GB/T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法
- 名 称:GB/T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法 - 下载地址2
- 下载地址:[下载地址2]
- 提 取 码:
- 浏览次数:3
发表评论 加入收藏夹 错误报告目录| 新闻评论(共有 0 条评论) |
资料介绍
ICS 35 . 040 L 80
中 华 人 民 共 和 国 国 家 标 准
GB/T 20281—2020
代替 GB/T 20010—2005, GB/T 20281—2015, GB/T 31505—2015 和 GB/T 32917—2016
信息安全技术 防火墙安全
技术要求和测试评价方法
Informationsecuritytechnology— Securitytechnicalrequirementsand
testingassessmentapproachesforfirewall
2020-04-28 发布 2020-1 1-01 实施
国家市场监督管理总局国家标准化管理委员会
发
布
GB/T 20281—2020
GB/T 20281—2020
前 言
本标准按照 GB/T 1 . 1—2009 给出的规则起草。
本标准代替 GB/T 20010—2005《信息安全技术 包过滤防火端评估准则》、GB/T 20281—2015《信息安全技术 防火墙安全技术要求和测试评价方法》、GB/T 31505—2015《信息安全技术 主机型防火墙安全技术要求和测试评价方法》、GB/T 32917—2016《信息安全技术 WEB 应用防火墙安全技术要求与测试评价方法》。 本标准以 GB/T 20281—2015 为主,整合了 GB/T 20010—2005、GB/T 31505 — 2015 和 GB/T 32917—2016 的部分内容,与 GB/T 20281—2015 相比,除编辑性修改外主要技术变化如下:
— 增加了网络型防火墙、数据库防火墙、WEB应用防火墙和主机型防火墙的定义(见第 3 章);
— 修改了概述(见第 5 章,2015 年版的第 5 章);
— 增加了“设备虚拟化”要求(见 6 . 1 . 1 . 4) ;
— 修改了“应用内容控制”的要求(见 6 . 1 . 3 . 3 , 2015 版的 6 . 2 . 1 . 2、6 . 3 . 1 . 2) ;
— 增加了“攻击防护”的要求(见 6 . 1 . 4) ;
— 增加了“安全审计与分析”的要求(见 6 . 1 . 5) ;
— 增加了“混合应用层吞吐量”“HTTP 吞吐量”“HTTP请求速率”“SQL请求速率”“HTTP 并发连接数”“SQL并发连接数”性能要求(见 6.3.1.2、6.3.1.3、6.3.3.2、6.3.3.3、6.3.4.2、6.3.4.3) ;
— 增加了规范性附录(见附录 A、附录 B) 。
请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口 。
本标准起草单位:公安部第三研究所、奇安信科技集团股份有限公司、北京天融信网络安全技术有限公司、网神信息技术(北京)股份有限公司、北京神州绿盟科技有限公司、杭州美创科技有限公司、北京网康科技有限公司、中国信息安全研究院有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息安全测评中心、国家计算机网络与信息安全管理中心、北京安华金和科技有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、沈阳东软系统集成工程有限公司、新华三技术有限公司、蓝盾信息安全技术股份有限公司、北京中安星云软件技术有限公司、上海上讯信息技术股份有限公司。
本标准主要起草人:俞优、王志佳、邹春明、陆臻、沈亮、陆磊、顾健、吴云坤、熊瑛、雷晓锋、叶晓虎、周杰、王伟、陈华平、吴亚东、谢建业、王猛、谌德俊、潘云、申永波、杨晨、王晖。
本标准所代替标准的历次版本发布情况为:
—GB/T 20010—2005 ;
—GB/T 20281—2006、GB/T 20281—2015 ;
—GB/T 31505—2015 ;
—GB/T 32917—2016 。
GB/T 20281—2020
信息安全技术 防火墙安全
技术要求和测试评价方法
1 范围
本标准规定了防火墙的等级划分、安全技术要求及测评方法。
本标准适用于防火墙的设计、开发与测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。 凡是注 日期的引用文件,仅注 日期的版本适用于本文件 。凡是不注 日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336 . 3—2015 信息技术 安全技术 信息技术安全评估准则 第 3 部分:安全保障组件GB/T 25069—2010 信息安全技术 术语
3 术语和定义
GB/T 25069—2010 界定的以及下列术语和定义适用于本文件。
3.1
防火墙 firewall
对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品。
注:根据安全 目 的、实现原理的不同,通常可分为网络型防火墙、WEB 应用防火墙、数据库防火墙和主机型防火墙等。
3.2
网络型防火墙 network-basedfirewall
部署于不同安全域之间,对经过的数据流进行解析,具备网络层、应用层访问控制及安全防护功能的网络安全产品。
3.3
WEB应用防火墙 webapplicationfirewall
部署于 WEB 服务器前端,对流经的 HTTP/HTTPS访问和响应数据进行解析,具备 WEB 应用的访问控制及安全防护功能的网络安全产品。
3.4
数据库防火墙 databasefirewall
部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品。
3.5
主机型防火墙 host-basedfirewall
部署于计算机(包括个人计算机和服务器)上,提供网络层访问控制、应用程序访问限制和攻击防护功能的网络安全产品。
GB/T 20281—2020
3.6
反向代理 reverseproxy
作为服务器端的代理使用,代替服务器接受来自客户端的请求,然后将请求转发给内部服务器,并将从服务器上得到的结果返回给请求客户端的一种部署模式。
3.7
拖库攻击 dragattack
通过非授权获得数据库访问或数据库所在操作系统的权限,批量下载数据库中数据或数据库数据文件的恶意行为。
3.8
撞库攻击 accountcredentialenumerationattack
批量尝试碰撞数据库数据的恶意行为。
注:如通过收集已泄露、已知的用户和密码信息,生成对应的字典表,并以此批量尝试登录其他的应用系统。
4 缩略语
下列缩略语适用于本文件。
BGP:边界网关协议(Border Gateway Protocol)
CSRF:跨站请求伪造(Cross-site request forgery)
