GB/T 44810.2-2024 IPv6网络安全设备技术要求 第2部分：Web应用防护系统（WAF）

　　ICS 33.040.40 CCS M 32

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 44810.2—2024

　　IPv6 网络安全设备技术要求

　　第 2 部分： Web 应用防护系统( WAF )

　　Technical requirement for IPv6 network security equipment—

　　Part 2： Web application firewall( WAF )

　　2024-10-26 发布 2025-02-01 实施

　　发

　　国家市场监督管理总局国家标准化管理委员会

　　

　　布

　　GB/T 44810.2—2024

　　目 次

　　前言 Ⅲ

　　引言 Ⅳ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 缩略语 1

　　5 功能性要求 2

　　5.1 Web 应用内容控制 2

　　5.2 攻击防护 2

　　5.3 安全审计、告警与统计 3

　　5.4 异常应急处置 4

　　6 性能要求 4

　　6.1 HTTP 吞吐量 4

　　6.2 HTTP 请求速率 5

　　6.3 HTTP 并发连接数 5

　　7 兼容性要求 5

　　7.1 部署 5

　　7.2 接口 5

　　7.3 界面 5

　　7.4 数据存储 5

　　8 可靠性要求 5

　　9 自身安全性要求 5

　　参考文献 6

　　Ⅰ

　　GB/T 44810.2—2024

　　前 言

　　本文件按照 GB/T 1.1—2020《标准化工作导则 第 1 部分： 标准化文件的结构和起草规则》 的规定起草。

　　本文件是 GB/T 44810《IPv6 网络安全设备技术要求》 的第 2 部分。 GB/T 44810 已经发布了以下部分：

　　—第1部分： 防火墙;

　　—第2部分： Web应用防护系统 (WAF);

　　—第3部分： 入侵防御系统 (IPS)。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由工业和信息化部提出。

　　本文件由全国通信标准化技术委员会 (SAC/TC 485)归口。

　　本文件起草单位： 中国信息通信研究院、北京神州绿盟科技有限公司、华为技术有限公司、北京天融信网络安全技术有限公司、郑州信大捷安信息技术股份有限公司、北京浩瀚深度信息技术股份有限公司、 国家计算机网络应急技术处理协调中心、 中国电信集团有限公司、天翼安全科技有限公司、 中国移动通信集团有限公司、 中移(杭州) 信息技术有限公司、杭州迪普科技股份有限公司、北京通和实益电信科学技术研究所有限公司、 国家工业信息安全发展研究中心、 中国福利会国际和平妇幼保健院、新华三技术有限公司、北京可信华泰信息技术有限公司、杭州安恒信息技术股份有限公司。

　　本文件主要起草人：戴方芳、董悦、姜剑、胡俊涛、王雨晨、李翔、黄雅静、寇增杰、刘为华、庞韶敏、曹政、石桂欣、温森浩、康和、王建民、付炎永、陈东、梁芳、程晋雪、吴庆、左虹、韩娟、刘鑫涌、孙军、王冲华、陈昌杰、陈磊、万晓兰、杜君、段古纳、 田丽丹。

　　Ⅲ

　　GB/T 44810.2—2024

　　引 言

　　根据《关于加快推进互联网协议第六版(IPv6) 规模部署和应用工作的通知》 ，为更好面对网络复杂化和用户规模扩大化带来的安全挑战，推动 IPv6 网络安全工作的标准化，我国制定了一系列 IPv6 安全标准。其中， GB/T 44810《IPv6 网络安全设备技术要求》 是为规范在IPv6 中网络安全产品的适用性的技术标准，拟由三个部分构成。

　　—第1部分： 防火墙。 目的在于IPv6部署后，保障防火墙在新的网络环境中的有效应用。

　　—第2部分： Web 应用防护系统 (WAF)。 目的在于IPv6部署后，保障Web应用防护系统(WAF) 在新的网络环境中的有效应用。

　　—第3部分： 入侵防御系统(IPS)。 目的在于IPv6部署后，保障入侵防御系统(IPS) 在新的网络环境中的有效应用。

　　Ⅳ

　　GB/T 44810.2—2024

　　IPv6 网络安全设备技术要求

　　第 2 部分： Web 应用防护系统( WAF )

　　1 范围

　　本文件规定了支持IPv6 的 Web 应用防护系统(WAF) 的技术要求。

　　本文件适用于支持IPv6 的 Web 应用防护系统(WAF) 的设计、开发、部署、使用、维护与测试。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件，仅该日期对应的版本适用于本文件 ;不注日期的引用文件，其最新版本(包括所有的修改单) 适用于本文件。

