国家标准 GB/T20281一2020 代替GB/T20010-2005,GB/T20281一2015,GB/T31505-2015和GBT32917一2016 信息安全技术防火墙安全技术要求和测试评价方法 Informationseeuritytechnology一Seeuritytechniealrequirementsand testingassessmemtapproachesforirewall 2020-04-28发布 2020-11-01实施国家市场监督管理总局发布国家标涯花管理委员会国家标准
GB/T20281一2020 目次前言范围 2 规范性引用文件 3 术语和定义缩略语概述安全技术要求 6.1安全功能要求 6.2 自身安全要求 6.3性能要求 6.4安全保障要求测评方法 7.1测评环境 7.2安全功能测评 15 自身安全测评 7.3 31 7.!性能测评 33 7.5安全保障测评 36 附录A(规范性附录)防火墙分类及安全技术要求等级划分 12 A.1概述 A.2网络型防火墙 12 A.3wEB应用防火墙 A.4数据库防火墙 45 A.5主机型防火墙附录B规范性附录防火墙分类及测评方法等级划分 49 B.1概述 49 B.2网络型防火墙 49 B.3wEB应用防火墙 51 B4！数据库防火墙 52 54 B.5主机型防火墙
GB/T20281一2020 前言本标准按照GB/T1.1一2009给出的规则起草本标准代替GB/T20010-2005《信息安全技术包过滤防火端评估准则》,GB/T20281一2015《信息安全技术防火墙安全技术要求和测试评价方法》,GB/T31505一2015《信息安全技术主机型防火墙安全技术要求和测试评价方法》,GB/T32917一2016《信息安全技术wEB应用防火墙安全技术要求与测试评价方法》本标准以GB/T20281一2015为主,整合了GB/T200102005,GB/T31505 2015和GB/T32917一2016的部分内容,与GB/T20281一2015相比,除编辑性修改外主要技术变化如下 -增加了网络型防火墙、数据库防火墙、WEB应用防火墙和主机型防火墙的定义(见第3章) 修改了概述(见第5章,2015年版的第5章); 增加了“设备虚拟化”要求(见6.1.1.4) 修改了"应用内菩捡制"的要求(见nl.3.3.205版的8212.6.3.1.2) 增加了“攻击防护”的要求(见6.1.4); 增加了“安全审计与分析”的要求(见6.1.5) 增加了“混合应用层吞肚量"“HTTP吞吐量”“HTTP请求速迷率"“sQL请求速率"“HTTP并发连接数”“SQL并发连接数”性能要求(见6.3.1.2、6.3.1.3、6.3.3.2、6.3.3.3、6.3.4.2、6.3.4.3); 增加了规范性附录(见附录A、附录B) 请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(sAc/Tc26o)提出并归口本标准起草单位;公安部第三研究所、,奇安信科技集团股份有限公司、北京天融信网络安全技术有限公司、,网神信息技术(北京)股份有限公司、北京神州绿盟科技有限公司、杭州美创科技有限公司、北京网康科技有限公司、信息安全研究院有限公司,电子技术标准化研究院、网络安全审查技术与认证中心、信息安全测评中心、国家计算机网络与信息安全管理中心,北京安华金和科技有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司沈阳东软系统集成工程有限公司、新华三技术有限公司、蓝盾信息安全技术股份有限公司、北京中安星云软件技术有限公司、上海上讯信息技术股份有限公司本标准主要起草人;俞优、王志佳、邹春明、陆臻、沈亮、陆磊、顾健,吴云坤,熊瑛,雷晓锋,叶晓虎、周杰、王伟、陈华平吴亚东、谢建业、王猛、堪德俊、潘云、申永波、杨晨、王晖本标准所代替标准的历次版本发布情况为: GB/T200102005; GB/T20281一2006,GB/T20281一2015; GB/T31505一2015; GB/T32917一2016.
GB/T20281一2020 信息安全技术防火墙安全技术要求和测试评价方法范围本标准规定了防火墙的等级划分,安全技术要求及测评方法本标准适用于防火墙的设计、开发与测试规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18336.32015信息技术安全技术信息技术安全评估准则第3部分;安全保障组件 GB/T250692010信息安全技术术语术语和定义 GB/T25069-2010界定的以及下列术语和定义适用于本文件 3.1 防火墙firewall 对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品注，根据安全目的,实现原理的不同,通常可分为网络型防火墙,wEB应用防火墙、数据库防火墙和主机型防火墙等 3.2 network-basedfirewall 网络型防火墙部署于不同安全域之间,对经过的数据流进行解析,具备网络层、应用层访问控制及安全防护功能的网络安全产品 3.3 wEB应用防火墙webapplieatonfirewal 部署于wEB服务器前端,对流经的HTTP/HTTPs访问和响应数据进行解析,具备wEB应用的访问控制及安全防护功能的网络安全产品 3.4 databasefirewall 数据库防火墙部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品 3.5 host-basedfirewall 主机型防火墙部署于计算机(包括个人计算机和服务器)上,提供网络层访问控制应用程序访问限制和攻击防护功能的网络安全产品
GB/T20281一2020 3.6 反向代理 reverseproy 作为服务器端的代理使用,代替服务器接受来自客户端的请求,然后将请求转发给内部服务器,并将从服务器上得到的结果返回给请求客户端的一种部署模式 3.7 拖库攻击dregattack 通过非授权获得数据库访问或数据库所在操作系统的权限,批量下载数据库中数据或数据库数据文件的恶意行为 3.8 accountcredentialenumerationattack 撞库攻击批量尝试碰撞数据库数据的恶意行为注:如通过收集已泄露、已知的用户和密码信息,生成对应的字典表,并以此批量尝试登录其他的应用系统缩略语下列缩略语适用于本文件 Protocol BGP;边界网关协议(BorderGateway CSRF;跨站请求伪造(Cross-siterequestforgery DMZ非军事化区(DemilitarizedZone estinationNAT DNAT:目的网络地址转换(De F:TP:文件传输协议(FileTransferProtocol HTTP;超文本传输协议(HlypertextTransferProtocol textTransferProtocoloverSecureSocket HTTPS;安全超文本传输协议(Hypert tLayem) ternetControlMes ProtocolD ICMP:网间控制报文协议(Int essages nternetMailAccessProtocol IMAP;互联网邮件访问协议(Int IP:网际协议(InternetProtocol) IPV6互联网协议第六版(InternetProtocolV6) TumnelAddressing" ProtocolD ISATAP:站内自动隧道寻址协议(Intra-SiteAutomatie MAC;介质访问控制MediaAecessControl) NAT:网络地址转换(NetworkAddressTranslation) NTP:网络时间协议(NetworkTimeProtocol OSPF;开放式最短路径优先(OpenShortestPathFirst) P2P:对等网络(Peer-topeer RIP;路由信息协议(RoutingInformationProtocol SNAT:源网络地址转换(SourceNAT SNMP:简单网络管理协议(SimpleNetworkManagementProtocol sQL;结构化查询语言(StructuredQueryLanguage SYSLOG;系统日志(SystemLog URL;统一资源定位器(UniformResoureLocator) wEB:万维网(worldwidewEB xSs;跨站脚本(CrossSiteScripting)
