1、ICS 35.020L 09荡日中华人民共和国国家标准GB/T 20010-2005信息安全技术包过滤防火墙评估准则Information security technology一Packet filtering firewalls evaluation criteria2005-11一11发布2006-05-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布GB/T 20010-2005目次mwlllOqn今n曰Q今Q曰n介n合八J月比.牛q二刁二J咬以内h八h卜八匕乃了乃了n乃n万只乃0口自n门11,1111,1,es1T.前言,。-引言,1范围,2规范性引用文件,
2、3术语和定义,4安全环境,4.1物理方面,4.2人员方面,4.3连通性方面,5评估内容,5.1用户自主保护级,5.1.1访问控制,一5. 1. 2身份鉴别.5. 1. 3数据完整性.5. 1. 4配置管理,5.1.5安全功能开发过程,“5.1.6测试,5.1.7指导性文档,5.1.8交付与运行.,5,2系统审计保护级,5. 2. 1访问控制,。,“5. 2.2身份鉴别。,5. 2. 3客体重用,5. 2.4审计,5. 2. 5数据完整性,5. 2. 6生存周期支持,二,1,5. 2. 7配置管理,。5. 2. 8安全功能开发过程,5.2.9测试,5. 2. 10指导性文档,5. 2.n脆弱性分
3、析,5. 2. 12交付与运行,5.3安全标记保护级,11,41,。,“5. 3. 1访问控制,-5. 3. 2标记,5. 3. 3身份鉴别,5.3.4客体重用,5. 3. 5审计,、,5. 3. 6数据完整性,一5.3. 7密码支持141。,一GB/T 20010-20055.3.8生存周期支持,.115. 3. 9配置管理n5. 3. 10安全功能开发过程,125. 3. 11测试,.135.3. 12指导性文档,135. 3.13脆弱性分析,.145. 3.14交付和运行,145.4结构化保护级,.145.4. 1访问控制,.,.,145. 4. 2标记,.,165. 4. 3身份鉴别,
4、.165.4.4客体重用,.165.4. 5审计,165. 4. 6数据完整性,.,175. 4. 7可信路径,. 175.4.8密码支持,175.4. 9生存周期支持,185.4. 10配置管理,.185. 4. 11安全功能开发过程,185.4. 12测试,205.4. 13指导性文档,.205. 4. 14脆弱性分析,215. 4. 15交付与运行,.215. 5访问验证保护级,.,215. 5. 1访问控制,.,.215.5.2标记,.,235. 5. 3身份鉴别.235. 5.4客体重用.,.,.235. 5. 5审计,235.5.6数据完整性,.,.255. 5. 7可信路径,.,
5、.255.5.8可信恢复,255. 5. 9密码支持,.,.,255. 5. 1。生存周期支持,.255. 5. 11配置管理,.265.5. 12安全功能开发过程,二,.265. 5. 13测试,.,. 285. 5. 14指导性文档,.,285. 5. 15脆弱性分析,.295. 5. 16交付与运行,.,.29附录A(资料性附录)防火墙面临的威胁和对策,31参考文献,GB/T 20010-2005月吐吕GB 17859-1999计算机信息系统安全保护等级划分准则是我国计算机信息系统安全等级管理的重要标准,已于1999年9月13日发布。为促进安全等级管理工作的正常有序开展,特制定一系列相关
6、的标准。本标准是系列标准之一。本标准文本中,黑体字表示较低等级中没有出现或增强的评估内容。本标准的附录A中说明防火墙面临的主要威胁和对策。本标准的附录A是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:北京大学软件工程国家工程中心,公安部公共信息网络安全监察局。本标准主要起草人:王立福、刘学洋、赵学志、张劲飞、张晰。GB/T 20010-2005引言防火墙是内部、外部两个网络之间的一个阻隔,通过允许和拒绝经过防火墙的数据流,防止不希望的、未授权的通信,并实现对进、出内部网络的服务和访问的审计和控制防火墙对网络用户提供访问控制服务和通信安全服务,对网络用户基本上是“透
