IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求 第1部分：防火墻

ICS33.040.40

CCSM32

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX.1—XXXX

`

IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求

第1部分：防火墻

TechnicalrequirementforIPv6networksecurityequipment—Part1:Firewall

(點擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識)

（征求意見稿）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX.1—XXXX

目次

前言..........................................................................III

引言...........................................................................IV

1范圍................................................................................5

2規(guī)范性引用文件......................................................................5

3術(shù)語和定義..........................................................................5

.................................................................................5

.................................................................................5

.................................................................................5

.................................................................................5

4縮略語..............................................................................6

5功能性..............................................................................7

網(wǎng)絡(luò)環(huán)境........................................................................7

5.1.1IPv6網(wǎng)絡(luò)環(huán)境................................................................7

5.1.2IPv4-IPv6混合網(wǎng)絡(luò)環(huán)境.......................................................7

組網(wǎng)和部署......................................................................7

5.2.1部署模式....................................................................7

5.2.2路由........................................................................7

5.2.3IPv6擴(kuò)展字段................................................................8

5.2.4高可用性要求................................................................8

5.2.5設(shè)備虛擬化..................................................................8

5.2.6IPv6VPN技術(shù)................................................................8

網(wǎng)絡(luò)層控制......................................................................8

5.3.1基于報文的訪問控制..........................................................9

5.3.2網(wǎng)絡(luò)地址轉(zhuǎn)換與應(yīng)用層網(wǎng)關(guān)（ALG）功能.........................................9

5.3.3IPv6/MAC地址綁定............................................................9

5.3.4狀態(tài)檢測....................................................................9

流量管理........................................................................9

5.4.1帶寬管理....................................................................9

5.4.2連接數(shù)控制..................................................................9

5.4.3會話管理....................................................................9

應(yīng)用層控制.....................................................................10

5.5.1用戶管控...................................................................10

5.5.2應(yīng)用管控...................................................................10

5.5.3應(yīng)用內(nèi)容控制...............................................................10

攻擊防護(hù).......................................................................10

安全審計、告警與統(tǒng)計...........................................................10

5.7.1安全審計...................................................................10

I

GB/TXXXXX.1—XXXX

5.7.2安全告警...................................................................11

5.7.3統(tǒng)計.......................................................................11

安全策略設(shè)置...................................................................11

5.8.1混合地址策略...............................................................11

5.8.2與IP地址無關(guān)的策略........................................................12

5.8.3組策略.....................................................................12

5.8.4自動化策略.................................................................12

5.8.5策略的集中管理.............................................................12

6性能...............................................................................12

吞吐量.........................................................................12

6.1.1網(wǎng)絡(luò)層吞吐量...............................................................12

6.1.2混合應(yīng)用層吞吐量...........................................................12

延遲...........................................................................12

連接速率.......................................................................12

并發(fā)連接數(shù).....................................................................12

7兼容性.............................................................................13

8可靠性.............................................................................13

系統(tǒng)容錯.......................................................................13

故障監(jiān)測與恢復(fù).................................................................13

雙機(jī)熱備.......................................................................13

過載控制.......................................................................13

備份與恢復(fù).....................................................................13

9自身安全性.........................................................................13

標(biāo)識和鑒別.....................................................................13

自身訪問控制...................................................................13

自身安全審計...................................................................14

通信安全.......................................................................14

支撐系統(tǒng)安全...................................................................14

產(chǎn)品升級.......................................................................14

用戶信息安全...................................................................14

密碼要求.......................................................................14

協(xié)議棧安全性...................................................................14

10可維護(hù)性..........................................................................14

操作用戶指南..................................................................14

準(zhǔn)備程序......................................................................14

配置管理能力..................................................................15

配置管理范圍..................................................................15

交付程序......................................................................15

運維能力......................................................................15

參考文獻(xiàn).......................................................................16

II

GB/TXXXXX.1—XXXX

引言

根據(jù)《關(guān)于加快推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署和應(yīng)用工作的通知》，為更好面對網(wǎng)絡(luò)復(fù)

雜化和用戶規(guī)模擴(kuò)大化帶來的安全挑戰(zhàn)，推動IPv6網(wǎng)絡(luò)安全工作的標(biāo)準(zhǔn)化，我國制定了一系列IPv6安

全標(biāo)準(zhǔn)。其中，GB/TXXXXX《IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求》是為規(guī)范在IPv6中網(wǎng)絡(luò)安全產(chǎn)品的適用

性的技術(shù)標(biāo)準(zhǔn)，擬分為以下部分：

——第1部分：防火墻。目的在于IPv6部署后，保障防火墻在新的網(wǎng)絡(luò)環(huán)境中的有效應(yīng)用。

——第2部分：Web應(yīng)用防火墻。目的在于IPv6部署后，保障Web應(yīng)用防火墻在新的網(wǎng)絡(luò)環(huán)境

中的有效應(yīng)用。

——第3部分：入侵防御系統(tǒng)（IPS）。目的在于IPv6部署后，保障入侵防御系統(tǒng)（IPS）在新的

網(wǎng)絡(luò)環(huán)境中的有效應(yīng)用。

IV

GB/TXXXXX.1—XXXX

IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求

第1部分：防火墻

1范圍

本文件規(guī)定了支持IPv6的防火墻設(shè)備的安全技術(shù)要求，包括功能性、性能、兼容性、可靠性、自身

安全性和可維護(hù)性。

本文件適用于支持IPv6的防火墻設(shè)備的設(shè)計、開發(fā)、部署、使用、維護(hù)與測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測試評價方法

