接数”性能要求(见 、 、 、 、 、 ) ; 增加了规范性附录(见附录、附录) 。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担
4、识别这些专利的责任。本标准由全国信息安全标准化技术委员会( )提出并归口。本标准起草单位:公安部第三研究所、奇安信科技集团股份有限公司、北京天融信网络安全技术有限公司、网神信息技术(北京)股份有限公司、北京神州绿盟科技有限公司、杭州美创科技有限公司、北京网康科技有限公司、中国信息安全研究院有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息安全测评中心、国家计算机网络与信息安全管理中心、北京安华金和科技有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、沈阳东软系统集成工程有限公司、新华三技术有限公司、蓝盾信息安全技术股份有限公司、北京中安星云软件技术有
5、限公司、上海上讯信息技术股份有限公司。本标准主要起草人:俞优、王志佳、邹春明、陆臻、沈亮、陆磊、顾健、吴云坤、熊瑛、雷晓锋、叶晓虎、周杰、王伟、陈华平、吴亚东、谢建业、王猛、谌德俊、潘云、申永波、杨晨、王晖。本标准所代替标准的历次版本发布情况为: ; 、 ; ; 。犌犅犜 信息安全技术防火墙安全技术要求和测试评价方法范围本标准规定了防火墙的等级划分、安全技术要求及测评方法。本标准适用于防火墙的设计、开发与测试。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 信息技术安全技
6、术信息技术安全评估准则第部分:安全保障组件 信息安全技术术语术语和定义 界定的以及下列术语和定义适用于本文件。 防火墙犳 犻 狉 犲 狑犪 犾 犾对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品。注:根据安全目的、实现原理的不同,通常可分为网络型防火墙、应用防火墙、数据库防火墙和主机型防火墙等。 网络型防火墙狀 犲 狋 狑狅 狉 犽 犫 犪 狊 犲 犱犳 犻 狉 犲 狑犪 犾 犾部署于不同安全域之间,对经过的数据流进行解析,具备网络层、应用层访问控制及安全防护功能的网络安全产品。 犠犈犅应用防火墙狑 犲 犫犪 狆 狆 犾 犻 犮 犪 狋 犻 狅 狀犳 犻 狉 犲 狑犪 犾 犾
7、部署于服务器前端,对流经的访问和响应数据进行解析,具备应用的访问控制及安全防护功能的网络安全产品。 数据库防火墙犱 犪 狋 犪 犫 犪 狊 犲犳 犻 狉 犲 狑犪 犾 犾部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品。 主机型防火墙犺 狅 狊 狋 犫 犪 狊 犲 犱犳 犻 狉 犲 狑犪 犾 犾部署于计算机(包括个人计算机和服务器)上,提供网络层访问控制、应用程序访问限制和攻击防护功能的网络安全产品。犌犅犜 反向代理狉 犲 狏 犲 狉 狊 犲狆 狉 狅 狓 狔作为服务器端的代理使用,代替服务器接受来自客户端的请求,然后将请求转发给内
8、部服务器,并将从服务器上得到的结果返回给请求客户端的一种部署模式。 拖库攻击犱 狉 犪 犵犪 狋 狋 犪 犮 犽通过非授权获得数据库访问或数据库所在操作系统的权限,批量下载数据库中数据或数据库数据文件的恶意行为。 撞库攻击犪 犮 犮 狅 狌 狀 狋犮 狉 犲 犱 犲 狀 狋 犻 犪 犾犲 狀 狌犿犲 狉 犪 狋 犻 狅 狀犪 狋 狋 犪 犮 犽批量尝试碰撞数据库数据的恶意行为。注:如通过收集已泄露、已知的用户和密码信息,生成对应的字典表,并以此批量尝试登录其他的应用系统。缩略语下列缩略语适用于本文件。:边界网关协议( ):跨站请求伪造( ):非军事化区( ):目的网络地址转换( ):文件传输协
9、议( ):超文本传输协议( ):安全超文本传输协议( ) :网间控制报文协议( ):互联网邮件访问协议( ) :网际协议( ) :互联网协议第六版( ) :站内自动隧道寻址协议( ):介质访问控制( ):网络地址转换( ):网络时间协议( ):开放式最短路径优先( ) :对等网络( ) :路由信息协议( ):源网络地址转换( ):简单网络管理协议( ):结构化查询语言( ):系统日志( ):统一资源定位器( ):万维网( ):跨站脚本( )犌犅犜 概述防火墙是作用于不同安全域之间,具备访问控制及安全防护功能的网络安全产品,主要分为网络型防火墙、应用防火墙、数据库防火墙、主机型防火墙或其组合。防
