IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求 第2部分：Web應(yīng)用防護系統(tǒng)（WAF）編制說明

國家標準編制說明

一、工作簡況

1.1任務(wù)來源

本項目為全國通信標準化技術(shù)委員會轉(zhuǎn)發(fā)的2022年第四批推薦性國家標準

計劃（通標委〔2023〕1號），標準名稱為《IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求第2

部分：Web應(yīng)用防護系統(tǒng)（WAF）》，標準由中國信息通信研究院主辦。

1.2主要起草單位和工作組成員

本項目由中國信息通信研究院牽頭，參與起草單位包括華為技術(shù)有限公司、

北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京神州綠盟科技有限公司、鄭州信大捷安

信息技術(shù)股份有限公司、中國移動通信集團有限公司、中國電信集團有限公司、

國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中移（蘇州）軟件技術(shù)有限公司、中國

福利會國際和平婦幼保健院、山石網(wǎng)科通信技術(shù)股份有限公司、北京通和實益電

信科學(xué)技術(shù)研究所有限公司、北京浩瀚深度信息技術(shù)股份有限公司、鄭州昂視信

息科技有限公司、北京可信華泰信息技術(shù)有限公司等。

主要起草人有：董悅、劉起良、沈俊霞、賀倩等。

1.3主要工作過程

標準制定的主要工作過程如下：

1.標準研究

2021年12月至2022年6月，由中國信息通信研究院牽頭，華為技術(shù)有限公

司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京神州綠盟科技有限公司、鄭州信大

捷安信息技術(shù)股份有限公司等單位成立標準聯(lián)合申報組，形成標準草案。

2.標準立項

1

國家標準編制說明

1）2022年6月，工信部科技司公開征求標準立項計劃意見，組織專家評審，

并獲得工信部內(nèi)19個行業(yè)部門協(xié)調(diào)一致及專家評審?fù)ㄟ^，上報國家標準委員會

申請立項。

2）2022年8月，參與國標委立項答辯評審，經(jīng)過公開征求意見，于2022

年12月正式下達計劃。

3.完善標準草案

1）2022年3月至6月，與相關(guān)領(lǐng)域?qū)＜疫M行多次討論和研討，基于原行標

內(nèi)容，根據(jù)專家意見修改完善；

2）2022年8月至12月，根據(jù)國標委立項答辯評審意見，合并標準項目，

調(diào)整系列標準框架，完善標準格式；

3）2023年1月-2月，根據(jù)標準相關(guān)意見，召開專家研討及標準編制組內(nèi)部

討論，根據(jù)專家反饋的意見，修改完善標準草案并合稿討論。

4）2022年3月，根據(jù)參編單位申請情況，擴大標準編制組，并在組內(nèi)分三

輪開展標準文稿的討論，進一步梳理標準框架，完善分工。同時針對各輪專家的

意見進行匯總合稿。

4.形成標準征求意見稿

2023年4月，參加2023年中國通信標準化協(xié)會組織召開的TC485工作組會

議，收集修改意見，標準通過審議并擬形成征求意見稿。編制組根據(jù)專家意見修

改完善標準。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

2.1編制原則

（1）合規(guī)性原則

本標準遵從我國有關(guān)法律法規(guī)的規(guī)定，標準條款與我國法律法規(guī)和相關(guān)政策

不沖突。

（2）一致性原則

本標準與國內(nèi)外相關(guān)技術(shù)標準協(xié)調(diào)一致。

（3）適用性原則

本標準適用于IPv6網(wǎng)絡(luò)安全設(shè)備應(yīng)用部署和推進，且符合我國基本國情。

2

國家標準編制說明

（4）中立性原則

本標準堅持公正、中立，不與任何利益相關(guān)方發(fā)生關(guān)聯(lián)。

2.2確定主要內(nèi)容的論據(jù)及解決的主要問題

隨著IPv6網(wǎng)絡(luò)的快速發(fā)展，目前已經(jīng)進入了全面規(guī)模部署的階段。我國針

對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的IPv6升級改造已基本完成，IPv6部署已進入全面推進階段。

