GB/T 20281-2015信息安全技術(shù)防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T20281—2015

代替

GB/T20281—2006

信息安全技術(shù)防火墻安全技術(shù)要求

和測(cè)試評(píng)價(jià)方法

Informationsecuritytechnology—Securitytechnicalrequirements

andtestingandevaluationapproachesforfirewall

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T20281—2015

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

防火墻描述

5………………2

安全技術(shù)要求

6……………2

總體說(shuō)明

6.1……………2

要求分類

6.1.1………………………2

安全等級(jí)

6.1.2………………………3

基本級(jí)安全要求

6.2……………………5

安全功能要求

6.2.1…………………5

安全保證要求

6.2.2…………………8

增強(qiáng)級(jí)安全要求

6.3……………………10

安全功能要求

6.3.1…………………10

安全保證要求

6.3.2…………………15

環(huán)境適應(yīng)性要求

6.4……………………20

傳輸模式

6.4.1………………………20

下一代互聯(lián)網(wǎng)支持有則適用

6.4.2()………………20

性能要求

6.5……………21

吞吐量

6.5.1…………………………21

延遲

6.5.2……………21

最大并發(fā)連接數(shù)

6.5.3………………22

最大連接速率

6.5.4…………………22

測(cè)試評(píng)價(jià)方法

7……………22

測(cè)試環(huán)境

7.1……………22

安全功能與環(huán)境適應(yīng)性測(cè)試環(huán)境

7.1.1……………22

性能測(cè)試環(huán)境

7.1.2…………………23

基本級(jí)安全要求測(cè)試

7.2………………23

安全功能測(cè)試

7.2.1…………………23

安全保證測(cè)試

7.2.2…………………28

增強(qiáng)級(jí)安全要求測(cè)試

7.3………………32

安全功能測(cè)試

7.3.1…………………32

安全保證測(cè)試

7.3.2…………………40

環(huán)境適應(yīng)性測(cè)試

7.4……………………49

傳輸模式

7.4.1………………………49

下一代互聯(lián)網(wǎng)支持

7.4.2……………49

Ⅰ

GB/T20281—2015

性能測(cè)試

7.5……………53

吞吐量

7.5.1…………………………53

延遲

7.5.2……………53

最大并發(fā)連接數(shù)

7.5.3………………54

最大連接速率

7.5.4…………………54

參考文獻(xiàn)

……………………55

Ⅱ

GB/T20281—2015

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法

GB/T20281—2006《》。

本標(biāo)準(zhǔn)與的主要差異如下

GB/T20281—2006:

修改了防火墻的描述

———;

修改了防火墻的功能分類

———;

增加了防火墻的高性能要求

———;

加強(qiáng)了防火墻對(duì)應(yīng)用層控制能力的要求

———;

增加了下一代互聯(lián)網(wǎng)協(xié)議支持能力的要求

———;

級(jí)別統(tǒng)一劃分為基本級(jí)和增強(qiáng)級(jí)

———。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心北京啟明星辰信息安全技術(shù)

:、

有限公司華為技術(shù)有限公司解放軍信息安全測(cè)評(píng)認(rèn)證中心北京中科網(wǎng)威信息技術(shù)有限公司北京網(wǎng)

、、、、

康科技有限公司公安部第三研究所

、。

本標(biāo)準(zhǔn)主要起草人俞優(yōu)陸臻鄒春明顧健沈亮李毅韋湘王光宇呂穎軒王平

:、、、、、、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T20281—2006。

Ⅲ

GB/T20281—2015

信息安全技術(shù)防火墻安全技術(shù)要求

和測(cè)試評(píng)價(jià)方法

1范圍

本標(biāo)準(zhǔn)規(guī)定了防火墻的安全技術(shù)要求測(cè)試評(píng)價(jià)方法及安全等級(jí)劃分

、。

本標(biāo)準(zhǔn)適用于防火墻的設(shè)計(jì)開發(fā)與測(cè)試

、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第部分安全保證

GB/T18336.3—20083:

要求

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010。

31

.

防火墻firewall

部署于不同安全域之間具備網(wǎng)絡(luò)層訪問(wèn)控制及過(guò)濾功能并具備應(yīng)用層協(xié)議分析控制及內(nèi)容檢

,,、

測(cè)等功能能夠適用于等不同的網(wǎng)絡(luò)環(huán)境的安全網(wǎng)關(guān)產(chǎn)品

,IPv4、IPv6。

32

.

深度包檢測(cè)deeppacketinspection

基于應(yīng)用層的流量檢測(cè)和控制技術(shù)通過(guò)讀取包載荷的內(nèi)容并對(duì)應(yīng)用層信息進(jìn)行重組從而得

,IP,

到整個(gè)應(yīng)用程序的內(nèi)容然后按照系統(tǒng)定義的策略對(duì)內(nèi)容進(jìn)行相應(yīng)處置

,。

33

.

深度內(nèi)容檢測(cè)deepcontentinspection

能夠?qū)?yīng)用協(xié)議進(jìn)行深入解析識(shí)別出協(xié)議中的各種要素如協(xié)議可具體解析到如

,