Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative.
This standard is prepared in accordance with the rules given in GB/T 1.1-2009.
This standard replaces GB/T 20010-2005 Information security technology—Packet filtering firewalls evaluation criteria, GB/T 20281-2015 Information security technology—Security technical requirements and testing and evaluation approaches for firewall, GB/T 31505-2015 Information security technology—Technique requirements and testing and evaluation approaches for host-based firewall and personal firewall, and GB/T 32917-2016 Information security technology—Security technique requirements and testing and evaluation approaches for WEB application firewall. This standard is developed by reference to GB/T 20281-2015 and integrates some contents of GB/T 20010-2005, GB/T 31505-2015 and GB/T 32917-2016. In addition to editorial changes, the following main technical changes have been made with respect to GB/T 20281-2015:
——The definitions of “network-based firewall”, “database firewall", "WEB application firewall" and “host-based firewall” are added (see Clause 3 hereof);
——The “General” is modified (see Clause 5 hereof; Clause 5 of Edition 2015);
——The requirements of "equipment virtualization” are added (see 6.1.1.4 hereof);
——The requirements of "application content control" are modified (see 6.1.3.3 hereof; 6.2.1.2 and 6.3.1.2 of Edition 2015);
——The requirements of "attack protection" are added (see 6.1.4 hereof);
——The requirements of "security audit and analysis" are added (see 6.1.5);
——The performance requirements of "hybrid application layer throughput", "HTTP throughput", "HTTP request rate", "SQL request rate", "number of concurrent HTTP connections" and "number of concurrent SQL connections" are added (see 6.3.1.2, 6.3.1.3, 6.3.3.2, 6.3.3.3, 6.3.4.2 and 6.3.4.3 hereof);
——Normative annexes are added (see Annexes A and B).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this standard shall not be held responsible for identifying any or all such patent rights.
This standard was proposed by and is under the jurisdiction of SAC/TC 260 National Technical Committee on Information Security of Standardization Administration of China.
The previous editions of this standard are as follows:
——GB/T 20010-2005;
——GB/T 20281-2006, GB/T 20281-2015;
——GB/T 31505-2015;
——GB/T 32917-2016.
Information security technology—
Security technical requirements and testing assessment approaches for firewall
1 Scope
This standard specifies the classification, security technical requirements and testing assessment approaches of firewalls.
This standard is applicable to the design, development and testing of firewall.
2 Normative references
The following referenced documents are indispensable for the application of this standard. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
GB/T 18336.3-2015 Information technology—Security techniques—Evaluation criteria for IT security—Part 3: Security assurance components
GB/T 25069-2010 Information security technology—Glossary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in GB/T 25069-2010 and the following apply.
3.1
firewall
network security product capable of analyzing the passed data flow and realizing access control and security protection functions
Note: According to different security purposes and implementation principles, it may generally be classified into network firewall, WEB application firewall, database firewall and host firewall.
3.2
network-based firewall
network security product deployed between different security domains which is capable of analyzing the passed data flow, and has the functions of access control and security protection of network layer and application layer
3.3
web application firewall
network security product deployed in the front end of WEB server which is capable of analyzing the HTTP/HTTPS access and response data flowing through, and has the functions of access control and security protection of WEB applications
3.4
database firewall
network security product deployed in the front end of the database server which is capable of analyzing the database access and response data flowing through, and has the functions of database access control and security protection
3.5
host-based firewall
network security product deployed on computers (including personal computers and servers) that provides network layer access control, application access restrictions, and attack protection
3.6
reverse proxy
deployment mode used as a server-side proxy to accept requests from clients instead of the server, then forward the requests to the internal server, and return the results from the server to the requesting client
3.7
drag attack
malicious act of downloading database data or database data files in batches through unauthorized access to the database or the operating system where the database is located
3.8
account credential enumeration attack
malicious act of attempting to collide with database data in batch
Note: for example, generate the corresponding dictionary table by collecting the leaked and known user and password information, and attempt to log in to other application systems in batch
4 Abbreviations
For the purposes of this document, the following abbreviations apply.
BGP: Border Gateway Protocol
CSRF: Cross-site request forgery
DMZ: Demilitarized Zone
DNAT: Destination NAT
FTP: File Transfer Protocol
HTTP: Hypertext Transfer Protocol
HTTPS: Hypertext Transfer Protocol over Secure Socket Layer
ICMP: Internet Control Messages Protocol
IMAP: Internet Mail Access Protocol
IP: Internet Protocol
IPV6: Internet Protocol V6
ISATAP: Intra-Site Automatic Tunnel Addressing Protocol
MAC: Media Access Control
NAT: Network Address Translation
NTP: Network Time Protocol
OSPF: Open Shortest Path First
P2P: Peer-to-peer
RIP: Routing Information Protocol
SNAT: Source NAT
SNMP: Simple Network Management Protocol
SQL: Structured Query Language
SYSLOG: System Log
URL: Uniform Resource Locator
WEB: World Wide WEB
XSS: Cross Site Scripting
5 General
Firewall is a network security product which acts between different security domains and has the functions of access control and security protection. It is mainly classified into network-based firewall, WEB application firewall, database firewall, host-based firewall or their combination.