DMZ:非军事化区(Demilitarized Zone)
DNAT:目 的网络地址转换(Destination NAT)
FTP:文件传输协议(File Transfer Protocol)
HTTP:超文本传输协议(Hypertext Transfer Protocol)
HTTPS:安全超文本传输协议 (Hypertext Transfer Protocol over Secure Socket Layer)
ICMP:网间控制报文协议(Internet Control Messages Protocol)
IMAP:互联网邮件访问协议(Internet Mail Access Protocol)
IP:网际协议(Internet Protocol)
IPV6 :互联网协议第六版(Internet Protocol V6)
ISATAP:站内 自动隧道寻址协议(Intra-Site Automatic Tunnel Addressing Protocol)
MAC:介质访问控制(Media Access Control)
NAT:网络地址转换(Network Address Translation)
NTP:网络时间协议(Network Time Protocol)
OSPF:开放式最短路径优先(Open Shortest Path First)
P2P:对等网络(Peer-to-peer)
RIP:路由信息协议(Routing Information Protocol)
SNAT:源网络地址转换(Source NAT)
SNMP:简单网络管理协议(Simple Network Management Protocol)
SQL:结构化查询语言(Structured Query Language)
SYSLOG:系统日志(System Log)
URL:统一资源定位器 ( Uniform Resource Locator)
WEB:万维网(World Wide WEB)
XSS:跨站脚本(Cross Site Scripting)
GB/T 20281—2020
5 概述
防火墙是作用于不同安全域之间,具备访问控制及安全防护功能的网络安全产品,主要分为网络型防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙或其组合。
防火墙的安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类。 其中,安全功能要求对防火墙应具备的安全功能提出具体要求,包括组网与部署、网络层控制、应用层控制、攻击防护和安全审计与分析;自身安全要求针对防火墙的 自身安全提出具体的要求,包括身份标识与鉴别、管理能力、管理审计、管理方式和安全支撑系统;性能要求则是对防火墙应达到的性能指标作出规定,包括吞吐量、延迟、连接速率和并发连接数;安全保障要求针对防火墙的生命周期过程提出具体要求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定。
防火墙的等级分为基本级和增强级,安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体依据,等级突出安全特性。 其中,基本级产品的安全保障要求内容对应 GB/T 18336 . 3 —
2015 的 EAL2 级,增强级产品的安全保障要求内容对应 GB/T 18336. 3—2015 的 EAL4+级。各类防
火墙(简称“产品”)的具体安全技术要求和等级划分详见附录 A,测评方法及等级划分详见附录 B。
6 安全技术要求
6 . 1 安全功能要求
6 . 1 . 1 组网与部署
6 . 1 . 1 . 1 部署模式
产品应支持以下部署模式:
a) 透明传输模式;
b ) 路由转发模式;
c) 反向代理模式。
6 . 1 . 1 . 2 路由
6 . 1 . 1 . 2 . 1 静态路由
产品应支持静态路由功能,且能配置静态路由。
6 . 1 . 1 . 2 . 2 策略路由
具有多个相同属性网络接口(多个外部网络接 口 、多个内部网络接口或多个 DMZ 网络接口)的产品,应支持策略路由功能,包括但不限于:
a ) 基于源、目的 IP 策略路由;
b ) 基于接口的策略路由;
c ) 基于协议和端口的策略路由;
d ) 基于应用类型的策略路由;
e ) 基于多链路负载情况自动选择路由。
6 . 1 . 1 . 2 . 3 动态路由
产品应支持动态路由功能,包括 RIP、OSPF或 BGP 中一种或多种动态路由协议。
GB/T 20281—2020
6 . 1 . 1 . 3 高可用性
6 . 1 . 1 . 3 . 1 冗余部署
产品应支持“主-备”、“主-主”或“集群”中的一种或多种冗余部署模式。
6 . 1 . 1 . 3 . 2 负载均衡
产品应支持负载均衡功能,能根据安全策略将网络流量均衡到多台服务器上。
6 . 1 . 1 . 4 设备虚拟化(可选)
6 . 1 . 1 . 4 . 1 虚拟系统
若产品支持在逻辑上划分为多个虚拟子系统,虚拟子系统间应支持隔离和独立管理,包括但不限于:
a ) 对虚拟子系统分别设置管理员,实现针对虚拟子系统的管理配置;
b ) 虚拟子系统能分别维护路由表、安全策略和 日志系统;
c) 对虚拟子系统的资源使用配额进行限制。
6 . 1 . 1 . 4 . 2 虚拟化部署
若产品为虚拟化形态,应支持部署于虚拟化平台,并接受平台统一管理,包括但不限于:
a) 支持部署于一种虚拟化平台,如 VMware ESXi、KVM、Citrix Xenserver 和 Hyper-V 等;
b ) 结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;
c) 结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新、替换。
6 . 1 . 1 . 5 IPv6 支持(可选)
6 . 1 . 1 . 5 . 1 支持 IPv6 网络环境
若产品支持 IPv6 ,应支持在 IPv6 网络环境下正常工作,能有效运行其安全功能和 自身安全
功能。
6 . 1 . 1 . 5 . 2 协议一致性
若产品支持 IPv6 ,应满足 IPv6 协议一致性的要求,至少包括 IPv6 核心协议、IPv6 NDP 协议、IPv6 Autoconfig 协议和 ICMPv6 协议。
6 . 1 . 1 . 5 . 3 协议健壮性
若产品支持 IPv6,应满足 IPv6 协议健壮性的要求,抵御 IPv6 网络环境下畸形协议报文攻击。 6 . 1 . 1 . 5 . 4 支持 IPv6 过渡网络环境
若产品支持 IPv6,应支持在以下一种或多种 IPv6 过渡网络环境下工作:
a ) 协议转换,将 IPv4 和 IPv6 两种协议相互转换;
b) 隧道,将 IPv6 封装在 IPv4 中穿越 IPv4 网络,如 IPv6 over IPv4、IPv6 to IPv4、ISATAP 等。
GB/T 20281—2020
6 . 1 . 2 网络层控制
6 . 1 . 2 . 1 访问控制
