《信息安全技術(shù) 防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法-編制說明》

一、工作簡(jiǎn)況

1、任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會(huì)2017年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，國家標(biāo)準(zhǔn)

《信息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》由公安部第三研究所、

北京網(wǎng)康科技有限公司負(fù)責(zé)主辦。

2、協(xié)作單位

自接收編制任務(wù)后，主辦單位隨即與相關(guān)廠商、測(cè)評(píng)機(jī)構(gòu)進(jìn)行溝通，并得

到了多家業(yè)內(nèi)知名廠商和測(cè)評(píng)機(jī)構(gòu)的積極參與和反饋。最終確定由北京神州綠盟

科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、

中國信息安全測(cè)評(píng)中心、杭州美創(chuàng)科技有限公司、深信服網(wǎng)絡(luò)科技（深圳）有限

公司、啟明星辰信息技術(shù)集團(tuán)有限公司、沈陽東軟系統(tǒng)集成工程有限公司、新華

三技術(shù)有限公司、藍(lán)盾信息安全技術(shù)股份有限公司、華為技術(shù)有限公司、上海上

訊信息技術(shù)股份有限公司、杭州安恒信息技術(shù)有限公司、北京奇安信科技有限公

司、北京中安星云軟件技術(shù)有限公司等單位作為標(biāo)準(zhǔn)編制協(xié)作單位。

3、主要工作過程

(一)標(biāo)準(zhǔn)制定的主要工作過程如下：

1）2017年6月接到標(biāo)準(zhǔn)編制任務(wù)，組建標(biāo)準(zhǔn)編制組，編制組成員由經(jīng)驗(yàn)豐

富的防火墻的研發(fā)人員，以及具有資深產(chǎn)品測(cè)評(píng)經(jīng)驗(yàn)的測(cè)試人員組成，人員包括

俞優(yōu)、顧健、陸臻、熊瑛、雷曉峰、宮智、沈武林等。其中，俞優(yōu)和熊瑛全面負(fù)

責(zé)標(biāo)準(zhǔn)編制工作，包括制定工作計(jì)劃、確定編制內(nèi)容和整體進(jìn)度、人員的安排；

雷曉峰、宮智負(fù)責(zé)標(biāo)準(zhǔn)的前期調(diào)研、現(xiàn)狀分析、標(biāo)準(zhǔn)各版本的編制、意見匯總的

討論處理、編制說明的編寫等工作；陸臻負(fù)責(zé)標(biāo)準(zhǔn)校對(duì)審核等工作；顧健主要負(fù)

責(zé)標(biāo)準(zhǔn)編制過程中的各項(xiàng)技術(shù)支持和整體指導(dǎo)。

2）2017年7月，編制組首先制定了編制工作計(jì)劃，并確定了編制組人員例

會(huì)安排以便及時(shí)溝通交流工作情況。按照項(xiàng)目進(jìn)度要求，編制組人員首先對(duì)所參

閱的產(chǎn)品、文檔以及標(biāo)準(zhǔn)進(jìn)行反復(fù)閱讀與理解，查閱有關(guān)資料，編寫標(biāo)準(zhǔn)編制提

綱，在完成對(duì)提綱進(jìn)行交流和修改的基礎(chǔ)上，開始具體的編制工作。2017年7

月至8月，在前期調(diào)研和工作積累的基礎(chǔ)上，編制組充分分析了各類防火墻的特

點(diǎn)，完成了草案（第一稿）的編制，主要由“安全技術(shù)要求”（安全功能要求、

1

自身安全功能要求、性能要求）和“測(cè)試評(píng)價(jià)方法”組成。

3）2017年8月，編制組以意見征求會(huì)形式進(jìn)行現(xiàn)場(chǎng)征求意見，參與單位包

括新華三、綠盟科技、天融信、奇安信、網(wǎng)神、啟明星辰、中科網(wǎng)威、杭州美創(chuàng)

等主流廠商，編制組認(rèn)真分析并及時(shí)采納了建議，形成了草案（第二稿）。

3）2017年9月，編制組在北京召開了標(biāo)準(zhǔn)修訂項(xiàng)目啟動(dòng)會(huì)，與會(huì)專家對(duì)本

標(biāo)準(zhǔn)給出了進(jìn)一步的指導(dǎo)意見。編制組根據(jù)專家意見進(jìn)行修改完善，并重點(diǎn)考慮

本標(biāo)準(zhǔn)與相關(guān)強(qiáng)制標(biāo)準(zhǔn)的結(jié)合，形成草案（第三稿），主要由“安全技術(shù)要求”