10、火墙的安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类。其中,安全功能要求对防火墙应具备的安全功能提出具体要求,包括组网与部署、网络层控制、应用层控制、攻击防护和安全审计与分析;自身安全要求针对防火墙的自身安全提出具体的要求,包括身份标识与鉴别、管理能力、管理审计、管理方式和安全支撑系统;性能要求则是对防火墙应达到的性能指标作出规定,包括吞吐量、延迟、连接速率和并发连接数;安全保障要求针对防火墙的生命周期过程提出具体要求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定。防火墙的等级分为基本级和增强级,安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体
11、依据,等级突出安全特性。其中,基本级产品的安全保障要求内容对应 的级,增强级产品的安全保障要求内容对应 的级。各类防火墙(简称“产品” )的具体安全技术要求和等级划分详见附录,测评方法及等级划分详见附录。安全技术要求 安全功能要求 组网与部署 部署模式产品应支持以下部署模式:)透明传输模式;)路由转发模式;)反向代理模式。 路由 静态路由产品应支持静态路由功能,且能配置静态路由。 策略路由具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个网络接口)的产品,应支持策略路由功能,包括但不限于:)基于源、目的 策略路由;)基于接口的策略路由;)基于协议和端口的策略路由;)基于应用类型
12、的策略路由;)基于多链路负载情况自动选择路由。 动态路由产品应支持动态路由功能,包括 、或中一种或多种动态路由协议。犌犅犜 高可用性 冗余部署产品应支持“主备” 、 “主主”或“集群”中的一种或多种冗余部署模式。 负载均衡产品应支持负载均衡功能,能根据安全策略将网络流量均衡到多台服务器上。 设备虚拟化(可选) 虚拟系统若产品支持在逻辑上划分为多个虚拟子系统,虚拟子系统间应支持隔离和独立管理,包括但不限于:)对虚拟子系统分别设置管理员,实现针对虚拟子系统的管理配置;)虚拟子系统能分别维护路由表、安全策略和日志系统;)对虚拟子系统的资源使用配额进行限制。 虚拟化部署若产品为虚拟化形态,应支持部署于
13、虚拟化平台,并接受平台统一管理,包括但不限于:)支持部署于一种虚拟化平台,如 、 和 等;)结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;)结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新、替换。 犐 犘 狏 支持(可选) 支持犐 犘 狏 网络环境若产品支持 ,应支持在 网络环境下正常工作,能有效运行其安全功能和自身安全功能。 协议一致性若产品支持 ,应满足 协议一致性的要求,至少包括 核心协议、 协议、 协议和 协议。 协议健壮性若产品支持 ,应满足 协议健壮性的要求,抵御 网络环境下畸形协议报文攻击。 支持犐 犘 狏 过渡网络环境若产品支持 ,应
14、支持在以下一种或多种 过渡网络环境下工作:)协议转换,将 和 两种协议相互转换;)隧道,将 封装在 中穿越 网络,如 、 、 等。犌犅犜 网络层控制 访问控制 包过滤产品的包过滤功能要求如下:)安全策略应使用最小安全原则,即除非明确允许,否则就禁止;)安全策略应包含基于源 地址、目的 地址的访问控制;)安全策略应包含基于源端口、目的端口的访问控制;)安全策略应包含基于协议类型的访问控制;)安全策略应包含基于地址的访问控制;)安全策略应包含基于时间的访问控制;)应支持用户自定义的安全策略,安全策略包括地址、 地址、端口、协议类型和时间的部分或全部组合。 网络地址转换产品的网络地址转换功能要求如下
15、:)支持和;)应实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源 地址被转换;)应实现“一对多”地址转换,将的 地址端口映射为外部网络合法 地址端口,使外部网络主机通过访问映射地址和端口实现对服务器的访问;)支持动态技术,实现“多对多”的。 状态检测产品应支持基于状态检测技术的包过滤功能,具备状态检测能力。 动态开放端口产品应支持协议的动态端口开放,包括但不限于:)协议;) 等音视频协议。 犐 犘犕犃犆地址绑定产品应支持自动或手工绑定 地址,当主机的 地址、地址与 绑定表中不一致时,阻止其流量通过。 流量管理 带宽管理产品应支持带宽管理功能,能根据策略调整客户端占用的带宽,包括但不