6 . 1 . 2 . 1 . 1 包过滤
产品的包过滤功能要求如下:
a) 安全策略应使用最小安全原则,即除非明确允许,否则就禁止;
b ) 安全策略应包含基于源 IP 地址、目的 IP 地址的访问控制;
c ) 安全策略应包含基于源端口、目的端口的访问控制;
d ) 安全策略应包含基于协议类型的访问控制;
e ) 安全策略应包含基于 MAC地址的访问控制;
f) 安全策略应包含基于时间的访问控制;
g) 应支持用户 自定义的安全策略,安全策略包括 MAC 地址、IP 地址、端口、协议类型和时间的部分或全部组合。
6 . 1 . 2 . 1 . 2 网络地址转换
产品的网络地址转换功能要求如下:
a ) 支持 SNAT 和 DNAT;
b) SNAT应实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源 IP 地址被转换;
c) DNAT应实现“一对多”地址转换,将 DMZ 的 IP 地址/端口映射为外部网络合法 IP 地址/端口,使外部网络主机通过访问映射地址和端口实现对 DMZ 服务器的访问;
d ) 支持动态 SNAT技术,实现“多对多”的 SNAT。
6 . 1 . 2 . 1 . 3 状态检测
产品应支持基于状态检测技术的包过滤功能,具备状态检测能力。
6 . 1 . 2 . 1 . 4 动态开放端口
产品应支持协议的动态端口开放,包括但不限于:
a ) FTP 协议 ;
b) H.323 等音视频协议。
6 . 1 . 2 . 1 . 5 IP/MAC地址绑定
产品应支持自动或手工绑定 IP/MAC地址,当主机的 IP 地址、MAC 地址与 IP/MAC 绑定表中不一致时,阻止其流量通过。
6 . 1 . 2 . 2 流量管理
6 . 1 . 2 . 2 . 1 带宽管理
产品应支持带宽管理功能,能根据策略调整客户端占用的带宽,包括但不限于:
a) 根据源 IP、目的 IP、应用类型和时间段的流量速率或总额进行限制;
b) 根据源 IP、目的 IP、应用类型和时间段设置保障带宽;
c) 在网络空闲时自动解除流量限制,并在总带宽占用率超过阈值时自动启用限制。
GB/T 20281—2020
6 . 1 . 2 . 2 . 2 连接数控制
产品应支持限制单 IP 的最大并发会话数和新建连接速率,防止大量非法连接产生时影响网络性能。
6 . 1 . 2 . 2 . 3 会话管理
在会话处于非活跃状态一定时间或会话结束后,产品应终止会话。
6 . 1 . 3 应用层控制
6 . 1 . 3 . 1 用户管控
产品应支持基于用户认证的网络访问控制功能,包括但不限于:
a ) 本地用户认证方式;
b ) 结合第三方认证系统,如基于 Radius、LDAP 服务器的认证方式。
6 . 1 . 3 . 2 应用类型控制
产品应支持根据应用特征识别并控制各种应用类型,包括:
a ) HTTP 协议;
b) 数据库协议;
c) FTP、TELNET、SMTP、POP3 和 IMAP 等常见协议;
d) 即时聊天类、P2P类、网络流媒体类、网络游戏、股票交易类等应用;
e) 逃逸或隧道加密特点的应用,如加密代理类应用;
f) 自定义应用。
6 . 1 . 3 . 3 应用内容控制
6 . 1 . 3 . 3 . 1 WEB应用
产品应支持基于以下内容对 WEB应用的访问进行控制,包括但不限于:
a) URL 网址,并具备分类网址库;
b) HTTP传输内容的关键字;
c) HTTP请求方式,包括 GET、POST、PUT、HEAD等;
d) HTTP请求文件类型;
e) HTTP 协议头中各字段长度,包括 general-header、request-header、response-header 等;
f) HTTP 上传文件类型;
g) HTTP请求频率;
h) HTTP 返回的响应内容,如服务器返回的出错信息等;
i ) 支持 HTTPS 流量解密。
6 . 1 . 3 . 3 . 2 数据库应用
产品应支持基于以下内容对数据库的访问进行控制,包括但不限于:
a) 访问数据库的应用程序、运维工具;
b) 数据库用户名、数据库名、数据表名和数据字段名;
c) SQL语句关键字、数据库返回内容关键字;
d ) 影响行数、返回行数。
GB/T 20281—2020
6 . 1 . 3 . 3 . 3 其他应用
产品应支持基于以下内容对 FTP、TELNET、SMTP、POP3 和 IMAP 等应用进行控制,包括但不限于:
a) 传输文件类型;
b) 传输内容,如协议命令或关键字。
6 . 1 . 4 攻击防护
6 . 1 . 4 . 1 拒绝服务攻击防护
产品具备特征库,应支持拒绝服务攻击防护功能,包括但不限于:
a ) ICMP Flood攻击防护 ;
b ) UDP Flood攻击防护 ;
c ) SYN Flood攻击防护 ;
d) TearDrop 攻击防护;
e ) Land攻击防护 ;
f) Ping of Death攻击防护;
g) CC攻击防护。
6 . 1 . 4 . 2 WEB攻击防护
产品具备特征库,应支持 WEB攻击防护功能,包括但不限于:
a ) SQL 注入攻击防护;
b ) XSS攻击防护;
c ) 第三方组件漏洞攻击防护;
d ) 目录遍历攻击防护;
e ) Cookie 注入攻击防护;
f) CSRF攻击防护;
g) 文件包含攻击防护;
h ) 盗链防护;
i) OS命令注入攻击防护;
j) WEBshell识别和拦截;
k) 反序列化攻击防护。
6 . 1 . 4 . 3 数据库攻击防护
产品具备特征库,应支持数据库攻击防护功能,包括但不限于:
a) 数据库漏洞攻击防护;
b ) 异常 SQL语句阻断;
c) 数据库拖库攻击防护;
d) 数据库撞库攻击防护。
6 . 1 . 4 . 4 恶意代码防护
产品具备特征库,应支持恶意代码防护功能,包括但不限于:
a ) 能拦截典型的木马攻击行为;
GB/T 20281—2020
b) 检测并拦截被 HTTP 网页和电子邮件等携带的恶意代码。
6 . 1 . 4 . 5 其他应用攻击防护
产品具备特征库,应支持防护来自应用层的其他攻击,包括但不限于:
a ) 操作系统类漏洞攻击防护;
b ) 中间件类漏洞攻击防护;
c ) 控件类漏洞攻击防护。
6 . 1 . 4 . 6 自动化工具威胁防护
产品具备特征库,应支持防护自动化工具发起的攻击,包括但不限于:
a ) 网络扫描行为防护;
b ) 应用扫描行为防护;
c ) 漏洞利用工具防护。
6 . 1 . 4 . 7 攻击逃逸防护
产品应支持检测并阻断经逃逸技术处理过的攻击行为。
6 . 1 . 4 . 8 外部系统协同防护
产品应提供联动接口,能通过接口与其他网络安全产品进行联动,如执行其他网络安全产品下发的安全策略等。
6 . 1 . 5 安全审计、告警与统计
6 . 1 . 5 . 1 安全审计
产品应支持安全审计功能,包括但不限于:
a ) 记录事件类型:
1) 被产品安全策略匹配的访问请求;
2) 检测到的攻击行为。
b ) 日志内容:
1) 事件发生的 日期和时间;
2) 事件发生的主体、客体和描述,其中数据包 日志包括协议类型、源地址、目标地址、源端 口和 目标端口等;