GB/T25069-2022信息安全技術(shù)術(shù)語

GB42250-2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求

GB/TXXXXX.3IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求第3部分：入侵防御系統(tǒng)（IPS）

3術(shù)語和定義

GB/T25069-2022、GB/T20281-2020界定以及下列術(shù)語和定義適用于本文件。

防火墻firewall

對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，并實現(xiàn)訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。

注1：來源于[GB/T20281-2020，3.1]。

注2：在本文件中防火墻僅指“網(wǎng)絡(luò)型防火墻”。

內(nèi)部網(wǎng)絡(luò)internalnetwork

通過防火墻隔離的可信任區(qū)域或保護(hù)區(qū)域，通常是指單位內(nèi)部的局域網(wǎng)。

外部網(wǎng)絡(luò)externalnetwork

通過防火墻隔離的不可信任區(qū)域或非保護(hù)區(qū)域。

授權(quán)管理員authorizedadministrator

5

GB/TXXXXX.1—XXXX

具有防火墻管理權(quán)限的用戶，可支持基于角色獲得不同的管理權(quán)限，如：系統(tǒng)管理員、安全管理員

和安全審計員。

4縮略語

下列縮略語適用于本文件。

ALG：應(yīng)用層網(wǎng)關(guān)（ApplicationLayerGateway）

BGP4+：邊界網(wǎng)關(guān)協(xié)議第四版增強(qiáng)版（BorderGatewayProtocolVersion4+）

CPU：中央處理單元(CentralProcessUnit)

DHCPv6：IPv6動態(tài)主機(jī)配置協(xié)議（DynamicHostConfigurationProtocolforIPv6)

DMZ：非軍事區(qū)（DemilitarizedZone）

DNSv6：IPv6域名系統(tǒng)（DomainNameSystemforIPv6）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）

HTTPs：安全超文本傳輸協(xié)議（HypertextTransferProtocolSecure）

ICMP:網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocol）

ICMPv6：IPv6網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocolforIPv6）

ID：標(biāo)識符（Identifiers）

IMAP：郵件訪問協(xié)議(InternetMailAccessProtocol,Internet)

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

IPv4：互聯(lián)網(wǎng)協(xié)議第4版（InternetProtocolVersion4）

IPv6：互聯(lián)網(wǎng)協(xié)議第6版（InternetProtocolVersion6）

ISATAP：站點內(nèi)自動隧道尋址協(xié)議(Intra-SiteAutomaticTunnelAddressingProtocol)

ISIS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemtoIntermediateSystem）

LDAP：輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol)

MAC：媒體訪問控制（MediaAccessControl）

MIB：管理信息庫(ManagementInformationBase)

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）

NDP：鄰居發(fā)現(xiàn)協(xié)議(NeighborDiscoveryProtocol)

NETCONF：網(wǎng)絡(luò)配置協(xié)議（NetworkConfigurationProtocol）

OSPFv3：開放式最短路徑優(yōu)先版本3（OpenShortestPathFirstVersion3）

P2P：點對點（PointtoPoint)

POP3：郵局協(xié)議版本3（PostOfficeProtocolVersion3）

RESTCONF：以HTTP協(xié)議描述的網(wǎng)絡(luò)配置協(xié)議（RestfulNetworkConfigurationProtocol）

RIPng：下一代路由信息協(xié)議（RoutingInformationProtocolnextgeneration）

SMTP：簡單郵件傳送協(xié)議（SimpleMailTransferProtocol）

SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkingManagementProtocol）

SRv6：IPv6段路由（SegmentRoutingIPv6）

SSL：安全套接層(SecureSocketLayer)

TCP：傳輸控制協(xié)議（TransportControlProtocol）

TFTP：簡單文件傳輸協(xié)議（TrivialFileTransferProtocol）

6

GB/TXXXXX.1—XXXX

URL：統(tǒng)一資源定位器（UniformResourceLocator）

VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）

VNI：網(wǎng)絡(luò)標(biāo)識符（VXLANNetworkIdentifier）

VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）

VXLAN：虛擬可擴(kuò)展的局域網(wǎng)（VirtualeXtensibleLocalAreaNetwork）

5功能性

網(wǎng)絡(luò)環(huán)境

5.1.1IPv6網(wǎng)絡(luò)環(huán)境

設(shè)備應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境中正常工作，包括：

a)設(shè)備應(yīng)支持在IPv6組網(wǎng)環(huán)境，以及IPv6-IPv4混合組網(wǎng)環(huán)境下正常工作，能有效提供安全功能

并保障自身的安全性；

b)設(shè)備應(yīng)支持全功能的IPv6協(xié)議棧，以保證防火墻設(shè)備可以作為全功能的IPv6網(wǎng)元、IPv6網(wǎng)