（安全功能要求、自身安全功能要求、性能要求、基本要求和管理要求）、“測(cè)

試評(píng)價(jià)方法”組成。

4）2017年10月，WG5工作組在廈門召開在研標(biāo)準(zhǔn)推進(jìn)會(huì)，與會(huì)專家對(duì)標(biāo)準(zhǔn)

草案（第三稿）進(jìn)行了認(rèn)真審議，提出了相關(guān)意見，并建議標(biāo)準(zhǔn)形成征求意見稿。

編制組根據(jù)意見完善并形成征求意見稿（第一稿）。

5）2018年2月，編制組在北京召開了標(biāo)準(zhǔn)內(nèi)部研討會(huì)，與會(huì)代表針對(duì)標(biāo)準(zhǔn)

文本內(nèi)容進(jìn)行了逐條分析，并重點(diǎn)討論了“下一代防火墻命名”等問題，隨后形

成了征求意見稿（第二稿）。

6）2018年3月，編制組根據(jù)中國電子技術(shù)標(biāo)準(zhǔn)化研究院專家所提意見進(jìn)行

完善，形成了征求意見稿（第三稿）。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、編制原則

本標(biāo)準(zhǔn)以自主編寫的方式完成，編寫格式和方法依照GB/T1.1-2009標(biāo)準(zhǔn)

化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則。

在標(biāo)準(zhǔn)制定過程中，堅(jiān)持以國內(nèi)外相關(guān)產(chǎn)品發(fā)展的動(dòng)向?yàn)檠芯炕A(chǔ)，對(duì)各類

防火墻的安全技術(shù)要求和測(cè)評(píng)方法提出規(guī)范化的要求，制定切實(shí)可行的測(cè)評(píng)標(biāo)準(zhǔn)。

標(biāo)準(zhǔn)可用于防火墻的開發(fā)及檢測(cè)，有利于規(guī)范化、統(tǒng)一化。

該標(biāo)準(zhǔn)編制過程中，主要參考了：

?GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)劃分準(zhǔn)則

?GB/T25069－2010信息安全技術(shù)術(shù)語

?GB/T20281-2015信息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法

?GB/T31505~2015信息安全技術(shù)主機(jī)型防火墻安全技術(shù)要求和測(cè)試評(píng)

2

價(jià)方法

?GA/T1140-2014信息安全技術(shù)web應(yīng)用防火墻安全技術(shù)要求

?防火墻相關(guān)產(chǎn)品及其技術(shù)資料

為了使本標(biāo)準(zhǔn)的內(nèi)容從一開始就與現(xiàn)有國家標(biāo)準(zhǔn)保持一致，符合我國的實(shí)際

情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。編制過程中遵循的具體原則與要求如下：

1）實(shí)用性

標(biāo)準(zhǔn)必須是可用的，才有實(shí)際意義。本標(biāo)準(zhǔn)在編寫過程中嚴(yán)格按照流程對(duì)產(chǎn)

品的現(xiàn)狀、技術(shù)等相關(guān)領(lǐng)域展開系統(tǒng)的、全面的調(diào)研工作，注重與相關(guān)研發(fā)生產(chǎn)

單位的交流，廣泛了解了市場(chǎng)上主流防火墻的安全功能，進(jìn)行提煉和擴(kuò)展，使得

標(biāo)準(zhǔn)更貼近產(chǎn)品實(shí)際情況，保證操作性。

2）先進(jìn)性

標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時(shí)也是技術(shù)的發(fā)展趨勢(shì)。目前，我國市場(chǎng)上防火