The security technical requirements of firewall are divided into four categories: security function requirements, self security requirements, performance requirements and security assurance requirements. Where, the security function requirements put forward specific requirements for the security functions that firewalls shall have, including networking and deployment, network layer control, application layer control, attack protection and security audit and analysis; self-security requirements put forward specific requirements for the self security of firewall, including identification and authentication, management ability, management audit, management mode and security support system; the performance requirement is to specify the performance index that the firewall shall achieve, including throughput, delay, connection rate and concurrent connection number; and the security assurance requirements put forward specific requirements for the life cycle process of firewall, including development, guidance documents, life cycle support, testing and vulnerability assessment.
The firewall is classified into basic level and enhanced level. The strength of security function and its self security and the level of security assurance requirements are the specific basis for the level division, and the level highlights the security characteristics. Among them, the security assurance requirements of basic-level products correspond to EAL2 level of GB/T 18336.3-2015, and the security assurance requirements of enhanced-level products correspond to EAL4+ level of GB/T 18336.3-2015. See Annex A for specific security technical requirements and classification of various firewalls (referred to as "products"), and Annex B for testing assessment approach and classification.
6 Security technical requirements
6.1 Security functional requirements
6.1.1 Networking and deployment
6.1.1.1 Deployment mode
The products shall support the following deployment modes:
a) Transparent transmission mode;
b) Route forwarding mode; and
c) Reverse proxy mode.
6.1.1.2 Routing
6.1.1.2.1 Static routing
The products shall support static routing function and be capable of configuring static routing.
6.1.1.2.2 Policy routing
Products with multiple network interfaces with the same attributes (multiple external network interfaces, multiple internal network interfaces, or multiple DMZ network interfaces) shall support policy routing capabilities, including but not limited to:
a) Policy routing based on source and destination IP;
b) Policy routing based on interface;
c) Policy routing based on protocol and port;
d) Policy routing based on application type; and
e) Automatic routing based on multi-link load conditions.
6.1.1.2.3 Dynamic routing
The products shall support dynamic routing capabilities, including one or more dynamic routing protocols in RIP, OSPF or BGP.
6.1.1.3 High availability
6.1.1.3.1 Redundant deployment
The products shall support one or more redundant deployment modes in "master-standby", "master-master" or "cluster”.
6.1.1.3.2 Load balancing
The products shall support load balancing, which can balance network traffic to multiple servers according to security policies.
6.1.1.4 Device virtualization (optional)
6.1.1.4.1 Virtual system
If the product supports logical classification into multiple virtual subsystems, isolation and independent management shall be supported among virtual subsystems, including but not limited to:
a) Set administrators for the virtual subsystem respectively to realize the management configuration for the virtual subsystem;
b) The virtual subsystem is able to maintain routing table, security policy and log system respectively;
c) Limit the resource usage quota of the virtual subsystem.
6.1.1.4.2 Virtualization deployment
If the product is virtualized, it shall support deployment on the virtualization platform and accept the unified management of the platform, including but not limited to:
a) Support for deployment on a virtualization platform such as VMware ESxi, KVM, Citrix xenserver, Hyper-V, etc.
b) Realize elastic expansion of product resources in combination with virtualization platform, and dynamically adjust resources according to the load situation of virtualization products;
c) Realize failover in combination with virtualization platform, and automatically update and replace virtualization products when they fail.
6.1.1.5 IPv6 support (optional)
6.1.1.5.1 Support of IPv6 network environment
If the product supports IPv6, it shall support the normal operation under IPv6 network environment, which can effectively run its security functions and its self security functions.
6.1.1.5.2 Protocol conformance
If the product supports IPv6, it shall meet the requirements of IPv6 protocol conformance, including at least IPv6 core protocol, IPv6 NDP protocol, IPv6 Autoconfig protocol and ICMPv6 protocol.
6.1.1.5.3 Protocol robustness
If the product supports IPv6, it shall meet the requirements of IPv6 protocol robustness, which can resist the attack of abnormal protocol message under IPv6 network environment.
6.1.1.5.4 Support of IPv6 transition network environment
If the product supports IPv6, it shall support operation in one or more of the following IPv6 transition network environments:
a) Protocol conversion, which converts IPv4 and IPv6 protocols to each other;
b) Tunnel, which encapsulates IPv6 in IPv4 and traverses IPv4 network, such as IPv6 over IPv4, IPv6 to IPv4, ISATAP, etc.