關(guān)、接入網(wǎng)絡(luò)正常組網(wǎng)；

c)設(shè)備宜支持的IPv6協(xié)議包括但不限于IPv6核心協(xié)議、IPv6NDP協(xié)議、IPv6Autoconfig協(xié)議、

ICMPv6協(xié)議、DHCPv6協(xié)議、DNSv6協(xié)議等。

5.1.2IPv4-IPv6混合網(wǎng)絡(luò)環(huán)境

設(shè)備應(yīng)支持在以下一種或多種IPv6過渡網(wǎng)絡(luò)環(huán)境下工作，并可作為IPv4與IPv6網(wǎng)絡(luò)之間的網(wǎng)關(guān)，實

現(xiàn)下列功能：

a)IPv6/IPv4雙協(xié)議棧功能：設(shè)備在同一網(wǎng)絡(luò)中同時支持IPv4和IPv6協(xié)議。設(shè)備通過維護(hù)IPv6

和IPv4兩套路由協(xié)議棧使設(shè)備既能與IPv4主機(jī)，也能與IPv6主機(jī)通信，分別支持獨立的IPv6

和IPv4路由協(xié)議；

b)IPv6/IPv4的協(xié)議轉(zhuǎn)換功能：支持NAT64和NAT46，可進(jìn)行IPv6與IPv4之間的網(wǎng)絡(luò)地址與

協(xié)議的轉(zhuǎn)換，實現(xiàn)IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)的雙向互訪；

c)隧道模式功能：滿足IPv4到IPv6過渡期間網(wǎng)絡(luò)穿越功能要求。支持的隧道協(xié)議包括：IPv6

overIPv4、IPv4overIPv6、ISATAP等隧道技術(shù)；

組網(wǎng)和部署

5.2.1部署模式

設(shè)備應(yīng)支持包括但不限于以下部署模式：透明傳輸模式、路由轉(zhuǎn)發(fā)模式等。

5.2.2路由

靜態(tài)路由

設(shè)備應(yīng)支持IPv6靜態(tài)路由功能，且能配置靜態(tài)路由。

動態(tài)路由

設(shè)備應(yīng)支持IPv6動態(tài)路由功能，包括但不限于RIPng、BGP4+、ISISv6、OSPFv3等。

7

GB/TXXXXX.1—XXXX

策略路由

具有多個相同屬性網(wǎng)絡(luò)接口（多個外部網(wǎng)絡(luò)接口、多個內(nèi)部網(wǎng)絡(luò)接口或多個DMZ網(wǎng)絡(luò)接口）的設(shè)

備，應(yīng)支持IPv6的策略路由功能，包括但不限于：

a）基于源、目的IP策略路由；

b）基于接口的策略路由；

c）基于協(xié)議和端口的策略路由；

d）基于應(yīng)用類型的策略路由；

e）基于多鏈路負(fù)載情況自動選擇路由等。

5.2.3IPv6擴(kuò)展字段

設(shè)備宜支持基于IPv6協(xié)議的擴(kuò)展字段，以支撐更多的業(yè)務(wù)系統(tǒng)，實現(xiàn)更強(qiáng)的網(wǎng)絡(luò)功能。IPv6增強(qiáng)協(xié)

議包括SRv6協(xié)議等，需要支持對應(yīng)協(xié)議的解析、過濾和轉(zhuǎn)發(fā)。

5.2.4高可用性要求

冗余部署

設(shè)備應(yīng)支持“主-備”、“主-主”或“集群”中的一種或多種冗余部署模式。

負(fù)載均衡

設(shè)備應(yīng)支持IPv6流量下的負(fù)載均衡功能，能根據(jù)策略將網(wǎng)絡(luò)流量均衡到多臺服務(wù)器上。

5.2.5設(shè)備虛擬化

虛擬系統(tǒng)

若設(shè)備支持在邏輯上劃分為多個虛擬子系統(tǒng)，虛擬子系統(tǒng)間宜支持隔離和獨立管理，包括但不限于：

a）對虛擬子系統(tǒng)分別設(shè)置管理員，實現(xiàn)針對虛擬子系統(tǒng)的管理配置；

b）虛擬子系統(tǒng)能分別維護(hù)路由表、安全策略和日志系統(tǒng)；

c）對虛擬子系統(tǒng)的資源使用配額進(jìn)行限制。

d）宜支持基于物理端口、VLAN、IP地址段、ICMPv6標(biāo)簽、SRv6VNI等網(wǎng)絡(luò)屬性，設(shè)置虛擬

化實例。

虛擬化部署

若設(shè)備為虛擬化形態(tài)，宜支持部署于虛擬化平臺，并接受平臺統(tǒng)一管理，包括但不限于：

a)至少支持部署于一種虛擬化平臺；

b)結(jié)合虛擬化平臺實現(xiàn)設(shè)備資源彈性伸縮，根據(jù)虛擬化設(shè)備的負(fù)載情況動態(tài)調(diào)整資源；

c)結(jié)合虛擬化平臺實現(xiàn)故障遷移，當(dāng)虛擬化設(shè)備出現(xiàn)故障時能實現(xiàn)自動更新、替換。

5.2.6IPv6VPN技術(shù)