墻種類繁多，要制定出先進(jìn)的產(chǎn)品標(biāo)準(zhǔn)，必須充分考慮我國防火墻發(fā)展成熟過程

中的技術(shù)，保持一定的前瞻性。

3）兼容性

本標(biāo)準(zhǔn)既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)范等相一

致。編制組在對(duì)標(biāo)準(zhǔn)起草過程中始終遵循此原則，其內(nèi)容符合我國已經(jīng)發(fā)布的有

關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)。

編制思路：為貼合各類防火墻產(chǎn)品的技術(shù)特點(diǎn)，編制組以訪問控制、攻擊防

護(hù)為研究?jī)?nèi)容，深入分析防火墻的技術(shù)特點(diǎn)，通過標(biāo)準(zhǔn)編制研究、驗(yàn)證，明確了

產(chǎn)品的定義，提出了科學(xué)的安全功能和性能要求，對(duì)于產(chǎn)品功能組件的描述盡可

能做到清晰、明確。標(biāo)準(zhǔn)安全功能產(chǎn)生的流程詳見下圖：

圖1安全功能產(chǎn)生的流程圖

編制目的：

3

1）首先，在統(tǒng)一的內(nèi)容框架、統(tǒng)一的功能框架、統(tǒng)一的級(jí)別劃分和強(qiáng)度要

求指導(dǎo)下重新梳理多類防火墻產(chǎn)品的標(biāo)準(zhǔn)，有助于保持標(biāo)準(zhǔn)內(nèi)容的先進(jìn)性，并起

到精簡(jiǎn)標(biāo)準(zhǔn)的作用；

2）第二，通過項(xiàng)目的執(zhí)行，重新理清各種產(chǎn)品的差異和功能邊界，并且體

現(xiàn)各種產(chǎn)品的關(guān)聯(lián)性和銜接性，實(shí)現(xiàn)更好的知道廠商和用戶的作用，確保標(biāo)準(zhǔn)的

實(shí)用性；

3）第三，對(duì)于下一代防火墻、數(shù)據(jù)庫防火墻等新型產(chǎn)品，可以填補(bǔ)我們?cè)?/p>

對(duì)應(yīng)領(lǐng)域的空白，起到促進(jìn)產(chǎn)業(yè)發(fā)展的積極作用。

2、確定主要內(nèi)容的論據(jù)及解決的主要問題

(一)本標(biāo)準(zhǔn)在確定主要內(nèi)容時(shí)主要基于如下方面：

1）解決的問題

當(dāng)前，防火墻產(chǎn)品種類較多，具體包括網(wǎng)絡(luò)層防火墻、下一代防火墻、Web

應(yīng)用防火墻、數(shù)據(jù)庫防火墻、主機(jī)型防火墻等。但目前各類防火墻標(biāo)準(zhǔn)繁多，缺

乏統(tǒng)一考慮、相互關(guān)聯(lián)性差；其次，各類標(biāo)準(zhǔn)對(duì)不同類型防火墻安全功能的描述

存在重復(fù)，功能邊界劃分不清；此外，標(biāo)準(zhǔn)與市場(chǎng)現(xiàn)狀脫節(jié)，諸如下一代防火墻、

數(shù)據(jù)庫防火墻等產(chǎn)品暫無國標(biāo)可依，制約產(chǎn)品的研發(fā)和測(cè)評(píng)。

本標(biāo)準(zhǔn)明確各類防火墻產(chǎn)品的功能邊界，制定適用于各類產(chǎn)品，且體現(xiàn)各類

產(chǎn)品間關(guān)聯(lián)性和技術(shù)要求銜接性的標(biāo)準(zhǔn)，并對(duì)已不適用于目前技術(shù)發(fā)展和不符合

市場(chǎng)現(xiàn)狀的內(nèi)容進(jìn)行甄別和修改。從而整合同類標(biāo)準(zhǔn)（包括GB/T20010-2005、

GB/T31505-2015、GB/T32917-2016）、確保標(biāo)準(zhǔn)內(nèi)容先進(jìn)性、適用于防火墻的

設(shè)計(jì)、開發(fā)與測(cè)評(píng)。

2）防火墻主要模塊

防火墻是用于不同安全域之間，具備訪問控制及過濾功能的安全產(chǎn)品，可以

是軟硬件或者純軟件的產(chǎn)品。根據(jù)防火墻的使用場(chǎng)景、產(chǎn)品形態(tài)以及功能范圍，

可以分為網(wǎng)絡(luò)層防火墻、下一代防火墻、WEB應(yīng)用防火墻、數(shù)據(jù)庫防火墻、主機(jī)

型防火墻等，它們?cè)诳v深防御體系中部署于不同的位置，并保護(hù)著不同的對(duì)象和

資產(chǎn)。防火墻系統(tǒng)架構(gòu)如圖2所示：

4

圖2防火墻模塊圖

a)組網(wǎng)與部署

系統(tǒng)的基礎(chǔ)模塊，通過IP地址、路由、HA等功能參數(shù)的設(shè)置，實(shí)現(xiàn)在所保護(hù)

