犐犆犛３５．０４０ 犔８０ ! " # $ % & ' ' ( ) * !" 犌犅／犜２０２８１—２０２０ ＧＢ／Ｔ２００１０—２００５，ＧＢ／Ｔ２０２８１—２０１５，ＧＢ／Ｔ３１５０５—２０１５ # ＧＢ／Ｔ３２９１７—２０１６ 　 !"#$%& '()#$ %&*+,-./012 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犪狀犱 狋犲狊狋犻狀犵犪狊狊犲狊狊犿犲狀狋犪狆狆狉狅犪犮犺犲狊犳狅狉犳犻狉犲狑犪犾犾 ２０２００４２８ 34 ２０２０１１０１ 56 '(+,-./012 '()*3/0456 3 4 犌犅／犜２０２８１—２０２０ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅰ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范性引用文件 ………………………………………………………………………………………… １ ３　 术语和定义 ……………………………………………………………………………………………… １ ４　 缩略语 …………………………………………………………………………………………………… ２ ５　 概述 ……………………………………………………………………………………………………… ３ ６　 安全技术要求 …………………………………………………………………………………………… ３ 　６．１　 安全功能要求 ……………………………………………………………………………………… ３ 　６．２　 自身安全要求 ……………………………………………………………………………………… ９ 　６．３　 性能要求 …………………………………………………………………………………………… １０ 　６．４　 安全保障要求 ……………………………………………………………………………………… １２ ７　 测评方法 ………………………………………………………………………………………………… １４ 　７．１　 测评环境 …………………………………………………………………………………………… １４ 　７．２　 安全功能测评 ……………………………………………………………………………………… １５ 　７．３　 自身安全测评 ……………………………………………………………………………………… ３１ 　７．４　 性能测评 …………………………………………………………………………………………… ３３ 　７．５　 安全保障测评 ……………………………………………………………………………………… ３６ 附录 Ａ（规范性附录）　 防火墙分类及安全技术要求等级划分 ………………………………………… ４２ 　Ａ．１　 概述 ……………………………………………………………………………………………… ４２ 　Ａ．２　 网络型防火墙 …………………………………………………………………………………… ４２ 　Ａ．３　ＷＥＢ 应用防火墙 ………………………………………………………………………………… ４４ 　Ａ．４　 数据库防火墙 …………………………………………………………………………………… ４５ 　Ａ．５　 主机型防火墙 …………………………………………………………………………………… ４７ 附录 Ｂ（规范性附录）　 防火墙分类及测评方法等级划分 ……………………………………………… ４９ 　Ｂ．１　 概述 ………………………………………………………………………………………………… ４９ 　Ｂ．２　 网络型防火墙 ……………………………………………………………………………………… ４９ 　Ｂ．３　ＷＥＢ 应用防火墙 ………………………………………………………………………………… ５１ 　Ｂ．４　 数据库防火墙 ……………………………………………………………………………………… ５２ 　Ｂ．５　 主机型防火墙 ……………………………………………………………………………………… ５４ 犌犅／犜２０２８１—２０２０ 前 　　 言 　　 本标准按照 ＧＢ／Ｔ１．１—２００９ 给出的规则起草 。 本标准代替 ＧＢ／Ｔ２００１０—２００５《信息安全技术 　 包过滤防火端评估准则》、ＧＢ／Ｔ２０２８１—２０１５《信 息安全技术 　 防火墙安全技术要求和测试评价方法》、ＧＢ／Ｔ３１５０５—２０１５《信息安全技术 　 主机型防火 墙安全技术要求和测试评价方法》、ＧＢ／Ｔ３２９１７—２０１６《信息安全技术 　ＷＥＢ 应用防火墙安全技术要 求与测试评价方法》。 本标准以 ＧＢ／Ｔ２０２８１—２０１５ 为主 ，整合了 ＧＢ／Ｔ２００１０—２００５、ＧＢ／Ｔ３１５０５— ２０１５ 和 ＧＢ／Ｔ３２９１７—２０１６ 的部分内容 ，与 ＧＢ／Ｔ２０２８１—２０１５ 相比 ，除编辑性修改外主要技术变化 如下 ： ——— 增加了网络型防火墙 、数据库防火墙 、ＷＥＢ 应用防火墙和主机型防火墙的定义 （见第 ３ 章 ）； ——— 修改了概述 （见第 ５ 章 ，２０１５ 年版的第 ５ 章 ）； ——— 增加了 “设备虚拟化 ”要求 （见 ６．１．１．４）； ——— 修改了 “应用内容控制 ”的要求 （见 ６．１．３．３，２０１５ 版的 ６．