設(shè)備宜支持IPSec6、SSLVPN等能力，數(shù)據(jù)可通過隧道進(jìn)行傳輸，能夠為用戶提供安全的數(shù)據(jù)傳輸

服務(wù)，應(yīng)使用國家密碼管理主管部門認(rèn)證核準(zhǔn)的密碼算法。

網(wǎng)絡(luò)層控制

8

GB/TXXXXX.1—XXXX

5.3.1基于報文的訪問控制

設(shè)備的安全策略功能要求如下：

a)安全策略應(yīng)使用最小安全原則，即除非明確允許，否則就禁止；

b)安全策略應(yīng)包含基于IPv6和IPv4的源IP地址、目的IP地址的訪問控制；

c)安全策略中的IPv6地址支持基于前綴和地址段進(jìn)行配置；

d)安全策略應(yīng)支持雙?；旌吓渲?，不區(qū)分IPv4和IPv6類型；

e)安全策略應(yīng)包含基于源端口、目的端口的訪問控制；

f)安全策略應(yīng)包含基于協(xié)議類型的訪問控制；

g)安全策略應(yīng)包含基于MAC地址的訪問控制；

h)安全策略應(yīng)包含基于時間的訪問控制；

i)應(yīng)支持用戶自定義的安全策略，安全策略包括MAC地址、IP地址、端口、協(xié)議類型和時間的

部分或全部組合。

5.3.2網(wǎng)絡(luò)地址轉(zhuǎn)換與應(yīng)用層網(wǎng)關(guān)（ALG）功能

設(shè)備應(yīng)支持多種基于IPv6的NAT技術(shù)，并支持在進(jìn)行NAT時，IPv4與IPv6地址之間映射策略。

a)設(shè)備應(yīng)支持NAT66，包括源NAT66、目的NAT66和雙向NAT66，保護(hù)內(nèi)網(wǎng)IPv6用戶的隱私

安全；

b)設(shè)備應(yīng)支持針對特殊協(xié)議，如FTP協(xié)議的ALG功能，提供對報文載荷數(shù)據(jù)進(jìn)行地址轉(zhuǎn)換的能

力。設(shè)備應(yīng)支持的常用ALG功能，包括但不限于FTP、TFTP、DNS、HTTP等。

5.3.3IPv6/MAC地址綁定

設(shè)備應(yīng)支持基于IPv6的自動或手動綁定IP/MAC地址，當(dāng)主機(jī)的IP地址、MAC地址與IP/MAC

綁定表中不一致時，阻止其流量通過。

5.3.4狀態(tài)檢測

設(shè)備應(yīng)支持基于IPv6協(xié)議的狀態(tài)檢測包過濾功能，具備基于IPv6協(xié)議的狀態(tài)檢測能力。

流量管理

5.4.1帶寬管理

設(shè)備應(yīng)支持對IPv6流量的帶寬管理功能，能根據(jù)策略調(diào)整客戶端占用的帶寬，包括但不限于：

a)根據(jù)源IP、目的IP、應(yīng)用類型和時間段的流量速率或總額進(jìn)行限制；

b)根據(jù)源IP、目的IP、應(yīng)用類型和時間段設(shè)置包帶寬；

c)在網(wǎng)絡(luò)空閑時自動解除流量限制，并在總帶寬占用率超過閾值時自動啟用限制。

5.4.2連接數(shù)控制

設(shè)備應(yīng)支持對IPv6流量的單IP的最大并發(fā)會話數(shù)和新建連接速率限制能力，防止大量非法連接產(chǎn)生

時影響網(wǎng)絡(luò)性能。

5.4.3會話管理

在會話處于非活躍狀態(tài)一定時間或會話結(jié)束后，設(shè)備應(yīng)終止會話。

9

GB/TXXXXX.1—XXXX

應(yīng)用層控制

5.5.1用戶管控

設(shè)備應(yīng)支持基于用戶認(rèn)證的網(wǎng)絡(luò)訪問控制功能，包括：

a)本地用戶認(rèn)證方式；

b)可自動對接第三方認(rèn)證系統(tǒng)以完成用戶身份認(rèn)證與授權(quán)，如基于Radius、LDAP服務(wù)器的認(rèn)證

方式；

c)支持通過IPv6協(xié)議對接認(rèn)證服務(wù)器。

5.5.2應(yīng)用管控

設(shè)備應(yīng)支持根據(jù)應(yīng)用特性識別并控制各種IPv6網(wǎng)絡(luò)環(huán)境下的應(yīng)用類型，包括：

a)支持DNS、HTTP、FTP、TELNET、SMTP、POP3和IMAP等常見協(xié)議中承載的應(yīng)用識別和

管控；

b)支持?jǐn)?shù)據(jù)庫、即時聊天類、P2P類、網(wǎng)絡(luò)流媒體類、網(wǎng)絡(luò)游戲、股票交易等類型的應(yīng)用識別和

