书签 分享 收藏 举报 版权申诉 / 20

类型GA-T 1177-2014 公共安全行业第二代防火墙标准正式版.pdf

  • 上传人:max1024
  • 文档编号:100758134
  • 上传时间:2023-07-23
  • 格式:PDF
  • 页数:20
  • 大小:1.11MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    GA-T 1177-2014 公共安全行业第二代防火墙标准正式版 GA 1177 2014 公共安全 行业 第二代 防火墙 标准 正式版
    资源描述:
    书 书 书犐 犆犛 犃 中华人民共和国公共安全行业标准犌犃犜 信息安全技术第二代防火墙安全技术要求犐 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 狅 犾 狅 犵 狔犛 犲 犮 狌 狉 犻 狋 狔狋 犲 犮 犺 狀 犻 狇 狌 犲狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犳 狅 狉狋 犺 犲狊 犲 犮 狅 狀 犱犵 犲 狀 犲 狉 犪 狋 犻 狅 狀犳 犻 狉 犲狑犪 犾 犾狆 狉 狅 犱 狌 犮 狋 狊 发布 实施中华人民共和国公安部发 布书 书 书目次前言范围规范性引用文件术语和定义缩略语安全技术要求 总体说明 安全功能要求 安全保证要求 环境适应性要求 性能要求犌犃犜 前言本标准按照 给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会提出并归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、深圳市深信服电子科技有限公司、网神信息技术(北京)股份有限公司、北京神州绿盟信息安全科技股份有限公司、网御星云信息技术有限公司、启明星辰信息技术有限公司。本标准主要起草人:邹春明、俞优、宋好好、陆臻、顾健、李焕波、王帆、王刚、段继平、冯涛、黄涛。犌犃犜 信息安全技术第二代防火墙安全技术要求范围本标准规定了第二代防火墙产品的安全功能要求、安全保证要求、环境适应性要求、性能要求和安全等级划分。本标准适用于第二代防火墙产品的设计、开发和测试。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。计算机信息系统安全保护划分准则 信息技术安全技术信息技术安全性评估准则第部分:安全保证要求 信息安全技术防火墙技术要求和测试评价方法 信息安全技术术语术语和定义 、和 界定的以及下列术语和定义适用于本文件。第一代防火墙犳 犻 狉 犲 狑犪 犾 犾一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,具备包过滤、网络地址转换()、状态检测等安全功能。第二代防火墙狋 犺 犲狊 犲 犮 狅 狀 犱犵 犲 狀 犲 狉 犪 狋 犻 狅 狀犳 犻 狉 犲 狑犪 犾 犾除具备第一代防火墙基本功能之外,还具有应用流量识别、应用层访问控制、应用层安全防护、用户控制、深度内容检测、高性能等特征的控制的系统。深度内容检测犱 犲 犲 狆犮 狅 狀 狋 犲 狀 狋犻 狀 狊 狆 犲 犮 狋 犻 狅 狀对应用协议进行深入解析,识别出协议中的各种要素(如,针对 协议,可具体解析到如 、参数、表单等内容)及协议所承载的业务内容(如,业务系统交互中包含在协议或文件中的数据内容),并对这些数据进行快速解析,以还原其原始通信的信息。根据解析后的原始信息,检测其中是否包含威胁以及敏感内容。犛犙犔注入犛犙犔犻 狀 犼 犲 犮 狋 犻 狅 狀把命令插入到 表单递交或者页面请求的参数中,以达到欺骗服务器执行恶意命令的目的。犌犃犜 跨站脚本犮 狉 狅 狊 狊狊 犻 狋 犲狊 犮 狉 犻 狆 狋 犻 狀 犵恶意攻击者往 页面里插入恶意代码,当用户浏览该页面时,嵌入 页面里面的代码会被执行,从而达到恶意攻击用户的目的。缩略语下列缩略语适用于本文件。:非军事区():目的网络地址转换():文件传输协议():超文本传输协议():网间控制报文协议():网际协议():互联网协议第四版():互联网协议第六版():介质访问控制():网络地址转换():对等网络():计算机编程语言():邮局协议():安全外壳协议():简单邮件传送协议():源网络地址转换():结构化查询语言():建立连接时使用的握手信号():传输控制协议():用户数据报协议():统一资源定位器():跨站脚本攻击()安全技术要求 总体说明 要求分类第二代防火墙技术要求分为安全功能、安全保证、环境适应性和性能要求四个大类。