16、限于:)根据源 、目的 、应用类型和时间段的流量速率或总额进行限制;)根据源 、目的 、应用类型和时间段设置保障带宽;)在网络空闲时自动解除流量限制,并在总带宽占用率超过阈值时自动启用限制。犌犅犜 连接数控制产品应支持限制单 的最大并发会话数和新建连接速率,防止大量非法连接产生时影响网络性能。 会话管理在会话处于非活跃状态一定时间或会话结束后,产品应终止会话。 应用层控制 用户管控产品应支持基于用户认证的网络访问控制功能,包括但不限于:)本地用户认证方式;)结合第三方认证系统,如基于 、服务器的认证方式。 应用类型控制产品应支持根据应用特征识别并控制各种应用类型,包括:)协议;)数据库协议;)
17、、 和等常见协议;)即时聊天类、 类、网络流媒体类、网络游戏、股票交易类等应用;)逃逸或隧道加密特点的应用,如加密代理类应用;)自定义应用。 应用内容控制 犠犈犅应用产品应支持基于以下内容对应用的访问进行控制,包括但不限于:)网址,并具备分类网址库;)传输内容的关键字;)请求方式,包括、等;)请求文件类型;)协议头中各字段长度,包括 、 、 等;)上传文件类型;)请求频率;)返回的响应内容,如服务器返回的出错信息等;)支持流量解密。 数据库应用产品应支持基于以下内容对数据库的访问进行控制,包括但不限于:)访问数据库的应用程序、运维工具;)数据库用户名、数据库名、数据表名和数据字段名;)语句关键
18、字、数据库返回内容关键字;)影响行数、返回行数。犌犅犜 其他应用产品应支持基于以下内容对、 和等应用进行控制,包括但不限于:)传输文件类型;)传输内容,如协议命令或关键字。 攻击防护 拒绝服务攻击防护产品具备特征库,应支持拒绝服务攻击防护功能,包括但不限于:) 攻击防护;) 攻击防护;) 攻击防护;) 攻击防护;) 攻击防护;) 攻击防护;)攻击防护。 犠犈犅攻击防护产品具备特征库,应支持攻击防护功能,包括但不限于:)注入攻击防护;)攻击防护;)第三方组件漏洞攻击防护;)目录遍历攻击防护;) 注入攻击防护;)攻击防护;)文件包含攻击防护;)盗链防护;)命令注入攻击防护;) 识别和拦截;)反序列
19、化攻击防护。 数据库攻击防护产品具备特征库,应支持数据库攻击防护功能,包括但不限于:)数据库漏洞攻击防护;)异常语句阻断;)数据库拖库攻击防护;)数据库撞库攻击防护。 恶意代码防护产品具备特征库,应支持恶意代码防护功能,包括但不限于:)能拦截典型的木马攻击行为;犌犅犜 )检测并拦截被网页和电子邮件等携带的恶意代码。 其他应用攻击防护产品具备特征库,应支持防护来自应用层的其他攻击,包括但不限于:)操作系统类漏洞攻击防护;)中间件类漏洞攻击防护;)控件类漏洞攻击防护。 自动化工具威胁防护产品具备特征库,应支持防护自动化工具发起的攻击,包括但不限于:)网络扫描行为防护;)应用扫描行为防护;)漏洞利用
20、工具防护。 攻击逃逸防护产品应支持检测并阻断经逃逸技术处理过的攻击行为。 外部系统协同防护产品应提供联动接口,能通过接口与其他网络安全产品进行联动,如执行其他网络安全产品下发的安全策略等。 安全审计、告警与统计 安全审计产品应支持安全审计功能,包括但不限于:)记录事件类型:)被产品安全策略匹配的访问请求;)检测到的攻击行为。)日志内容:)事件发生的日期和时间;)事件发生的主体、客体和描述,其中数据包日志包括协议类型、源地址、目标地址、源端口和目标端口等;)攻击事件的描述。)日志管理:)仅允许授权管理员访问日志,并提供日志查阅、导出等功能;)能对审计事件按日期、时间、主体、客体等条件查询;)日志
21、存储于掉电非易失性存储介质中;)日志存储周期设定不小于六个月;)存储空间达到阈值时,能通知授权管理员,并确保审计功能的正常运行;)日志支持自动化备份至其他存储设备。 安全告警产品应支持对 中的攻击行为进行告警,并能对高频发生的相同告警事件进行合并告警,避免犌犅犜 出现告警风暴。告警信息至少包括以下内容:)事件主体;)事件客体;)事件描述;)危害级别;)事件发生的日期和时间。 统计 网络流量统计产品应支持以图形化界面展示网络流量情况,包括但不限于:)按照 、时间段和协议类型等条件或以上条件组合对网络流量进行统计;)实时或以报表形式输出统计结果。 应用流量统计产品应支持以图形化界面展示应用流量情况