　　GB/T 20281—2020 信息安全技术 防火墙安全技术要求和测试评价方法

　　GB/T 25069—2022 信息安全技术 术语

　　GB/T 44810.1—2024 IPv6 网络安全设备技术要求 第 1 部分： 防火墙

　　3 术语和定义

　　GB/T 25069—2022、GB/T 20281—2020 界定的以及下列术语和定义适用于本文件。 3.1

　　Web 应用防护系统 Web application firewall

　　部署于 Web 服务器前端，对流经的 HTTP/HTTPS 访问和响应数据进行解析，具备 Web 应用的访问控制及安全防护功能的网络安全产品。

　　注： Web 应用防护系统通常也称为 “Web 应用防火墙”。

　　4 缩略语

　　下列缩略语适用于本文件。

　　CC： 挑战黑洞(Challenge Collapsar)

　　CSRF： 跨站请求伪造(Cross﹘site request forgery)

　　HTTP： 超文本传输协议(Hypertext Transfer Protocol)

　　HTTPS： 安全超文本传输协议(Hypertext Transfer Protocol Secure)

　　IP： 互联网协议(Internet Protocol)

　　IPv6： 互联网协议第六版(Internet Protocol Version 6)

　　SQL： 结构化查询语言(Structured Query Language)

　　TCP： 传输控制协议(Transport Control Protocol)

　　URL： 统一资源定位器(Uniform Resource Locator)

　　WAF： Web 应用防护系统(Web Application Firewall)

　　XML： 可扩展标记语言(Extensible Markup Language)

　　XSS： 跨站脚本(Cross Site Scripting)

　　1

　　GB/T 44810.2—2024

　　5 功能性要求

　　5.1 Web 应用内容控制

　　系统应支持基于 IPv6 环境中的以下内容对 Web 应用的访问进行控制，包括：

　　a) 对所请求的URL中的内容设置关键字过滤规则，并根据过滤规则允许或者禁止访问;

　　b) 根据HTTP的请求类型设置过滤规则，并根据过滤规则允许或禁止访问;

　　c) 对HTTP协议头的各个部分长度设置过滤规则，并根据过滤规则允许或者禁止访问，以防止缓冲区溢出攻击;

　　d) 对所请求的Web资源文件后缀名设置过滤规则，并根据过滤规则允许或者禁止访问;

　　e) 对HTTP服务器返回的响应码设置过滤规则，并根据过滤规则允许或者禁止访问;

　　f) 对Web服务器返回的内容设置关键字过滤规则，并根据过滤规则对关键词进行脱敏处理后才允许访问。

　　5.2 攻击防护

　　5.2.1 拒绝服务攻击防护

　　系统应具备基于IPv6 的拒绝服务攻击防护功能，包括：

　　a) NDP 泛洪(Flood) 攻击防护;

　　b) UDP Flood攻击防护;

　　c) TCP Flood攻击防护;

　　d) HTTP Flood攻击防护;

　　e) HTTPS Flood攻击防护;

　　f) DNS Flood攻击防护;

　　g) SIP Flood攻击防护;

　　h) ICMP Flood攻击防护;

　　i) IPv6扩展头攻击防护。

　　5.2.2 漏洞攻击防护

　　系统具备漏洞攻击防护特征库，应具备在IPv6 网络环境中能发现并阻断已知应用层漏洞攻击事件和防止入侵行为进入目标网络功能，包括：

　　a) 操作系统类漏洞攻击防护;

　　b) 中间件类漏洞攻击防护;

　　c) 控件类漏洞攻击防护;

　　d) 应用服务类漏洞攻击防护。

　　5.2.3 Web 攻击防护

　　系统具备 Web 攻击防护特征库，应支持IPv6 网络环境下的 Web 攻击防护功能，包括：

　　a) SQL注入攻击防护;

　　b) XSS攻击防护;

　　c) 第三方组件漏洞攻击防护;

　　d) 目录遍历攻击防护;

　　e) Cookie注入攻击防护;

　　f) CSRF攻击防护;

　　g) 文件包含攻击防护;

　　2

　　GB/T 44810.2—2024

　　h) 盗链防护;

　　i) 命令注入攻击防护;

　　j) 网页后门(Webshell) 攻击防护;

　　k) 反序列化攻击防护;

　　l) CC攻击防护;

　　m ) 暴力破解攻击防护;

　　n) 爬虫防护;

　　o) 非法上传防护;

　　p) 非法下载防护;

　　q) XML攻击防护;

　　r) 信息泄露攻击防护或敏感文件访问攻击防护。

　　5.2.4 僵木蠕攻击防护

　　系统具备僵木蠕攻击防护特征库，应支持IPv6 网络环境下的僵尸网络、木马蠕虫、远程控制类的攻击防护。

　　5.2.5 自动化攻击威胁防护

　　系统具备自动化攻击威胁防护特征库，应支持 IPv6 网络环境下通过自动化工具发起的攻击，包括：

　　a) 应用扫描行为防护;

　　b) 漏洞利用工具防护;

　　c) 其他自动化工具攻击防护。

　　注： 5.2.2~5.2.5 的特征库参考国家信息安全漏洞共享平台 (CNVD)、 中国国家信息安全漏洞库 (CNNVD)、 通用漏洞披露(CVE) 等。

　　5.2.6 攻击逃逸防护

　　系统应支持检测并阻断经逃逸技术处理过的攻击行为的功能。

　　5.2.7 外部系统协同防护

　　系统应提供联动接口，应支持IPv6 网络环境下对接联动的功能，能通过接口与其他网络安全设备进行联动，如执行其他网络安全设备下发的安全策略、黑名单等。

　　5.2.8 威胁情报库

　　系统应支持 IPv6 威胁情报库，用于配合相关安全功能。

　　5.3 安全审计、告警与统计

　　5.3.1 安全审计

　　系统应支持安全审计功能，包括以下内容。

　　a) 记录事件类型：

　　1) 被设备安全策略匹配的访问请求;

