首页   当前位置:全部素材 > 规范图集 > 国家规范

GB/T20281-2015信息安全技术防火墙安全技术要求和测试评价方法1范围本标准规定了防火墙的安全技术要求、测试评价方法及安全等级划分。本标准适用于防火墙的设计、开发与测试。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T25069一2010信息安全技术术语3术语和定义GB/T25069一2010界定的以及下列术语和定义适用于本文件。3.1防火墙firewall部署于不同安全域之间,具备网络层访问控制及过滤功能,并具备应用层协议分析、控制及内容检测等功能,能够适用于IPv4、IPv6等不同的网络环境的安全网关产品。3.2深度包检测deep packet inspection基于应用层的流量检测和控制技术,通过读取P包载荷的内容并对应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的策略对内容进行相应处置。3.3深度内容检测deep content inspection能够对应用协议进行深人解析,识别出协议中的各种要素(如http协议,可具体解析到如cookie、Gt参数、Post表单等)以及协议所承载的业务内容(如业务系统交互中包含在协议或文件中的数据内容),并对这些数据进行快速的解析,以还原其原始通信的信息。根据这些解析后的原始信息,可以检测其是否包含威胁以及敏感内容。3.4SQL注入SQL injection把SQL命令插人到wb表单递交或者页面请求的参数中,以达到欺骗服务器执行恶意SQL命令的目的。3.5跨站脚本cross site scripting恶意攻击者往web页面里插人恶意HTML代码,当用户浏览该页面时,嵌人web页面里面的HTML代码会被执行,从而达到恶意攻击用户的目的。1罚素村网Z.Z沁.E1
GB/T20281-20154缩略语下列缩略语适用于本文件。DPI:深度包检测(Deep packet inspection)DCI:深度内容检测(Deep content inspection)SQL:结构化查询语言(Structured Query Language)XSS:跨站脚本(Cross Site Scripting)5防火墙描述防火墙的目的是在不同的安全域之闻立安全控制点,根据预先定义的访问控制策略和安全防护策略,解析和过滤经过防火墙的数据流,实现向被保护的安全域提供访问可控的服务请求。此外,适用于下一代互联网网络环境的防火墙的协议栈除支持IPv4技术外,还能够支持IPv6、IPv4/IPv6过渡技术。防火墙保护的资产是受安全策略保护的网络服务和资源等,此外,防火墙本身及其内部的重要数据也是受保护的资产。防火墙通常以路由模式或透明模式运行,且一般将网络划分为若干个安全域,通过安全策略实现对不同安全域间服务和访问的审计和控制。图1是防火墙的一个典型运行环境。它将网络分为内部网络、外部网络和DMZ三个区域。内部网络是一个可信区域,外部网络是一个不可信区域,DMZ中的服务器可以向外部网络和内部网络用户提供应用服务。J.NEDMZ区外部网络防火墙内部网络图1防火墙典型运行环境6安全技术要求6.1总体说明6.1.1要求分类本标准将防火墙安全技术要求分为安全功能、安全保证、环境适应性和性能要求四个大类。其中,2莲素衬网Z.ZS心
GB/T20281-2015安全功能要求是对防火墙应具备的安全功能提出具体要求,包括网络层控制、应用层控制和安全运维管理,安全保证要求针对防火墙的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发和指导性文档等,环境适应性要求是对防火墙的部署模式和应用环境提出具体的要求,性能要求则是对防火墙应达到的性能指标作出规定,包括吞吐量、延迟、最大并发连接数和最大连接速率。6.1.2安全等级本标准按照防火墙安全功能的强度划分安全功能要求的级别,按照GB/T18336.3一2008划分安全保证要求的级别。安全等级分为基本级和增强级,如表1、表2所示。安全功能强弱和安全保证要求高低是等级划分的具体依据。安全等级突出安全特性,环境适应性要求和性能要求不作为等级划分依据。其中,达到基本级要求的产品安全保证要求内容对应GB/T18336.3一2008的EAL2级,推荐使用在安全保护等级为第一、二级的信息系统中,达到增强级要求的产品安全保证要求内容对应GB/T18336.3一2008的EAL4十级,推荐使用在安全保护等级为第三、四级的信息系统中。与基本级内容相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。表1安全功能要求等级划分表安全功能基本级增强级包过滤NAT状态检网JL.U?C.NE策路路由动态开放端率标P/MAC地址绑定网络层控制流量统计带宽管理流量会话管理连接数控制会话管理抗拒绝服务攻击网络扫描防护用户管控应用协议控制应用层控制应用内容控制恶意代码防护应用攻击防护3Z.ZC.ET
GB/T20281-2015a)应支持双向NAT:SNAT和DNAT:b)SNAT应至少可实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源P地址被转换,c)DNAT应至少可实现“一对多”地址转换,将DMZ的IP地址/端映射为外部网络合法IP地址/端,使外部网络主机通过访问映射地址和端实现对DMZ服务器的访问。6.2.1.1.3状态检测防火墙应具备状态检测功能,支持基于状态检测技术的访问控制。6.2.1.1.4策略路由具有多个相同属性网络接(多个外部网络接、多个内部网络接或多个DMZ网络接)的防火墙应具备基于源、目的IP策略路由功能。6.2.1.1.5动态开放端防火墙应具备动态开放端功能,支持主动模式和被动模式的FTP。6.2.1.1.6P/MAC地址绑定防火墙应支持自动或管理员手工绑定IP/MAC地址;应能够检测IP地址盗用,拦截盗用IP地址的主机经过防火墙的各种访问。6.2.1.1.7流量会话管理6.2.1.1.7.1流量统计防火墙应具备流量统计功能:)能够通过P地址、网络服务、时间和协议类型等参数或它们的组合对流量进行正确的统计;b)能够实时或者以报表形式输出流量统计结果。6.2.1.1.7.2连接数控制防火墙应能够设置单P的最大并发会话数,防止大量非法连接产生时影响网络的性能。6.2.1.1.8抗拒绝服务攻击防火墙应具有抗拒绝服务攻击的能力,具体技术要求如下:a)ICMP Flood攻击;b)UDP Flood攻击;c)SYN Flood攻击,d)TearDrop攻击;e)Land攻击;fD超大ICMP数据攻击。6.2.1.1.9网络扫描防护防火墙应能够检测和记录扫描行为,包括对防火墙自身和受保护网络的扫描。6理筑素衬网Z.Z沁.ET
评星:
  • 0
  • 0