管控；

c)支持逃逸或隧道加密特點的應(yīng)用，如加密代理類應(yīng)用；

d)支持自定義應(yīng)用。

5.5.3應(yīng)用內(nèi)容控制

Web應(yīng)用

設(shè)備應(yīng)支持基于以下內(nèi)容對Web應(yīng)用的訪問進(jìn)行控制，包括但不限于：

a)URL網(wǎng)址，并具備分類網(wǎng)址庫；

b)HTTP傳輸內(nèi)容的關(guān)鍵字；

c)HTTP請求方式，包括GET、POST、PUT、HEAD等；

d)HTTP請求文件類型；

其它應(yīng)用

設(shè)備應(yīng)支持基于以下內(nèi)容對FTP、TELNET、SMTP、POP3和IMAP等應(yīng)用進(jìn)行控制，包括但不限于：

a)傳輸文件類型；

b)傳輸內(nèi)容，如協(xié)議命令或關(guān)鍵字。

攻擊防護(hù)

應(yīng)符合GB/TXXXXXIPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求第3部分：入侵防御系統(tǒng)（IPS）5.2.3規(guī)定的要求。

安全審計、告警與統(tǒng)計

5.7.1安全審計

設(shè)備應(yīng)支持安全審計功能，包括但不限于：

a)記錄事件類型：

1）被設(shè)備安全策略匹配的訪問請求；

2）檢測到的攻擊行為。

10

GB/TXXXXX.1—XXXX

b)日志內(nèi)容：

1）事件發(fā)生的日期和時間；

2）事件發(fā)生的主體、客體和描述，其中數(shù)據(jù)包日志包括協(xié)議類型、源地址、目標(biāo)地址、源端

口和目標(biāo)端口等；

3）攻擊事件的描述；

4）設(shè)備應(yīng)支持IPv6協(xié)議的日志內(nèi)容審計，日志內(nèi)容源地址和目的地址字段支持IPv6格式。

c)日志管理：

1）僅允許授權(quán)管理員訪問日志，并提供日志查閱、導(dǎo)出等功能；

2）能對審計事件按日期、時間、主體、客體等條件查詢；

3）日志存儲于掉電非易失性能存儲介質(zhì)中；

4）日志存儲周期設(shè)定不小于6個月；

5）存儲空間達(dá)到閾值時，能通知授權(quán)管理員，并確保審計功能的正常運行；

6）日志支持自動化備份至其他存儲設(shè)備。

5.7.2安全告警

設(shè)備應(yīng)支持對5.6中的攻擊行為進(jìn)行告警，并能對高頻發(fā)生的相同告警時間進(jìn)行合并告警，避免出

現(xiàn)告警風(fēng)暴。告警信息至少包括以下內(nèi)容：

a)事件主體；

b)事件客體；

c)事件描述；

d)危害級別；

e)事件發(fā)生的日志和時間。

5.7.3統(tǒng)計

.1網(wǎng)絡(luò)流量統(tǒng)計

設(shè)備應(yīng)支持以圖形化界面展示網(wǎng)絡(luò)流量情況，包括但不限于：

a)按照IP、時間段、協(xié)議類型等條件或以上條件組合對網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計；

b)實時或以報表形式輸出統(tǒng)計結(jié)果。

.2應(yīng)用流量統(tǒng)計

設(shè)備應(yīng)支持以圖形化界面展示應(yīng)用流量情況，包括但不限于：

a)按照IP、時間段和應(yīng)用類型等條件或以上條件組合對應(yīng)用流量進(jìn)行統(tǒng)計；

b)以報表形式輸出統(tǒng)計結(jié)果；

c)對不同時間段的統(tǒng)計結(jié)果進(jìn)行對比。

.3攻擊事件統(tǒng)計

設(shè)備應(yīng)支持以圖形化界面展示攻擊事件情況，包括但不限于：按照攻擊事件類型、IP和時間段等條

件或以上條件組合對攻擊事件進(jìn)行統(tǒng)計等、并以報表形式輸出統(tǒng)計結(jié)果。

安全策略設(shè)置

5.8.1混合地址策略

11

GB/TXXXXX.1—XXXX

在安全策略設(shè)置中，應(yīng)能同時適用不同的地址空間。

5.8.2與IP地址無關(guān)的策略

在安全策略的設(shè)置中應(yīng)支持使用以下方式：包括但不限于基于用戶身份、基于網(wǎng)絡(luò)域名以及域名前

后綴、基于網(wǎng)絡(luò)應(yīng)用種類、基于協(xié)議類型、基于協(xié)議標(biāo)簽（如：IPv6標(biāo)簽、VXLANID等）、基于物理

端口、基于網(wǎng)絡(luò)數(shù)據(jù)流流向、基于VLANID等。

5.8.3組策略

設(shè)備應(yīng)支持設(shè)置安全組策略。包括但不限于：網(wǎng)絡(luò)端口組、特定用戶組、相同域名后綴的地址集合、

域名關(guān)鍵字、特定應(yīng)用集合，以及實體的各種其他屬性的組合。

5.8.4自動化策略

設(shè)備宜通過與AD服務(wù)器、證書系統(tǒng)、域名系統(tǒng)的對接，自動獲得網(wǎng)絡(luò)通信對應(yīng)的用戶身份或者可

靠網(wǎng)絡(luò)標(biāo)識，以實現(xiàn)動態(tài)靈活的安全策略管理。

5.8.5策略的集中管理

設(shè)備應(yīng)支持功能面與策略面的分離，各種安全策略應(yīng)當(dāng)能夠統(tǒng)一配置，以保證安全策略的準(zhǔn)確性，

適用于多設(shè)備分布式部署場景。

6性能

吞吐量

6.1.1網(wǎng)絡(luò)層吞吐量

設(shè)備在IPv6網(wǎng)絡(luò)環(huán)境中，視不同速率的產(chǎn)品有所不同，應(yīng)至少符合GB/T20281-2020中規(guī)定的