6.1.2 Network layer control
6.1.2.1 Access control
6.1.2.1.1 Packet filtering
The packet filtering function requirements of the product are as follows:
a) The security policy shall use the minimum security principle, that is, prohibited unless explicitly allowed;
b) The security policy shall include access control based on source IP address and destination IP address;
c) The security policy shall include access control based on source port and destination port;
d) The security policy shall include access control based on protocol type;
e) The security policy shall include access control based on MAC address;
f) The security policy shall include time-based access control;
g) The user-defined security policy shall be supported, including partial or full combination of MAC address, IP address, port, protocol type and time.
6.1.2.1.2 Network address translation
The network address translation function requirements of the product are as follows:
a) Support SNAT and DNAT;
b) SNAT shall realize "many-to-one" address translation, so that when the internal network host accesses the external network, its source IP address is translated.
c) DNAT shall realize "one-to-many" address translation, and map the IP address/port of DMZ to the legal IP address/port of external network, so that the external network host can access the DMZ server by accessing the mapped address and port;
d) Support dynamic SNAT technology and realize "many-to-many" SNAT.
Foreword i
1 Scope
2 Normative references
3 Terms and definitions
4 Abbreviations
5 General
6 Security technical requirements
6.1 Security functional requirements
6.2 Self security requirements
6.3 Performance requirements
6.4 Security assurance requirements
7 Testing assessment approach
7.1 Testing assessment environment
7.2 Testing assessment of security function
7.3 Testing assessment of self security
7.4 Testing assessment of performance
7.5 Testing assessment of security assurance
Annex A (Normative) Classification of firewalls and classification of security technical requirements
A.1 General
A.2 Network-based firewall
A.3 Web application firewall
A.4 Database firewall
A.5 Host-based firewall
Annex B (Normative) Classification of firewall and testing assessment approach
B.1 General
B.2 Network-based firewall
B.3 Web application firewall
B.4 Database firewall
B.5 Host-based firewall
信息安全技术 防火墙安全
技术要求和测试评价方法
1 范围
本标准规定了防火墙的等级划分、安全技术要求及测评方法。