２．１．２、６．３．１．２）； ——— 增加了 “攻击防护 ”的要求 （见 ６．１．４）； ——— 增加了 “安全审计与分析 ”的要求 （见 ６．１．５）； ——— 增加了 “混合应用层吞吐量 ”“ＨＴＴＰ 吞吐量 ”“ＨＴＴＰ 请求速率 ”“ＳＱＬ 请求速率 ”“ＨＴＴＰ 并 发连接数”“ＳＱＬ 并发连接数”性能要求（见 ６．３．１．２、６．３．１．３、６．３．３．２、６．３．３．３、６．３．４．２、６．３．４．３）； ——— 增加了规范性附录 （见附录 Ａ、附录 Ｂ）。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口 。 本标准起草单位 ：公安部第三研究所 、奇安信科技集团股份有限公司 、北京天融信网络安全技术有 限公司 、网神信息技术（北京）股份有限公司 、北京神州绿盟科技有限公司 、杭州美创科技有限公司 、北京 网康科技有限公司 、中国信息安全研究院有限公司 、中国电子技术标准化研究院 、中国网络安全审查技 术与认证中心 、中国信息安全测评中心 、国家计算机网络与信息安全管理中心 、北京安华金和科技有限 公司 、深信服科技股份有限公司 、启明星辰信息技术集团股份有限公司 、沈阳东软系统集成工程有限公 司 、新华三技术有限公司 、蓝盾信息安全技术股份有限公司 、北京中安星云软件技术有限公司 、上海上讯 信息技术股份有限公司 。 本标准主要起草人 ：俞优 、王志佳 、邹春明 、陆臻 、沈亮 、陆磊 、顾健 、吴云坤 、熊瑛 、雷晓锋 、叶晓虎 、周 杰 、王伟 、陈华平 、吴亚东 、谢建业 、王猛 、谌德俊 、潘云 、申永波 、杨晨 、王晖 。 本标准所代替标准的历次版本发布情况为 ： ———ＧＢ／Ｔ２００１０—２００５； ———ＧＢ／Ｔ２０２８１—２００６、ＧＢ／Ｔ２０２８１—２０１５； ———ＧＢ／Ｔ３１５０５—２０１５； ———ＧＢ／Ｔ３２９１７—２０１６。 Ⅰ 犌犅／犜２０２８１—２０２０ 信息安全技术 　 防火墙安全 技术要求和测试评价方法 １　 范围 本标准规定了防火墙的等级划分 、安全技术要求及测评方法 。 本标准适用于防火墙的设计 、开发与测试 。 ２　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ，仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ，其最新版本（包括所有的修改单）适用于本文件 。 ＧＢ／Ｔ１８３３６．３—２０１５　 信息技术 　 安全技术 　 信息技术安全评估准则 　 第 ３ 部分 ：安全保障组件 ＧＢ／Ｔ２５０６９—２０１０　 信息安全技术 　 术语 ３　 术语和定义 ＧＢ／Ｔ２５０６９—２０１０ 界定的以及下列术语和定义适用于本文件 。 ３．１　 防火墙 　犳犻狉犲狑犪犾犾 对经过的数据流进行解析 ，并实现访问控制及安全防护功能的网络安全产品 。 注 ：根据安全目的 、实现原理的不同 ，通常可分为网络型防火墙 、ＷＥＢ 应用防火墙 、数据库防火墙和主机型防火 墙等 。 ３．２　 网络型防火墙 　 狀犲狋狑狅狉犽犫犪狊犲犱犳犻狉犲狑犪犾犾 部署于不同安全域之间 ，对经过的数据流进行解析 ，具备网络层 、应用层访问控制及安全防护功能 的网络安全产品 。 ３．３　 犠犈犅 应用防火墙 　 狑犲犫犪狆狆犾犻犮犪狋犻狅狀犳犻狉犲狑犪犾犾 部署于 ＷＥＢ 服务器前端 ，对流经的 ＨＴＴＰ／ＨＴＴＰＳ 访问和响应数据进行解析 ，具备 ＷＥＢ 应用的 访问控制及安全防护功能的网络安全产品 。 ３．４　 数据库防火墙 　犱犪狋犪犫犪狊犲犳犻狉犲狑犪犾犾 部署于数据库服务器前端 ，对流经的数据库访问和响应数据进行解析 ，具备数据库的访问控制及安 全防护功能的网络安全产品 。 ３．５　 主机型防火墙 　 犺狅狊狋犫犪狊犲犱犳犻狉犲狑犪犾犾 部署于计算机（包括个人计算机和服务器）上 ，提供网络层访问控制 、应用程序访问限制和攻击防护 功能的网络安全产品 。 １ 犌犅／犜２０２８１—２０２０ ３．６　 反向代理 　狉犲狏犲狉狊犲狆狉狅狓狔 作为服务器端的代理使用 ，代替服务器接受来自客户端的请求 ，然后将请求转发给内部服务器 ，并 将从服务器上得到的结果返回给请求客户端的一种部署模式 。 ３．７　 拖库攻击 　犱狉犪犵犪狋狋犪犮犽 通过非授权获得数据库访问或数据库所在操作系统的权限 ，批量下载数据库中数据或数据库数据 文件的恶意行为 。 ３．８　 撞库攻击 　犪犮犮狅狌狀狋犮狉犲犱犲狀狋犻犪犾犲狀狌犿犲狉犪狋犻狅狀犪狋狋犪犮犽 批量尝试碰撞数据库数据的恶意行为 。 注 ：如通过收集已泄露 、已知的用户和密码信息 ，生成对应的字典表 ，并以此批量尝试登录其他的应用系统 。 ４　 缩略语 下列缩略语适用于本文件 。 ＢＧＰ：边界网关协议（ＢｏｒｄｅｒＧａｔｅｗａｙＰｒｏｔｏｃｏｌ） ＣＳＲＦ：跨站请求伪造（Ｃｒｏｓｓｓｉｔｅｒｅｑｕｅｓｔｆｏｒｇｅｒｙ） ＤＭＺ：非军事化区（ＤｅｍｉｌｉｔａｒｉｚｅｄＺｏｎｅ） ＤＮＡＴ：目的网络地址转换（ＤｅｓｔｉｎａｔｉｏｎＮＡＴ） ＦＴＰ：文件传输协议（ＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ） ＨＴＴＰ：超文本传输协议（Ｈｙ