GB/T20281一2020 概述防火墙是作用于不同安全域之间,具备访问控制及安全防护功能的网络安全产品,主要分为网络型防火墙、wEB应用防火墙、数据库防火墙、主机型防火墙或其组合防火墙的安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类其中,安全功能要求对防火墙应具备的安全功能提出具体要求,包括组网与部署、网络层控制,应用层控制,攻击防护和安全审计与分析;自身安全要求针对防火墙的自身安全提出具体的要求,包括身份标识与鉴别管理能力、管理审计、管理方式和安全支撑系统;性能要求则是对防火墙应达到的性能指标作出规定,包括吞吐量、延迟、连接速率和并发连接数;安全保障要求针对防火墙的生命周期过程提出具体要求,包括开发、指导性文档、生命周期支持,测试和脆弱性评定防火墙的等级分为基本级和增强级,安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体依据,等级突出安全特性其中,基本级产品的安全保障要求内容对应GB/T18336.3 2015的EAL2级,增强级产品的安全保障要求内容对应GB/T18336.3一2015的EAL4十级各类防火墙(简称“产品”)的具体安全技术要求和等级划分详见附录A,测评方法及等级划分详见附录B. 安全技术要求 6.1安全功能要求 6.1.1组网与部署 6.1.1.1部署模式产品应支持以下部署模式透明传输模式; a b 路由转发模式; 反向代理模式 c 6.1.1.2路由 6.1.1.2.1静态路由产品应支持静态路由功能,且能配置静态路由 6.1.1.2.2策略路由具有多个相同属性网络接口(多个外部网络接口,多个内部网络接口或多个DMZ网络接口)的产品,应支持策略路由功能,包括但不限于基于源、目的IP策略路由; a 基于接口的策略路由; b 基于协议和端口的策略路由; c d 基于应用类型的策略路由; 基于多链路负载情况自动选择路由 6.1.1.2.3动态路由产品应支持动态路由功能,包括RIP,OSPF或BGP中一种或多种动态路由协议
GB/T20281一2020 6.1.1.3高可用性 6.1.1.3.1冗余部署产品应支持“主-备”“主-主”或“集群”中的一种或多种冗余部署模式 6.1.1.3.2负载均衡产品应支持负载均衡功能,能根据安全策略将网络流量均衡到多台服务器上 6.1.1.4设备虚拟化(可选 6.1.1.4.1虚拟系统若产品支持在逻辑上划分为多个虚拟子系统,虚拟子系统间应支持隔离和独立管理,包括但不限于对虚拟子系统分别设置管理员,实现针对虚拟子系统的管理配置 a b 虚拟子系统能分别维护路由表、安全策略和日志系统对虚拟子系统的资源使用配额逃行限制 c 6.1.1.4.2虚拟化部署若产品为虚拟化形态,应支持部署于虚拟化平台,并接受平台统一管理,包括但不限于支持部署于一种虚拟化平台,如VMwareEsXi,KVM.,Citrixxenserver和Hyper-V等 a 结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源 b) 结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新、替换 c 6.1.1.5IPv6支持(可选 6.1.1.5.1支持v6网络环境若产品支持IPv6,应支持在IPv6网络环境下正常工作,能有效运行其安全功能和自身安全功能 6.1.1.5.2协议一致性若产品支持IPv6,应满足IPv6协议一致性的要求,至少包括IPv6核心协议、,IPv6NDP协议,IPv6 Autoconfig协议和ICMPv6协议 6.1.1.5.3协议健壮性若产品支持IPv6,应满足IPv6协议健壮性的要求,抵御IPv6网络环境下畸形协议报文攻击 6.1.1.5.4支持IP6过渡网络环境若产品支持IPv6,应支持在以下一种或多种IPv6过渡网络环境下工作协议转换,将IPv4和IPv6两种协议相互转换， a b)隧道,将IPv6封装在IPv4中穿越IPv4网络,如IPv6overIPv4、IPv6toIPv4、ISATAP等
GB/T20281一2020 6.1.2网络层控制 6.1.2.1 访问控制 6.1.2.1.1包过滤产品的包过滤功能要求如下安全策略应使用最小安全原则,即除非明确允许,否则就禁止; a b 安全策略应包含基于源IP地址、目的IP地址的访问控制 c 安全策略应包含基于源端口、目的端口的访问控制 d 安全策略应包含基于协议类型的访问控制安全策略应包含基于MAC地址的访问控制安全策略应包含基于时间的访问控制应支持用户自定义的安全策略,安全策略包括MAC地址、IP地址、端口、协议类型和时间的部 g 分或全部组合 6.1.2.1.2网络地址转换产品的网络地址转换功能要求如下支持sNAT和DNAT; a SNAT应实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源P地址被转换; b DNAT应实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地址/端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问; 支持动态sNAT技术,实现“多对多”的sNAT d 6.1.2.1.3状态检测产品应支持基于状态检测技术的包过滤功能,具备状态检测能力 6.1.2.1.4动态开放端口产品应支持协议的动态端口开放,包括但不限于 a)FTP协议 b)H.323等音视频协议 6.1.2.1.5IP/NAC地址绑定产品应支持自动或手工绑定IP/MAC地址,当主机的IP地址、,MAC地址与IP/MAC绑定表中不 -致时,阻止其流量通过 6.1.2.2流量管理 6.1.2.2.1带宽管理产品应支持带宽管理功能,能根据策略调整客户端占用的带宽,包括但不限于: 根据源IP、目的IP,应用类型和时间段的流量速率或总额进行限制 a b 根据源IP、目的P应用类型和时间段设置保障带宽; 在网络空闲时自动解除流量限制,并在总带宽占用率超过阔值时自动启用限制
GB/T20281一2020 6.1.2.2.2连接数控制产品应支持限制单IP的最大并发会话数和新建连接速率,防止大量非法连接产生时影响网络性能 6.1.2.2.3会话管理在会话处于非活跃状态一定时间或会话结束后,产品应终止会话 6.1.3应用层控制 6.1.3.1 用户管控产品应支持基于用户认证的网络访问控制功能,包括但不限于本地用户认证方式; a) b)结合第三方认证系统,如基于Radius,LDAP服务器的认证方式 6.1.3.2应用类型控制产品应支持根据应用特征识别并控制各种应用类型,包括 HTTP协议 a) b 数据库协议; F:TPTELNET,SMTP,P(oP3和IMAP等常见协议; c 即时聊天类P2P类,网络流媒体类、网络游戏.股票交易类等应用 d 逃逸或隧道加密特点的应用,如加密代理类应用 e f 自定义应用 6.1.3.3应用内容控制 6.1.3.3.1wEB应用产品应支持基于以下内容对wEB应用的访问进行控制包括但不限于 URL网址.并具备分类网址库 a b) HTTP传输内容的关键字; HTTP请求方式,包括GET、,POST、,PUT,HEAD等 c HTTP请求文件类型 d HTTP协议头中各字段长度,包括general-header,request-header,response-header等; HTTP上传文件类型; fD) HTTP请求频率日 HTTP返回的响应内容,如服务器返回的出错信息等; h) 支持HTTPS流量解密 D 6.1.3.3.2数据库应用产品应支持基于以下内容对数据库的访问进行控制,包括但不限于: 访问数据库的应用程序、运维工具 a b 数据库用户名、数据库名、数据表名和数据字段名 sQL语句关键字、数据库返回内容关键字 c d 影响行数、返回行数
