GB/T 25068.4-2022信息技術安全技術網絡安全第4部分：使用安全網關的網間通信安全保護

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T250684—2022/ISO/IEC27033-42014

.:

代替GB/T250683—2010

.

信息技術安全技術網絡安全

第4部分使用安全網關的網間

:

通信安全保護

Informationtechnology—Securitytechniques—Networksecurity—

Part4Securincommunicationsbetweennetworksusinsecuritatewas

:ggygy

ISO/IEC27033-42014IDT

(:,)

2022-10-12發(fā)布2023-05-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T250684—2022/ISO/IEC27033-42014

.:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

文檔結構

5…………………3

概述

6………………………3

安全威脅

7…………………5

安全需求

8…………………5

安全控制

9…………………6

通則

9.1…………………6

無狀態(tài)包過濾

9.2………………………7

狀態(tài)包檢測

9.3…………………………7

應用防火墻

9.4…………………………7

內容過濾

9.5……………8

入侵防御系統(tǒng)和入侵檢測系統(tǒng)

9.6……………………9

安全管理

9.7API………………………9

設計技術

10…………………9

安全網關組件

10.1………………………9

部署安全網關控件

10.2………………10

產品選擇指南

11…………………………13

通則

11.1………………13

選擇安全網關結構和適當組件

11.2…………………13

硬件和軟件平臺

11.3…………………13

配置

11.4………………13

安全功能設置

11.5……………………14

管理能力

11.6…………………………15

日志記錄功能

11.7……………………15

審計功能

11.8…………………………15

培訓和教育

11.9………………………15

實現(xiàn)類型

11.10…………………………15

高可用性和運行模式

11.11……………16

其他注意事項

11.12……………………16

參考文獻

……………………17

GB/T250684—2022/ISO/IEC27033-42014

.:

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件是信息技術安全技術網絡安全的第部分已發(fā)布了以

GB/T25068《》4。GB/T25068

下部分

:

第部分綜述和概念

———1:;

第部分網絡安全設計和實現(xiàn)指南

———2:;

第部分面向網絡接入場景的威脅設計技術和控制

———3:、;

第部分使用安全網關的網間通信安全保護

———4:;

第部分使用虛擬專用網的跨網通信安全保護

———5:。

本文件代替信息技術安全技術網絡安全第部分使用安全網關

GB/T25068.3—2010《IT3:

的網間通信安全保護與相比除結構調整和編輯性改動外主要技術變化

》。GB/T25068.3—2010,,

如下

:

更改了陳述范圍時所使用的推薦條款和表述方式見第章年版的第章

a)“”(1,20101);

更改了術語和定義的內容見第章年版的第章

b)“”(3,20103);

刪除了等縮略語增加了等縮略語

c)“IT”“IDP”“V.35”,“ACL”“ASIC”“CPU”“DDoS”“URL”

見第章年版的第章

(4,20104);

增加了文檔結構概述安全威脅三章見第章第章

d)“”“”“”(5~7);

將安全要求更改為安全需求增加了表并將年版的有關內容更改后納入見第

e)“”“”,“1”,2010(

章年版的第章

8,20105);

將安全網關技術更改為安全控制見第章年版的第章增加了要素通則見

f)“”“”(9,20106),“”(

入侵防御系統(tǒng)和入侵檢測系統(tǒng)見安全管理見刪除了要素網絡地

9.1)、“”(9.6)、“API”(9.7),“

址轉換見年版的

(NAT)”(20106.4);

刪除了狀態(tài)包檢測防火墻與應用代理防火墻的優(yōu)缺點比較并將年版的有關內容更

g)“”“”,2010

改后納入見年版的

(9.3,20106.2);

將應用代理更改為應用防火墻并將年版的有關內容更改后納入見年版

h)“”“”,2010(9.4,2010

的

6.3);

將內容分析和過濾更改為內容過濾增加了內容分析列項協(xié)議分析并將年版

i)“”“”,“”“”,2010

的有關內容更改后納入見年版的

(9.5,20106.5);

將安全網關組件與安全網關體系結構兩章合并為設計技術一章刪除了懸空段引導

j)“”“”“”,

詞重新繪制了示意圖見圖圖年版的圖圖并將年版的有關內容更改

,(3~6,20101~4),2010

后納入見第章年版的第章第章

(10,20107、8);

增加了可能存在負載均衡交換機的使用規(guī)則見年版的

k)“”(10.1.1,20107.1);

將應用級網關更改為應用層網關增加了網關的使用規(guī)則并將年版的有關

l)“”“”,“SIP”,2010

內容更改后納入見年版的

(10.1.3,20107.3);

增加了監(jiān)控功能的使用規(guī)則見

m)“”(10.1.5);

將安全網關體系結構更改為部署安全網關控件刪除了懸置段見年版的

n)“”“”,(10.2,2010

8.1);

刪除了要素層次化方法見年版的

o)“”(20108.2);

Ⅰ

GB/T250684—2022/ISO/IEC27033-42014

.:

刪除了關于屏蔽主機體系結構優(yōu)缺點的表述段落見年版的

p)“”(20108.1.3);

增加了包過濾防火墻的使用規(guī)則見

q)“”(10.2.1);

增加了要素通則見

r)“”(11.1);