其中:)安全功能要求:针对第二代防火墙应具备的安全功能提出具体要求,包括网络层控制、应用层控制和安全运维管理;)安全保证要求:针对第二代防火墙的开发和使用过程提出具体要求,包括配置管理、交付和运行、开发和指南文件等;)环境适应性要求:针对第二代防火墙的部署模式和应用环境提出具体要求;)性能要求:针对第二代防火墙应达到的性能指标作出规定,包括应用层吞吐量、网络层吞吐量、延迟、最大新建连接速率和最大并发连接数。犌犃犜 安全等级划分按照第二代防火墙安全功能的强度划分安全功能要求的级别,按照 划分安全保证要求的级别。安全等级突出安全特性,环境适应性要求和性能要求不作为等级划分依据。依据安全功能的强弱和安全保证要求的高低将安全等级分为基本级和增强级。基本级与增强级的划分见表和表。表安全功能要求等级划分表安全功能基本级增强级网络层控制包过滤 )、)状态检测 )绑定 策略路由 )流量会话管理带宽管理 )流量统计 )连接数控制 会话管理 抗拒绝服务攻击 )应用层控制应用协议访问控制 )应用内容访问控制 )用户管控 入侵防御 )恶意代码防护 攻击防护 信息泄露防护 安全运维管理运维管理管理安全 )管理方式 )管理能力 )安全审计记录事件类型 )日志内容 日志管理 报警 安全管理管理接口独立 安全支撑系统 异常处理机制 高可靠性 )升级 注:“”表示无此要求。犌犃犜 表安全保证要求等级划分表安全保证基本级增强级配置管理部分配置管理自动化 配置管理能力版本号 配置项 授权控制 产生支持和接受程序 配置管理范围配置管理覆盖 问题跟踪配置管理覆盖 交付与运行交付程序 修改检测 安装、生成和启动程序 开发功能规范非形式化功能规范 充分定义的外部接口 高层设计描述性高层设计 安全加强的高层设计 安全功能实现的子集 描述性低层设计 非形式化对应性证实 非形式化产品安全策略模型 指导性文档管理员指南 用户指南 生命周期支持安全措施标识 开发者定义的生命周期模型 明确定义的开发工具 测试测试覆盖覆盖证据 覆盖分析 测试:高层设计 功能测试 独立测试一致性 抽样 脆弱性评定误用指南审查 分析确认 产品安全功能强度评估 脆弱性分析开发者脆弱性分析 独立的脆弱性分析 中级抵抗力 注:“”表示无此要求。犌犃犜 安全功能要求 网络层控制 包过滤第二代防火墙应具备包过滤功能,安全策略应:)采用最小安全原则,即除非明确允许,否则就禁止;)包含基于源 地址、目的 地址的访问控制;)包含基于源端口、目的端口的访问控制;)包含基于传输层协议类型的访问控制;)包含基于地址的访问控制;)包含基于时间的访问控制;)支持用户自定义,可以是以上条件的部分或全部组合。状态检测第二代防火墙应具备状态检测功能,支持基于状态检测技术的访问控制。犖犃犜第二代防火墙应具备功能,具体技术要求如下:)支持双向:和;)至少可实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源 地址被转换;)至少可实现“一对多”地址转换,将的 地址端口映射为外部网络 地址端口,使外部网络的主机通过访问映射地址和端口实现对服务器的访问;)支持动态技术,实现“多对多”的。犐 犘犕犃犆绑定第二代防火墙应支持自动或管理员手工绑定 地址,当主机的 地址、地址与 绑定表中不一致时,阻止其通过防火墙。策略路由具有多个相同属性的网络接口(即多个外部网络接口、多个内部网络接口或多个网络接口)的防火墙应具备策略路由功能,具体技术要求如下:)基于源、目的 的策略路由;)基于协议、端口或应用的策略路由;)基于多链路情况(如最小延时、最大带宽或最少跳数等)进行最优路由的自动选择。流量会话管理 带宽管理第二代防火墙应具备带宽管理功能,具体技术要求如下:)能够根据用户用户组、地址、应用类型,配置最大带宽、保障带宽的参数,划分带宽优先级;)能够支持基于时间段的带宽策略配置。犌犃犜 流量统计第二代防火墙应具备以下流量统计功能:)通过 地址、服务类型、时间和协议类型等参数进行流量统计;)根据应用类型、用户等参数对流量进行统计;)实时或以报表形式输出流量统计结果;)按照时间段、用户、应用类型等多条件组合进行流量统计;)根据网站类型进行流量统计;)按照时间段、用户、应用类型、网站类型等多条件组合进行流量统计。