GB/T20281一2020 6.1.3.3.3其他应用产品应支持基于以下内容对FTP、TELNET、SMTP,POP3和IMAP等应用进行控制,包括但不限于: 传输文件类型; aa 5 传输内容,如协议命令或关键字 6.1.4攻击防护 6.1.4.1拒绝服务攻击防护产品具备特征库,应支持拒绝服务攻击防护功能,包括但不限于: 1CMPFlood攻击防护 a b)UDPFlood攻击防护; sYNFlood攻击防护 c TearDrop攻击防护; d Land攻击防护; e PingofDeath攻击防护; CC攻击防护 g 6.1.4.2wEB攻击防护产品具备特征库,应支持wWEB攻击防护功能,包括但不限于 sQL注人攻击防护; b XSS攻击防护; 第三方组件漏洞攻击防护; c d 目录遍历攻击防护; Cookie注人攻击防护 e CSRF攻击防护; 文件包含攻击防护; g h)盗链防护 OS命令注人攻击防护; j wEBshel识别和拦截; k) 反序列化攻击防护 6.1.4.3数据库攻击防护产品具备特征库,应支持数据库攻击防护功能,包括但不限于数据库漏洞攻击防护; a 异常sQL语句阻断 b 数据库拖库攻击防护; c d)数据库撞库攻击防护 6.1.4.4恶意代码防护产品具备特征库,应支持恶意代码防护功能,包括但不限于能拦截典型的木马攻击行为; a
GB/T20281一2020 b 检测并拦截被HTTP网页和电子邮件等携带的恶意代码 6.1.4.5其他应用攻击防护产品具备特征库,应支持防护来自应用层的其他攻击,包括但不限于操作系统类漏洞攻击防护; a b) 中间件类漏洞攻击防护; 控件类漏洞攻击防护 c 6.1.4.6自动化工具威胁防护产品具备特征库,应支持防护自动化工具发起的攻击,包括但不限于网络扫描行为防护; a b 应用扫描行为防护; 漏洞利用工具防护 c 6.1.4.7 攻击逃逸防护产品应支持检测并阻断经逃逸技术处理过的攻击行为 6.1.4.8外部系统协同防护产品应提供联动接口,能通过接口与其他网络安全产品进行联动,如执行其他网络安全产品下发的安全策略等 6.1.5安全审计,告警与统计 6.1.5.1安全审计产品应支持安全审计功能,包括但不限于记录事件类型 a 被产品安全策略匹配的访问请求; 检测到的攻击行为日志内容 b 事件发生的日期和时间 1) 事件发生的主体、客体和描述,其中数据包日志包括协议类型,源地址、目标地址、源端口和目标端口等; 攻击事件的描述 33 日志管理: 仅允许授权管理员访问日志,并提供日志查阅、导出等功能 1 22 能对审计事件按日期、时间、主体、客体等条件查询 3 日志存储于掉电非易失性存储介质中; ！日志存储周期设定不小于六个月; 存储空间达到阔值时,能通知授权管理员,并确保审计功能的正常运行 5 6 日志支持自动化备份至其他存储设备 6.1.5.2安全告警产品应支持对6.1.4中的攻击行为进行告警,并能对高频发生的相同告警事件进行合并告警,避免
GB/T20281一2020 出现告警风暴告警信息至少包括以下内容 a 事件主体; b 事件客体; 事件描述; c d 危害级别; 事件发生的日期和时间 e 6.1.5.3统计 6.1.5.3.1网络流量统计产品应支持以图形化界面展示网络流量情况,包括但不限于按照IP,时间段和协议类型等条件或以上条件组合对网络流量进行统计; b)实时或以报表形式输出统计结果 6.1.5.3.2应用流量统计产品应支持以图形化界面展示应用流量情况,包括但不限于按照P,时间段和应用类型等条件或以上条件组合对应用流量进行统计; a 以报表形式输出统计结果 b 对不同时间段的统计结果进行比对 6.1.5.3.3攻击事件统计产品应支持以图形化界面展示攻击事件情况,包括但不限于按照攻击事件类型,IP和时间段等条件或以上条件组合对攻击事件进行统计 aa 以报表形式输出统计结果 b) 6.2自身安全要求 6.2.1身份标识与鉴别产品的身份标识与鉴别安全要求包括但不限于对用户身份进行标识和鉴别,身份标识具有唯一性; a 对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储和传输过程中的保密性 b 具有登录失败处理功能,如限制连续的非法登录尝试次数等相关措施 c d 具有登录超时处理功能,当登录连接超时自动退出; 在采用基于口令的身份鉴别时,要求对用户设置的口令进行复杂度检查,确保用户口令满足定的复杂度要求; 当产品中存在默认口令时,提示用户对默认口令进行修改,以减少用户身份被冒用的风险应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别 g 6.2.2管理能力产品的管理能力安全要求包括但不限于: 向授权管理员提供设置和修改安全管理相关的数据参数的功能 aa b 向授权管理员提供设置,查询和修改各种安全策略的功能向授权管理员提供管理审计日志的功能 c d 支持更新自身系统的能力,包括对软件系统的升级以及各种特征库的升级
GB/T20281一2020 能从NTP服务器同步系统时间; e fD 支持通过sYSL.0G协议向日志服务器同步日志、告警等信息; 应区分管理员角色,能划分为系统管理员、安全操作员和安全审计员，三类管理员角色权限能 8 相互制约; h)提供安全策略有效性检查功能,如安全策略匹配情况检测等 6.2.3管理审计产品的管理审计安全要求包括但不限于 a 对用户账户的登录和注销、系统启动、重要配置变更、增加/删除/修改管理员、保存/删除审计日志等操作行为进行日志记录; b 对产品及其模块的异常状态进行告警,并记录日志; c 日志记录中包括如下内容:事件发生的日期和时间,事件的类型,事件主体,事件操作结果; d 仅允许授权管理员访同日志 6.2.4管理方式产品的管理方式安全要求包括但不限于; 支持通过console端口进行本地管理" a 支持通过网络接口进行远程管理,并能限定进行远程管理的P.MAC地址. b 远程管理过程中,管理端与产品之间的所有通信数据应非明文传输; c 支持sNMP网管协议方式的监控和管理; d 支持管理接口与业务接口分离 e 支持集中管理,通过集中管理平台实现监控运行状态、下发安全策略、升级系统版本、升级特征 f) 库版本 6.2.5安全支撑系统产品的支撑系统安全要求包括但不限于进行必要的裁剪,不提供多余的组件或网络服务 a 重启过程中,安全策略和日志信息不丢失 b) 不含已知中、高风险安全漏洞 c 6.3性能要求 6.3.1吞吐量 6.3.1.1网络层吞吐量硬件产品的网络层吞吐量视不同速率的产品有所不同,具体指标要求如下一对相应速率的端口应达到的双向吞吐率指标 a 对于64字节短包,百兆产品不小于线速的20%,千兆和万兆产品不小于线速的35% 1) 2) 对于512字节中长包,百兆产品不小于线速的70%,千兆和万兆产品不小于线速的80%; 33) 对于1518字节长包,百兆产品不小于线速的90%,千兆和万兆产品不小于线速的95%; b 针对高性能的万兆产品,对于1518字节长包,吞吐量至少达到80Gbit/s 6.3.1.2混合应用层吞吐量硬件产品的应用层吞吐量视不同速率的产品有所不同,开启应用攻击防护功能的情况下,具体指标 10