22、,包括但不限于:)按照 、时间段和应用类型等条件或以上条件组合对应用流量进行统计;)以报表形式输出统计结果;)对不同时间段的统计结果进行比对。 攻击事件统计产品应支持以图形化界面展示攻击事件情况,包括但不限于:)按照攻击事件类型、 和时间段等条件或以上条件组合对攻击事件进行统计;)以报表形式输出统计结果。 自身安全要求 身份标识与鉴别产品的身份标识与鉴别安全要求包括但不限于:)对用户身份进行标识和鉴别,身份标识具有唯一性;)对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储和传输过程中的保密性;)具有登录失败处理功能,如限制连续的非法登录尝试次数等相关措施;)具有登录超时处理功能,当登录连接
23、超时自动退出;)在采用基于口令的身份鉴别时,要求对用户设置的口令进行复杂度检查,确保用户口令满足一定的复杂度要求;)当产品中存在默认口令时,提示用户对默认口令进行修改,以减少用户身份被冒用的风险;)应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别。 管理能力产品的管理能力安全要求包括但不限于:)向授权管理员提供设置和修改安全管理相关的数据参数的功能;)向授权管理员提供设置、查询和修改各种安全策略的功能;)向授权管理员提供管理审计日志的功能;)支持更新自身系统的能力,包括对软件系统的升级以及各种特征库的升级;犌犅犜 )能从服务器同步系统时间;)支持通过协议向日志服务器同步日志、告警等信
24、息;)应区分管理员角色,能划分为系统管理员、安全操作员和安全审计员,三类管理员角色权限能相互制约;)提供安全策略有效性检查功能,如安全策略匹配情况检测等。 管理审计产品的管理审计安全要求包括但不限于:)对用户账户的登录和注销、系统启动、重要配置变更、增加删除修改管理员、保存删除审计日志等操作行为进行日志记录;)对产品及其模块的异常状态进行告警,并记录日志;)日志记录中包括如下内容:事件发生的日期和时间,事件的类型,事件主体,事件操作结果;)仅允许授权管理员访问日志。 管理方式产品的管理方式安全要求包括但不限于:)支持通过 端口进行本地管理;)支持通过网络接口进行远程管理,并能限定进行远程管理的
25、 、地址;)远程管理过程中,管理端与产品之间的所有通信数据应非明文传输;)支持网管协议方式的监控和管理;)支持管理接口与业务接口分离;)支持集中管理,通过集中管理平台实现监控运行状态、下发安全策略、升级系统版本、升级特征库版本。 安全支撑系统产品的支撑系统安全要求包括但不限于:)进行必要的裁剪,不提供多余的组件或网络服务;)重启过程中,安全策略和日志信息不丢失;)不含已知中、高风险安全漏洞。 性能要求 吞吐量 网络层吞吐量硬件产品的网络层吞吐量视不同速率的产品有所不同,具体指标要求如下:)一对相应速率的端口应达到的双向吞吐率指标:)对于 字节短包,百兆产品不小于线速的 ,千兆和万兆产品不小于线
26、速的 ;)对于 字节中长包,百兆产品不小于线速的 ,千兆和万兆产品不小于线速的 ;)对于 字节长包,百兆产品不小于线速的 ,千兆和万兆产品不小于线速的 ;)针对高性能的万兆产品,对于 字节长包,吞吐量至少达到 。 混合应用层吞吐量硬件产品的应用层吞吐量视不同速率的产品有所不同,开启应用攻击防护功能的情况下,具体指标 犌犅犜 要求如下:)百兆产品混合应用层吞吐量应不小于 ;)千兆产品混合应用层吞吐量应不小于 ;)万兆产品混合应用层吞吐量应不小于 ;针对高性能的万兆产品,整机混合应用层吞吐量至少达到 。 犎犜犜犘吞吐量硬件产品的吞吐量视不同速率的产品有所不同,开启攻击防护功能的情况下,具体指标要求
27、如下:)百兆产品应用层吞吐量应不小于 ;)千兆产品应用层吞吐量应不小于 ;)万兆产品应用层吞吐量应不小于 。 延迟硬件产品的延迟视不同速率的产品有所不同,一对相应速率端口的延迟具体指标要求如下:)对于 字节短包、 字节中长包、 字节长包,百兆产品的平均延迟不应超过 ;)对于 字节短包、 字节中长包、 字节长包,千兆、万兆产品的平均延迟不应超过 。 连接速率 犜犆犘新建连接速率硬件产品的新建连接速率视不同速率的产品有所不同,具体指标要求如下:)百兆产品的新建连接速率应不小于 个;)千兆产品的新建连接速率应不小于 个;)万兆产品的新建连接数速率应不小于 个;针对高性能的万兆产品,整机新建连接数速率