網(wǎng)絡(luò)中的部署，保證網(wǎng)絡(luò)連通性和可用性。

b)網(wǎng)絡(luò)層控制

基于源IP地址、目的IP地址、端口等對(duì)網(wǎng)絡(luò)流量進(jìn)行基礎(chǔ)訪問控制，并通過

連接、流量管控實(shí)現(xiàn)網(wǎng)絡(luò)資源分配。

c)應(yīng)用層控制

基于網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容信息執(zhí)行精細(xì)化、細(xì)粒度的管控，提供

基于應(yīng)用層信息的訪問控制能力。

d)攻擊防護(hù)

基于預(yù)置特征庫、規(guī)則庫，對(duì)來自網(wǎng)絡(luò)層和應(yīng)用層的拒絕服務(wù)、掃描、漏洞

等類型的攻擊進(jìn)行高效防護(hù)。

e)事件分析與審計(jì)

對(duì)網(wǎng)絡(luò)行為產(chǎn)生的日志、數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析和審計(jì)，滿足安全管理的需要。

3）核心技術(shù)指標(biāo)

本標(biāo)準(zhǔn)將防火墻安全技術(shù)要求分為安全功能要求、自身安全功能要求、性能

要求、基本要求和管理要求四個(gè)大類。其中，安全功能要求是對(duì)防火墻應(yīng)具備的

安全功能提出具體要求，包括組網(wǎng)與部署、網(wǎng)絡(luò)層控制、應(yīng)用層控制、攻擊防護(hù)

和事件分析與審計(jì)；自身安全功能要求針對(duì)防火墻的自身安全功能提出具體的要

求，例如身份標(biāo)識(shí)和鑒別、管理能力、管理審計(jì)等；性能要求則是對(duì)防火墻應(yīng)達(dá)

到的性能指標(biāo)作出規(guī)定，包括吞吐量、延遲、連接速率、最大并發(fā)連接數(shù)；基本

要求和管理要求針對(duì)防火墻提供者提出具體的管理要求，例如惡意程序防范、安

全維護(hù)、用戶信息保護(hù)等。安全等級(jí)上，本標(biāo)準(zhǔn)按照防火墻安全技術(shù)要求的強(qiáng)度

5

劃分級(jí)別。安全等級(jí)分為基本級(jí)和增強(qiáng)級(jí)，安全功能和自身安全功能強(qiáng)弱是等級(jí)

劃分的具體依據(jù)。

三、主要情況分析

編制組在編制過程中，通過對(duì)各類防火墻（天融信的獵豹系列防火墻、360

網(wǎng)神的天堤新一代智慧防火墻、綠盟科技的Web應(yīng)用防火墻、杭州美創(chuàng)的數(shù)據(jù)庫

防火墻和奇安信的天擎主機(jī)防火墻等）的測(cè)試，對(duì)標(biāo)準(zhǔn)指標(biāo)合理性進(jìn)一步進(jìn)行了

驗(yàn)證，最終給出了各類防火墻的安全技術(shù)要求和測(cè)試評(píng)價(jià)方法。

其中，網(wǎng)絡(luò)層防火墻基于其運(yùn)用需求選擇適用的安全技術(shù)要求，安全技術(shù)要

求劃分表具體如表1所示。

表1網(wǎng)絡(luò)層防火墻安全功能

安全技術(shù)要求基本級(jí)增強(qiáng)級(jí)

部署模式a)~b)

a)~b)

靜態(tài)路由.1.1

.2

路由策略路由.2a)

a)~c）

動(dòng)態(tài)路由——.3

冗余部署——

.1.1

虛擬系統(tǒng)

設(shè)備虛擬有則適用有則適用

組網(wǎng)與

化.2.2

部署虛擬化部署

有則適用有則適用

支持純IPv6.1.1

網(wǎng)絡(luò)環(huán)境有則適用有則適用

安全功能

.2.2

要求協(xié)議一致性

有則適用有則適用

IPv6支持

.3.3

協(xié)議健壯性

有則適用有則適用

支持IPv6過.4.4

渡網(wǎng)絡(luò)環(huán)境有則適用有則適用

.1

包過濾.1

a)~d)

