1、ICS 35.040 L 80 道昌中华人民共和国国家标准GB/T 20281-2006 信息安全技术防火墙技术要求和测试评价方法Information security technology-Technique requirements and testing and evaluation approaches for firewall products | EE -EE- | | | . E EE- . EE- | -EE-EE -EE- EE- | | . . | . -EE- | 070117000089 2006-05-31发布2006-12-01实施中华人民共和国国家质量监督检验检
2、疫总局也舍中国国家标准化管理委员会.IJ GB/T 20281-2006 目次前言. . III l 范围2 规范性引用文件-3 术语和定义.4 符号和缩略语25 技术要求35. 1 总体说明35. 1. 1 技术要求分类35. 1. 2 安全等级.3 5.2 功能要求35.2. 1 一级产品功能要求35.2.2 二级产品功能要求5.2.3 三级产品功能要求75.3 性能要求95.3.1 吞吐量95.3.2 延迟.5.3.3 最大并发连接数.10 5.3.4 最大连接速率105.4 安全要求105.4.1 一级产品安全要求105.4.2 二级产品安全要求.5.4.3 三级产品安全要求5. 5
3、保证要求125.5.1 说明125.5.2 一级产品保证要求125.5.3 二级产品保证要求5.5.4 三级产品保证要求156 测评方法176.1 总体说明176.2 功能测试u6.2. 1 测试环境与工具186.2.2 包过滤186.2.3 状态检测u6.2.4 深度包检测.6.2.5 应用代理196.2.6 NAT 19 6.2.7 IP/MAC地址绑定 20 6.2.8 动态开放端口4.20 G/T 20281一2006nunu-Ti-咆11i9IMqLqJqdqdquA吐A吐A吐A吐4A吐FbFhupbFDFDEUFbnonbnO巧t勺td巧句jt?叮L叮L?9-449臼叮Lq-9臼?
4、9qL?nLqLq臼qLnL?叮L?9-9臼?u?9?绍介墙程-M具数具过E工接率工御发持)占r计理备衡动计阳胧盹配肘附如划脚苦耐制叫叫做阳际式式统管热均卜联审.试环量并连测环透代系常求管与功性周性性式模模境略量宽机载队同全理测试吐迟大大性试渗意撑正要置付全导命试弱料.模由明环策流带双负V协安管能测吞延最最全测抗恶支非证配交安指生测脆资述作路透作01234567性安保创概工lz工-i1i1i1ii1ititi-qu】qJA哇RU-nLqJA哇Ed币17nJA哇EUPO巧,td-jad2.2.11111113孔孔丘孔丘44.Ah4.4.4.515.15.5.录122.23队队丘丘n队队队队6.6
5、.队队6.6.队队队6.队6.6.队队6.6.6.队队附AAAAAH GB/T 20281-2006 目。自本标准的附录A为资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准由解放军信息安全测评认证中心、北京中科网威信息技术有限公司负责起草。本标准主要起草人z李京春、钟力、郑传波、付志峰、锁延锋、桂坚勇、陆驿。mu GB/T 20281-2006 信息安全技术防火墙技术要求和测试评价方法1 范围本标准规定了采用传输控制协议/网际协议(TCP/IP)的防火墙类信息安全产品的技术要求和测试评价方法。本标准适用于采用传输控制协议/网际协议(TCP/IP)的防火墙类信息安全产品的研制、
6、生产、测试和评估。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡不注日期的引用文件,其最新版本适用于本标准。GB/T 527 1. 8信息技术词汇第8部分:安全(GB/T527 1. 8一2001,idt ISO/IEC 2382-8: 1998) GB 17859 计算机信息系统安全保护等级划分准则GB/T 18336.3信息技术安全技术信息技术安全性评估准则第3部分t安全保证要求(GB/T 18336.3-200
