GA∕T1177-2014-信息安全技術(shù)第二代防火墻安全技術(shù)要求

中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn)信息安全技術(shù)第二代防火墻安全技術(shù)要求Informationsecuritytechnology—Securitytechniquereq中華人民共和國公安部發(fā)布I 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 25安全技術(shù)要求 25.1總體說明 25.2安全功能要求 55.3安全保證要求 5.4環(huán)境適應(yīng)性要求 5.5性能要求 Ⅲ本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。1信息安全技術(shù)第二代防火墻安全技術(shù)要求下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文GB17859—1999計算機(jī)信息系統(tǒng)安全保護(hù)劃分準(zhǔn)則GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測試評價方法GB/T25069-2010信息安全技術(shù)術(shù)語GB17859-1999、GB/T20281-2006和GB/T25069—2010界定的以及下列術(shù)語和定義適用于包含威脅以及敏感內(nèi)容。把SQL命令插人到web表單遞交或者頁面請求的參數(shù)中，以達(dá)到欺騙服務(wù)器執(zhí)行惡意SQL命令2惡意攻擊者往web頁面里插入惡意HTML代碼，當(dāng)用戶瀏覽該頁面時，嵌入web頁面里的DMZ:非軍事區(qū)(DemilitarizedZDNAT:目的網(wǎng)絡(luò)地址轉(zhuǎn)換(DestinationNAT)FTP:文件傳輸協(xié)議(FileTransferProtocol)HTTP:超文本傳輸協(xié)議(HypertextTransferProtocol)ICMP:網(wǎng)間控制報文協(xié)議(InternetControlMessagesProtocol)IP:網(wǎng)際協(xié)議(InternetProtocIPV4:互聯(lián)網(wǎng)協(xié)議第四版(InternetProtocolV4)IPV6:互聯(lián)網(wǎng)協(xié)議第六版(InternetProtocolV6)MAC:介質(zhì)訪問控制(MediaAccessControP2P:對等網(wǎng)絡(luò)(Peer-to-pecr)PHP:計算機(jī)編程語言(HypertextPreprocessor)POP3:郵局協(xié)議3(PostOfficeProtocol3)SMTP:簡單郵件傳送協(xié)議(SimpleSNAT:源網(wǎng)絡(luò)地址轉(zhuǎn)換(SourceIPNAT)SQL:結(jié)構(gòu)化查詢語言(StructuredQueryLanguage)SYN:TCP/IP建立連接時使用的握手信號(Synchronous)UDP:用戶數(shù)據(jù)報協(xié)議(UserDatagramProtocol)URL:統(tǒng)一資源定位器(UniformResourceLocator)XSS:跨站腳本攻擊(Cross控制和安全運(yùn)維管理；3按照第二代防火墻安全功能的強(qiáng)度劃分安全功能要求的級別，按照GB/T18336.3劃分安全保證依據(jù)安全功能的強(qiáng)弱和安全保證要求的高低將安全等級分為基本級和增強(qiáng)級?；炯壟c增強(qiáng)級的劃分見表1和表2。安全功能基本級網(wǎng)絡(luò)層控制包過濾狀態(tài)檢測策略路由帶寬管理連接數(shù)控制應(yīng)用層控制應(yīng)用協(xié)議訪問控制應(yīng)用內(nèi)容訪問控制入侵防御惡意代碼防護(hù)信息泄露防護(hù)安全運(yùn)維管理管理安全管理方式管理能力安全審計記錄事件類型日志內(nèi)容日志管理安全管理管理接口獨(dú)立安全支撐系統(tǒng)異常處理機(jī)制高可靠性升級注：“一”表示無此要求。表2安全保證要求等級劃分表安全保證基本級增強(qiáng)級部分配置管理自動化配置管理能力版本號配置項(xiàng)授權(quán)控制產(chǎn)生支持和接受程序配置管理范圍一問題跟蹤配置管理覆蓋一交付與運(yùn)行交付程序修改檢測一安裝、生成和啟動程序功能規(guī)范非形式化功能規(guī)范充分定義的外部接口高層設(shè)計安全加強(qiáng)的高層設(shè)計安全功能實(shí)現(xiàn)的子集非形式化對應(yīng)性證實(shí)非形式化產(chǎn)品安全策略模型指導(dǎo)性文檔管理員指南用戶指南安全措施標(biāo)識開發(fā)者定義的生命周期模型明確定義的開發(fā)工具覆蓋證據(jù)功能測試一致性脆弱性評定誤用指南審查分析確認(rèn) 中級抵抗力注：“一”表示無此要求。