7、明”的,并且只有授权的管理员方可对防火墙进行管理。防火墙一般要解决的安全问题可分为被保护系统(即内部网)的安全问题和自身的安全问题防火墙产品主要分为两类:包过滤和应用级防火墙本标准规定了包过滤防火墙的各级安全要求。包过滤防火墙根据安全功能策略建立包过滤规则。过滤规则的主要要素有源IP地址、目的IP地址、协议号、源端口、目的端口、连接标志和另外一些IP选项,以及包到达或发出的接口。GB/T 20010-2005信息安全技术包过滤防火墙评估准则范围本标准从信息技术方面规定了按照GB 17859-1999的五个安全保护等级对采用“传输控制协议/网间协议(TCP/IP)”的包过滤防火墙产品安全保护等级
8、划分所需要的评估内容。本标准适用于包过滤防火墙安全保护等级的评估,对于包过滤防火墙的研制、开发、测试和产品采购也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准GB 17859-1999计算机信息系统安全保护等级划分准则3术语和定义GB 17859-1999确立的以及下列术语和定义适用于本标准。3.1主机host一台与防火墙相互作用的机器,它在防火墙安全功能策略控制下
9、进行通信。3.2用户user一个在防火墙安全功能策略的控制下,通过防火墙访问外部网络或内部网络的人,此人不具有能影响防火墙安全功能策略执行的特权。3-3授权管理员authorized administrator能访问、实施、修改防火墙安全功能策略的个人,其职责仅限定于对防火墙的管理,不包括系统管理和网络管理。3.4可信主机trusted host允许授权管理员对防火墙进行远程管理的机器3.5鉴别数据authentication data用来确认授权管理员和可信主机身份的信息。4安全环境4.,物理方面对防火墙资源的处理限定在一些可控制的访问设备内,防止未授权的物理访间。所有与实施防火IGB/T
10、20010-2005墙安全策略相关的硬件和软件应受到保护以免于未授权的物理修改。4.2人员方面授权管理员不具敌意并遵守所有的管理员规则。4.3连通性方面防火墙是内、外网络之间的唯一连接点,所有内外网络间的通信应经过防火墙。授权管理员可以从内部或外部网上对防火墙进行远程管理。5评估内容本章给出了各级防火墙所需评估的安全功能内容和安全保证内容。包过滤防火墙执行的安全功能策略称为未鉴别的端到端策略,用来处理防火墙一侧的主体(发送信息的主机)向另一侧客体(接受信息的主机)发送数据。在主体发送数据之前,未鉴别的端到端策略不需要对主体身份进行鉴别。5. 1用户自主保护级5.1.1访问控制5.1.1.1安全
11、属性定义对于每一个授权管理员、可信主机和主机,防火墙安全功能应为其提供一套唯一的、为了执行安全功能策略所必需的安全属性。5. 1. 1.2属性初始化防火墙安全功能应提供用默认值对授权管理员、可信主机和主机属性初始化的能力。5.1.1.3属性修改防火墙安全功能应仅向授权管理员提供修改下述(包含但不仅限于)参数的能力:a)标识与角色(例如:配置管理员等)的关系;b)源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号等访问控制属性);c)配置的安全参数(例如:最大鉴别失败次数等数据)。5. 1. 1.4属性查询防火墙安全功能应仅向授权管理员提供以下查询:源地址、目的地址、传输层协议
12、和请求的服务(例如:源端口号或目的端口号等访问控制属性)。5. 1. 1.5访问授权与拒绝防火墙安全功能应根据主体和客体的安全属性值源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号)等丑,提供明确的访问保障能力和拒绝访问能力。5. 1.2身份鉴别5.1.2.1鉴别数据初始化防火墙安全功能应根据规定的鉴别机制,提供授权管理员和可信主机鉴别数据的初始化功能,并确保仅允许授权管理员使用这些功能。5.1.2.2鉴别时机在所有授权管理员和可信主机请求执行的任何操作之前,防火墙安全功能应确保对每个授权管理员和可信主机进行了身份鉴别。5.1.2.3鉴别失败处理在经过一定次数的鉴别失败以后