GB/T20281一2020 要求如下 a 百兆产品混合应用层吞吐量应不小于60Mbit/s b 千兆产品混合应用层吞吐量应不小于600Mbit/ S 万兆产品混合应用层吞吐量应不小于5Gbit/s;针对高性能的万兆产品,整机混合应用层吞吐 c 量至少达到20Gbit/ s 6.3.1.3IHTTP吞吐量硬件产品的HTTP吞吐量视不同速率的产品有所不同,开启wEB攻击防护功能的情况下,具体指标要求如下百兆产品应用层吞吐量应不小于80Mbit/s; a b)千兆产品应用层吞吐量应不小于800Mbit/s; 万兆产品应用层吞吐量应不小于6Gbit/s 6.3.2延迟硬件产品的延迟视不同速率的产品有所不同,一对相应速率端口的延迟具体指标要求如下对于64字节短包.512字节中长包、1518字节长包百兆产品的平均延迟不应超过5004s a 对于64字节短包、512字节中长包、1518字节长包,千兆、万兆产品的平均延迟不应超过 b 90!s 6.3.3连接速率 6.3.3.1ICP新建连接速率硬件产品的TCP新建连接速率视不同速率的产品有所不同,具体指标要求如下 d 百兆产品的TCP新建连接速率应不小于1500个/s; a b) 千兆产品的TCP新建连接速率应不小于5000个/s; 万兆产品的新建连接数速率应不小于50000个/s;针对高性能的万兆产品,整机新建连接数 c 速率应不小于250000个/s 6.3.3.2HHIP请求速率硬件产品的HTTP请求速率视不同速率的产品有所不同,具体指标要求如下百兆产品的HTTP请求速率应不小于800个/s; a b) 千兆产品的HTTP请求速率应不小于3000个/s; c 万兆产品的HTTP请求速率应不小于5000个/s 6.3.3.3sQL请求速率硬件产品的SQL请求速率视不同速率的产品有所不同,具体指标要求如下: 百兆产品的sQL请求速率应不小于2000个/s; aa 千兆产品的SQL请求速率应不小于10000个/s; b 万兆产品的sQL请求速率应不小于50000个/s 6.3.4并发连接数 6.3.4.1TCP并发连接数硬件产品的TCP并发连接数视不同速率的产品有所不同,具体指标要求如下 11
GB/T20281一2020 百兆产品的并发连接数应不小于50000个; a b 千兆产品的并发连接数应不小于200000个; c 万兆产品的并发连接数应不小于2000000个;针对高性能的万兆产品,整机并发连接数至少达到3000000个 6.3.4.2IHITP并发连接数硬件产品的HTTP并发连接数视不同速率的产品有所不同,具体指标要求如下百兆产品的HTTP并发连接数应不小于50000个; a b)千兆产品的HTTP并发连接数应不小于200000个 c 万兆产品的HTTP并发连接数应不小于2000000个 6.3.4.3sQL并发连接数硬件产品的sQL并发连接数视不同速率的产品有所不同,具体指标要求如下 a 百兆产品的sQL并发连接数应不小于800个; b千兆产品的sQL并发连接数应不小于2000个; c 万兆产品的SQL并发连接数应不小于4000个 6.4安全保障要求 6.4.1开发 6.4.1.1 安全架构开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求与产品设计文档中对安全功能的描述范围相一致; a b) 充分描述产品采取的自我保护、不可旁路的安全机制 6.4.1.2功能规范开发者应提供完备的功能规范说明,功能规范说明应满足以下要求: 根据产品类型清晰描述6.1、6.2中定义的安全功能 a b) 标识和描述产品所有安全功能接口的目的,使用方法及相关参数描述安全功能实施过程中,与安全功能接口相关的所有行为; c d 描述可能由安全功能接口的调用而引起的所有直接错误消息 6.4.1.3产品设计开发者应提供产品设计文档,产品设计文档应满足以下要求: 通过子系统描述产品结构,标识和描述产品安全功能的所有子系统,并描述子系统间的相互 a 作用: 提供子系统和安全功能接口间的对应关系; b 通过实现模块描述安全功能,标识和描述实现模块的目的、相关接口及返回值等,并描述实现模块间的相互作用及调用的接口; d 提供实现模块和子系统间的对应关系 6.4.1.4实现表示开发者应提供产品安全功能的实现表示,实现表示应满足以下要求 12
GB/T20281一2020 详细定义产品安全功能,包括软件代码、设计数据等实例 a b 提供实现表示与产品设计描述间的对应关系 6.4.2指导性文档 6.4.2.1 操作用户指南开发者应提供明确和合理的操作用户指南,对每一种用户角色的描述应满足以下要求描述用户能访问的功能和特权,包含适当的警示信息; a b)描述产品安全功能及接口的用户操作方法,包括配置参数的安全值等标识和描述产品运行的所有可能状态,包括操作导致的失败或者操作性错误; c d)描述实现产品安全目的必需执行的安全策略 6.4.2.2准备程序开发者应提供产品及其准备程序,准备程序描述应满足以下要求描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤 a 描述安全安装产品及其运打环境必需的所有步骤" b 6.4.3生命周期支持 6.4.3.1 配置管理能力开发者的配置管理能力应满足以下要求为产品的不同版本提供唯一的标识; aa b 使用配置管理系统对组成产品的所有配置项进行维护,并进行唯一标识; 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法; c 配置管理系统提供自动方式来支持产品的生成,通过自动化措施确保配置项仅接受授权变更 d 配置管理文档包括一个配置管理计划,描述用来接受修改过的或新建的作为产品组成部分的配置项的程序配置管理计划描述应描述如何使用配置管理系统开发产品,开发者实施的配置管理应与配置管理计划相一致 6.4.3.2配置管理范围开发者应提供产品配置项列表,并说明配置项的开发者配置项列表应包含以下内容产品及其组成部分,安全保障要求的评估证据; a b)实现表示,安全缺陷报告及其解决状态 6.4.3.3交付程序开发者应使用一定的交付程序交付产品,并将交付过程文档化在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序 6.4.3.4开发安全开发者应提供开发安全文档开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施 6.4.3.5生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文档 13
GB/T20281一2020 描述用于开发和维护产品的模型 6.4.3.6工具和技术开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义 6.4.4测试 6.4.4.1测试覆盖开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求 a) 表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性 b表明上述对应性是完备的,并证实功能规范中的所有安全功能接口都进行了测试 6.4.4.2测试深度开发者应提供测试深度的分析测试深度分析描述应满足以下要求证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性 a b 证实产品设计中的所有安全功能子系统,实现模块都已经进行过测试 6.4.4.3功能测试开发者应测试产品安全功能,将结果文档化并提供测试文档测试文档应包括以下内容测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果 a 的任何顺序依赖性; b)预期的测试结果,表明测试成功后的预期输出实际测试结果和预期的测试结果的对比 c 6.4.4.4独立测试开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试 6.4.5脆弱性评定基于已标识的潜在脆弱性,产品能抵抗以下强度的攻击具有基本攻击潜力的攻击者的攻击 a b) 具有中等攻击潜力的攻击者的攻击测评方法 7.1测评环境 7.1.1安全功能与自身安全测评环境安全功能及自身安全测评典型环境见图1 14