本标准适用于防火墙的设计、开发与测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3—201 5 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件
GB/T 25069—2010 信息安全技术 术语
3 术语和定义
GB/T 25069—2010界定的以及下列术语和定义适用于本文件。
3.1
防火墙 firewall
对经过的数据流进行解析,并实现访问控制及安全防护功能的网络安全产品。
注:根据安全目的、实现原理的不同,通常可分为网络型防火墙、WEB应用防火墙、数据库防火墙和主机型防火墙等。
3.2
网络型防火墙 network-based firewall
部署于不同安全域之间,对经过的数据流进行解析,具备网络层、应用层访问控制及安全防护功能的网络安全产品。
3.3
WEB应用防火墙 web application firewall
部署于WEB服务器前端,对流经的HTTP/HTTPS访问和响应数据进行解析,具备WEB应用的访问控制及安全防护功能的网络安全产品。
3.4
数据库防火墙 database firewall
部署于数据库服务器前端,对流经的数据库访问和响应数据进行解析,具备数据库的访问控制及安全防护功能的网络安全产品。
3.5
主机型防火墙 host-based firewall
部署于计算机(包括个人计算机和服务器)上,提供网络层访问控制、应用程序访问限制和攻击防护功能的网络安全产品。
3.6
反向代理 reverse proxy
作为服务器端的代理使用,代替服务器接受来自客户端的请求,然后将请求转发给内部服务器,并将从服务器上得到的结果返回给请求客户端的一种部署模式。
3.7
拖库攻击 drag attack
通过非授权获得数据库访问或数据库所在操作系统的权限,批量下载数据库中数据或数据库数据文件的恶意行为。
3.8
撞库攻击 account credential enumeration attack
批量尝试碰撞数据库数据的恶意行为。
注:如通过收集已泄露、已知的用户和密码信息,生成对应的字典表,并以此批量尝试登录其他的应用系统。
4 缩略语
下列缩略语适用于本文件。
BGP:边界网关协议(Border Gateway Protocol)
CSRF:跨站请求伪造(Cross-site request forgery)
DMZ:非军事化区(Demilitarized Zone)
DNAT:目的网络地址转换(Destination NAT)
FTP:文件传输协议(File Transfer Protocol)
HTTP:超文本传输协议(Hypertext Transfer Protocol)
HTTPS:安全超文本传输协议(Hypertext Transfer Protocol over Secure Socket Layer)
ICMP:网间控制报文协议(Internet Control Messages Protocol)
IMAP:互联网邮件访问协议(Internet Mail Access Protocol)
IP:网际协议(Internet Protocol)
IPV6:互联网协议第六版(Internet Protocol V6)
ISATAP:站内自动隧道寻址协议(Intra-Site Automatic Tunnel Addressing Protocol)
MAC:介质访问控制(Media Access Control)
NAT:网络地址转换(Network Address Translation)
NTP:网络时间协议(Network Time Protocol)
OSPF:开放式最短路径优先(Open Shortest Path First)
P2P:对等网络(Peer-to-peer)
RIP:路由信息协议(Routing Information Protocol)
SNAT:源网络地址转换(Source NAT)
SNMP:简单网络管理协议(Simple Network Management Protocol)
SQL:结构化查询语言(Structured Query Language)
SYSLOG:系统日志(System Log)
URL:统一资源定位器(Uniform Resource Locator)
WEB:万维网(World Wide WEB)
XSS:跨站脚本(Cross Site Scripting)
5 概述
防火墙是作用于不同安全域之间,具备访问控制及安全防护功能的网络安全产品,主要分为网络型防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙或其组合。
防火墙的安全技术要求分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类。其中,安全功能要求对防火墙应具备的安全功能提出具体要求,包括组网与部署、网络层控制、应用层控制、攻击防护和安全审计与分析;自身安全要求针对防火墙的自身安全提出具体的要求,包括身份标识与鉴别、管理能力、管理审计、管理方式和安全支撑系统;性能要求则是对防火墙应达到的性能指标作出规定,包括吞吐量、延迟、连接速率和并发连接数;安全保障要求针对防火墙的生命周期过程提出具体要求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定。
防火墙的等级分为基本级和增强级,安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体依据,等级突出安全特性。其中,基本级产品的安全保障要求内容对应GB/T 18336.3—2015的EAL2级,增强级产品的安全保障要求内容对应GB/T 18336.3—2015的EAL4+级。各类防火墙(简称“产品”)的具体安全技术要求和等级划分详见附录A,测评方法及等级划分详见附录B。