3) 攻击事件的描述。
c ) 日志管理:
1) 仅允许授权管理员访问 日志,并提供日志查阅、导出等功能;
2) 能对审计事件按 日期、时间、主体、客体等条件查询;
3) 日志存储于掉电非易失性存储介质中;
4) 日志存储周期设定不小于六个月;
5) 存储空间达到阈值时,能通知授权管理员,并确保审计功能的正常运行;
6) 日志支持自动化备份至其他存储设备。
6 . 1 . 5 . 2 安全告警
产品应支持对 6 . 1 . 4 中的攻击行为进行告警,并能对高频发生的相同告警事件进行合并告警,避免
GB/T 20281—2020
出现告警风暴。 告警信息至少包括以下内容:
a) 事件主体;
b) 事件客体;
c ) 事件描述;
d ) 危害级别;
e ) 事件发生的 日期和时间。
6 . 1 . 5 . 3 统计
6 . 1 . 5 . 3 . 1 网络流量统计
产品应支持以图形化界面展示网络流量情况,包括但不限于:
a) 按照 IP、时间段和协议类型等条件或以上条件组合对网络流量进行统计;
b ) 实时或以报表形式输出统计结果。
6 . 1 . 5 . 3 . 2 应用流量统计
产品应支持以图形化界面展示应用流量情况,包括但不限于:
a) 按照 IP、时间段和应用类型等条件或以上条件组合对应用流量进行统计;
b ) 以报表形式输出统计结果;
c ) 对不同时间段的统计结果进行比对。
6 . 1 . 5 . 3 . 3 攻击事件统计
产品应支持以图形化界面展示攻击事件情况,包括但不限于:
a) 按照攻击事件类型、IP 和时间段等条件或以上条件组合对攻击事件进行统计;
b ) 以报表形式输出统计结果。
6 . 2 自身安全要求
6 . 2 . 1 身份标识与鉴别
产品的身份标识与鉴别安全要求包括但不限于:
a) 对用户身份进行标识和鉴别,身份标识具有唯一性;
b) 对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储和传输过程中的保密性;
c) 具有登录失败处理功能,如限制连续的非法登录尝试次数等相关措施;
d) 具有登录超时处理功能,当登录连接超时自动退出;
e) 在采用基于口令的身份鉴别时,要求对用户设置的口令进行复杂度检查,确保用户口令满足一定的复杂度要求;
f) 当产品中存在默认口令时,提示用户对默认口令进行修改,以减少用户身份被冒用的风险;
g) 应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别。
6 . 2 . 2 管理能力
产品的管理能力安全要求包括但不限于:
a) 向授权管理员提供设置和修改安全管理相关的数据参数的功能;
b) 向授权管理员提供设置、查询和修改各种安全策略的功能;
c) 向授权管理员提供管理审计日志的功能;
d) 支持更新自身系统的能力,包括对软件系统的升级以及各种特征库的升级;
GB/T 20281—2020
e ) 能从 NTP 服务器同步系统时间;
f) 支持通过 SYSLOG协议向 日志服务器同步日志、告警等信息;
g) 应区分管理员角色,能划分为系统管理员、安全操作员和安全审计员,三类管理员角色权限能相互制约;
h) 提供安全策略有效性检查功能,如安全策略匹配情况检测等。
6 . 2 . 3 管理审计
产品的管理审计安全要求包括但不限于:
a) 对用户账户的登录和注销、系统启动、重要配置变更、增加/删除/修改管理员、保存/删除审计日志等操作行为进行 日志记录;
b) 对产品及其模块的异常状态进行告警,并记录 日志;
c) 日志记录中包括如下内容:事件发生的 日期和时间,事件的类型,事件主体,事件操作结果;
d ) 仅允许授权管理员访问 日志。
6 . 2 . 4 管理方式
产品的管理方式安全要求包括但不限于:
a ) 支持通过 console端口进行本地管理;
b ) 支持通过网络接口进行远程管理,并能限定进行远程管理的 IP、MAC 地址;
c) 远程管理过程中,管理端与产品之间的所有通信数据应非明文传输;
d ) 支持 SNMP 网管协议方式的监控和管理;
e ) 支持管理接口与业务接口分离;
f) 支持集中管理,通过集中管理平台实现监控运行状态、下发安全策略、升级系统版本、升级特征库版本。
6 . 2 . 5 安全支撑系统
产品的支撑系统安全要求包括但不限于:
a) 进行必要的裁剪,不提供多余的组件或网络服务;
b) 重启过程中,安全策略和 日志信息不丢失;
c) 不含已知中、高风险安全漏洞。
6 . 3 性能要求
6 . 3 . 1 吞吐量
6 . 3 . 1 . 1 网络层吞吐量
硬件产品的网络层吞吐量视不同速率的产品有所不同,具体指标要求如下:
a) 一对相应速率的端口应达到的双向吞吐率指标:
1) 对于 64 字节短包,百兆产品不小于线速的 20% ,千兆和万兆产品不小于线速的 35% ;
2) 对于 512 字节中长包,百兆产品不小于线速的 70% ,千兆和万兆产品不小于线速的 80% ;
3) 对于 1 518 字节长包,百兆产品不小于线速的 90% ,千兆和万兆产品不小于线速的 95% ;
b) 针对高性能的万兆产品,对于 1 518 字节长包,吞吐量至少达到 80 Gbit/s。
6 . 3 . 1 . 2 混合应用层吞吐量
硬件产品的应用层吞吐量视不同速率的产品有所不同,开启应用攻击防护功能的情况下,具体指标
GB/T 20281—2020
要求如下:
a ) 百兆产品混合应用层吞吐量应不小于 60 Mbit/s ;
b ) 千兆产品混合应用层吞吐量应不小于 600 Mbit/s ;
c) 万兆产品混合应用层吞吐量应不小于 5 Gbit/s;针对高性能的万兆产品,整机混合应用层吞吐量至少达到 20 Gbit/ s。
6.3.1.3 HTTP吞吐量
硬件产品的 HTTP吞吐量视不同速率的产品有所不同,开启 WEB 攻击防护功能的情况下,具体指标要求如下:
a ) 百兆产品应用层吞吐量应不小于 80 Mbit/s ;
b ) 千兆产品应用层吞吐量应不小于 800 Mbit/s ;
c ) 万兆产品应用层吞吐量应不小于 6 Gbit/s。
6 . 3 . 2 延迟
硬件产品的延迟视不同速率的产品有所不同,一对相应速率端口的延迟具体指标要求如下:
a) 对于 64 字节短包、512 字节中长包、1 518 字节长包,百兆产品的平均延迟不应超过 500 μs;
b ) 对于 64 字节短包、512 字节中长包、1 518 字节长包,千兆、万兆产品的平均延迟不应超过
90 μs。
6 . 3 . 3 连接速率
6 . 3 . 3 . 1 TCP新建连接速率
硬件产品的 TCP新建连接速率视不同速率的产品有所不同,具体指标要求如下:
a) 百兆产品的 TCP新建连接速率应不小于 1 500 个/s ;
b) 千兆产品的 TCP新建连接速率应不小于 5 000 个/s ;
c) 万兆产品的新建连接数速率应不小于 50 000 个/s;针对高性能的万兆产品,整机新建连接数速率应不小于 250 000 个/s。
6.3.3.2 HTTP请求速率
硬件产品的 HTTP请求速率视不同速率的产品有所不同,具体指标要求如下:
a) 百兆产品的 HTTP请求速率应不小于 800 个/s ;