28、应不小于 个。 犎犜犜犘请求速率硬件产品的请求速率视不同速率的产品有所不同,具体指标要求如下:)百兆产品的请求速率应不小于 个;)千兆产品的请求速率应不小于 个;)万兆产品的请求速率应不小于 个。 犛犙犔请求速率硬件产品的请求速率视不同速率的产品有所不同,具体指标要求如下:)百兆产品的请求速率应不小于 个;)千兆产品的请求速率应不小于 个;)万兆产品的请求速率应不小于 个。 并发连接数 犜犆犘并发连接数硬件产品的并发连接数视不同速率的产品有所不同,具体指标要求如下: 犌犅犜 )百兆产品的并发连接数应不小于 个;)千兆产品的并发连接数应不小于 个;)万兆产品的并发连接数应不小于 个;针对高性能的
29、万兆产品,整机并发连接数至少达到 个。 犎犜犜犘并发连接数硬件产品的并发连接数视不同速率的产品有所不同,具体指标要求如下:)百兆产品的并发连接数应不小于 个;)千兆产品的并发连接数应不小于 个;)万兆产品的并发连接数应不小于 个。 犛犙犔并发连接数硬件产品的并发连接数视不同速率的产品有所不同,具体指标要求如下:)百兆产品的并发连接数应不小于 个;)千兆产品的并发连接数应不小于 个;)万兆产品的并发连接数应不小于 个。 安全保障要求 开发 安全架构开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求:)与产品设计文档中对安全功能的描述范围相一致;)充分描述产品采取的自我保护、不可旁
30、路的安全机制。 功能规范开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:)根据产品类型清晰描述 、 中定义的安全功能;)标识和描述产品所有安全功能接口的目的、使用方法及相关参数;)描述安全功能实施过程中,与安全功能接口相关的所有行为;)描述可能由安全功能接口的调用而引起的所有直接错误消息。 产品设计开发者应提供产品设计文档,产品设计文档应满足以下要求:)通过子系统描述产品结构,标识和描述产品安全功能的所有子系统,并描述子系统间的相互作用;)提供子系统和安全功能接口间的对应关系;)通过实现模块描述安全功能,标识和描述实现模块的目的、相关接口及返回值等,并描述实现模块间的相互作用及调用
31、的接口;)提供实现模块和子系统间的对应关系。 实现表示开发者应提供产品安全功能的实现表示,实现表示应满足以下要求: 犌犅犜 )详细定义产品安全功能,包括软件代码、设计数据等实例;)提供实现表示与产品设计描述间的对应关系。 指导性文档 操作用户指南开发者应提供明确和合理的操作用户指南,对每一种用户角色的描述应满足以下要求:)描述用户能访问的功能和特权,包含适当的警示信息;)描述产品安全功能及接口的用户操作方法,包括配置参数的安全值等;)标识和描述产品运行的所有可能状态,包括操作导致的失败或者操作性错误;)描述实现产品安全目的必需执行的安全策略。 准备程序开发者应提供产品及其准备程序,准备程序描述
32、应满足以下要求:)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;)描述安全安装产品及其运行环境必需的所有步骤。 生命周期支持 配置管理能力开发者的配置管理能力应满足以下要求:)为产品的不同版本提供唯一的标识;)使用配置管理系统对组成产品的所有配置项进行维护,并进行唯一标识;)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;)配置管理系统提供自动方式来支持产品的生成,通过自动化措施确保配置项仅接受授权变更;)配置管理文档包括一个配置管理计划,描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。配置管理计划描述应描述如何使用配置管理系统开发产品,开发者实施的配置
33、管理应与配置管理计划相一致。 配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容:)产品及其组成部分、安全保障要求的评估证据;)实现表示、安全缺陷报告及其解决状态。 交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。 开发安全开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。 生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文