將安全特點和設置更改為安全功能設置增加了支持對打包的企業(yè)或其他業(yè)務應用程序

s)“”“”,“

的代理服務和支持識別協(xié)議流中運行的應用如辦公效率應用嵌入式視頻即時消息等

”“(、、)”

的推薦條款并將年版的有關內容更改后納入見年版的

,2010(11.5,20109.4);

增加規(guī)定了細粒度的訪問權限見年版的

t)“”(11.6,20109.6);

刪除了要素文檔化見年版的

u)“”(20109.7);

增加了要素實現(xiàn)類型和要素高可用性和運行模式見

v)“”“”(11.10、11.11)。

本文件等同采用信息技術安全技術網絡安全第部分使用安全

ISO/IEC27033-4:2014《4:

網關的網間通信安全保護

》。

本文件做了下列最小限度的編輯性改動

:

用資料性引用的替換了見

———GB/T20985.2—2020ISO/IEC27035(9.1);

用資料性引用的替換了見

———GB/T28454—2020ISO/IEC27039(9.5);

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位黑龍江省網絡空間研究中心中國電子技術標準化研究院安天科技集團股份有

:、、

限公司黑龍江安信與誠科技開發(fā)有限公司上海工業(yè)控制安全創(chuàng)新科技有限公司哈爾濱理工大學哈

、、、、

爾濱工業(yè)大學

。

本文件主要起草人方舟曲家興谷俊濤于海寧肖鴻江李琳琳李銳宋雪楊霄璇白瑞

:、、、、、、、、、、

王大萌上官曉麗甘俊杰杜宇芳呼大永馬遙黃海樹彬張國華燕思嘉許言吳瓊姜天一周瑩

、、、、、、、、、、、、、、

曹威方偉童松華趙超祝宇琳石冬青單建中孟慶川倪華

、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2010GB/T25068.3—2010;

本次為第一次修訂編號調整為

———,GB/T25068.4—2022。

Ⅱ

GB/T250684—2022/ISO/IEC27033-42014

.:

引言

的目的是為信息系統(tǒng)網絡的管理運行使用及互聯(lián)互通提供安全方面的詳細指導

GB/T25068、、。

方便組織內負責信息安全特別是網絡安全的人員能夠采納本文件以滿足其特定需求擬由六個部分

。

構成

。

第部分綜述和概念目的是定義和描述與網絡安全相關的概念并提供管理指導

———1:。。

第部分網絡安全設計和實現(xiàn)指南目的是為組織如何規(guī)劃設計實現(xiàn)高質量的網絡安全

———2:。、、

體系以確保網絡安全適合相應的業(yè)務環(huán)境提供指導

,。

第部分面向網絡接入場景的威脅設計技術和控制目的是列舉與典型的網絡接入場景相

———3:、。

關的具體風險設計技術和控制適用于所有參與網絡安全架構方面規(guī)劃設計和實施的人員

、,、。

第部分使用安全網關的網間通信安全保護目的是確保使用安全網關的網間通信安全

———4:。。

它提供了如何識別和分析與安全網關相關的網絡安全威脅基于威脅分析定義安全網關的網

、

絡安全需求介紹了以解決典型網絡場景相關的威脅和控制方面的網絡技術安全結構設計技

、

術實現(xiàn)并解決與使用安全網關實施操作監(jiān)視和審查網絡安全控制相關問題的指南本文

,、、。

件適用于所有參與安全網關詳細規(guī)劃設計和實施的人員例如網絡架構師和設計人員網絡

、(、

管理員和網絡安全主管

)。

第部分使用虛擬專用網的跨網通信安全保護目的是定義使用虛擬專用網絡建立安全連

———5:。

接的具體風險設計技術和控制要素

、。

第部分無線網絡訪問安全目的是為選擇實施和監(jiān)測使用無線網絡提供安全通信所必需

———6:。、

的技術控制提供指南并用于第部分中涉及使用無線網絡的技術安全架構或設計選項的審

,2

查與選擇

。

是在信息技術安全技術信息安全控制實踐指南的基礎上進一步

GB/T25068GB/T22081《》,

對網絡安全控制提供了詳細的實施指導僅強調業(yè)務類型等因素影響網絡安全的重要性

。GB/T25068

而不做具體說明

。

本文件凡涉及采用密碼技術解決保密性完整性真實性抗抵賴性需求的遵循密碼相關國家標準

、、、,

和行業(yè)標準

。

Ⅲ

GB/T250684—2022/ISO/IEC27033-42014

.:

信息技術安全技術網絡安全

第4部分使用安全網關的網間

:

通信安全保護

1范圍

本文件提供了使用安全網關防火墻應用防火墻入侵防護系統(tǒng)等的網絡間通信安全保護指

(、、)

南這些安全網關按照文檔化的信息安全策略進行通信指南包括

,,:

識別和分析與安全網關相關的網絡安全威脅

a);

基于威脅分析來定義安全網關的網絡安全需求

b);

使用設計和實現(xiàn)的技術來解決與典型的網絡場景相關的威脅和控制方面的問題

c);

指出實施操作監(jiān)視和評審網絡安全網關控制措施相關的問題

d)、、。

2規(guī)范性引用文件

下列