b) 千兆产品的 HTTP请求速率应不小于 3 000 个/s ;
c) 万兆产品的 HTTP请求速率应不小于 5 000 个/s。
6.3.3.3 SQL请求速率
硬件产品的 SQL请求速率视不同速率的产品有所不同,具体指标要求如下:
a) 百兆产品的 SQL请求速率应不小于 2 000 个/s ;
b) 千兆产品的 SQL请求速率应不小于 10 000 个/s ;
c) 万兆产品的 SQL请求速率应不小于 50 000 个/s。
6 . 3 . 4 并发连接数
6 . 3 . 4 . 1 TCP并发连接数
硬件产品的 TCP并发连接数视不同速率的产品有所不同,具体指标要求如下:
GB/T 20281—2020
a ) 百兆产品的并发连接数应不小于 50 000 个;
b ) 千兆产品的并发连接数应不小于 200 000 个;
c) 万兆产品的并发连接数应不小于 2 000 000 个;针对高性能的万兆产品,整机并发连接数至少达到 3 000 000 个 。
6.3.4.2 HTTP并发连接数
硬件产品的 HTTP并发连接数视不同速率的产品有所不同,具体指标要求如下:
a ) 百兆产品的 HTTP并发连接数应不小于 50 000 个;
b ) 千兆产品的 HTTP并发连接数应不小于 200 000 个;
c ) 万兆产品的 HTTP并发连接数应不小于 2 000 000 个。
6.3.4.3 SQL并发连接数
硬件产品的 SQL并发连接数视不同速率的产品有所不同,具体指标要求如下:
a ) 百兆产品的 SQL并发连接数应不小于 800 个;
b ) 千兆产品的 SQL并发连接数应不小于 2 000 个;
c ) 万兆产品的 SQL并发连接数应不小于 4 000 个。
6 . 4 安全保障要求
6 . 4 . 1 开发
6 . 4 . 1 . 1 安全架构
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求:
a ) 与产品设计文档中对安全功能的描述范围相一致;
b) 充分描述产品采取的 自我保护、不可旁路的安全机制。
6 . 4 . 1 . 2 功能规范
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:
a ) 根据产品类型清晰描述 6 .1 、6 .2 中定义的安全功能;
b) 标识和描述产品所有安全功能接口的 目的、使用方法及相关参数;
c ) 描述安全功能实施过程中,与安全功能接口相关的所有行为;
d ) 描述可能由安全功能接口的调用而引起的所有直接错误消息。
6 . 4 . 1 . 3 产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求:
a) 通过子系统描述产品结构,标识和描述产品安全功能的所有子系统,并描述子系统间的相互作用;
b) 提供子系统和安全功能接口间的对应关系;
c) 通过实现模块描述安全功能,标识和描述实现模块的 目的、相关接口及返回值等,并描述实现模块间的相互作用及调用的接口;
d) 提供实现模块和子系统间的对应关系。
6 . 4 . 1 . 4 实现表示
开发者应提供产品安全功能的实现表示,实现表示应满足以下要求:
GB/T 20281—2020
a) 详细定义产品安全功能,包括软件代码、设计数据等实例;
b) 提供实现表示与产品设计描述间的对应关系。
6 . 4 . 2 指导性文档
6 . 4 . 2 . 1 操作用户指南
开发者应提供明确和合理的操作用户指南,对每一种用户角色的描述应满足以下要求:
a) 描述用户能访问的功能和特权,包含适当的警示信息;
b) 描述产品安全功能及接口的用户操作方法,包括配置参数的安全值等;
c ) 标识和描述产品运行的所有可能状态,包括操作导致的失败或者操作性错误;
d ) 描述实现产品安全目的必需执行的安全策略。
6 . 4 . 2 . 2 准备程序
开发者应提供产品及其准备程序,准备程序描述应满足以下要求:
a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;
b) 描述安全安装产品及其运行环境必需的所有步骤。
6 . 4 . 3 生命周期支持
6 . 4 . 3 . 1 配置管理能力
开发者的配置管理能力应满足以下要求:
a) 为产品的不同版本提供唯一的标识;
b) 使用配置管理系统对组成产品的所有配置项进行维护,并进行唯一标识;
c) 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;
d) 配置管理系统提供自动方式来支持产品的生成,通过自动化措施确保配置项仅接受授权变更;
e ) 配置管理文档包括一个配置管理计划,描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。 配置管理计划描述应描述如何使用配置管理系统开发产品,开发者实施的配置管理应与配置管理计划相一致。
6 . 4 . 3 . 2 配置管理范围
开发者应提供产品配置项列表,并说明配置项的开发者。 配置项列表应包含以下内容:
a) 产品及其组成部分、安全保障要求的评估证据;
b) 实现表示、安全缺陷报告及其解决状态。
6 . 4 . 3 . 3 交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。 在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。
6 . 4 . 3 . 4 开发安全
开发者应提供开发安全文档。 开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。
6 . 4 . 3 . 5 生命周期定义
开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文档
GB/T 20281—2020
描述用于开发和维护产品的模型。
6 . 4 . 3 . 6 工具和技术
开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。
6 . 4 . 4 测试
6 . 4 . 4 . 1 测试覆盖
开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求:
a ) 表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性;
b) 表明上述对应性是完备的,并证实功能规范中的所有安全功能接口都进行了测试。
6 . 4 . 4 . 2 测试深度
开发者应提供测试深度的分析。 测试深度分析描述应满足以下要求:
a ) 证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性;
b) 证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。
6 . 4 . 4 . 3 功能测试
开发者应测试产品安全功能,将结果文档化并提供测试文档。 测试文档应包括以下内容:
a) 测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;
b ) 预期的测试结果,表明测试成功后的预期输出;
c ) 实际测试结果和预期的测试结果的对比。
6 . 4 . 4 . 4 独立测试
开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试。
6 . 4 . 5 脆弱性评定
基于已标识的潜在脆弱性,产品能抵抗以下强度的攻击:
a ) 具有基本攻击潜力的攻击者的攻击;
b) 具有中等攻击潜力的攻击者的攻击。
7 测评方法
7 . 1 测评环境
7 . 1 . 1 安全功能与自身安全测评环境
安全功能及自身安全测评典型环境见图 1 。
GB/T
20281—2020
图 1 安全功能及自身安全测评典型环境示意图
7 . 1 . 2 性能测评环境
性能测评典型环境见图 2,采用专用性能测试仪,测试仪接口直接通过网线连接防火墙业务接口 。
图 2 性能测评典型环境示意图
7 . 2 安全功能测评
7 . 2 . 1 组网与部署
7 . 2 . 1 . 1 部署模式
部署模式的测评方法如下:
a ) 测评方法:
1) 将产品配置为透明传输模式,并配置相关安全策略;
2) 将产品配置为路由转发模式,并配置相关安全策略;
3) 将产品配置为反向代理模式,并配置相关安全策略。
b ) 预期结果:
1) 透明传输模式下,安全策略生效;
GB/T 20281—2020
2) 路由转发模式下,安全策略生效;
3) 反向代理模式下,安全策略生效。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 2 路由
7 . 2 . 1 . 2 . 1 静态路由
静态路由的测评方法如下:
a ) 测评方法:
1) 在产品设置一条静态路由;
2) 向产品发送匹配上述路由策略的数据包。
b ) 预期结果:
1) 产品支持设置静态路由;
2) 产品将匹配策略的数据包按照路由策略转发。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 2 . 2 策略路由
策略路由的测评方法如下:
a ) 测评方法:
1) 在产品设置一条基于源、目 的 IP 的策略路由,向产品发送匹配上述路由策略的数据包;
2) 在产品设置一条基于接口的策略路由,向产品发送匹配上述路由策略的数据包;
3) 在产品设置一条基于协议和端口的策略路由,向产品发送匹配上述路由策略的数据包;
4) 在产品设置一条基于应用类型的策略路由,向产品发送匹配上述路由策略的数据包;
5) 针对某一目标地址在产品部署多条路由,设置一条根据多链路负载情况 自动选路的策略路由,改变各链路的负载情况。
b ) 预期结果:
1) 产品支持设置基于源、目 的 IP 的策略路由,匹配策略数据包的路由与策略设置一致;
2) 产品支持设置基于接口的策略路由,匹配策略数据包的下一跳接口与策略设置一致;
3) 产品支持设置基于协议和端口的策略路由,匹配策略数据包的路由与策略设置一致;
4) 产品支持设置基于应用类型的策略路由,匹配策略数据包的路由与策略设置一致;
5) 产品支持设置基于多链路负载情况自动选路的策略路由,匹配策略数据包的路由与策略设置一致。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 2 . 3 动态路由
动态路由的测评方法如下:
a ) 测评方法:
1) 在产品尝试开启 RIP 动态路由功能;
2) 改变各链路状态,验证 RIP 动态路由是否生效;
3) 在产品尝试开启 OSPF 动态路由功能;
GB/T 20281—2020
4) 改变各链路状态,验证 OSPF 动态路由是否生效;
5) 在产品尝试开启 BGP 动态路由功能;
6) 改变各链路状态,验证 BGP 动态路由是否生效。
b ) 预期结果:
1) 产品支持设置 RIP 动态路由功能;
2) 产品支持设置 OSPF 动态路由功能;
3) 产品支持设置 BGP 动态路由功能。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 3 高可用性
7 . 2 . 1 . 3 . 1 冗余部署
冗余部署的测评方法如下:
a ) 测评方法:
1) 设置两台产品为“主-备”模式;
2) 验证是否仅主产品处于工作状态;
3) 关闭主产品或使其断开网络连接,验证备产品是否能及时接管主产品进行工作,且不影响所在网络的通信和安全策略;
4) 设置两台产品为“主-主”模式;
5) 验证是否两台产品均处于工作状态;
6) 关闭一台产品或使其断开网络连接,验证另一台产品是否仍处于工作状态,且不影响所在网络的通信和安全策略;
7) 设置多台产品为“集群”模式;
8) 验证是否所有产品均处于工作状态;
9) 关闭一台产品或使其断开网络连接,验证其他产品是否仍处于工作状态,且不影响所在网络的通信和安全策略。
b ) 预期结果:
1) 产品支持“主-备”模式部署,主产品发生故障时,能继续确保所在网络的通信和安全策略;
2) 产品支持“主-主”模式部署,其中一台产品发生故障时,能继续确保所在网络的通信和安全策略;
3) 产品支持“集群”模式部署,其中一台产品发生故障时,能继续确保所在网络的通信和安全策略。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 3 . 2 负载均衡
负载均衡的测评方法如下:
a ) 测评方法:
1) 在产品 DMZ 区设置服务器集群,设置外网访问 DMZ 区服务器的负载均衡策略;
2) 在外网主机产生大量连接访问 DMZ 区服务器;
3) 在 DMZ 区使用协议分析仪观察网络流量,验证流量是否均衡到 DMZ 区多台服务器上。
b ) 预期结果:
GB/T 20281—2020
产品支持负载均衡功能,能将网络访问均衡到多台服务器上。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 4 设备虚拟化
7 . 2 . 1 . 4 . 1 虚拟系统
虚拟系统的测评方法如下:
a ) 测评方法:
1) 在产品设置多个子系统,并为各子系统分别设置管理员,验证管理员是否仅能对各自所属的子系统进行管理,不能对其他的子系统进行管理;
2) 为各子系统设置路由表、安全策略、生成日志,验证各子系统是否独立维护各自的路由表、安全策略、日志系统;
3) 为各子系统设置资源使用配额,验证子系统是否不能使用超过配额的资源。
b ) 预期结果:
1) 虚拟子系统能设置各 自 的管理员,实现针对本子系统的管理配置,不能配置管理其他子系统;
2) 虚拟子系统独立工作,各自维护路由表、安全策略、日志系统;
3) 能对虚拟子系统分配资源使用配额。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 4 . 2 虚拟化部署
虚拟化部署的测评方法如下:
a ) 测评方法:
1) 分别尝试在 VMware ESXi、KVM、Citrix XenServer、Hyper-V 等虚拟化平台部署产品;
2) 增加网络流量、网络连接数等负载,验证虚拟化平台是否能根据产品负载情况动态调整虚拟化产品数量;