13、,防火墙安全功能应能终止可信主机建立会话的过程。最多失败次数仅由授权管理员设定5. 1.3数据完整性防火墙安全功能应保护储存的鉴别数据和过滤策略不受未授权修改和破坏。GB/T 20010-20055. 1. 4配置管理开发者应为防火墙产品的不同版本提供唯一的标识。防火墙产品的每个版本应当使用它们的唯一标识作为标签5.1.5安全功能开发过程5.15.1功能规约开发者应提供防火墙的安全功能规约。功能规约应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和错误信息的细节。安全功能规约应是内在一致的并能完备地表示安全功能。5.1.5.2表示
14、对应性开发者应在防火墙安全功能表示的所有相邻对之间提供对应性分析。对于防火墙安全功能表示的每个相邻对,分析应阐明:较为抽象的安全功能表示的所有相关安全功能,应在较具体的安全功能表示中得到正确而完备地细化。5. 1.6测试5. 1.6. 1功能测试开发者应测试安全功能,将结果文档化并提供测试文档。测试文档应包括测试计划、测试过程、预期的测试结果和实际测试结果测试计划应标识要测试的安全功能,并描述测试的目标。测试过程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性。期望的测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行
15、运作。5. 1.6.2筱盖分析开发者应提供测试班盖的分析结果。测试妥盖的分析结果应表明测试文档中所标识的测试与安全功能规约中所描述的安全功能是对应的5.1.7指导性文档5.1.7.1管理员指南开发者应提供系统管理员使用的管理员指南。管理员指南应说明以下内容:a)防火墙管理员可以使用的管理功能和接口;b)怎样安全地管理防火墙;c)在安全处理环境中应进行控制的功能和权限:d)所有对与防火墙的安全操作有关的用户行为的假设;e)所有受管理员控制的安全参数,如果可能,应指明安全值;f)每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;81所有与系统管理员有关的IT环境的
16、安全要求。管理员指南应与为评估而提供的其他所有文件保持一致。5. 1. 7. 2用户指南开发者应提供用户指南。用户指南应说明以下内容:a)防火墙的非管理用户可使用的安全功能和接口;GB/T 20010-2005b)防火墙提供给用户的安全功能和接口的用法;c)用户可获取但应受安全处理环境控制的所有功能和权限;d)防火墙安全操作中用户所应承担的职资;e)与用户有关的IT环境的所有安全要求。用户指南应与为评估而提供的其他所有文件保持一致。5.1.8交付与运行开发者应提供文档说明防火墙的安装、生成和启动的过程。5.2系统审计保护级5.2.1访问控制5.2.,.,安全属性定义对于每一个授权管理员、可信主
17、机和主机,防火墙安全功能应为其提供一套唯一的、为了执行安全功能策略所必需的安全属性。5.2.1.2属性初始化防火墙安全功能应提供用默认值对授权管理员、可信主机和主机属性初始化的能力。5.2. 1.3属性修改防火墙安全功能应仅向授权管理员提供修改下述(包含但不仅限于)参数的能力:a)标识与角色(例如:审计管理员等)的关系;b)源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号等访问控制属性);c)配置的安全参数(例如:最大鉴别失败次数、最大审计存储容量等数据)。5.2.1.4属性查询防火墙安全功能应仅向授权管理员提供以下查询:源地址、目的地址、传输层协议和请求的服务(例如:源端
18、口号或目的端口号等访问控制属性)。5.2. 1.5访问授权与拒绝防火墙安全功能应根据主体和客体的安全属性值仁源地址、目的地址、传输层协议和请求的服务(例如:源端口号或目的端口号)等,提供明确的访问保障能力和拒绝访间能力。5.2. 1.6不可旁路在与安全有关的操作(例如安全属性的修改、外部网络主机向内部网络主机发送信息等)被允许执行之前,防火墙安全功能应确保其通过安全功能策略的检查。5.2. 1.7区分安全管理角色防火墙安全功能:a)应将与安全相关的管理功能与其他功能区分开;b)应包括安装、配置和管理防火墙安全功能本身所需的所有功能,其中至少应包括:增加和删除主体(发送信息的主机)和客体(接受信