34、档 犌犅犜 描述用于开发和维护产品的模型。 工具和技术开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。 测试 测试覆盖开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求:)表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性;)表明上述对应性是完备的,并证实功能规范中的所有安全功能接口都进行了测试。 测试深度开发者应提供测试深度的分析。测试深度分析描述应满足以下要求:)证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性;)证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。 功
35、能测试开发者应测试产品安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容:)测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;)预期的测试结果,表明测试成功后的预期输出;)实际测试结果和预期的测试结果的对比。 独立测试开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试。 脆弱性评定基于已标识的潜在脆弱性,产品能抵抗以下强度的攻击:)具有基本攻击潜力的攻击者的攻击;)具有中等攻击潜力的攻击者的攻击。测评方法 测评环境 安全功能与自身安全测评环境安全功能及自身安全测评典型环境见图。 犌犅犜 图安全功能及自身安全测评
36、典型环境示意图 性能测评环境性能测评典型环境见图,采用专用性能测试仪,测试仪接口直接通过网线连接防火墙业务接口。图性能测评典型环境示意图 安全功能测评 组网与部署 部署模式部署模式的测评方法如下:)测评方法:)将产品配置为透明传输模式,并配置相关安全策略;)将产品配置为路由转发模式,并配置相关安全策略;)将产品配置为反向代理模式,并配置相关安全策略。)预期结果:)透明传输模式下,安全策略生效; 犌犅犜 )路由转发模式下,安全策略生效;)反向代理模式下,安全策略生效。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 路由 静态路由静态路由的测评方法如下:)测评方法:
37、)在产品设置一条静态路由;)向产品发送匹配上述路由策略的数据包。)预期结果:)产品支持设置静态路由;)产品将匹配策略的数据包按照路由策略转发。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 策略路由策略路由的测评方法如下:)测评方法:)在产品设置一条基于源、目的 的策略路由,向产品发送匹配上述路由策略的数据包;)在产品设置一条基于接口的策略路由,向产品发送匹配上述路由策略的数据包;)在产品设置一条基于协议和端口的策略路由,向产品发送匹配上述路由策略的数据包;)在产品设置一条基于应用类型的策略路由,向产品发送匹配上述路由策略的数据包;)针对某一目标地址在产品部署多
38、条路由,设置一条根据多链路负载情况自动选路的策略路由,改变各链路的负载情况。)预期结果:)产品支持设置基于源、目的 的策略路由,匹配策略数据包的路由与策略设置一致;)产品支持设置基于接口的策略路由,匹配策略数据包的下一跳接口与策略设置一致;)产品支持设置基于协议和端口的策略路由,匹配策略数据包的路由与策略设置一致;)产品支持设置基于应用类型的策略路由,匹配策略数据包的路由与策略设置一致;)产品支持设置基于多链路负载情况自动选路的策略路由,匹配策略数据包的路由与策略设置一致。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 动态路由动态路由的测评方法如下:)测评方法