.2

NAT.2

網(wǎng)絡(luò)層a)~c)

訪問控制

控制狀態(tài)檢測(cè).3.3

動(dòng)態(tài)開放端口.4a).4

IP/MAC地址

——.5

綁定

6

.1

帶寬管理.1a)

a)~b)

流量管理

連接數(shù)控制.2.2

會(huì)話管理.3.3

用戶管控——

應(yīng)用層

a)、

控制應(yīng)用類型控制——

c)

攻擊防拒絕服務(wù)攻擊防護(hù)a)~f)

a)~f)

護(hù)

外部系統(tǒng)協(xié)同防護(hù)——

安全審計(jì)

安全審

安全告警——

計(jì)與分

網(wǎng)絡(luò)流量統(tǒng)計(jì).1.1

析統(tǒng)計(jì)分析

攻擊事件統(tǒng)計(jì).3a).3

身份識(shí)別與鑒別6.2.1a)~e)6.2.1

管理能力6.2.2a)~d)6.2.2

自身安全

管理審計(jì)6.2.36.2.3

功能要求

管理方式6.2.4a)~c)6.2.4

異常處理機(jī)制6.2.56.2.5

吞吐量網(wǎng)絡(luò)層吞吐量

延遲6.3.26.3.2

連接速

TCP新建連接速率

性能要求率

最大并

發(fā)連接TCP并發(fā)連接數(shù)

數(shù)

安全架構(gòu)

功能規(guī)范

開發(fā)

產(chǎn)品設(shè)計(jì)a)~b)

實(shí)現(xiàn)表示——

指導(dǎo)性操作用戶指南

文檔準(zhǔn)備程序

配置管理能力a)~c)

配置管理范圍a)

安全保障

生命周交付程序

要求

期支持開發(fā)安全——

生命周期定義——

工具和技術(shù)——

測(cè)試覆蓋a)

測(cè)試深度——

測(cè)試

功能測(cè)試

獨(dú)立測(cè)試

脆弱性評(píng)定6.4.56.4.5

7

注：“——”表示不適用。

下一代防火墻基于其運(yùn)用需求選擇適用的安全技術(shù)要求，安全技術(shù)要求劃分

表具體如表2所示。

表2下一代防火墻安全功能

安全技術(shù)要求基本級(jí)增強(qiáng)級(jí)

部署模式a)~b)

a)~b)

靜態(tài)路由.1.1

.2

路由策略路由.2

a)~d)

動(dòng)態(tài)路由——.3

冗余部署——

.1.1

虛擬系統(tǒng)

有則適用有則適用

設(shè)備虛擬化

虛擬化部.2.2

組網(wǎng)與

署有則適用有則適用

部署

支持純

.1.1

IPv6網(wǎng)絡(luò)

有則適用有則適用

環(huán)境

協(xié)議一致.2.2

性有則適用有則適用

IPv6支持

協(xié)議健壯.3.3

性有則適用有則適用

安全功能

支持IPv6

要求.4.4

過渡網(wǎng)絡(luò)

有則適用有則適用

環(huán)境

包過濾.1a~d).1

NAT.2a~c).2

狀態(tài)檢測(cè).3.3

訪問控制動(dòng)態(tài)開放

.4.4

端口

網(wǎng)絡(luò)層

IP/MAC地

控制——.5

址綁定

帶寬管理.1a).1

連接數(shù)控

流量管理.2.2

制

會(huì)話管理.3.3

用戶管控

應(yīng)用類型控制a)~d)

應(yīng)用層

.1.1

控制應(yīng)用內(nèi)容控WEB應(yīng)用

a)~c)a)~d)、g)

制

其他應(yīng)用——.3

8

拒絕服務(wù)攻擊防護(hù)a)~f)

a)~f)

WEB攻擊防護(hù)a)~c)a~c)

數(shù)據(jù)庫攻擊防護(hù)a)~b)

攻擊防a)~b)

護(hù)惡意代碼防護(hù)

其他應(yīng)用攻擊防護(hù)a)~c)

自動(dòng)化工具威脅防護(hù)a)~b)

攻擊逃逸防護(hù)——

外部系統(tǒng)協(xié)同防護(hù)——

安全審計(jì)

安全告警

網(wǎng)絡(luò)流量

安全審.1.1

統(tǒng)計(jì)

計(jì)與分

應(yīng)用流量

析統(tǒng)計(jì)分析.2a).2

統(tǒng)計(jì)