3) 模拟虚拟化产品发生故障,验证其是否能自动更新、替换。
b ) 预期结果:
1) 支持部署于虚拟化平台 中,支持 VMware ESXi、KVM、Citrix XenServer 或 Hyper-V 等虚拟化平台中的一种;
2) 能在虚拟化平台上实现弹性伸缩,根据虚拟化产品的负载情况动态调整虚拟化产品数量;
3) 能在虚拟化平台上实现故障迁移,当虚拟化产品出现故障时实现自动更新、替换。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 5 IPv6 支持
7 . 2 . 1 . 5 . 1 支持 IPv6 网络环境
支持 IPv6 网络环境的测评方法如下:
a ) 测评方法:
1) 模拟 IPv6 网络环境,验证产品及其安全功能是否能在 IPv6 网络环境下正常工作;
2) 模拟 IPv6 网络环境,验证产品是否支持在 IPv6 网络环境下实现自身管理。
GB/T 20281—2020
b ) 预期结果:
1) 产品支持在纯 IPv6 网络环境下正常工作;
2) 产品支持在 IPv6 网络环境下实现自身管理。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 5 . 2 协议一致性
协议一致性的测评方法如下:
a ) 测评方法:
1) 在路由模式下,使用协议一致性测试工具,测试产品 IPv6 核心协议一致性情况;
2) 在路由模式下,测试产品 IPv6 NDP 协议一致性情况;
3) 在路由模式下,测试产品 IPv6 Autoconfig 协议一致性情况;
4) 在路由模式下,测试产品 ICMPv6 协议一致性情况。
b ) 预期结果:
1) 产品通过 IPv6 核心协议一致性测试;
2) 产品通过 IPv6 NDP 协议一致性测试;
3) 产品通过 IPv6 Autoconfig 协议一致性测试;
4) 产品通过 ICMPv6 协议一致性测试。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 5 . 3 协议健壮性
协议健壮性的测评方法如下:
a ) 测评方法:
1) 使用协议健壮性测试工具向产品发送 IPv6 畸形报文,验证产品是否能正常运行;
2) 向产品发送 ICMPv6 畸形报文,验证产品是否能正常运行;
3) 向产品发送 TCP for IPv6 Server 畸形报文,验证产品是否能正常运行。
b ) 预期结果:
产品能抵御 IPv6、ICMPv6、TCP for IPv6 Server 等畸形报文攻击。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 1 . 5 . 4 支持 IPv6 过渡网络环境
支持 IPv6 过渡网络环境的测评方法如下:
a ) 测评方法:
1) 在产品内网搭建 IPv6 网络,在产品外网搭建 IPv4 网络,验证产品是否能通过 IPv4 和IPv6 协议转换的方式,使 IPv6 内网正常访问 IPv4 外网;
2) 在两台产品内网搭建 IPv6 网络,在两台产品外网之间搭建 IPv6 over IPv4 隧道,验证两台产品的 IPv6 内网是否能通过 IPv6 over IPv4 隧道正常通信;在两台产品外网之间搭建IPv6 to IPv4 隧道,验证两台产品的 IPv6 内网是否能通过 IPv6 to IPv4 隧道正常通信;在IPv6 终端与产品之间搭建 ISATAP 隧道,验证 IPv6 终端是否能通过 ISATAP 隧道与产品通信。
b ) 预期结果:
GB/T 20281—2020
1) IPv4 和 IPv6 协议转换环境下通信正常;
2) IPv6 over IPv4 隧道、IPv6 to IPv4 隧道、ISATAP 隧道中至少一种隧道环境通信正常。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 2 网络层控制
7 . 2 . 2 . 1 访问控制
7 . 2 . 2 . 1 . 1 包过滤
包过滤的测评方法如下:
a ) 测评方法:
1) 初始化产品的包过滤策略,在各区域主机之间进行互访操作,检查产品的缺省安全策略是否为禁止;
2) 设置基于源 IP 地址、目 的 IP 地址的访问控制策略,产生相应的网络会话,验证策略是否生效;
3) 设置基于源端口 、目 的端口的访问控制策略,产生相应的网络会话,验证策略是否生效;
4) 设置基于协议类型的访问控制策略,产生相应的网络会话,验证策略是否生效;
5) 设置基于 MAC地址的访问控制策略,产生相应的网络会话,验证策略是否生效;
6) 设置基于时间的访问控制策略,产生相应的网络会话,验证策略是否生效;
7) 尝试设置一条基于 MAC 地址、IP 地址、端口 、协议类型和时间的组合策略,产生相应的网络会话,验证策略是否生效。
b ) 预期结果:
1) 产品的缺省安全策略是禁止;
2) 基于源 IP 地址、目 的 IP 地址的访问控制策略生效;
3) 基于源端口 、目 的端口的访问控制策略生效;
4) 基于协议类型的访问控制策略生效;
5) 基于 MAC地址的访问控制策略生效;
6) 基于时间的访问控制策略生效;
7) 基于 MAC 地址、IP 地址、端口 、协议类型和时间的组合策略生效。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 2 . 1 . 2 网络地址转换
网络地址转换的测评方法如下:
a ) 测评方法:
1) 为内部网络用户访问外部网络主机配置 SNAT 策略,在外网使用协议分析仪检查内网主机访问外网主机的源 IP 地址是否被转换;为外部网络用户访问 DMZ 服务器设置 DNAT策略,检查外部网络的主机能否通过转换后的地址访问 DMZ 的服务器;
2) 为内部网络用户访问外部网络主机配置“多对 一 ”SNAT 策略,在外网使用协议分析仪检查内网主机访问外网主机的源 IP 地址是否被转换,检查是否是多个地址被转换;
3) 为外部网络用户访问 DMZ服务器设置“一对多”DNAT 策略,检查外部网络的主机能否通过转换后的地址访问 DMZ 的服务器,检查是否是多个地址被转换;
4) 为内部网络用户访问外部网络主机设置“多对多”SNAT 策略,在外网使用协议分析仪检
GB/T 20281—2020
查内网主机访问外网主机的源 IP 地址是否被转换,检查是否是多对多地址转换。
b ) 预期结果:
1) 产品支持 SNAT 和 DNAT地址转换;
2) 产品支持“多对一”SNAT地址转换;
3) 产品支持“一对多”DNAT地址转换;
4) 产品支持“多对多”SNAT地址转换。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 2 . 1 . 3 状态检测
状态检测的测评方法如下:
a ) 测评方法:
1) 启动产品状态检测模块;
2) 配置包过滤策略,允许特定条件的网络会话通过产品;
3) 产生满足该策略的一个完整的网络会话,验证该会话是否能建立成功;