GB/T20281一2020 主机3 服务器4 互联网外网内网 DMZ. 管理机主机1 主机2 服务器！服务器2服务器3 图1安全功能及自身安全测评典型环境示意图 7.1.2性能测评环境性能测评典型环境见图2,采用专用性能测试仪,测试仪接口直接通过网线连接防火墙业务接口防火墙管理主机性能测试仪控制台图2性能测评典型环境示意图 7.2安全功能测评 7.2.1组网与部署部署模式 7.2.1.1 部署模式的测评方法如下测评方法 aa 将产品配置为透明传输模式,并配置相关安全策略将产品配置为路由转发模式,并配置相关安全策略 22) 33) 将产品配置为反向代理模式,并配置相关安全策略 b 预期结果透明传输模式下,安全策略生效 15
GB/T20281一2020 22 路由转发模式下,安全策略生效; 3)反向代理模式下,安全策略生效结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.1.2路由 7.2.1.2.1静态路由静态路由的测评方法如下测评方法 a 1在产品设置一条静态路由 2 向产品发送匹配上述路由策略的数据包预期结果 b 产品支持设置静态路由 1！产品将匹配策略的数据包按照路由策略转发 2 结果判定实际测评结果与相关预朋结果一致则判定为符合,其他情况判定为不符合 7.2.1.2.2策略路由策略路由的测评方法如下测评方法 a 在产品设置一条基于源、目的IP的策略路由,向产品发送匹配上述路由策略的数据包 1) 22) 在产品设置一条基于接口的策略路由,向产品发送匹配上述路由策略的数据包 33) 在产品设置一条基于协议和端口的策略路由,向产品发送匹配上述路由策略的数据包在产品设置一条基于应用类型的策略路由,向产品发送匹配上述路由策略的数据包; 4) 5 针对某一目标地址在产品部署多条路由,设置一条根据多链路负载情况自动选路的策略路由,改变各链路的负载情况 b)预期结果产品支持设置基于源、目的P的策略路由,匹配策略数据包的路由与策略设置一致; 1 产品支持设置基于接口的策略路由,匹配策略数据包的下一跳接口与策略设置一致 2 33 产品支持设置基于协议和端口的策略路由,匹配策略数据包的路由与策略设置一致; 产品支持设置基于应用类型的策略路由,匹配策略数据包的路由与策略设置一致！产品支持设置基于多链路负载情况自动选路的策略路由,匹配策略数据包的路由与策略 5 设置一致结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.1.2.3动态路由动态路由的测评方法如下测评方法 a 1) 在产品尝试开启RIP动态路由功能; 22 改变各链路状态,验证RIP动态路由是否生效 33 在产品尝试开启OSPF动态路由功能; 16
GB/T20281一2020 4 改变各链路状态,验证OSPF动态路由是否生效; 5 在产品尝试开启BG;P动态路由功能 6 改变各链路状态,验证BGP动态路由是否生效 b 预期结果产品支持设置RIP动态路由功能; 1 22) 产品支持设置OsPF动态路由功能 33) 产品支持设置BGP动态路由功能结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.1.3高可用性 7.2.1.3.1冗余部署冗余部署的测评方法如下测评方法 a 设置两台产品为“主-备”模式; 1) 验证是否仅主产品处于工作状态; 22 33 关闭主产品或使其断开网络连接,验证备产品是否能及时接管主产品进行工作,且不影响所在网络的通信和安全策略！设置两台产品为“主-主”模式 5 验证是否两台产品均处于工作状态; 6 关闭一台产品或使其断开网络连接,验证另一台产品是否仍处于工作状态,且不影响所在网络的通信和安全策略; 77 设置多台产品为“集群”模式; 8 验证是否所有产品均处于工作状态 9 关闭一台产品或使其断开网络连接,验证其他产品是否仍处于工作状态,且不影响所在网络的通信和安全策略 5 预期结果 1产品支持“主-备”模式部署,主产品发生故障时,能继续确保所在网络的通信和安全策略产品支持“主-主”模式部署,其中一台产品发生故障时,能继续确保所在网络的通信和安 2 全策略; 产品支持“集群”模式部署,其中一台产品发生故障时,能继续确保所在网络的通信和安全 3 策略结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.1.3.2负载均衡负载均衡的测评方法如下 a 测评方法在产品DMZ区设置服务器集群,设置外网访问DMZ区服务器的负载均衡策略 1) 2)在外网主机产生大量连接访问DMZ区服务器 33 在DMZ区使用协议分析仪观察网络流量,验证流量是否均衡到DMZ区多台服务器上 b)预期结果 17
GB/T20281一2020 产品支持负载均衡功能,能将网络访问均衡到多台服务器上结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.1.4设备虚拟化 7.2.1.4.1虚拟系统虚拟系统的测评方法如下测评方法 a 1 在产品设置多个子系统,并为各子系统分别设置管理员,验证管理员是否仅能对各自所属的子系统进行管理,不能对其他的子系统进行管理; 22 为各子系统设置路由表、安全策略、生成日志,验证各子系统是否独立维护各自的路由表安全策略、日志系统; 33 为各子系统设置资源使用配额,验证子系统是否不能使用超过配额的资源 b 预期结果虚拟子系统能设置各自的管理员,实现针对本子系统的管理配置,不能配置管理其他子系统; 虔拟子系统独立工作各自维护路由表、安全策略、日志系统; 22 能对虚拟子系统分配资源使用配额 3 结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.1.4.2虚拟化部署虚拟化部署的测评方法如下测评方法 a 1) 分别尝试在VMwareESXi,KVM,CitrixXenServer、,Hyper-V等虚拟化平台部署产品; 增加网络流量、网络连接数等负载,验证虚拟化平台是否能根据产品负载情况动态调整虚 2 拟化产品数量模拟虚拟化产品发生故障,验证其是否能自动更新、替换 3 预期结果支持部署于虚拟化平台中,支持VMwareEsXi,KVM、CitrixXenServer或Hyper-V等虚拟化平台中的一种; 2 能在虚拟化平台上实现弹性伸缩,根据虚拟化产品的负载情况动态调整虚拟化产品数量; 33) 能在虚拟化平台上实现故障迁移,当虚拟化产品出现故障时实现自动更新、替换结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.1.5IPv6支持 7.2.1.5.1支持IPv6网络环境支持Pv6网络环境的测评方法如下测评方法 a l)模拟IPv6网络环境,验证产品及其安全功能是否能在IPv6网络环境下正常工作; 2 模拟IPv6网络环境,验证产品是否支持在IPv6网络环境下实现自身管理 18