要求。

6.1.2混合應(yīng)用層吞吐量

設(shè)備在IPv6網(wǎng)絡(luò)環(huán)境中，視不同速率的產(chǎn)品有所不同，應(yīng)至少符合GB/T20281-2020中規(guī)定

的要求。

延遲

設(shè)備在IPv6網(wǎng)絡(luò)環(huán)境中，視不同速率的產(chǎn)品有所不同，應(yīng)至少符合GB/T20281-2020中6.3.2規(guī)定的

要求。

連接速率

設(shè)備在IPv6網(wǎng)絡(luò)環(huán)境中，視不同速率的產(chǎn)品有所不同，應(yīng)至少符合GB/T20281-2020中規(guī)定的

要求。

并發(fā)連接數(shù)

12

GB/TXXXXX.1—XXXX

設(shè)備在IPv6網(wǎng)絡(luò)環(huán)境中，視不同速率的產(chǎn)品有所不同，應(yīng)至少符合GB/T20281-2020中規(guī)定的

要求。

7兼容性

設(shè)備宜兼容常規(guī)的MIB/SNMP實現(xiàn)設(shè)備功能監(jiān)控，支持基于NETCONF/RESTCONF開放北向接口，

實現(xiàn)設(shè)備管理與監(jiān)控功能，可對接第三方網(wǎng)管系統(tǒng)。

8可靠性

系統(tǒng)容錯

在IPv6網(wǎng)絡(luò)環(huán)境中，設(shè)備：

a）應(yīng)提供針對命令、配置、操作等人機(jī)接口的錯誤防護(hù)機(jī)制，保證錯誤輸入下系統(tǒng)仍保持穩(wěn)定；

b）應(yīng)支持對通信接口的輸入進(jìn)行有效性校驗，保證錯誤輸入下系統(tǒng)仍保持穩(wěn)定

c）升級重啟時，宜能自動Bypass不斷網(wǎng)；

d）應(yīng)支持升級失敗可回退，系統(tǒng)可恢復(fù)正常工作。

故障監(jiān)測與恢復(fù)

在IPv6網(wǎng)絡(luò)環(huán)境中，設(shè)備：

a)應(yīng)對設(shè)備關(guān)鍵進(jìn)程提供重啟等恢復(fù)手段；

b)應(yīng)支持恢復(fù)出廠設(shè)置。

雙機(jī)熱備

在IPv6網(wǎng)絡(luò)環(huán)境中，應(yīng)具備雙機(jī)熱備功能，當(dāng)設(shè)備出現(xiàn)故障時，備設(shè)備應(yīng)及時發(fā)現(xiàn)并接管主設(shè)備進(jìn)

行工作。

過載控制

在IPv6網(wǎng)絡(luò)環(huán)境中，當(dāng)流量超過設(shè)備所能處理的最大性能時，宜采取措施優(yōu)先轉(zhuǎn)發(fā)業(yè)務(wù)流量，保障

業(yè)務(wù)正常，也可采用限流措施保障設(shè)備的穩(wěn)定性。

備份與恢復(fù)

在IPv6網(wǎng)絡(luò)環(huán)境中，設(shè)備：

a）應(yīng)支持配置文件的備份與恢復(fù)，保證其完整可用；

b）應(yīng)支持文件系統(tǒng)的備份與恢復(fù)，保證其完整可用。

9自身安全性

標(biāo)識和鑒別

設(shè)備應(yīng)至少符合GB42250-2022中5.1規(guī)定的要求。

自身訪問控制

13

GB/TXXXXX.1—XXXX

設(shè)備應(yīng)至少符合GB42250-2022中5.2規(guī)定的要求。

自身安全審計

設(shè)備應(yīng)至少符合GB42250-2022中5.3規(guī)定的要求。

通信安全

設(shè)備應(yīng)至少符合GB42250-2022中5.4規(guī)定的要求。

支撐系統(tǒng)安全

設(shè)備應(yīng)至少符合GB42250-2022中5.5規(guī)定的要求。

產(chǎn)品升級

設(shè)備應(yīng)至少符合GB42250-2022中5.6規(guī)定的要求。

用戶信息安全

設(shè)備應(yīng)至少符合GB42250-2022中5.7規(guī)定的要求。

密碼要求

本文件凡涉及密碼使用和管理的相關(guān)內(nèi)容，按有關(guān)標(biāo)準(zhǔn)的規(guī)定。

協(xié)議棧安全性

設(shè)備應(yīng)保證自身所使用協(xié)議棧的安全性：

a)應(yīng)滿足IPv4/IPv6協(xié)議健壯性的要求，可抵御IPv4和IPv6網(wǎng)絡(luò)環(huán)境下畸形協(xié)議報文攻擊，如