19、息的主机),查阅安全属性,分配、修改和撤销安全属性,查阅和管理审计数据;c)应把执行与安全相关的管理功能的能力限定为一种安全管理职责,该职责具有一套特别授权的功能和响应的责任;d)应能把授权执行管理功能的授权管理员和可信主机与使用防火墙的所有其他个人或系统分开;e)应仅允许授权管理员和可信主机承担安全管理职责;P)应在提出一个明确的请求以后,才会让授权管理员和可信主机承担安全管理职责。GB/T 20010-20055.2. 1.8管理功能防火墙安全功能应向授权管理员提供如下管理功能:a)能设置和更新与安全相关的数据;b)能执行防火墙的安装及初始化、系统启动和关闭、备份和恢复的能力,备份能力应有
20、自动工具的支持;c)如果防火墙安全功能支持外部或内部接口的远程管理,那么它应:1)具有对两个接口或其中之一关闭远程管理的选择权;能限制那些可进行远程管理的地址;能通过加密来保护远程管理对话。创引5.2.2身份鉴别5.2.2. 1鉴别数据初始化防火墙安全功能应根据规定的鉴别机制,提供授权管理员和可信主机鉴别数据的初始化功能,并确保仅允许授权管理员使用这些功能。5.2.2.2鉴别时机在所有授权管理员和可信主机请求执行的任何操作之前,防火墙安全功能应确保对每个授权管理员和可信主机进行了身份鉴别。5.2.2.3最少反馈当进行鉴别时,防火墙安全功能应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提
21、供给用户。5.2.2.4鉴别失败处理在经过一定次数的鉴别失败以后,防火墙安全功能应能终止可信主机建立会话的过程。最多失败次数仅由授权管理员设定。5.2.3客体重用在为所有内部或外部网上的主机连接进行资源分配时,防火墉安全功能应保证不提供以前连接的任何信息内容。5.2.4审计5.2.4. 1审计数据生成防火墙安全功能应能对下列可审计事件生成一个审计记录:a)审计功能的启动和关闭;b)任何对审计记录进行操作的尝试,包括关闭审计功能或子系统,以及受影响客体的标识;c)任何读取、修改、破坏审计记录的尝试;d)所有对防火墙规则筱盖的客体(内部或外部网络上的主机)执行操作的请求,以及受影响客体的标识;e)
22、修改安全属性的所有尝试,以及修改后安全属性的新值;f)所有使用安全功能中鉴别数据管理机制的请求;S)所有访问鉴别数据的请求,以及访问请求的目标;h)所有使用标识机制的尝试;1)任何对鉴别机制的使用;J)所有对安全功能配置参数的修改(设置和更新),无论成功与否,以及配置参数的新值。对于每一个审计记录,防火墙安全功能应至少记录以下信息:事件发生的日期和时间,事件的类型,主体身份和成功或失败事件。GB/T 20010-20055.2.4.2审计记录管理防火墙安全功能应使授权管理员能创建、存档、删除和清空审计记录。5.2.4.3可理解的格式防火墙安全功能应使存储于永久性审计记录中的所有审计数据可为人所
23、理解。5.2.4.4限制审计记录访问防火墙安全功能应仅允许授权管理员访问审计记录。5.2.4.5可选择查阅审计防火墙安全功能应提供能按主体ID(标识符)、客体ID、日期、时间以及这些参数的逻辑组合等参数对审计数据进行查找和排序的审计查阅工具。5.2.4.6防止审计数据丢失防火墙安全功能应把生成的审计记录储存于一个永久性的审计记录中,并应限制由于故障和攻击造成的审计事件丢失的数to对因故障或存储耗蝎而导致审计数据丢失的最大审计存储容t,防火墙的开发者应提供相应的分析结果。5.2.5数据完整性防火墙安全功能应保护储存于设备中的鉴别数据和过滤策略不受未授权修改和破坏。5.2.6生存周期支持开发者应提供开发安全文件。开发安全文件应描述在防火墙的开发环境中,为保护防火墙设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在防火墙的开发和维护过程中执行安全措施的证据。5.2.7配置管理5.2.7. 1授权机制开发者应使用配置管理系统并提供配里管理文档,以及为防火墙产品的不同版本提供唯一的标识。配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配里项。配置管理文档应