GB/T20281一2020 b)预期结果 l产品支持在纯IPv6网络环境下正常工作; 22 产品支持在IPv6网络环境下实现自身管理结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.1.5.2协议一致性协议一致性的测评方法如下: 测评方法: 在路由模式下,使用协议一致性测试工具,测试产品IPv6核心协议一致性情况 1) 22) 在路由模式下,测试产品IPv6NDP协议一致性情况; 33 在路由模式下,测试产品IPv6Autoconfig协议一致性情况; 4)在路由模式下,测试产品ICMPv6协议一致性情况 b预期结果 I)产品通过Pv6核心协议一致性测试; 22 产品通过IPv6NDP协议一致性测试; 3)产品通过IPv6Autoconfig协议一致性测试 4)产品通过ICMPv6协议一致性测试结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.1.5.3协议健壮性协议健壮性的测评方法如下测评方法 a 1使用协议健壮性测试工具向产品发送IPv6畸形报文,验证产品是否能正常运行 2)向产品发送1cMPv6畸形报文,验证产品是否能正常运行; 3)向产品发送TCPforIPv6Server畸形报文,验证产品是否能正常运行预期结果 b 产品能抵御IPv6,ICMPv6、TCPforIPv6Server等畸形报文攻击结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.1.5.4支持IP6过渡网络环境支持IPv6过渡网络环境的测评方法如下: 测评方法 a 在产品内网搭建IPv6网络,在产品外网搭建IPv4网络,验证产品是否能通过IPv4和 IPv6协议转换的方式,使IPv6内网正常访问IPv4外网在两台产品内网搭建IPv6网络,在两台产品外网之间搭建IPv6overIPv4隧道,验证两台产品的P6内网是否能通过IPv6overIPv4隧道正常通信;在两台产品外网之间搭建 Pv6tolPv4隧道,验证两台产品的IPv6内网是否能通过IPv6toIPv！隧道正常通信;在 IPv6终端与产品之间搭建1SATAP隧道,验证IPv6终端是否能通过ISATAP隧道与产品通信 b)预期结果 19
GB/T20281一2020 1) IPv4和IPv6协议转换环境下通信正常; 2IPv6over rIPv4隧道、,IPv6toIPv4隧道、ISsATAP隧道中至少一种隧道环境通信正常结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.2网络层控制 7.2.2.1 访问控制 7.2.2.1.1包过滤包过滤的测评方法如下: 测评方法 a 1 初始化产品的包过滤策略,在各区域主机之间进行互访操作,检查产品的缺省安全策略是否为禁止; 22 设置基于源IP地址、目的IP地址的访问控制策略,产生相应的网络会话,验证策略是否生效; 设置基于源端口,目的端口的访问控制策略,产生相应的网络会话,验证策略是否生效 3 4 设置基于协议类狸的访同控制策略,产生相应的网络会话,验证策略是否生效设置基于MAC地址的问教制策略产生相应的网络会话,验证策略是杏生效" 5 设置基于时间的访问控制策略,产生相应的网络会话,验证策略是否生效; 6 尝试设置一条基于MAC地址、IP地址、端口,协议类型和时间的组合策略,产生相应的网 77 络会话,验证策略是否生效预期结果 b 产品的缺省安全策略是禁止 1 基于源IP地址、目的IP地址的访问控制策略生效; 2 3 基于源端口、目的端口的访问控制策略生效基于协议类型的访问控制策略生效！ 5 基于MAC地址的访问控制策略生效基于时间的访问控制策略生效 6 7 基于MAC地址、,IP地址、端口、协议类型和时间的组合策略生效结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.2.1.2网络地址转换网络地址转换的测评方法如下测评方法 a 为内部网络用户访问外部网络主机配置SNAT策略,在外网使用协议分析仪检查内网主机访问外网主机的源IP地址是否被转换;为外部网络用户访问DMZ服务器设置DNAT 策略,检查外部网络的主机能否通过转换后的地址访问DMZ的服务器; 为内部网络用户访问外部网络主机配置“多对一"SNAT策略,在外网使用协议分析仪检查内网主机访问外网主机的源IP地址是否被转换,检查是否是多个地址被转换为外部网络用户访问DMZ服务器设置“一对多”DNAT策略,检查外部网络的主机能否通过转换后的地址访问DMZ的服务器,检查是否是多个地址被转换为内部网络用户访问外部网络主机设置“多对多”SNAT策略,在外网使用协议分析仪检 20
GB/T20281一2020 查内网主机访问外网主机的源IP地址是否被转换,检查是否是多对多地址转换 b 预期结果: 1产品支持SNAT和DNAT地址转换 22 产品支持“多对一”SNAT地址转换 33 产品支持“一对多"DNAT地址转换; ！产品支持“多对多”sSNAT地址转换结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.2.1.3状态检测状态检测的测评方法如下测评方法启动产品状态检测模块 1 22 配置包过滤策略,允许特定条件的网络会话通过产品; 产生满足该策略的一个完整的刚络会话,脸证该会话是否能建立成功 33 产生满足该策略的网络会话中的不是第一个连接请求sYN包的一个或多个数据包清除 4 产品状态检测表后,验证这些数据包是否被禁止 b)预期结果 1产品依据状态表进行访问控制满足包过滤策略的网络会话能通过产品; 3)满足包过滤策略的网络会话中的不是第一个连接请求sYN包的一个或多个数据包不能通过产品结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.2.1.4动态开放端口动态开放端口的测评方法如下测评方法 a 设置产品动态开放端口策略,访间FTP服务,检查产品是否能放行FTP数据连接所使用的动态端口,网络会话是否连接正常; 设置产品动态开放端口策略,使用支持H.323等音视频协议的工具(如NetMeeting)在内 22 部网络和外部网络之间发起音视频会议,检查产品是否能放行所使用的动态端口,会议是否正常进行 b)预期结果: FTP运行正常,FTP数据连接所使用的动态端口开放 1 22 音视频会议正常,H.323等音视频协议所使用的动态端口开放结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.2.1.5IP/NIAC地址绑定 IP/MAC地址绑定的测评方法如下测评方法 a 为产品设置IP/MAC地址绑定策略; 1 21
GB/T20281一2020 22 使用自动绑定或手工绑定功能将内部网络中主机的IP与MAC地址绑定; 33 分别产生正确IP/MAC绑定的会话和盗用IP的会话,检查绑定的有效性 b 预期结果 P/MAC地址能自动或手工绑定; IP/MAC地址绑定后能正确执行安全策略,发现IP盗用行为 2) 结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.2.2流量管理 7.2.2.2.1带宽管理带宽管理的测评方法如下测评方法 a 在产品设置基于源IP,目的IP,应用类型和时间段的流量策略,向产品发送匹配策略的流 1 量,并使流量逐渐增大,直到流量由策略允许范围内达到超出策略范围在产品设置基于源IP,目的IP,应用类型和时间段的保障带宽策略,向产品发送匹配策略 2 的流量,并使流量保持高于保障带宽,再向产品发送其他流量,尝试抢占上述流量使用的带宽 3 在产品设置总流量带宽限制策略,并在其中设置一条特定流量的带宽限制,分别在产品总流量带宽占用率达到阔值前后,验证上述特定流量带宽策略是否自动启停 b 预期结果 1) 基于源IP,目的IP应用类型和时间段的流量速率或总额策略生效 2)基于源IP、目的IP应用类型和时间段的保障带宽策略生效 3)在网络空闲时自动解除流量限制,在带宽占用率超过阔值时自动启用流量限制结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.2.2.2连接数控制连接数控制的测评方法如下: 测评方法 a 在产品针对某个IP设置TCP最大并发会话数,在上述IP发起大量TCP连接,使得上述 IP的并发连接数超过设定值; 在产品针对某个IP设置TCP最大新建连接速率,在上述IP发起大量TCP连接,使得上 22 述IP的新建连接速率超过设定值预期结果 b 超过最大连接数的连接无法建立 22 超过最大新建连接速率的连接无法建立结果判定实际测评结果与相关预朋结果一致则判定为符合,其他情况判定为不符合 7.2.2.2.3会话管理会话管理的测评方法如下测评方法 a 22