4) 产生满足该策略的网络会话中的不是第一个连接请求 SYN 包的一个或多个数据包,清除产品状态检测表后,验证这些数据包是否被禁止。
b ) 预期结果:
1) 产品依据状态表进行访问控制;
2) 满足包过滤策略的网络会话能通过产品;
3) 满足包过滤策略的网络会话中的不是第一个连接请求 SYN 包的一个或多个数据包不能通过产品。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 2 . 1 . 4 动态开放端口
动态开放端口的测评方法如下:
a ) 测评方法:
1) 设置产品动态开放端口策略,访问 FTP 服务,检查产品是否能放行 FTP 数据连接所使用的动态端口,网络会话是否连接正常;
2) 设置产品动态开放端口策略,使用支持 H.323 等音视频协议的工具(如 NetMeeting)在内部网络和外部网络之间发起音视频会议,检查产品是否能放行所使用的动态端口,会议是否正常进行。
b ) 预期结果:
1) FTP 运行正常,FTP 数据连接所使用的动态端口开放;
2) 音视频会议正常,H . 323 等音视频协议所使用的动态端口开放。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 2 . 1 . 5 IP/MAC地址绑定
IP/MAC地址绑定的测评方法如下:
a ) 测评方法:
1) 为产品设置 IP/MAC地址绑定策略;
GB/T 20281—2020
2) 使用 自动绑定或手工绑定功能将内部网络中主机的 IP 与 MAC地址绑定;
3) 分别产生正确 IP/MAC绑定的会话和盗用 IP 的会话,检查绑定的有效性。
b ) 预期结果:
1) IP/MAC地址能自动或手工绑定;
2) IP/MAC地址绑定后能正确执行安全策略,发现 IP 盗用行为。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 2 . 2 流量管理
7 . 2 . 2 . 2 . 1 带宽管理
带宽管理的测评方法如下:
a ) 测评方法:
1) 在产品设置基于源 IP、目 的 IP、应用类型和时间段的流量策略,向产品发送匹配策略的流量,并使流量逐渐增大,直到流量由策略允许范围内达到超出策略范围;
2) 在产品设置基于源 IP、目 的 IP、应用类型和时间段的保障带宽策略,向产品发送匹配策略的流量,并使流量保持高于保障带宽,再向产品发送其他流量,尝试抢占上述流量使用的带宽;
3) 在产品设置总流量带宽限制策略,并在其中设置一条特定流量的带宽限制,分别在产品总流量带宽占用率达到阈值前后,验证上述特定流量带宽策略是否自动启停。
b ) 预期结果:
1) 基于源 IP、目 的 IP、应用类型和时间段的流量速率或总额策略生效;
2) 基于源 IP、目 的 IP、应用类型和时间段的保障带宽策略生效;
3) 在网络空闲时自动解除流量限制,在带宽占用率超过阈值时自动启用流量限制。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 2 . 2 . 2 连接数控制
连接数控制的测评方法如下:
a ) 测评方法:
1) 在产品针对某个 IP设置 TCP 最大并发会话数,在上述 IP 发起大量 TCP 连接,使得上述IP 的并发连接数超过设定值;
2) 在产品针对某个 IP设置 TCP 最大新建连接速率,在上述 IP 发起大量 TCP 连接,使得上述 IP 的新建连接速率超过设定值。
b ) 预期结果:
1) 超过最大连接数的连接无法建立;
2) 超过最大新建连接速率的连接无法建立。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 2 . 2 . 3 会话管理
会话管理的测评方法如下:
a ) 测评方法:
GB/T 20281—2020
1) 在产品设置会话超时时间;
2) 经过产品建立会话连接,并不再对该会话进操作,直到达到超时时间,验证上述会话是否被关闭。
b ) 预期结果:
1) 产品能配置各协议的会话超时时间(或设置了默认值);
2) 已连接会话在非活跃时间达到超时时限后,连接被产品 自动关闭。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 3 应用层控制
7 . 2 . 3 . 1 用户管控
用户管控的测评方法如下:
a ) 测评方法:
1) 在产品本地添加用户,并设置基于本地用户认证的网络访问策略,产生匹配策略的会话请求,验证是否仅在用户认证成功后,会话才能建立;
2) 在产品配置 Radius、LDAP 等第三方认证服务器,并设置基于第三方用户认证的网络访问策略,产生匹配策略的会话请求,验证是否仅在用户认证成功后,会话才能建立。
b ) 预期结果:
1) 产品支持基于本地用户认证的网络访问控制功能;
2) 产品支持基于第三方认证的网络访问控制功能。
c ) 结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7 . 2 . 3 . 2 应用类型控制
应用类型控制的测评方法如下:
a ) 测评方法:
1) 在产品设置基于 HTTP 协议的访问控制策略,产生相应的网络会话,验证策略是否生效;
2) 在产品设置基于数据库协议的访问控制策略,产生相应的网络会话,验证策略是否生效;
3) 在产品设置基于 FTP、TELNET、SMTP、POP3 和 IMAP 等常见协议的访问控制策略,产生相应的网络会话,验证策略是否生效;
4) 在产品设置基于即时聊天类、P2P类、网络流媒体类、网络游戏、股票交易类等应用的访问控制策略,产生相应的网络会话,验证策略是否生效;
5) 在产品设置基于逃逸或隧道加密特点的应用的访问控制策略,产生相应的网络会话,验证策略是否生效;
6) 在产品 自定义应用,并设置基于自定义应用的访问控制策略,产生相应的网络会话,验证策略是否生效。
b ) 预期结果:
1) 基于 HTTP 协议的访问控制策略生效;
2) 基于数据库协议的访问控制策略生效;
3) 基于 FTP、TELNET、SMTP、POP3 和 IMAP 等常见协议的访问控制策略生效;
4) 基于即时聊天类、P2P 类、网络流媒体类、网络游戏、股票交易类等应用的访问控制策略生效;
相关推荐
- GB/T 25334.2-2023 铁路机车车体 第2部分:电力机车 正式版
- GB/T 14984.1-2010 铁合金 术语 第1部分:材料
- GB/T 42662-2023 钢管无损检测 焊接钢管用钢带钢板分层缺欠的自动超声检测
- GB∕T 40389-2021 烧结金属材料(不包括硬质合金) 表面粗糙度的测定
- GB∕T 25119-2021 轨道交通 机车车辆电子装置
- GB/Z 20833.5-2023 旋转电机 绕组绝缘 第5部分:重复冲击电压下局部放电起始电压的离线测量
- GB/T 18685-2017 普通螺纹搓制和滚制前的毛坯直径
- GB/T 21405-2008 往复式内燃机 发动机功率的确定和测量方法 排气污染物排放试验的附加要求
- GB/T 17880.4-1999 120°小沉头铆螺母
- GB/T 10479-2009 铝制铁道罐车