目前電信網(wǎng)和互聯(lián)網(wǎng)領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施如IP承載網(wǎng)、移動通信網(wǎng)、互聯(lián)網(wǎng)數(shù)

據(jù)中心、內(nèi)容分發(fā)網(wǎng)絡(luò)等已大規(guī)模配置和使用IPv6地址，與IPv4地址相比，隨

著網(wǎng)絡(luò)和用戶的規(guī)模和復(fù)雜度提升，網(wǎng)絡(luò)的安全性面臨越來越大的挑戰(zhàn)，安全設(shè)

備需要符合相關(guān)IPv6環(huán)境下的部署應(yīng)用需求?？紤]到防火墻、Web應(yīng)用防火墻

和入侵防御系統(tǒng)是應(yīng)用較為廣泛的安全設(shè)備，為了保障其在IPv6網(wǎng)絡(luò)中的有效

部署和實際應(yīng)用，制定IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求系列標準。

本標準規(guī)定了Web應(yīng)用防火墻的安全技術(shù)要求，包括功能性、性能、兼容性、

可靠性、自身安全性和可維護性。本標準適用于Web應(yīng)用防火墻的設(shè)計、開發(fā)、

部署、使用、維護與測試。

主要技術(shù)內(nèi)容包括：

（1）功能性：主要包括Web應(yīng)用內(nèi)容控制、攻擊防護、安全審計、告警和

統(tǒng)計的內(nèi)容和要求；

（2）性能：主要包括HTTP吞吐量、HTTP請求速率和HTTP并發(fā)連接數(shù)的

內(nèi)容和要求；

（3）兼容性：主要包括部署、接口、界面和數(shù)據(jù)存儲的內(nèi)容和要求；

（4）可靠性：主要包括系統(tǒng)容錯、故障監(jiān)測與恢復(fù)、雙機熱備、過載控制

和備份與恢復(fù)的內(nèi)容和要求。

（5）自身安全性：主要包括標識與鑒別、自身訪問控制、自身安全審計、

通信安全、支撐系統(tǒng)安全、產(chǎn)品升級、用戶信息安全和密碼要求的內(nèi)容和要求。

（6）可維護性：主要包括操作用戶指南、準備程序、配置管理能力、管理

范圍、交付程序和運維的內(nèi)容和要求。

3

國家標準編制說明

三、主要試驗[或驗證]情況分析

本標準為基礎(chǔ)電信企業(yè)、安全廠商、集成廠商等企業(yè)提供標準指導(dǎo)和參考。

編制組在編制過程中，充分聽取了信息和網(wǎng)絡(luò)安全服務(wù)機構(gòu)、科研院所、測試機

構(gòu)、互聯(lián)網(wǎng)企業(yè)的意見，并根據(jù)工信部網(wǎng)安局的部署在監(jiān)管工作中推進開展標準

各項要求的驗證工作。

四、知識產(chǎn)權(quán)情況說明

本標準不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果

目前電信網(wǎng)和互聯(lián)網(wǎng)領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施如IP承載網(wǎng)、移動通信網(wǎng)、互聯(lián)

網(wǎng)數(shù)據(jù)中心、內(nèi)容分發(fā)網(wǎng)絡(luò)等已大規(guī)模配置和使用IPv6地址，與IPv4地址相比，

隨著網(wǎng)絡(luò)和用戶的規(guī)模和復(fù)雜度提升，對網(wǎng)絡(luò)安全設(shè)備的部署應(yīng)用提出了新的要

求。通過IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求系列標準的編制，有效保障安全產(chǎn)品在IPv6

網(wǎng)絡(luò)中的部署和有效應(yīng)用。

本標準可以指導(dǎo)產(chǎn)品廠商IPv6網(wǎng)絡(luò)安全設(shè)備的設(shè)計、開發(fā)、部署、使用、

維護與測試。同時，為電信網(wǎng)和互聯(lián)網(wǎng)領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施提供技術(shù)防護能力。因