GB/T20281一2020 1) 在产品设置会话超时时间 22 经过产品建立会话连接,并不再对该会话进操作,直到达到超时时间,验证上述会话是否被关闭 b 预期结果产品能配置各协议的会话超时时间(或设置了默认值) 已连接会话在非活跃时间达到超时时限后,连接被产品自动关闭 2 结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.3应用层控制 7.2.3.1用户管控用户管控的测评方法如下测评方法 a 在产品本地漆加用户,并设置基于本地用户认证的网络访问策略,产生匹配策略的会话请求,验证是否仅在用户认证成功后,会话才能建立; 在产品配置Radius.LDAP等第三方认证服务器,并设置基于第三方用户认证的网络访问策略,产生匹配策略的会话请求,验证是否仅在用户认证成功后,会话才能建立 b 预期结果: 产品支持基于本地用户认证的网络访问控制功能; 22 产品支持基于第三方认证的网络访问控制功能结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.3.2应用类型控制应用类型控制的测评方法如下测评方法 aa 1) 在产品设置基于HTTP协议的访问控制策略,产生相应的网络会话,验证策略是否生效 22) 在产品设置基于数据库协议的访问控制策略,产生相应的网络会话,验证策略是否生效在产品设置基于FTP,TELNET,SMTP,POP3和IMAP等常见协议的访问控制策略,产 3 生相应的网络会话,验证策略是否生效在产品设置基于即时聊天类,P2P类,网络流媒体类,网络游戏股票交易类等应用的访问控制策略,产生相应的网络会话,验证策略是否生效; 在产品设置基于逃逸或隧道加密特点的应用的访问控制策略,产生相应的网络会话,验证策略是否生效; 在产品自定义应用,并设置基于自定义应用的访问控制策略,产生相应的网络会话,验证策略是否生效 b预期结果 )基于HTTP协议的访问控制策略生效; 22 基于数据库协议的访问控制策略生效; 3 基于FTP、TELNET,SMTP,POP3和IMAP等常见协议的访问控制策略生效！基于即时聊天类、P2P类、网络流媒体类、网络游戏、股票交易类等应用的访问控制策略生效; 23
GB/T20281一2020 5 基于逃逸或隧道加密特点的应用的访问控制策略生效; 6)支持自定义应用,基于自定义应用的访问控制策略生效结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.3.3应用内容控制 7.2.3.3.1wEB应用 wEB应用的测评方法如下测评方法 a 1 在产品设置基于URL网址访问控制策略，经过产品访问相应URL,验证策略是否生效并验证是否具备分类网址库 22 在产品设置基于HTTP传输内容关键字的访问控制策略,经过产品访问包含相应关键字的网页,验证策略是否生效; 3 在产品设置基于HTTPGET、POST、PUT、HEAD等请求方式的访问控制策略,经过产品发送HTTPGET,POsT.PUT.HEAD等请求,验证策略是否生效在产品设置基于HTTP请求文件类型的访问控制策略，经过产品使用HrTP协议请求相应类型文件,验证策略是否生效在产品设置基于HTTP协议中general-header、request-header、response-header等字段长度的访问控制策略,经过产品发送超出相应长度HTTP协议头的数据包,验证策略是否生效在产品设置基于HTTP上传文件类型的访问控制策略,经过产品使用HTTP协议上传相应类型文件,验证策略是否生效; 在产品设置基于HTTP请求频率的访问控制策略,经过产品发送超过阀值的HTTP请求频率,验证策略是否生效; 8 在产品设置基于HTTP返回内容的访问控制策略,经过产品访问相应内容的HTTP服务,验证策略是否生效; 在产品设置基于HTTPs的访问控制策略,经过产品访问上述内容,验证策略是否生效 9 预期结果 b 基于URL网址访问控制策略生效 1 基于HTTP传输内容关键字的访问控制策略生效; 基于HTTPGET、POST,PUT、HEAD等请求方式的访问控制策略生效; 3 4 设置基于HTTP请求文件类型的访问控制策略生效; 5 -header 等字段长度的访问基于HTTP协议中generalheader,reuestheader,respomse" 控制策略生效; 6 基于HTTP上传文件类型的访问控制策略生效; 基于HTTP请求频率的访问控制策略生效; 77 基于HTTP返回内容的访问控制策略生效; 8 基于HTTPs的访问控制策略生效 9 结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.3.3.2数据库应用数据库应用的测评方法如下 24
GB/T20281一2020 测评方法 a 1D 在产品设置基于访问数据库应用程序、运维工具的访问控制策略,经过产品使用上述程序、运维工具访问数据库,验证策略是否生效在产品设置基于数据库用户名、数据库名、数据表名和数据字段名的访问控制策略,经过产品访问上述数据库用户、数据库、数据表和数据字段,验证策略是否生效; 在产品设置基于sQL语句关键字、数据库返回内容关键字的访问控制策略,经过产品执行包含上述sQL.语句关键字、数据库返回内容关键字的操作,验证策略是否生效在产品设置基于影响行数,返回行数的访问控制策略,经过产品执行包含上述影响行数、 4 返回行数的操作,验证策略是否生效预期结果 b 基于访问数据库应用程序,运维工具的访问控制策略生效 1 2 基于数据库用户名、数据库名、数据表名和数据字段名的访问控制策略生效; 3)基于sQL语句关键字、数据库返回内容关键字的访问控制策略生效; 4)基于影响行数、返回行数的访问控制策略生效结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.3.3.3其他应用其他应用的测评方法如下: 测评方法 a 在产品设置基于FTP,TELNET,SMTP,POP3和IMAP等应用传输文件类型的访问控制策略，经过产品通过上述协议传输上述类型文件,验证策略是否生效; 22 在产品设置基于FTP、TELNET,SMTP,POP3和IMAP等应用传输内容(协议命令或关键字)的访问控制策略，经过产品通过上述协议传输相应内容,验证策略是否生效 b)预期结果基于FTP,TE:LNET,SMTP,POP3和IMAP等应用传输文件类型的访问控制策略生效基于FTP、TELNET,SMTP,POP3和IMAP等应用传输内容的访问控制策略生效 22 结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.4攻击防护拒绝服务攻击防护 7.2.4.1 拒绝服务攻击防护的测评方法如下测评方法 a 1 在产品开启拒绝服务攻击防护策略,使用网络攻击仿真器,经产品发送ICMPFlood攻击流量(流量为产品接口速率的10%)同时经产品建立正常的HTTP连接(新建连接速率为100个/s,持续时间60s),检查拒绝服务攻击包通过的比例以及正常HTTP连接成功建立的比例; 经产品发送UDPFlood攻击流量(流量为产品接口速率的10%),同时经产品建立正常的 HTTP连接(新建连接速率为100个/s,持续时间60s),检查拒绝服务攻击包通过的比例,以及正常HTTP连接成功建立的比例; 经产品发送SYNFlood攻击流量(流量为产品接口速率的10%),同时经产品建立正常的 25