7、1, idt ISO/IEC 15408-3 :1 999) 3 术语和定义GB/T 527 1. 8、GB17859和GB/T18336. 3确立的以及下列术语和定义适用于本标准。3.1 防火墙firewall 一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统。3.2 内部网络internal network 通过防火墙隔离的可信任区域或保护区域,通常是指单位内部的局域网。3.3 外部网络external network 通过防火墙隔离的不可信任区域或非保护区域。3.4 非军事区demilitary zone 一个网络对外提供网络服务的部分,受防火墙保护,通过防火墙与内部网络和外
8、部网络隔离,执行与内部网络不同的安全策略,也有的称为安全服务网络(secureservice network)。3.5 安全策略security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。3.6 授权管理员authorized administrator 具有防火墙管理权限的用户,负责对防火墙的系统配置、安全策略、审计日志等进行管理。GB/T 20281-2006 3. 7 可信主机trusted host 赋予权限能够管理防火墙的主机。3. 8 主机host 一台与防火墙相互作用的机器,它在防火墙安全策略的控制下进行通信。3. 9 用户user 火墙安全策略执行的权限
9、。3. 10 3. 11 3.12 3. 13 4 D孔1ZDNAT DNS FTP HTTP ICMP IDS IP 网际协议NAT 网络地址转换POP3 邮局协议3PBR 策略路由SMTP 简单邮件传送协议SNAT 源网络地址转换SSN 安全服务网络STP 生成树协议TCP 传输控制协议UDP 用户数据报协议URL 统一资源定位器2 一个区域的人,此人不具有能影响防Post Office Protocol 3 Policy-based Routing SimpleMail Transfer Protocol Source NAT Secure Service Network Spannin
10、g Tree Protoco l Transport Control Protoco l User Datagram Protocol Uniform Resource Locator USB VLAN VPN VRRP 5 技术要求5. 1 总体说明通用串行总线虚拟局域网虚拟专用网虚拟路由器冗余协议5. 1. 1 技术要求分类本标准将防火墙通用技术火墙产品应具备的安全功等;性能要求对防火墙产速率;安全要求是对防5. 1. 2 安全等级本标准依据5.2 功能要5.2. 1 一级5.2. 1. 1功包过滤应用代理NAT 流量统计GB/ T 20281-2006 U ni versal Seria
11、l Bus Virtual Local Area Network Virtual Private Network V irtual Router Redundancy Protocol 个大类。其中,功能要求是对防容过滤、安全审计和安全管理大并发连接数和最大连接种网络攻击;保证要求则南文件等。和我国防火墙产品级提高的级别,功能性,性能高低不作为等级支持记录来自外部网络的被安全策略允许的访问请求安全审计支持记录来自内部网络和DMZ的被安全策略允许的访问请求支持记录任何试图穿越或到达防火墙的违反安全策略的访问请求支持记录防火墙管理行为审计记录内容支持日志的访问授权支持日志的管理提供日志管理工具3
12、G/T 20281-2006 表1(续)功能分类功能项目要求支持对授权管理员的口令鉴别方式支持对授权管理员、可信主机、主机和用户进行身份鉴别支持本地和远程管理管理支持设置和修改安全管理相关的数据参数支持设置、查询和修改安全策略支持管理审计日志5.2. 1. 2 包过滤防火墙应具备包过滤功能,具体技术要求如下:a) 防火墙的安全策略应使用最小安全原则,即除非明确允许,否则就禁止;b) 防火墙的安全策略应包含基于源IP地址、目的IP地址的访问控制;c) 防火墙的安全策略应包含基于源端口、目的端口的访问控制;d) 防火墙的安全策略应包含基于协议类型的访问控制。5.2.1.3 应用代理应用代理型和复合