攻擊事件

.3a).3

統(tǒng)計(jì)

身份識(shí)別與鑒別6.2.1a)~e)6.2.1

管理能力6.2.2a)~d)6.2.2

自身安全

管理審計(jì)6.2.36.2.3

功能要求

管理方式6.2.4a)~c)6.2.4

異常處理機(jī)制6.2.56.2.5

網(wǎng)絡(luò)層吞吐量

吞吐量

混合應(yīng)用層吞吐量

延遲6.3.26.3.2

連接速

性能要求TCP新建連接速率

率

最大并

發(fā)連接TCP并發(fā)連接數(shù)

數(shù)

安全架構(gòu)

功能規(guī)范

開發(fā)

產(chǎn)品設(shè)計(jì)a)~b)

實(shí)現(xiàn)表示——

指導(dǎo)性操作用戶指南

安全保障文檔準(zhǔn)備程序

要求配置管理能力a)~c)

配置管理范圍a)

生命周交付程序

期支持開發(fā)安全——

生命周期定義——

工具和技術(shù)——

9

測(cè)試覆蓋a)

測(cè)試深度——

測(cè)試

功能測(cè)試

獨(dú)立測(cè)試

脆弱性評(píng)定6.4.56.4.5

注：“——”表示不適用。

WEB應(yīng)用防火墻基于其運(yùn)用需求選擇適用的安全技術(shù)要求，安全技術(shù)要求劃

分表具體如表3所示。

表3WEB應(yīng)用防火墻安全功能

安全技術(shù)要求基本級(jí)增強(qiáng)級(jí)

a)、

部署模式a)、c)

c)

冗余部署——

設(shè)備虛.2.2

虛擬化部署

擬化有則適用有則適用

支持純IPv6.1.1

組網(wǎng)與部

網(wǎng)絡(luò)環(huán)境有則適用有則適用

署

.2.2

協(xié)議一致性

IPv6有則適用有則適用

支持.3.3

協(xié)議健壯性

有則適用有則適用

支持IPv6過.4.4

渡網(wǎng)絡(luò)環(huán)境有則適用有則適用

網(wǎng)絡(luò)層控訪問控.1

包過濾——

安全功能制制b)~c)

要求應(yīng)用類型控制a)a)

應(yīng)用層控應(yīng)用內(nèi).1.1

WEB應(yīng)用

制容控制b)~f）b)~g)

負(fù)載均衡——a)

拒絕服務(wù)攻擊防護(hù)g)g)

WEB攻擊防護(hù)a)~g）

惡意代碼防護(hù)——a）

攻擊防護(hù)b）

自動(dòng)化工具威脅防護(hù)——

~c）

攻擊逃逸防護(hù)——

外部系統(tǒng)協(xié)同防護(hù)——

安全審計(jì)

安全審計(jì)安全告警

與分析統(tǒng)計(jì)分應(yīng)用流量統(tǒng)計(jì).2a).2

析攻擊事件統(tǒng)計(jì).3a).3

自身安全身份識(shí)別與鑒別6.2.1a)~e)6.2.1

功能要求管理能力6.2.2a)~d)6.2.2

10

管理審計(jì)6.2.36.2.3

管理方式6.2.4a)~c)6.2.4

異常處理機(jī)制6.2.56.2.5

吞吐量HTTP吞吐量

連接速率HTTP請(qǐng)求速率

性能要求

最大并發(fā)

HTTP并發(fā)連接數(shù)

連接數(shù)

安全架構(gòu)

功能規(guī)范

開發(fā)

產(chǎn)品設(shè)計(jì)a)~b)

實(shí)現(xiàn)表示——

指導(dǎo)性文操作用戶指南

檔準(zhǔn)備程序

配置管理能力a)~c)

配置管理范圍a)

安全保障

生命周期交付程序

要求

支持開發(fā)安全——

生命周期定義——

工具和技術(shù)——

測(cè)試覆蓋a)

測(cè)試深度——

測(cè)試

功能測(cè)試

獨(dú)立測(cè)試

脆弱性評(píng)定6.4.56.4.5

注：“——”表示不適用。

數(shù)據(jù)庫防火墻基于其運(yùn)用需求選擇適用的安全技術(shù)要求，安全技術(shù)要求劃分

表具體如表4所示。

表4數(shù)據(jù)庫防火墻安全功能

安全技術(shù)要求基本級(jí)增強(qiáng)級(jí)

a)、

部署模式a)、c)

c)