GB/T20281一2020 HTTP连接新建连接速率为100个/s,持续时间60s),检查拒绝服务攻击包通过的比例,以及正常HTTP连接成功建立的比例 4 经产品发送TearDrop攻击流量(流量为产品接口速率的10%),同时经产品建立正常的 HTTP连接新建连接速率为100个/s,持续时间60s),检查拒绝服务攻击包通过的比例,以及正常HTTP连接成功建立的比例 5 经产品发送 nd攻击流量(流量为产品接口速率的10%),同时经产品建立正常的 lan HTTP连接(新建连接速率为100个/s,持续时间60s),检查拒绝服务攻击包通过的比例,以及正常HTTP连接成功建立的比例经产品发送PingofDeath攻击流量流量为产品接口速率的10%),同时经产品建立正常的HTTP连接(新建连接速率为100个/s,持续时间60s),检查拒绝服务攻击包通过的比例,以及正常HTTP连接成功建立的比例经产品发送CC攻击流量,验证产品是否支持识别并防御CC攻击 b 预期结果: 支持识别并防御IcMPFlood攻击,且攻击包通过的比例不大于5%.正常连接建立成功率不低于90% 支持识别并防御UDPFlood攻击,且攻击包通过的比例不大于5%,正常连接建立成功率 22 不低于90% 支持识别并防御sYNFood攻击，且攻击包通过的比例不大于5%,正常连接建立成功率 3 不低于90%; 支持识别并防御TearDrop攻击,且攻击包通过的比例不大于5%、正常连接建立成功率不低于90%; 支持识别并防御L.and攻击,且攻击包通过的比例不大于5%、正常连接建立成功率不低于90%; 支持识别并防御PingofDeath攻击,且攻击包通过的比例不大于5%,正常连接建立成功率不低于90%; 支持识别并防御cC攻击 77 结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.4.2wEB攻击防护 wEB攻击防护的测评方法如下测评方法 a 在产品针对目标wEB应用设置攻击防护策略,使用wEB攻击仿真器,经产品向目标 wEB应用发起SQL注人攻击,验证产品是否能识别并防御该类攻击; 经产品向目标wEB应用发起XSS攻击,验证产品是否能识别并防御该类攻击; 2 33 经产品向目标wEB应用发起第三方组件漏洞攻击,验证产品是否能识别并防御该类攻击经产品向目标wEB应用发起目录遍历攻击,验证产品是否能识别并防御该类攻击 44 经产品向目标wEB应用发起Cookie注人攻击,验证产品是否能识别并防御该类攻击 5 经产品向目标wEB应用发起CSRF攻击,验证产品是否能识别并防御该类攻击; 6 77 经产品向目标wEB应用发起文件包含攻击,验证产品是否能识别并防御该类攻击; 8 经产品向目标wEB应用发起盗链攻击,验证产品是否能识别并防御该类攻击 9 经产品向目标wEB应用发起OS命令注人攻击,验证产品是否能识别并防御该类攻击 26
GB/T20281一2020 10经产品向目标wEB应用发起wEBshell攻击,验证产品是否能识别并防御该类攻击 11)经产品向目标web应用发起反序列化攻击,验证产品是否能识别并防御该类攻击 b 预期结果产品能识别并防御sQL.注人攻击; 22 产品能识别并防御XSS攻击; 33 产品能识别并防御第三方组件漏洞攻击; 4 产品能识别并防御目录遍历攻击; 5 产品能识别并防御Cookie注人攻击 6 产品能识别并防御CSRF攻击; 产品能识别并防御文件包含攻击产品能识别并防御盗链攻击; 8 9 产品能识别并防御OS命令注人攻击; 10)产品能识别并防御wEBshel攻击; 1l1 产品能识别并防御反序列化攻击结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.4.3数据库攻击防护数据库攻击防护的测评方法如下测评方法 a 在产品针对目标数据库设置攻击防护策略,使用数据库攻击仿真器，经产品向目标数据库发起数据库漏洞攻击,验证产品是否能识别并防御该类攻击经产品向目标数据库发起异常sQL.语句攻击,验证产品是否能识别并防御该类攻击， 22 经产品向目标数据库发起数据库拖库攻击,验证产品是否能识别并防御该类攻击 3 经产品向目标数据库发起数据库撞库攻击,验证产品是否能识别并防御该类攻击 4 b)预期结果 1)产品能识别并防御数据库漏洞攻击; 产品能识别并防御异常sQL语句攻击; 22 3)产品能识别并防御数据库拖库攻击; 4)产品能识别并防御数据库撞库攻击结果判定实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合 7.2.4.4恶意代码防护恶意代码防护的测评方法如下测评方法 a 在产品开启恶意代码防护策略,经产品向目标网络或对象发起木马攻击,验证产品是否能检测并拦截恶意代码; 22 在产品开启恶意代码防护策略,使用HTTP网页下载、电子邮件收发等方式经产品传播恶意代码,验证产品是否能检测并拦截恶意代码 b 预期结果 1产品能检测并拦截木马行为; 22 产品能检测并拦截HTTP网页和电子邮件中携带的恶意代码 27

信息安全技术防火墙安全技术要求和测试评价方法GB/T20281-2020

随着互联网的普及，网络安全问题日益突出。作为网络安全的重要组成部分，防火墙被广泛应用于企业、机构等各类网络系统中，它可以有效保护网络系统免受恶意攻击。然而，防火墙的安全性也面临着不断的挑战，如何评估防火墙的安全性，是当前信息安全领域亟待解决的问题。

GB/T20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》是我国防火墙安全领域的标准化规范文件。该标准规定了防火墙的功能、性能、安全性等方面的要求，并详细描述了防火墙测试评价的方法与流程。

防火墙功能要求

防火墙的功能要求包括网络接口、数据过滤、安全策略控制等。其中，网络接口是指防火墙与外部网络和内部网络之间的连接方式，根据不同的情况选择合适的网络接口类型，可以很好地保证防火墙的性能稳定。数据过滤则是针对流经防火墙的数据进行过滤，通过对数据包的源IP地址、目标IP地址、端口号、协议类型等进行分析和匹配，实现网络数据的安全传输。安全策略控制是指通过设置访问控制等安全策略，对网络进行安全管理。

防火墙性能要求

防火墙的性能要求包括吞吐量、并发连接数、响应时间等。吞吐量是指防火墙在单位时间内处理数据的能力，与网络带宽密切相关。并发连接数是指防火墙同时维护的连接数，也是评估防火墙性能的重要指标。响应时间则是指防火墙对特定事件的响应速度，如攻击检测等。

防火墙安全性要求

防火墙的安全性要求包括漏洞修复、日志审计、安全策略等方面。漏洞修复是指针对防火墙本身存在的漏洞进行修复，避免黑客利用漏洞攻击系统。日志审计则是指记录防火墙内部事件和外部攻击等信息，方便安全管理人员进行监控和分析。安全策略则是指通过设置访问控制、流量控制等安全策略，提高防火墙的安全性。

防火墙测试评价方法

防火墙测试评价分为功能测试、性能测试、安全测试三个方面。其中，功能测试包括网络接口测试、数据过滤测试、安全策略控制测试等；性能测试包括吞吐量测试、并发连接数测试、响应时间测试等；安全测试则包括漏洞扫描测试、日志审计测试、安全策略测试等。

在进行防火墙测试评价时，需要根据实际情况进行选择，同时要注意测试环境的准备和测试场景的设计。测试人员应该具备相关的技能和经验，以保证测试结果的可靠性和准确性。同时，在测试过程中要对测试结果进行分析和总结，及时发现和解决问题。

综上所述，GB/T20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》为防火墙的安全性评估提供了标准化规范，有助于提高防火墙的安全性和可靠性。在实际应用中，我们应该充分利用该标准的信息，加强防火墙的管理和评估，为网络安全提供更好的保障。