　　2) 检测到的攻击行为。

　　b) 日志内容：

　　1) 事件发生的日期和时间;

　　3

　　GB/T 44810.2—2024

　　2) 事件发生的主体、客体和描述，其中数据包日志包括协议类型、源地址、 目标地址、源端口和目标端口等;

　　3) 攻击事件的描述;

　　4) 支持IPv6协议的日志内容审计，日志内容源地址和目的地址字段支持IPv6格式。

　　c) 日志管理：

　　1) 仅允许授权管理员访问日志，并提供日志查阅、导出等功能;

　　2) 能对审计事件按日期、时间、主体、客体等条件查询;

　　3) 日志存储于掉电非易失性存储介质中;

　　4) 日志存储周期设定不小于6个月;

　　5) 存储空间达到阈值时，能通知授权管理员，并确保审计功能的正常运行;

　　6) 日志支持自动化备份至其他存储设备。

　　5.3.2 安全告警

　　系统应支持对检测到的攻击行为进行告警，并能对高频发生的相同告警事件进行合并告警，避免出现告警风暴。告警信息至少包括以下内容：

　　a) 事件主体;

　　b) 事件客体;

　　c) 事件描述;

　　d) 危害级别;

　　e) 事件发生的日志和时间。

　　5.3.3 统计

　　5.3.3.1 应用流量统计

　　系统应支持以图形化界面展示应用流量情况，包括：

　　a) 按照IP、 时间段和应用类型等条件或以上条件组合对应用流量进行统计;

　　b) 以报表形式输出统计结果;

　　c) 对不同时间段的统计结果进行对比;

　　d) 应用流量统计支持IPv6网络。

　　5.3.3.2 攻击事件统计

　　系统应支持以图形化界面展示攻击事件情况，包括：

　　a) 按照攻击事件类型、IP和时间段等条件或以上条件组合对攻击事件进行统计;

　　b) 以报表形式输出统计结果;

　　c) 攻击事件统计支持IPv6网络环境中的内容。

　　5.4 异常应急处置

　　系统应支持异常情况下硬件和软件的旁路绕过(bypass)功能。

　　6 性能要求

　　6.1 HTTP 吞吐量

　　设备在 IPv6 网络环境中的 HTTP 吞吐量，视不同速率的产品有所不同，开启 Web 攻击防护功能的情况下，具体指标应符合 GB/T 20281—2020 中 6.3.1.3规定的要求。

　　4

　　GB/T 44810.2—2024

　　6.2 HTTP 请求速率

　　设备在 IPv 6 网络环境中 的 HTTP 请求速率，视不同速率的产品有所不同，具体指标应符合GB/T 20281—2020 中 6.3.3.2 规定的要求。

　　6.3 HTTP 并发连接数

　　设备在 IPv6 网络环境中的 HTTP 并发连接数，视不同速率的产品有所不同，具体指标应符合GB/T 20281—2020 中 6.3.4.2 规定的要求。

　　7 兼容性要求

　　7.1 部署

　　系统应支持在IP 网络中的常规部署模式，包括串联部署、旁路路由部署、反向代理部署、镜像监听部署、透明桥接模式部署等。

　　7.2 接口

　　设备的对外接口需要兼容 IPv6，包括 REST 接口、 日志接口、管理接口等。

　　7.3 界面

　　设备的界面需要兼容 IPv6，包括基础网络配置界面 、站点配置界面、策略配置界面和安全防护日志界面等。

　　7.4 数据存储

　　设备的所有数据存储需要兼容 IPv6 格式，包括基础网络配置、站点配置、策略配置和安全防护日志的数据存储等。

　　8 可靠性要求

　　应符合 GB/T 44810.1—2024 中第 8 章规定的要求。

　　9 自身安全性要求

　　应符合 GB/T 44810.1—2024 中第 9 章规定的要求。

　　5

　　GB/T 44810.2—2024

　　参 考 文 献

　　[1] GB/T 25000 . 51 — 2016 系统与软件工程 系统与软件质量要求和评价 (SQuaRE) 第51 部分： 就绪可用软件产品 (RUSP) 的质量要求和测试细则

　　[2] GB 42250—2022 信息安全技术 网络安全专用产品安全技术要求

　　6