6 安全技术要求
6.1 安全功能要求
6.1.1 组网与部署
6.1.1.1 部署模式
产品应支持以下部署模式:
a) 透明传输模式;
b) 路由转发模式;
c) 反向代理模式。
6.1.1.2 路由
6.1.1.2.1 静态路由
产品应支持静态路由功能,且能配置静态路由。
6.1.1.2.2 策略路由
具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的产品,应支持策略路由功能,包括但不限于:
a) 基于源、目的IP策略路由;
b) 基于接口的策略路由;
c) 基于协议和端口的策略路由;
d) 基于应用类型的策略路由;
e) 基于多链路负载情况自动选择路由。
6.1.1.2.3 动态路由
产品应支持动态路由功能,包括RIP、OSPF或BGP中一种或多种动态路由协议。
6.1.1.3 高可用性
6.1.1.3.1 冗余部署
产品应支持“主-备”、“主-主”或“集群”中的一种或多种冗余部署模式。
6.1.1.3.2 负载均衡
产品应支持负载均衡功能,能根据安全策略将网络流量均衡到多台服务器上。
6.1.1.4 设备虚拟化(可选)
6.1.1.4.1 虚拟系统
若产品支持在逻辑上划分为多个虚拟子系统,虚拟子系统间应支持隔离和独立管理,包括但不限于:
a) 对虚拟子系统分别设置管理员,实现针对虚拟子系统的管理配置;
b) 虚拟子系统能分别维护路由表、安全策略和日志系统;
c) 对虚拟子系统的资源使用配额进行限制。
6.1.1.4.2 虚拟化部署
若产品为虚拟化形态,应支持部署于虚拟化平台,并接受平台统一管理,包括但不限于:
a) 支持部署于一种虚拟化平台,如VMware ESxi、KVM、Citrix xenserver和Hyper-V等;
b) 结合虚拟化平台实现产品资源弹性伸缩,根据虚拟化产品的负载情况动态调整资源;
c) 结合虚拟化平台实现故障迁移,当虚拟化产品出现故障时能实现自动更新、替换。
6.1.1.5 IPv6支持(可选)
6.1.1.5.1 支持IPv6网络环境
若产品支持IPv6,应支持在IPv6网络环境下正常工作,能有效运行其安全功能和自身安全功能。
6.1.1.5.2 协议一致性
若产品支持IPv6,应满足IPv6协议一致性的要求,至少包括IPv6核心协议、IPv6 NDP协议、IPv6 Autoconfig协议和ICMPv6协议。
6.1.1.5.3 协议健壮性
若产品支持IPv6,应满足IPv6协议健壮性的要求,抵御IPv6网络环境下畸形协议报文攻击。
6.1.1.5.4 支持IPv6过渡网络环境
若产品支持IPv6,应支持在以下一种或多种IPv6过渡网络环境下工作:
a) 协议转换,将IPv4和IPv6两种协议相互转换;
b) 隧道,将IPv6封装在IPv4中穿越IPv4网络,如IPv6 over IPv4、IPv6 to IPv4、ISATAP等。
6.1.2 网络层控制
6.1.2.1 访问控制
6.1.2.1.1 包过滤
产品的包过滤功能要求如下:
a) 安全策略应使用最小安全原则,即除非明确允许,否则就禁止;
b) 安全策略应包含基于源IP地址、目的IP地址的访问控制;
c) 安全策略应包含基于源端口、目的端口的访问控制;
d) 安全策略应包含基于协议类型的访问控制;
e) 安全策略应包含基于MAC地址的访问控制;
f) 安全策略应包含基于时间的访问控制;
g) 应支持用户自定义的安全策略,安全策略包括MAC地址、IP地址、端口、协议类型和时间的部分或全部组合。
6.1.2.1.2 网络地址转换
产品的网络地址转换功能要求如下:
a) 支持SNAT和DNAT;
b) SNAT应实现“多对一”地址转换,使得内部网络主机访问外部网络时,其源IP地址被转换;
c) DNAT应实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地址/端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问;
d) 支持动态SNAT技术,实现“多对多”的SNAT。
6.1.2.1.3 状态检测
产品应支持基于状态检测技术的包过滤功能,具备状态检测能力。
6.1.2.1.4 动态开放端口
产品应支持协议的动态端口开放,包括但不限于:
a) FTP协议;
b) H.323等音视频协议。
6.1.2.1.5 IP/MAC地址绑定
产品应支持自动或手工绑定IP/MAC地址,当主机的IP地址、MAC地址与IP/MAC绑定表中不一致时,阻止其流量通过。
6.1.2.2 流量管理
6.1.2.2.1 带宽管理
产品应支持带宽管理功能,能根据策略调整客户端占用的带宽,包括但不限于:
a) 根据源IP、目的IP、应用类型和时间段的流量速率或总额进行限制;
b) 根据源IP、目的IP、应用类型和时间段设置保障带宽;
c) 在网络空闲时自动解除流量限制,并在总带宽占用率超过阈值时自动启用限制。
6.1.2.2.2 连接数控制
产品应支持限制单IP的最大并发会话数和新建连接速率,防止大量非法连接产生时影响网络性能。
6.1.2.2.3 会话管理
在会话处于非活跃状态一定时间或会话结束后,产品应终止会话。
6.1.3 应用层控制
6.1.3.1 用户管控
产品应支持基于用户认证的网络访问控制功能,包括但不限于:
a) 本地用户认证方式;
b) 结合第三方认证系统,如基于Radius、LDAP服务器的认证方式。
6.1.3.2 应用类型控制
产品应支持根据应用特征识别并控制各种应用类型,包括:
a) HTTP协议;
b) 数据库协议;
c) FTP、TELNET、SMTP、POP3和IMAP等常见协议;
d) 即时聊天类、P2P类、网络流媒体类、网络游戏、股票交易类等应用;