作品评论(0)

登录 后参与讨论
相关推荐:
本站所有资源由用户上传,仅供学习和交流之用;未经授权,禁止商用,否则产生的一切后果将由您自己承担!素材版权归原作者所有,如有侵权请立即与我们联系,我们将及时删除
浏览:236 次数:3
下载:免费下载 收藏:0
等级:
编号:210134 6
文件格式:pdf文本
文件大小:2.70MB
投稿:1001 进入
上传时间:2022/8/26 10:02:55
如有侵权请联系删除

您可能在找这些:

网站首页 典尚平台 建筑素材 三维模型 室内装修 视频素材网 上传教程 帮助中心 热门搜索 版权申明 关于我们 联系典尚

Copyright © 2000-2020 www.jzsc.net.粤ICP备07047611号 All Rights Reserved.

客服QQ:609470690 客服电话:0755-83549300 深圳市典尚风设计有限公司

Copyright© 2016典尚平台 JZSC.NET

网站推荐使用腾讯、Chrome浏览器浏览,不推荐360,很卡

粤公网安备 44030302000908号

QQ咨询
推广分享
×
复制本页url网址

推广详情

如您已登录,分享网址将自动加载您的推广编号,您将获得2元/注册用户的奖励。

推广记录  积分记录

网站首页
回顶部