此，本標準具有產(chǎn)業(yè)化應(yīng)用前景。

六、采用國際標準和國外先進標準情況

本標準項目均沒有直接采用國際標準，將參考和借鑒現(xiàn)有國際標準，確保標

準內(nèi)容與國際最新技術(shù)水平一致。

七、與現(xiàn)行法律法規(guī)、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性

《IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求第2部分：Web應(yīng)用防護系統(tǒng)（WAF）》符

合《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等現(xiàn)有法律法規(guī)。

目前我國安全標準中，現(xiàn)有與在研的，與本項目具備直接關(guān)聯(lián)性的標準如下：

4

國家標準編制說明

GB42250-2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求

GB40050-2021網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求

GB/T20281-2020信息安全技術(shù)防火墻安全技術(shù)要求和測試評價方法

八、重大分歧意見的處理經(jīng)過和依據(jù)

無

九、標準性質(zhì)的建議

建議本標準作為推薦性國家標準發(fā)布實施。

十、貫徹標準的要求和措施建議

在正式執(zhí)行本標準前，需要對標準中的條款進行宣貫，以在利益相關(guān)方之間

達成對標準條款理解上的一致性。

十一、替代或廢止現(xiàn)行相關(guān)標準的建議

無。

十二、其他應(yīng)予說明的事項

無。

標準編制組

2023年5月

5

國家標準編制說明

一、工作簡況

1.1任務(wù)來源

本項目為全國通信標準化技術(shù)委員會轉(zhuǎn)發(fā)的2022年第四批推薦性國家標準

計劃（通標委〔2023〕1號），標準名稱為《IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求第2

部分：Web應(yīng)用防護系統(tǒng)（WAF）》，標準由中國信息通信研究院主辦。

1.2主要起草單位和工作組成員

本項目由中國信息通信研究院牽頭，參與起草單位包括華為技術(shù)有限公司、

北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京神州綠盟科技有限公司、鄭州信大捷安

信息技術(shù)股份有限公司、中國移動通信集團有限公司、中國電信集團有限公司、

國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中移（蘇州）軟件技術(shù)有限公司、中國

福利會國際和平婦幼保健院、山石網(wǎng)科通信技術(shù)股份有限公司、北京通和實益電

信科學(xué)技術(shù)研究所有限公司、北京浩瀚深度信息技術(shù)股份有限公司、鄭州昂視信

息科技有限公司、北京可信華泰信息技術(shù)有限公司等。

主要起草人有：董悅、劉起良、沈俊霞、賀倩等。

1.3主要工作過程

標準制定的主要工作過程如下：

1.標準研究

2021年12月至2022年6月，由中國信息通信研究院牽頭，華為技術(shù)有限公

司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京神州綠盟科技有限公司、鄭州信大

捷安信息技術(shù)股份有限公司等單位成立標準聯(lián)合申報組，形成標準草案。

2.標準立項

1

國家標準編制說明

1）2022年6月，工信部科技司公開征求標準立項計劃意見，組織專家評審，

并獲得工信部內(nèi)19個行業(yè)部門協(xié)調(diào)一致及專家評審?fù)ㄟ^，上報國家標準委員會

申請立項。

2）2022年8月，參與國標委立項答辯評審，經(jīng)過公開征求意見，于2022

年12月正式下達計劃。

3.完善標準草案

1）2022年3月至6月，與相關(guān)領(lǐng)域?qū)＜疫M行多次討論和研討，基于原行標

內(nèi)容，根據(jù)專家意見修改完善；