5b)包含基于源IP地址、目的IP地址的訪問控制；d)包含基于傳輸層協(xié)議類型的訪問控制；g)支持用戶自定義，可以是以上條件的部分或a)支持雙向NAT:SNAT和DNAT;第二代防火墻應(yīng)支持自動或管理員手工綁定IP/MAC地址，當(dāng)主機(jī)的IP地址、MAC地址與IP/具有多個相同屬性的網(wǎng)絡(luò)接口(即多個外部網(wǎng)絡(luò)接口、多個內(nèi)部網(wǎng)絡(luò)接口或多個DMZ網(wǎng)絡(luò)接口)b)能夠支持基于時間段的帶寬策略配置。6第二代防火墻應(yīng)能夠基于應(yīng)用層協(xié)議分析識別各種應(yīng)用協(xié)議并進(jìn)行控制，應(yīng)用協(xié)議識別庫不低于2000種，包括但不限于：e)安全策略包含基于文件類型的訪問控制，并可基于文件類型進(jìn)行下載過濾。包括HTTP、d)能夠?qū)M(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP和POP37a)基于用戶名/密碼的本地認(rèn)證方式；c)基于用戶/用戶組進(jìn)行訪問控制。b)IP地址及端口掃描行為；b)支持檢測并攔截HTTP、FTP、電子郵件等協(xié)議所攜帶的惡b)XSS攻擊檢測與防護(hù)；c)對常見的Web服務(wù)器環(huán)境Web入侵的腳本攻擊工具(webshell)的攔截，包含ASP8e)對同一授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別。b)支持通過網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理，并能夠限定可進(jìn)行遠(yuǎn)程管理的網(wǎng)絡(luò)接口和可管理的IP地址；d)遠(yuǎn)程管理過程中，管理端與第二代防火墻之間的所有通訊數(shù)據(jù)應(yīng)保密傳輸。a)向授權(quán)管理員提供設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)的功能；c)向授權(quán)管理員提供管理審計日志的功能；e)能夠根據(jù)安全風(fēng)險的情況自動生成針對性的推薦策略；a)被防火墻包過濾策略允許/禁止的訪問請求；b)被防火墻應(yīng)用訪問控制策略允許/禁止的訪問請求；c)檢測及防護(hù)的各類應(yīng)用防護(hù)事件；c)攻擊防護(hù)日志應(yīng)記錄各種類型攻擊事件的詳細(xì)描述；9d)支持以標(biāo)準(zhǔn)syslog方式把日志數(shù)據(jù)外發(fā)到統(tǒng)一日志服務(wù)器，對日志數(shù)據(jù)進(jìn)行集第二代防火墻的支撐系統(tǒng)應(yīng)滿足以下要求：a):確保其支撐系統(tǒng)不提供多余的網(wǎng)絡(luò)服務(wù)；b)不含可能導(dǎo)致產(chǎn)品權(quán)限丟失、a)安全策略恢復(fù)到關(guān)機(jī)前所保存的狀態(tài)；c)管理員重新認(rèn)證。a)支持物理設(shè)備狀態(tài)檢測。當(dāng)一臺防火墻自身出現(xiàn)斷電或其他故障時，另外一臺防火墻應(yīng)及時發(fā)現(xiàn)并接管主防火墻進(jìn)行工作，切換時間不超過5s;b)具備基于鏈路狀態(tài)檢測的雙機(jī)熱備功能，當(dāng)一臺防火墻直接相連的鏈路發(fā)生故障而無法正常工作時，另外一臺防火墻應(yīng)及時發(fā)現(xiàn)并接管主防火墻進(jìn)行工作，切換時間不超過5s;c)能夠支持主/主模式的雙機(jī)部署；d)具備操作系統(tǒng)冗余保證系統(tǒng)穩(wěn)定性。b)支持通過升級包以離線方式升級；c)支持手動或定期在線升級；d)采取相應(yīng)措施保證升級過程安全。配置管理系統(tǒng)應(yīng)提供一種自動方式來支持產(chǎn)品的生成，通過該方式確保只能對產(chǎn)品的實(shí)現(xiàn)表示進(jìn)配置管理計劃應(yīng)描述在配置管理系統(tǒng)中所使用的自動工具，并描述在配置管理系統(tǒng)中如何使用自開發(fā)者應(yīng)為產(chǎn)品的不同版本提供唯一的標(biāo)識。開發(fā)者應(yīng)使用配置管理系統(tǒng)并提供配置管理文檔。配置管理文檔應(yīng)包括一個配置清單，配置清單應(yīng)唯一標(biāo)識組成產(chǎn)品的所有配置項(xiàng)并對配置項(xiàng)進(jìn)行開發(fā)者提供的配置管理文檔應(yīng)包括一個配置管理計劃，配置管理計劃應(yīng)描述如何使用配置管理系統(tǒng)。實(shí)施的配置管理應(yīng)與配置管理計劃相一致。開發(fā)者提供的配置管理文檔應(yīng)包括一個接受計劃，接受計劃應(yīng)描述用來接受修改過的或新建的作它們的修改是在一個正確授權(quán)的可控方式下進(jìn)行的。交付文檔應(yīng)描述如何提供多種程序和技術(shù)上的措施來檢測修改，或檢測開發(fā)者的主拷貝和用戶方所收到版本之間的任何差異。還應(yīng)描述如何使用多種程序來發(fā)現(xiàn)試圖偽裝成開發(fā)者，甚至是在開發(fā)者a)使用非形式化風(fēng)格來描述產(chǎn)品安全功能及其外部接口；b)內(nèi)在一致；d)完備地表示產(chǎn)品安全功能。功能規(guī)范應(yīng)包括安全功能是完備地表示的基本原理。