e) 逃逸或隧道加密特点的应用,如加密代理类应用;
f) 自定义应用。
6.1.3.3 应用内容控制
6.1.3.3.1 WEB应用
产品应支持基于以下内容对WEB应用的访问进行控制,包括但不限于:
a) URL网址,并具备分类网址库;
b) HTTP传输内容的关键字;
c) HTTP请求方式,包括GET、POST、PUT、HEAD等;
d) HTTP请求文件类型;
e) HTTP协议头中各字段长度,包括general-header、request-header、response-header等;
f) HTTP上传文件类型;
g) HTTP请求频率;
h) HTTP返回的响应内容,如服务器返回的出错信息等;
i) 支持HTTPS流量解密。
6.1.3.3.2 数据库应用
产品应支持基于以下内容对数据库的访问进行控制,包括但不限于:
a) 访问数据库的应用程序、运维工具;
b) 数据库用户名、数据库名、数据表名和数据字段名;
c) SQL语句关键字、数据库返回内容关键字;
d) 影响行数、返回行数。
6.1.3.3.3 其他应用
产品应支持基于以下内容对FTP、TELNET、SMTP、POP3和IMAP等应用进行控制,包括但不限于:
a) 传输文件类型;
b) 传输内容,如协议命令或关键字。
6.1.4 攻击防护
6.1.4.1 拒绝服务攻击防护
产品具备特征库,应支持拒绝服务攻击防护功能,包括但不限于:
a) ICMP Flood攻击防护;
b) UDP Flood攻击防护;
c) SYN Flood攻击防护;
d) TearDrop攻击防护;
e) Land攻击防护;
f) Ping of Death攻击防护;
g) CC攻击防护。
6.1.4.2 WEB攻击防护
产品具备特征库,应支持WEB攻击防护功能,包括但不限于:
a) SQL注入攻击防护;
b) XSS攻击防护;
c) 第三方组件漏洞攻击防护;
d) 目录遍历攻击防护;
e) Cookie注入攻击防护;
f) CSRF攻击防护;
g) 文件包含攻击防护;
h) 盗链防护;
i) OS命令注入攻击防护;
1) WEBshell识别和拦截;
k) 反序列化攻击防护。
6.1.4.3 数据库攻击防护
产品具备特征库,应支持数据库攻击防护功能,包括但不限于:
a) 数据库漏洞攻击防护;
b) 异常SQL语句阻断;
c) 数据库拖库攻击防护;
d) 数据库撞库攻击防护。
6.1.4.4 恶意代码防护
产品具备特征库,应支持恶意代码防护功能,包括但不限于:
a) 能拦截典型的木马攻击行为;
b) 检测并拦截被HTTP网页和电子邮件等携带的恶意代码。
6.1.4.5 其他应用攻击防护
产品具备特征库,应支持防护来自应用层的其他攻击,包括但不限于:
a) 操作系统类漏洞攻击防护;
b) 中间件类漏洞攻击防护;
c) 控件类漏洞攻击防护。
6.1.4.6 自动化工具威胁防护
产品具备特征库,应支持防护自动化工具发起的攻击,包括但不限于:
a) 网络扫描行为防护;
b) 应用扫描行为防护;
c) 漏洞利用T具防护。
6.1.4.7 攻击逃逸防护
产品应支持检测并阻断经逃逸技术处理过的攻击行为。
6.1.4.8 外部系统协同防护
产品应提供联动接口,能通过接口与其他网络安全产品进行联动,如执行其他网络安全产品下发的安全策略等。
6.1.5 安全审计、告警与统计
6.1.5.1 安全审计
产品应支持安全审计功能,包括但不限于:
a) 记录事件类型:
1) 被产品安全策略匹配的访问请求;
2) 检测到的攻击行为。
b) 日志内容:
1) 事件发生的日期和时间;
2) 事件发生的主体、客体和描述,其中数据包日志包括协议类型、源地址、目标地址、源端口和目标端口等;
3) 攻击事件的描述。
c) 日志管理:
1) 仅允许授权管理员访问日志,并提供日志查阅、导出等功能;
2) 能对审计事件按日期、时间、主体、客体等条件查询;
3) 日志存储于掉电非易失性存储介质中;
4) 日志存储周期设定不小于六个月;
5) 存储空间达到阈值时,能通知授权管理员,并确保审计功能的正常运行;
6) 日志支持自动化备份至其他存储设备。
6.1.5.2 安全告警
产品应支持对6.1.4中的攻击行为进行告警,并能对高频发生的相同告警事件进行合并告警,避免出现告警风暴。告警信息至少包括以下内容:
a) 事件主体;
b) 事件客体;
c) 事件描述;
d) 危害级别;
e) 事件发生的日期和时间。
6.1.5.3 统计
6.1.5.3.1 网络流量统计
产品应支持以图形化界面展示网络流量情况,包括但不限于:
a) 按照IP、时间段和协议类型等条件或以上条件组合对网络流量进行统计;
b) 实时或以报表形式输出统计结果。
6.1.5.3.2 应用流量统计
产品应支持以图形化界面展示应用流量情况,包括但不限于:
a) 按照IP、时间段和应用类型等条件或以上条件组合对应用流量进行统计;
b) 以报表形式输出统计结果;
c) 对不同时间段的统计结果进行比对。
6.1.5.3.3 攻击事件统计
产品应支持以图形化界面展示攻击事件情况,包括但不限于:
a) 按照攻击事件类型、IP和时间段等条件或以上条件组合对攻击事件进行统计;
b) 以报表形式输出统计结果。
6.2 自身安全要求
6.2.1 身份标识与鉴别
产品的身份标识与鉴别安全要求包括但不限于:
a) 对用户身份进行标识和鉴别,身份标识具有唯一性;
b) 对用户身份鉴别信息进行安全保护,保障用户鉴别信息存储和传输过程中的保密性;
c) 具有登录失败处理功能,如限制连续的非法登录尝试次数等相关措施;
d) 具有登录超时处理功能,当登录连接超时自动退出;
e) 在采用基于口令的身份鉴别时,要求对用户设置的口令进行复杂度检查,确保用户口令满足一定的复杂度要求;
f) 当产品中存在默认口令时,提示用户对默认口令进行修改,以减少用户身份被冒用的风险;