39、:)在产品尝试开启 动态路由功能;)改变各链路状态,验证 动态路由是否生效;)在产品尝试开启动态路由功能; 犌犅犜 )改变各链路状态,验证动态路由是否生效;)在产品尝试开启动态路由功能;)改变各链路状态,验证动态路由是否生效。)预期结果:)产品支持设置 动态路由功能;)产品支持设置动态路由功能;)产品支持设置动态路由功能。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 高可用性 冗余部署冗余部署的测评方法如下:)测评方法:)设置两台产品为“主备”模式;)验证是否仅主产品处于工作状态;)关闭主产品或使其断开网络连接,验证备产品是否能及时接管主产品进行工作,且不影响
40、所在网络的通信和安全策略;)设置两台产品为“主主”模式;)验证是否两台产品均处于工作状态;)关闭一台产品或使其断开网络连接,验证另一台产品是否仍处于工作状态,且不影响所在网络的通信和安全策略;)设置多台产品为“集群”模式;)验证是否所有产品均处于工作状态;)关闭一台产品或使其断开网络连接,验证其他产品是否仍处于工作状态,且不影响所在网络的通信和安全策略。)预期结果:)产品支持“主备”模式部署,主产品发生故障时,能继续确保所在网络的通信和安全策略;)产品支持“主主”模式部署,其中一台产品发生故障时,能继续确保所在网络的通信和安全策略;)产品支持“集群”模式部署,其中一台产品发生故障时,能继续确保
41、所在网络的通信和安全策略。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 负载均衡负载均衡的测评方法如下:)测评方法:)在产品区设置服务器集群,设置外网访问区服务器的负载均衡策略;)在外网主机产生大量连接访问区服务器;)在区使用协议分析仪观察网络流量,验证流量是否均衡到区多台服务器上。)预期结果: 犌犅犜 产品支持负载均衡功能,能将网络访问均衡到多台服务器上。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 设备虚拟化 虚拟系统虚拟系统的测评方法如下:)测评方法:)在产品设置多个子系统,并为各子系统分别设置管理员,验证管理员是否仅能
42、对各自所属的子系统进行管理,不能对其他的子系统进行管理;)为各子系统设置路由表、安全策略、生成日志,验证各子系统是否独立维护各自的路由表、安全策略、日志系统;)为各子系统设置资源使用配额,验证子系统是否不能使用超过配额的资源。)预期结果:)虚拟子系统能设置各自的管理员,实现针对本子系统的管理配置,不能配置管理其他子系统;)虚拟子系统独立工作,各自维护路由表、安全策略、日志系统;)能对虚拟子系统分配资源使用配额。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 虚拟化部署虚拟化部署的测评方法如下:)测评方法:)分别尝试在 、 、 等虚拟化平台部署产品;)增加网络流量
43、、网络连接数等负载,验证虚拟化平台是否能根据产品负载情况动态调整虚拟化产品数量;)模拟虚拟化产品发生故障,验证其是否能自动更新、替换。)预期结果:)支持部署于虚拟化平台中,支持 、 或 等虚拟化平台中的一种;)能在虚拟化平台上实现弹性伸缩,根据虚拟化产品的负载情况动态调整虚拟化产品数量;)能在虚拟化平台上实现故障迁移,当虚拟化产品出现故障时实现自动更新、替换。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 犐 犘 狏 支持 支持犐 犘 狏 网络环境支持 网络环境的测评方法如下:)测评方法:)模拟 网络环境,验证产品及其安全功能是否能在 网络环境下正常工作;)模拟
44、 网络环境,验证产品是否支持在 网络环境下实现自身管理。 犌犅犜 )预期结果:)产品支持在纯 网络环境下正常工作;)产品支持在 网络环境下实现自身管理。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 协议一致性协议一致性的测评方法如下:)测评方法:)在路由模式下,使用协议一致性测试工具,测试产品 核心协议一致性情况;)在路由模式下,测试产品 协议一致性情况;)在路由模式下,测试产品 协议一致性情况;)在路由模式下,测试产品 协议一致性情况。)预期结果:)产品通过 核心协议一致性测试;)产品通过 协议一致性测试;)产品通过 协议一致性测试;)产品通过 协议一致性测