连接数控制第二代防火墙应能够限制单 的最大会话数,防止大量非法连接产生时,影响网络性能。会话管理第二代防火墙应能够在会话处于非活跃状态或会话结束后,终止网络连接。抗拒绝服务攻击第二代防火墙具有抗拒绝服务攻击的能力,包括但不限于:)洪水攻击、洪水攻击、洪水攻击、超大 数据包攻击;)攻击、攻击、攻击、攻击。应用层控制 应用协议访问控制第二代防火墙应能够基于应用层协议分析识别各种应用协议并进行控制,应用协议识别库不低于 种,包括但不限于:)、等常见应用,如文件下载内容提交,上传下载等;)即时消息、应用、网络流媒体、网络游戏、股票软件;)动态开放端口的应用识别;)采用隧道加密技术的应用,如翻墙软件或加密代理等;)自定义应用类型的识别。应用内容访问控制第二代防火墙应能够支持基于应用内容的访问控制策略,具体技术要求如下:)安全策略包含基于的访问控制,并可针对网站类型进行分类过滤,如成人类,赌博类,娱乐类等;)具备恶意网站过滤的功能,并支持自定义恶意网站;)安全策略包含基于文件类型的访问控制,并可基于文件类型进行下载过滤。包括、邮件附件等;)能够对进出网络的信息内容进行过滤,实现对应用层、和 等协议命令级的控制。犌犃犜 用户管控第二代防火墙应具备内网用户管理与识别的功能,应支持:)基于用户名密码的本地认证方式;)、等第三方认证服务器对用户身份进行鉴别;)基于用户用户组进行访问控制。入侵防御第二代防火墙应具备入侵防御功能,能够检测并抵御的攻击类型包括但不限于:)操作系统类、浏览器、控件、服务器、文件类、服务器、虚拟化平台软件等漏洞攻击;)地址及端口扫描行为;)网络漏洞扫描行为;)恶意软件攻击,如冰河、僵尸网络等;)能够抵御通用服务的口令暴力破解,如、数据库等口令破解。恶意代码防护第二代防火墙应具有恶意代码检测功能,具体技术要求如下:)支持恶意代码检测,如蠕虫病毒、后门木马、间谍软件等;)支持检测并拦截、电子邮件等协议所携带的恶意代码。犠犈犅攻击防护第二代防火墙应具备攻击防护的能力,支持:)注入攻击检测与防护,并支持 编码的注入攻击检测与防护;)攻击检测与防护;)对常见的 服务器环境 入侵的脚本攻击工具()的拦截,包含、等。信息泄露防护第二代防火墙应具备对流出的信息流进行检测,防止敏感信息泄露,应支持基于:)关键词对流出防火墙的数据流进行过滤,如 上传、外发邮件主题及正文等;)文件类型对流出防火墙的数据流进行过滤,如 上传、上传、外发邮件的附件等。安全运维管理 运维管理 管理安全第二代防火墙应具备管理安全功能,具体技术要求如下:)支持对授权管理员的口令鉴别方式,且口令设置满足安全要求;)在所有授权管理员、可信主机、主机和用户请求执行任何操作之前,对每个授权管理员、可信主机、主机和用户进行唯一的身份识别;)具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;犌犃犜 )对管理员进行分权,可给不同的管理员分配不同的权限;)对同一授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别。管理方式第二代防火墙应具备多种管理方式,具体技术要求如下:)支持通过 端口进行本地管理;)支持通过网络接口进行远程管理,并能够限定可进行远程管理的网络接口和可管理的 地址;)支持通过协议对防火墙状态进行监测,监测内容应包括、内存使用率,防火墙接口状态;)远程管理过程中,管理端与第二代防火墙之间的所有通讯数据应保密传输。管理能力第二代防火墙应具备一定的管理能力,具体技术要求如下:)向授权管理员提供设置和修改安全管理相关的数据参数的功能;)向授权管理员提供设置、查询和修改各种安全策略的功能;)向授权管理员提供管理审计日志的功能;)能够为管理员提示风险,如入侵事件和恶意代码事件剧增,网络流量、连接数异常等;)能够根据安全风险的情况自动生成针对性的
    展开阅读全文
    提示  文档分享网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:GA-T 1177-2014 公共安全行业第二代防火墙标准正式版.pdf
    链接地址:https://www.wdfxw.net/doc100758134.htm
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    版权所有:www.WDFXW.net 

    鲁ICP备09066343号-25 




    收起
    展开