c)按子系統(tǒng)描述安全功能的結(jié)構(gòu)；d)描述每個安全功能子系統(tǒng)所提供的安全功能；e)標(biāo)識安全功能所要求的任何基的支持性保護(hù)機(jī)制所提供功能的一個表示；f)標(biāo)識安全功能子系統(tǒng)的所有接口；g)標(biāo)識安全功能子系統(tǒng)的哪些接口是外部可見的。開發(fā)者提供的安全加強(qiáng)的高層設(shè)計應(yīng)滿足以下要求：b)把產(chǎn)品分成安全策略實(shí)施和其他子系統(tǒng)來描述。開發(fā)者應(yīng)為選定的安全功能子集提供實(shí)現(xiàn)表示。實(shí)現(xiàn)表示應(yīng)當(dāng)無歧義且詳細(xì)地定義安全功能，無須進(jìn)一步設(shè)計就能生成安全功能。實(shí)現(xiàn)表示應(yīng)內(nèi)在一致。e)根據(jù)所提供的安全功能性和對其他模塊的依賴關(guān)系兩方面來定義模塊間的相互關(guān)系；f)描述每個安全策略實(shí)施功能是如何被提供的；g)標(biāo)識安全功能模塊的所有接口；h)標(biāo)識安全功能模塊的哪些接口是外部可見的；j)把產(chǎn)品分為安全策略實(shí)施模塊和其他模塊來描述。開發(fā)者應(yīng)提供產(chǎn)品安全功能表示的所有相鄰對之間的對應(yīng)性分析。b)描述所有能被模型化的安全策略的規(guī)則與特征；d)闡明安全策略模型和功能規(guī)范之間的對應(yīng)性，即論證所有功能規(guī)范中的安全功能對于安全策c)在安全處理環(huán)境中應(yīng)被控制的功能和權(quán)限；d)所有對與產(chǎn)品的安全操作有關(guān)的用戶行為的假設(shè)；f)每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制實(shí)體的安全特性進(jìn)行的改變；g)所有與管理員有關(guān)的IT環(huán)境安全要求。a)產(chǎn)品的非管理員用戶可使用的安全功能和接口；b)產(chǎn)品提供給用戶的安全功能和接口的使用方法；c)用戶可獲取但應(yīng)受安全處理環(huán)境所控制的所有功能和權(quán)限；d)產(chǎn)品安全操作中用戶所應(yīng)承擔(dān)的職責(zé)；e)與用戶有關(guān)的IT環(huán)境的所有安全要求。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計和實(shí)現(xiàn)的保密性和完整性所必需的所開發(fā)者應(yīng)建立一個生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔描述用于開發(fā)和維護(hù)產(chǎn)品的模型。開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義的定義實(shí)現(xiàn)中每個語句的含義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的含義。開發(fā)者應(yīng)提供測試覆蓋的證據(jù)。在測試覆蓋證據(jù)中，應(yīng)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能是對應(yīng)的。測試覆蓋的分析結(jié)果應(yīng)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能之間深度分析應(yīng)證實(shí)測試文檔中所標(biāo)識的測試足以證實(shí)該產(chǎn)品的功能是依照其高層設(shè)計運(yùn)行的。測試結(jié)果的順序依賴性；a)標(biāo)識所有可能的產(chǎn)品運(yùn)行模式(包括失敗或操作失誤后的運(yùn)行)、它們的后果以及對于保持安c)列出關(guān)于預(yù)期使用環(huán)境的所有假設(shè)；開發(fā)者應(yīng)提供完備的分析文檔論證指導(dǎo)性文檔。開發(fā)者應(yīng)對指導(dǎo)性文檔中所標(biāo)識的每個具有安全功能強(qiáng)度聲明的安全機(jī)制進(jìn)行安全功能強(qiáng)度分開發(fā)者應(yīng)從用戶可能破壞安全策略的明顯途徑出發(fā)，對產(chǎn)品的各種功能進(jìn)行分析并提供文檔。對開發(fā)者應(yīng)提供文檔證明經(jīng)過標(biāo)識脆弱性的產(chǎn)品可以抵御明顯的穿透性攻擊。開發(fā)者應(yīng)提供文檔證明產(chǎn)品可以抵御中級強(qiáng)度的穿透性攻擊，并提供證據(jù)說明對脆弱性的搜索是第二代防火墻應(yīng)支持透明模式。第二代防火墻應(yīng)支持路由模式。b)IPv6NDP協(xié)議一致性。c)IPv6Autoconfig(自動編碼)協(xié)議一致性。第二代防火墻應(yīng)保證協(xié)議的健壯性，能夠抵御IPv6網(wǎng)絡(luò)環(huán)境下畸形協(xié)議報文攻擊。畸形協(xié)議報文包括：第二代防火墻應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下自身管理。第二代防火墻應(yīng)至少支持以下…種IPv6過渡網(wǎng)絡(luò)環(huán)境：流量參考場景構(gòu)成如下：