13、型防火墙应具备应用代理功能,且应至少支持HTTP、FTP、TELNET、POP3和SMTP等协议的应用代理。5.2. 1. 4 NAT 包过滤型和复合型防火墙应具备NAT功能,具体技术要求如下:a) 防火墙应支持双向NAT:SNAT和DNAT;b) SNAT应至少可实现多对一地址转换,使得内部网络主机正常访问外部网络时,其源IP地址被转换;c) DNAT应至少可实现一对多地址转换,将DMZ的IP地址映射为外部网络合法IP地址,使外部网络主机通过访问映射地址实现对DMZ服务器的访问。5.2.1.5 流量统计防火墙应具备流量统计功能,具体技术要求如下:a) 防火墙应能够通过IP地址、网络服务、时间
14、和协议类型等参数或它们的组合进行流量统计;b) 防火墙应能够实时或者以报表形式输出流量统计结果。5.2. 1. 6 安全审计4 防火墙应具备安全审计功能,具体技术要求如下:a) 记录事件类型1) 被防火墙策略允许的从外部网络访问内部网络、DMZ和防火墙自身的访问请求;2) 被防火墙策略允许的从内部网络和DMZ访问外部网络服务的访问请求;3) 从内部网络、外部网络和DMZ发起的试图穿越或到达防火墙的违反安全策略的访问请求;的试图登录防火墙管理端口和管理身份鉴别请求。b) 日志内容1) 数据包发生的时间,日期必须包括年、月、日,时间必须包括时、分、秒;2) 数据包的协议类型、源地址、目标地址、源端
15、口和目标端口等。c) 日志管理1) 防火墙应只允许授权管理员访问日志;GB/T 20281-2006 2) 防火墙管理员应支持对日志存档、删除和清空的权限;3) 防火墙应提供能查阅日志的工具,并且只允许授权管理员使用查阅工具;4) 防火墙应提供对审计事件一定的检索和排序的能力,包括对审计事件以时间、日期、主体ID、客体ID等排序的功能。5.2.1.7 管理防火墙应具备管理功能,具体技术要求如下:a) 管理安全1) 支持对授权管理员的口令鉴别方式,且口令设置满足安全要求;2) 防火墙应在所有授权管理员、可信主机、主机和用户请求执行任何操作之前,对每个授权管理员、可信主机、主机和用户进行惟一的身份
16、识别。b) 管理方式1) 防火墙应支持通过console端口进行本地管理;2) 防火墙应支持通过网络接口进行远程管理。c) 管理能力1) 防火墙向授权管理员提供设置和修改安全管理相关的数据参数的功能;2) 防火墙向授权管理员提供设置、查询和修改各种安全策略的功能;3) 防火墙向授权管理员提供管理审计日志的功能。5.2.2 二级产品功能要求5.2.2.1 功能要求列表二级产品除需满足一级产品的功能要求外,还需增加如表2所示的功能要求。表2二级产品增加的功能要求细目功能分类功能项目要求支持基于MAC地址的访问控制包过滤支持基于时间的访问控制支持基于用户自定义安全策略的访问控制状态检测支持基于状态检
17、测技术的访问控制支持基于URL的访问控制深度包检测支持基于电子邮件信头的访问控制应用代理支持应用层协议代理NAT 支持动态NATIP/MAC 支持IP/MAC地址绑定地址绑定支持检测IP地址盗用动态开放端口支持FTP的动态端口开放支持根据数据包信息来设置路由策略策略路由支持设置多个路由表带宽管理支持客户端占用带宽大小限制支持物理设备状态检测双机热备支持VRRP和STP协议负载均衡支持将网络负载均衡到多台服务器5 GB/T 20281-2006 表2(续)功能分类功能项目要求安全审计支持记录对防火墙系统自身的操作支持记录在防火墙管理端口上的认证请求支持对日志事件和防火墙所采取的相应措施的描述支持
18、日志记录存储和备份的安全支持日志管理工具管理日志支持日志的统计分析和报表生成5. 2. 2. 4 深度包摇防火墙应具备a) 防火墙的安b ) 防火墙的安5. 2. 2. 5 应用代理应用代理型和复合型阳,管理5.2.2. 2 包过滤防火墙应具备a) 、,1D 币1口、协议类型和5.2. 2.7 1町MAC地址绑定防火墙应具备IP/MAC地址绑定功能,具体技术要求如下:a) 防火墙应支持自动或管理员手工绑定IP/MAC地址;b) 防火墙应能够检测IP地址盗用,拦截盗用IP地址的主机经过防火墙的各种访问。5. 2. 2.8 动态开放端口防火墙应具备动态开放端口功能,支持主动模式和被动模式的FTP。