針對協(xié)議擴(kuò)展頭的檢查等；

b)宜支持IPv6安全鄰居發(fā)現(xiàn)，防止NDP攻擊；

c)宜支持關(guān)閉設(shè)備發(fā)送和接收指定類型的ICMPv6報文的功能，阻止或抑制ICMPv6攻擊。

10可維護(hù)性

操作用戶指南

開發(fā)者應(yīng)提供明確和合理的操作用戶指南，對每一種用戶角色的描述應(yīng)滿足以下要求：

a)描述用戶能訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?/p>

b)描述設(shè)備安全功能及接口的用戶操作方法，包括配置參數(shù)的安全值等；

c)標(biāo)識和描述設(shè)備運行的所有可能狀態(tài)，包括操作導(dǎo)致的失敗或者操作性錯誤；

d)描述實現(xiàn)設(shè)備安全目的必需執(zhí)行的安全策略。

準(zhǔn)備程序

開發(fā)者應(yīng)提供設(shè)備及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：

a)描述與開發(fā)者交付程序相一致的安全接收所交付設(shè)備必需的所有步驟；

b)描述安全安裝設(shè)備及其運行環(huán)境必需的所有步驟。

14

GB/TXXXXX.1—XXXX

配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a)為設(shè)備的不同版本提供唯一的標(biāo)識；

b)使用配置管理系統(tǒng)對組成設(shè)備的所有配置項進(jìn)行維護(hù)，并進(jìn)行唯一標(biāo)識；

c)提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項的方法；

d)配置管理系統(tǒng)提供自動方式來支持設(shè)備的生成，通過自動化措施確保配置項僅接受授權(quán)變更；

e)配置管理文檔包括一個配置管理計劃，描述用來接受修改過的或新建的作為設(shè)備組成部分的

配置項的程序。配置管理計劃描述應(yīng)描述如何使用配置管理系統(tǒng)開發(fā)設(shè)備，開發(fā)者實施的配置

管理應(yīng)與配置管理計劃相一致。

配置管理范圍

開發(fā)者應(yīng)提供設(shè)備配置項列表，并說明配置項的開發(fā)者。配置項列表應(yīng)包含以下內(nèi)容：設(shè)備及其組

成部分、安全保障要求的評估證據(jù)、實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。

交付程序

開發(fā)者應(yīng)使用一定的交付程序交付設(shè)備，并將交付過程文檔化。在給用戶交付設(shè)備的各版本時，交

付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。

運維能力

設(shè)備應(yīng)支持以下運維要求：

a)支持收集系統(tǒng)異常信息，包括但不限于：CPU異常、內(nèi)存異常、進(jìn)程異常、分區(qū)異常、文件異

常、溫度異常等，便于快速排查設(shè)備問題；

b)支持對設(shè)備的運行狀態(tài)進(jìn)行收集；

c)支持在軟件系統(tǒng)故障后進(jìn)行修復(fù)或恢復(fù)；

d)支持記錄系統(tǒng)運行日志，并可支持實時設(shè)置日志的級別；

e)支持debug信息收集；

f)支持提供基本的診斷工具，如ping6、traceroute、抓包、top等；

g)提供系統(tǒng)指示燈區(qū)分不同的故障告警。

15

GB/TXXXXX.1—XXXX

參考文獻(xiàn)

[1]GB/T25000.51-2016系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價（SQuaRE）第51部分：就緒

可用軟件產(chǎn)品（RUSP）的質(zhì)量要求和測試細(xì)則

16

GB/TXXXXX.1—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件是“IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求”系列標(biāo)準(zhǔn)之一，該系列標(biāo)準(zhǔn)的結(jié)構(gòu)及名稱如下：

——GB/TXXXXXIPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求第1部分：防火墻（本文件）；

——GB/TXXXXXIPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求第2部分：Web應(yīng)用防火墻；

——GB/TXXXXXIPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求第3部分：入侵防御系統(tǒng)（IPS）。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由中華人民共和國工業(yè)和信息化部提出。

本文件由全國通信標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC485）歸口。

本文件起草單位：

本文件主要起草人：

III

GB/TXXXXX.1—XXXX

IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求

第1部分：防火墻

1范圍

本文件規(guī)定了支持IPv6的防火墻設(shè)備的安全技術(shù)要求，包括功能性、性能、兼容性、可靠性、自身

安全性和可維護(hù)性。

本文件適用于支持IPv6的防火墻設(shè)備的設(shè)計、開發(fā)、部署、使用、維護(hù)與測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測試評價方法

GB/T25069-2022信息安全技術(shù)術(shù)語

GB42250-2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求

GB/TXXXXX.3IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求第3部分：入侵防御系統(tǒng)（IPS）

3術(shù)語和定義

GB/T25069-2022、GB/T20281-2020界定以及下列術(shù)語和定義適用于本文件。

防火墻firewall

對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，并實現(xiàn)訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。