45、试。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 协议健壮性协议健壮性的测评方法如下:)测评方法:)使用协议健壮性测试工具向产品发送 畸形报文,验证产品是否能正常运行;)向产品发送 畸形报文,验证产品是否能正常运行;)向产品发送 畸形报文,验证产品是否能正常运行。)预期结果:产品能抵御 、 、 等畸形报文攻击。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 支持犐 犘 狏 过渡网络环境支持 过渡网络环境的测评方法如下:)测评方法:)在产品内网搭建 网络,在产品外网搭建 网络,验证产品是否能通过 和 协议转换的方式,使 内网正常访
46、问 外网;)在两台产品内网搭建 网络,在两台产品外网之间搭建 隧道,验证两台产品的 内网是否能通过 隧道正常通信;在两台产品外网之间搭建 隧道,验证两台产品的 内网是否能通过 隧道正常通信;在 终端与产品之间搭建 隧道,验证 终端是否能通过 隧道与产品通信。)预期结果: 犌犅犜 ) 和 协议转换环境下通信正常;) 隧道、 隧道、 隧道中至少一种隧道环境通信正常。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 网络层控制 访问控制 包过滤包过滤的测评方法如下:)测评方法:)初始化产品的包过滤策略,在各区域主机之间进行互访操作,检查产品的缺省安全策略是否为禁止;)设
47、置基于源 地址、目的 地址的访问控制策略,产生相应的网络会话,验证策略是否生效;)设置基于源端口、目的端口的访问控制策略,产生相应的网络会话,验证策略是否生效;)设置基于协议类型的访问控制策略,产生相应的网络会话,验证策略是否生效;)设置基于地址的访问控制策略,产生相应的网络会话,验证策略是否生效;)设置基于时间的访问控制策略,产生相应的网络会话,验证策略是否生效;)尝试设置一条基于地址、 地址、端口、协议类型和时间的组合策略,产生相应的网络会话,验证策略是否生效。)预期结果:)产品的缺省安全策略是禁止;)基于源 地址、目的 地址的访问控制策略生效;)基于源端口、目的端口的访问控制策略生效;)
48、基于协议类型的访问控制策略生效;)基于地址的访问控制策略生效;)基于时间的访问控制策略生效;)基于地址、 地址、端口、协议类型和时间的组合策略生效。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 网络地址转换网络地址转换的测评方法如下:)测评方法:)为内部网络用户访问外部网络主机配置策略,在外网使用协议分析仪检查内网主机访问外网主机的源 地址是否被转换;为外部网络用户访问服务器设置策略,检查外部网络的主机能否通过转换后的地址访问的服务器;)为内部网络用户访问外部网络主机配置“多对一”策略,在外网使用协议分析仪检查内网主机访问外网主机的源 地址是否被转换,检查是否
49、是多个地址被转换;)为外部网络用户访问服务器设置“一对多”策略,检查外部网络的主机能否通过转换后的地址访问的服务器,检查是否是多个地址被转换;)为内部网络用户访问外部网络主机设置“多对多”策略,在外网使用协议分析仪检 犌犅犜 查内网主机访问外网主机的源 地址是否被转换,检查是否是多对多地址转换。)预期结果:)产品支持和地址转换;)产品支持“多对一”地址转换;)产品支持“一对多”地址转换;)产品支持“多对多”地址转换。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 状态检测状态检测的测评方法如下:)测评方法:)启动产品状态检测模块;)配置包过滤策略,允许特定条件的
50、网络会话通过产品;)产生满足该策略的一个完整的网络会话,验证该会话是否能建立成功;)产生满足该策略的网络会话中的不是第一个连接请求包的一个或多个数据包,清除产品状态检测表后,验证这些数据包是否被禁止。)预期结果:)产品依据状态表进行访问控制;)满足包过滤策略的网络会话能通过产品;)满足包过滤策略的网络会话中的不是第一个连接请求包的一个或多个数据包不能通过产品。)结果判定:实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。 动态开放端口动态开放端口的测评方法如下:)测评方法:)设置产品动态开放端口策略,访问服务,检查产品是否能放行数据连接所使用的动态端口,网络会话是否连接正常;)
浙ICP备2021020529号-1 | 浙B2-2024(领证中) 