2）2022年8月至12月，根據(jù)國標委立項答辯評審意見，合并標準項目，

調(diào)整系列標準框架，完善標準格式；

3）2023年1月-2月，根據(jù)標準相關(guān)意見，召開專家研討及標準編制組內(nèi)部

討論，根據(jù)專家反饋的意見，修改完善標準草案并合稿討論。

4）2022年3月，根據(jù)參編單位申請情況，擴大標準編制組，并在組內(nèi)分三

輪開展標準文稿的討論，進一步梳理標準框架，完善分工。同時針對各輪專家的

意見進行匯總合稿。

4.形成標準征求意見稿

2023年4月，參加2023年中國通信標準化協(xié)會組織召開的TC485工作組會

議，收集修改意見，標準通過審議并擬形成征求意見稿。編制組根據(jù)專家意見修

改完善標準。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

2.1編制原則

（1）合規(guī)性原則

本標準遵從我國有關(guān)法律法規(guī)的規(guī)定，標準條款與我國法律法規(guī)和相關(guān)政策

不沖突。

（2）一致性原則

本標準與國內(nèi)外相關(guān)技術(shù)標準協(xié)調(diào)一致。

（3）適用性原則

本標準適用于IPv6網(wǎng)絡(luò)安全設(shè)備應(yīng)用部署和推進，且符合我國基本國情。

2

國家標準編制說明

（4）中立性原則

本標準堅持公正、中立，不與任何利益相關(guān)方發(fā)生關(guān)聯(lián)。

2.2確定主要內(nèi)容的論據(jù)及解決的主要問題

隨著IPv6網(wǎng)絡(luò)的快速發(fā)展，目前已經(jīng)進入了全面規(guī)模部署的階段。我國針

對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的IPv6升級改造已基本完成，IPv6部署已進入全面推進階段。

目前電信網(wǎng)和互聯(lián)網(wǎng)領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施如IP承載網(wǎng)、移動通信網(wǎng)、互聯(lián)網(wǎng)數(shù)

據(jù)中心、內(nèi)容分發(fā)網(wǎng)絡(luò)等已大規(guī)模配置和使用IPv6地址，與IPv4地址相比，隨

著網(wǎng)絡(luò)和用戶的規(guī)模和復(fù)雜度提升，網(wǎng)絡(luò)的安全性面臨越來越大的挑戰(zhàn)，安全設(shè)

備需要符合相關(guān)IPv6環(huán)境下的部署應(yīng)用需求?？紤]到防火墻、Web應(yīng)用防火墻

和入侵防御系統(tǒng)是應(yīng)用較為廣泛的安全設(shè)備，為了保障其在IPv6網(wǎng)絡(luò)中的有效

部署和實際應(yīng)用，制定IPv6網(wǎng)絡(luò)安全設(shè)備技術(shù)要求系列標準。

本標準規(guī)定了Web應(yīng)用防火墻的安全技術(shù)要求，包括功能性、性能、兼容性、

可靠性、自身安全性和可維護性。本標準適用于Web應(yīng)用防火墻的設(shè)計、開發(fā)、

部署、使用、維護與測試。

主要技術(shù)內(nèi)容包括：

（1）功能性：主要包括Web應(yīng)用內(nèi)容控制、攻擊防護、安全審計、告警和

統(tǒng)計的內(nèi)容和要求；

（2）性能：主要包括HTTP吞吐量、HTTP請求速率和HTTP并發(fā)連接數(shù)的

內(nèi)容和要求；

（3）兼容性：主要包括部署、接口、界面和數(shù)據(jù)存儲的內(nèi)容和要求；

（4）可靠性：主要包括系統(tǒng)容錯、故障監(jiān)測與恢復(fù)、雙機熱備、過載控制

和備份與恢復(fù)的內(nèi)容和要求。

（5）自身安全性：主要包括標識與鑒別、自身訪問控制、自身安全審計、

通信安全、支撐系統(tǒng)安全、產(chǎn)品升級、用戶信息安全和密碼要求的內(nèi)容和要求。

（6）可維護性：主要包括操作用戶指南、準備程序、配置管理能力、管理

范圍、交付程序和運維的內(nèi)容和要求。

3

國家標準編制說明

三、主要試驗[或驗證]情況分析

本標準為基礎(chǔ)電信企業(yè)、安全廠商、集成