注1：來源于[GB/T20281-2020，3.1]。

注2：在本文件中防火墻僅指“網(wǎng)絡(luò)型防火墻”。

內(nèi)部網(wǎng)絡(luò)internalnetwork

通過防火墻隔離的可信任區(qū)域或保護(hù)區(qū)域，通常是指單位內(nèi)部的局域網(wǎng)。

外部網(wǎng)絡(luò)externalnetwork

通過防火墻隔離的不可信任區(qū)域或非保護(hù)區(qū)域。

授權(quán)管理員authorizedadministrator

5

GB/TXXXXX.1—XXXX

具有防火墻管理權(quán)限的用戶，可支持基于角色獲得不同的管理權(quán)限，如：系統(tǒng)管理員、安全管理員

和安全審計員。

4縮略語

下列縮略語適用于本文件。

ALG：應(yīng)用層網(wǎng)關(guān)（ApplicationLayerGateway）

BGP4+：邊界網(wǎng)關(guān)協(xié)議第四版增強(qiáng)版（BorderGatewayProtocolVersion4+）

CPU：中央處理單元(CentralProcessUnit)

DHCPv6：IPv6動態(tài)主機(jī)配置協(xié)議（DynamicHostConfigurationProtocolforIPv6)

DMZ：非軍事區(qū)（DemilitarizedZone）

DNSv6：IPv6域名系統(tǒng)（DomainNameSystemforIPv6）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

HTTP：超文本傳輸協(xié)議（HypertextTransferProtocol）

HTTPs：安全超文本傳輸協(xié)議（HypertextTransferProtocolSecure）

ICMP:網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocol）

ICMPv6：IPv6網(wǎng)間控制報文協(xié)議（InternetControlMessagesProtocolforIPv6）

ID：標(biāo)識符（Identifiers）

IMAP：郵件訪問協(xié)議(InternetMailAccessProtocol,Internet)

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

IPv4：互聯(lián)網(wǎng)協(xié)議第4版（InternetProtocolVersion4）

IPv6：互聯(lián)網(wǎng)協(xié)議第6版（InternetProtocolVersion6）

ISATAP：站點內(nèi)自動隧道尋址協(xié)議(Intra-SiteAutomaticTunnelAddressingProtocol)

ISIS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemtoIntermediateSystem）

LDAP：輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol)

MAC：媒體訪問控制（MediaAccessControl）

MIB：管理信息庫(ManagementInformationBase)

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）

NDP：鄰居發(fā)現(xiàn)協(xié)議(NeighborDiscoveryProtocol)

NETCONF：網(wǎng)絡(luò)配置協(xié)議（NetworkConfigurationProtocol）

OSPFv3：開放式最短路徑優(yōu)先版本3（OpenShortestPathFirstVersion3）

P2P：點對點（PointtoPoint)

POP3：郵局協(xié)議版本3（PostOfficeProtocolVersion3）

RESTCONF：以HTTP協(xié)議描述的網(wǎng)絡(luò)配置協(xié)議（RestfulNetworkConfigurationProtocol）

RIPng：下一代路由信息協(xié)議（RoutingInformationProtocolnextgeneration）

SMTP：簡單郵件傳送協(xié)議（SimpleMailTransferProtocol）

SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkingManagementProtocol）

SRv6：IPv6段路由（SegmentRoutingIPv6）

SSL：安全套接層(SecureSocketLayer)

TCP：傳輸控制協(xié)議（TransportControlProtocol）

TFTP：簡單文件傳輸協(xié)議（TrivialFileTransferProtocol）

6

GB/TXXXXX.1—XXXX

URL：統(tǒng)一資源定位器（UniformResourceLocator）

VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）

VNI：網(wǎng)絡(luò)標(biāo)識符（VXLANNetworkIdentifier）

VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork）

VXLAN：虛擬可擴(kuò)展的局域網(wǎng)（VirtualeXtensibleLocalAreaNetwork）

5功能性

網(wǎng)絡(luò)環(huán)境

5.1.1IPv6網(wǎng)絡(luò)環(huán)境

設(shè)備應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境中正常工作，包括：

a)設(shè)備應(yīng)支持在IPv6組網(wǎng)環(huán)境，以及IPv6-IPv4混合組網(wǎng)環(huán)境下正常工作，能有效提供安全功能

并保障自身的安全性；

b)設(shè)備應(yīng)支持全功能的IPv6協(xié)議棧，以保證防火墻設(shè)備可以作為全功能的IPv6網(wǎng)元、IPv6網(wǎng)

關(guān)、接入網(wǎng)絡(luò)正常組網(wǎng)；

c)設(shè)備宜支持的IPv6協(xié)議包括但不限于IPv6核心協(xié)議、IPv6NDP協(xié)議、IPv6Autoconfig協(xié)議、

ICMPv6協(xié)議、DHCPv6協(xié)議、DNSv6協(xié)議等。

5.1.2IPv4-IPv6混合網(wǎng)絡(luò)環(huán)境

設(shè)備應(yīng)支持在以下一種或多種IPv6過渡網(wǎng)絡(luò)環(huán)境下工作，并可作為IPv4與IPv6網(wǎng)絡(luò)之間的網(wǎng)關(guān)，實

現(xiàn)下列功能：

a)IPv6/IPv4雙協(xié)議棧功能：設(shè)備在同一網(wǎng)絡(luò)中同時支持IPv4和IPv6協(xié)議。設(shè)備通過維護(hù)IPv6

和IPv4兩套路由協(xié)議棧使設(shè)備既能與IPv4主機(jī)，也能與IPv6主機(jī)通信，分別支持獨立的IPv6

和IPv4路由協(xié)議；