g) 应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别。
6.2.2 管理能力
产品的管理能力安全要求包括但不限于:
a) 向授权管理员提供设置和修改安全管理相关的数据参数的功能;
b) 向授权管理员提供设置、查询和修改各种安全策略的功能;
c) 向授权管理员提供管理审计日志的功能;
d) 支持更新自身系统的能力,包括对软件系统的升级以及各种特征库的升级;
e) 能从NTP服务器同步系统时间;
f) 支持通过SYSLOG协议向日志服务器同步日志、告警等信息;
g) 应区分管理员角色,能划分为系统管理员、安全操作员和安全审计员,三类管理员角色权限能相互制约;
h) 提供安全策略有效性检查功能,如安全策略匹配情况检测等。
6.2.3 管理审计
产品的管理审计安全要求包括但不限于:
a) 对用户账户的登录和注销、系统启动、重要配置变更、增加/删除/修改管理员、保存/删除审计日志等操作行为进行日志记录;
b) 对产品及其模块的异常状态进行告警,并记录日志;
c) 日志记录中包括如下内容:事件发生的日期和时间,事件的类型,事件主体,事件操作结果;
d) 仅允许授权管理员访问日志。
6.2.4 管理方式
产品的管理方式安全要求包括但不限于:
a) 支持通过console端口进行本地管理;
b) 支持通过网络接口进行远程管理,并能限定进行远程管理的IP、MAC地址;
c) 远程管理过程中,管理端与产品之间的所有通信数据应非明文传输;
d) 支持SNMP网管协议方式的监控和管理;
e) 支持管理接口与业务接口分离;
f) 支持集中管理,通过集中管理平台实现监控运行状态、下发安全策略、升级系统版本、升级特征库版本。
6.2.5 安全支撑系统
产品的支撑系统安全要求包括但不限于:
a) 进行必要的裁剪,不提供多余的组件或网络服务;
b) 重启过程中,安全策略和日志信息不丢失;
c) 不含已知中、高风险安全漏洞。
6.3 性能要求
6.3.1 吞吐量
6.3.1.1 网络层吞吐量
硬件产品的网络层吞吐量视不同速率的产品有所不同,具体指标要求如下:
a) 一对相应速率的端口应达到的双向吞吐率指标:
1) 对于64字节短包,百兆产品不小于线速的20%,千兆和万兆产品不小于线速的35%;
2) 对于512字节中长包,百兆产品不小于线速的70%,千兆和万兆产品不小于线速的80%;
3) 对于1 518字节长包,百兆产品不小于线速的90%,千兆和万兆产品不小于线速的95%;
b) 针对高性能的万兆产品,对于1 518字节长包,吞吐量至少达到80 Gbit/s。
6.3.1.2 混合应用层吞吐量
硬件产品的应用层吞吐量视不同速率的产品有所不同,开启应用攻击防护功能的情况下,具体指标要求如下:
a) 百兆产品混合应用层吞吐量应不小于60 Mbit/s;
b) 千兆产品混合应用层吞吐量应不小于600 Mbit/s;
c) 万兆产品混合应用层吞吐量应不小于5 Gbit/s;针对高性能的万兆产品,整机混合应用层吞吐量至少达到20 Gbit/s。
6.3.1.3 HTTP吞吐量
硬件产品的HTTP吞吐量视不同速率的产品有所不同,开启WEB攻击防护功能的情况下,具体指标要求如下:
a) 百兆产品应用层吞吐量应不小于80 Mbit/s;
b) 千兆产品应用层吞吐量应不小于800 Mbit/s;
c) 万兆产品应用层吞吐量应不小于6 Gbit/s。
6.3.2 延迟
硬件产品的延迟视不同速率的产品有所不同,一对相应速率端口的延迟具体指标要求如下:
a) 对于64字节短包、512字节中长包、1 518字节长包,百兆产品的平均延迟不应超过500 μs;
b) 对于64字节短包、512字节中长包、1 518字节长包,千兆、万兆产品的平均延迟不应超过90 μs。
6.3.3 连接速率
6.3.3.1 TCP新建连接速率
硬件产品的TCP新建连接速率视不同速率的产品有所不同,具体指标要求如下:
a) 百兆产品的TCP新建连接速率应不小于1 500个/s;
b) 千兆产品的TCP新建连接速率应不小于5 000个/s;
c) 万兆产品的新建连接数速率应不小于50 000个/s;针对高性能的万兆产品,整机新建连接数速率应不小于250 000个/s。
6.3.3.2 HTTP请求速率
硬件产品的HTTP请求速率视不同速率的产品有所不同,具体指标要求如下:
a) 百兆产品的HTTP请求速率应不小于800个/s;
b) 千兆产品的HTTP请求速率应不小于3 000个/s;
c) 万兆产品的HTTP请求速率应不小于5 000个/s。
6.3.3.3 SQL请求速率
硬件产品的SQL请求速率视不同速率的产品有所不同,具体指标要求如下:
a) 百兆产品的SQL请求速率应不小于2 000个/s;
b) 千兆产品的SQL请求速率应不小于10 000个/s;
c) 万兆产品的SQL请求速率应不小于50 000个/s。
6.3.4 并发连接数
6.3.4.1 TCP并发连接数
硬件产品的TCP并发连接数视不同速率的产品有所不同,具体指标要求如下:
a) 百兆产品的并发连接数应不小于50 000个;
b) 千兆产品的并发连接数应不小于200 000个;
c) 万兆产品的并发连接数应不小于2 000 000个;针对高性能的万兆产品,整机并发连接数至少达到3 000 000个。
6.3.4.2 HTTP并发连接数
硬件产品的HTTP并发连接数视不同速率的产品有所不同,具体指标要求如下:
a) 百兆产品的HTTP并发连接数应不小于50 000个;
b) 千兆产品的HTTP并发连接数应不小于200 000个;
c) 万兆产品的HTTP并发连接数应不小于2 000 000个。
6.3.4.3 SQL并发连接数
硬件产品的SQL并发连接数视不同速率的产品有所不同,具体指标要求如下:
a) 百兆产品的SQL并发连接数应不小于800个;
b) 千兆产品的SQL并发连接数应不小于2 000个;
c) 万兆产品的SQL并发连接数应不小于4 000个。
6.4 安全保障要求
6.4.1 开发
6.4.1.1 安全架构
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求:
a) 与产品设计文档中对安全功能的描述范围相一致;
b) 充分描述产品采取的自我保护、不可旁路的安全机制。
6.4.1.2 功能规范
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:
a) 根据产品类型清晰描述6.1、6.2中定义的安全功能;
b) 标识和描述产品所有安全功能接口的目的、使用方法及相关参数;
c) 描述安全功能实施过程中,与安全功能接口相关的所有行为;
d) 描述可能由安全功能接口的调用而引起的所有直接错误消息。
6.4.1.3 产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求:
a) 通过子系统描述产品结构,标识和描述产品安全功能的所有子系统,并描述子系统问的相互作用;
b) 提供子系统和安全功能接口间的对应关系;
c) 通过实现模块描述安全功能,标识和描述实现模块的目的、相关接口及返回值等,并描述实现模块间的相互作用及调用的接口;
d) 提供实现模块和子系统间的对应关系。
6.4.1.4 实现表示
开发者应提供产品安全功能的实现表示,实现表示应满足以下要求:
a) 详细定义产品安全功能,包括软件代码、设计数据等实例;
b) 提供实现表示与产品设计描述间的对应关系。
6.4.2 指导性文档
6.4.2.1 操作用户指南
开发者应提供明确和合理的操作用户指南,对每一种用户角色的描述应满足以下要求:
a) 描述用户能访问的功能和特权,包含适当的警示信息;
b) 描述产品安全功能及接口的用户操作方法,包括配置参数的安全值等;
c) 标识和描述产品运行的所有可能状态,包括操作导致的失败或者操作性错误;
d) 描述实现产品安全目的必需执行的安全策略。
6.4.2.2 准备程序
开发者应提供产品及其准备程序,准备程序描述应满足以下要求:
a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;
b) 描述安全安装产品及其运行环境必需的所有步骤。
6.4.3 生命周期支持
6.4.3.1 配置管理能力
开发者的配置管理能力应满足以下要求:
a) 为产品的不同版本提供唯一的标识;
b) 使用配置管理系统对组成产品的所有配置项进行维护,并进行唯一标识;
c) 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;
d) 配置管理系统提供自动方式来支持产品的生成,通过自动化措施确保配置项仅接受授权变更;
e) 配置管理文档包括一个配置管理计划,描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。配置管理计划描述应描述如何使用配置管理系统开发产品,开发者实施的配置管理应与配置管理计划相一致。
6.4.3.2 配置管理范围
开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容:
a) 产品及其组成部分、安全保障要求的评估证据;
b) 实现表示、安全缺陷报告及其解决状态。
6.4.3.3 交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时,交付文档应描述为维护安全所必需的所有程序。
6.4.3.4 开发安全
开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。
6.4.3.5 生命周期定义
开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文档描述用于开发和维护产品的模型。
6.4.3.6 工具和技术
开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。
6.4.4 测试
6.4.4.1 测试覆盖
开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求:
a) 表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性;
b) 表明上述对应性是完备的,并证实功能规范中的所有安全功能接口都进行了测试。
6.4.4.2 测试深度
开发者应提供测试深度的分析。测试深度分析描述应满足以下要求:
a) 证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性;
b) 证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。
6.4.4.3 功能测试
开发者应测试产品安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容:
a) 测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;
b) 预期的测试结果,表明测试成功后的预期输出;
c) 实际测试结果和预期的测试结果的对比。
6.4.4.4 独立测试
开发者应提供一组与其白测安全功能时使用的同等资源,以用于安全功能的抽样测试。
6.4.5 脆弱性评定
基于已标识的潜在脆弱性,产品能抵抗以下强度的攻击:
a) 具有基本攻击潜力的攻击者的攻击;
b) 具有中等攻击潜力的攻击者的攻击。