冗余部署——

設(shè)備虛虛擬化部.2.2

擬化署有則適用有則適用

支持純

安全功能.1.1

組網(wǎng)與部署IPv6網(wǎng)絡(luò)

要求有則適用有則適用

環(huán)境

IPv6支協(xié)議一致.2.2

持性有則適用有則適用

協(xié)議健壯.3.3

性有則適用有則適用

支持IPv6.4.4

11

過渡網(wǎng)絡(luò)有則適用有則適用

環(huán)境

.1

包過濾——

訪問控b)~c)

網(wǎng)絡(luò)層控制

制動(dòng)態(tài)開放

.4c).4c)

端口

應(yīng)用類型控制b)b)

應(yīng)用內(nèi)數(shù)據(jù)庫應(yīng).2

應(yīng)用層控制.2

容控制用a)~c)

負(fù)載均衡——b)

a)~b)、

數(shù)據(jù)庫攻擊防護(hù)

d)~e)

攻擊防護(hù)

攻擊逃逸防護(hù)——

外部系統(tǒng)協(xié)同防護(hù)——

安全審計(jì)

安全告警

安全審計(jì)與應(yīng)用流量

.2a）.2

分析統(tǒng)計(jì)分統(tǒng)計(jì)

析攻擊事件

.3a）.3

統(tǒng)計(jì)

身份識(shí)別與鑒別6.2.1a)~e)6.2.1

管理能力6.2.2a)~d)6.2.2

自身安全

管理審計(jì)6.2.36.2.3

功能要求

管理方式6.2.4a)~c)6.2.4

異常處理機(jī)制6.2.56.2.5

吞吐量SQL吞吐量

連接速率SQL請(qǐng)求速率

性能要求

最大并發(fā)連

SQL并發(fā)連接數(shù)

接數(shù)

安全架構(gòu)

功能規(guī)范

開發(fā)

產(chǎn)品設(shè)計(jì)a)~b)

實(shí)現(xiàn)表示——

操作用戶指南

指導(dǎo)性文檔

準(zhǔn)備程序

安全保障配置管理能力a)~c)

要求配置管理范圍a)

生命周期支交付程序

持開發(fā)安全——

生命周期定義——

工具和技術(shù)——

測(cè)試覆蓋a)

測(cè)試

測(cè)試深度——

12

功能測(cè)試

獨(dú)立測(cè)試

脆弱性評(píng)定6.4.56.4.5

注：“——”表示不適用。

主機(jī)型防火墻基于其運(yùn)用需求選擇適用的安全技術(shù)要求，安全技術(shù)要求劃分

表具體如表5所示。

表5主機(jī)型防火墻安全功能

安全技術(shù)要求基本級(jí)增強(qiáng)級(jí)

設(shè)備虛虛擬化部.2有.2有

擬化署則適用則適用

組網(wǎng)與部署支持純

IPv6支.1.1

IPv6網(wǎng)絡(luò)

持有則適用有則適用

環(huán)境

.1.1

包過濾

訪問控b)~d)b)~g)

制IP/MAC地

——.5

址綁定

網(wǎng)絡(luò)層控制.1

帶寬管理.1a)

a)~b）

流量管

連接數(shù)控

理——.2

制

會(huì)話管理——.3

應(yīng)用層控制應(yīng)用類型控制a)~d)

安全功能

要求拒絕服務(wù)攻擊防護(hù)a)~c)

a)~c)

惡意代碼防護(hù)

其他應(yīng)用攻擊防護(hù)a)~c)

攻擊防護(hù)

自動(dòng)化工具威脅防護(hù)a)

a)~b)

攻擊逃逸防護(hù)——

外部系統(tǒng)協(xié)同防護(hù)——

安全審計(jì)

安全告警

網(wǎng)絡(luò)流量

.1.1

安全審計(jì)與統(tǒng)計(jì)

分析統(tǒng)計(jì)分應(yīng)用流量

——.2a)

析統(tǒng)計(jì)

攻擊事件

.3a).3

統(tǒng)計(jì)

身份識(shí)別與鑒別6.2.1a)~e)6.2.1

自身安全

管理能力6.2.2a)~d)6.2.2

功能要求

管理審計(jì)