19、6 GB/ T 20281-2006 5.2.2.9 策略路囱具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的防火墙应具备策略路由功能,具体技术要求如下:a) 防火墙应能够根据数据包源目的地址、进入接口、传输层接口或数据包负载内容等参数来设置路由策略;b) 防火墙应能够设置多个路由表,且每个路由表能包含多条路由信息。5.2. 2. 10 带宽管理防火墙应具备带宽管理功能,能够根据安全策略中管理员设定的大小限制客户端占用的带宽。府且11 管可该全应女士也备日理具管应23墙M火之防叫/phJW 1)每2) 所届三、,。失败的原因;b) 身份鉴别在经过一个可t的过
20、程;c) 防火墙应为每一个规定的授权管理员、可信主机、主机和用户提供一套惟一的为执行安全策略所必需的安全属性;d) 远程管理过程中,管理端与防火墙之间的所有通讯应加密确保安全;e) 防火墙向授权管理员提供监控防火墙状态和网络数据流状态的功能。5.2.3 三级产晶功能要求5.2.3.1 功能要求列表三级产品除需满足一、二级产品的功能要求外,还需增加如表3所示的功能要求。7 GB/T 20281-2006 表3三级产晶增加的功能要求细目功能分类功能项目要求支持基于文件类型的访问控制深度包检测支持基于用户的访问控制支持基于关键字的访问控制应用代理支持透明应用代理支持以H.323协议建立视频会议动态开
21、放端口支持SQL铃NET数据库协议支持VLAN带宽管理支持动态客户端带宽管理双机热备支持链路状态检测的双机热备负载均衡支持集群工作模式的负载均衡支持IPSec协议支持建立防火墙至防火墙和防火墙至客户机两种形式的VPNVPN 支持VPN认证加密算法和验证算法符合国家密码管理的有关规定支持与其他安全产品的协同联动协同联动支持联动安全产品的身份鉴别支持记录协同联动响应行为事件安全审计支持日志存储耗尽处理机制支持生物特征鉴别方式管理支持管理员权限划分5.2.3.2 深度包检测防火墙应具备深度包检测功能,具体技术要求如下:a) 防火墙的安全策略应包含基于文件类型的访问控制;b) 防火墙的安全策略应包含基
22、于用户的访问控制;c) 防火墙的安全策略可包含基于关键宇的访问控制,对HTTP网页数据和电子邮件正文数据进行检查。5.2.3.3 应用代理应用代理型和复合型防火墙应具备透明应用代理功能,支持HTTP、FTP、TELNET、SMTP、POP3和DNS等协议。5.2.3.4 动态开放端口防火墙应具备动态开放端口功能,具体技术要求如下:a) 防火墙应支持以H.323协议建立视频会议;b) 防火墙应支持SQL关NET数据库协议;c) 防火墙应支持VLAN协议。5.2.3.5 带宽管理防火墙应具备带宽管理功能,能够根据安全策略和网络流量动态调整客户端占用的带宽。5.2.3.6 双机热备防火墙应具备基于链
23、路状态检测的双机热备功能,当主防火墙直接相连的链路发生故障而无法正8 GB/T 20281-2006 常工作时,备防火墙应及时发现并接管主防火墙进行工作。5.2.3.7 负载均衡防火墙应具备基于集群工作模式的负载均衡功能,使得多台防火墙能够协同工作均衡网络流量。5.2.3.8 VPN 防火墙可具备VPN功能,具体技术要求如下:a) 防火墙应支持以IPSec协议为基础构建VPN;b) 防火墙应支持建立防火墙至防火墙和防火墙至客户机两种形式的VPN;c) 防火墙应支持预共享密钥和X.509数字证书两种认证方式来进行VPN认证;d) 防火墙所使用的加密算法和验证算法应符合国家密码管理的有关规定。5.
24、2.3.9 协同联动防火墙应具备与其他安全产品的协同联动功能(例如与IDS),具体技术要求如下:a) 防火墙应按照一定的安全协议与其他安全产品协同联动,并支持手工与自动方式来配置联动策略;b) 防火墙应在协同联动前对与其联动的安全产品进行身份鉴别。5.2.3. 10 安全审计防火墙应具备安全审计功能,具体技术要求如下:a) 防火墙应记录协同联动响应行为事件;b) 防火墙日志存储耗尽,防火墙应能采取相应的安全措施,包括向管理员报警、基于策略的最早产生的日志删除和系统工作停止。5.2. 3. 11 管理防火墙应具备管理功能,具体要求如下:a) 支持指纹、虹膜等生物特征鉴别方式的管理员身份鉴别;b)
25、 防火墙应支持管理员权限划分,至少需分为两个部分,可将防火墙管理、安全策略管理或审计日志管理权限分割。5.3 性能要求5.3.1 吞吐量防火墙的吞吐量视不同速率的防火墙有所不同,具体指标要求如下。a) 防火墙在只有一条允许规则和不丢包的情况下,应达到的吞吐量指标:1) 对64字节短包,十兆和百兆防火墙应不小于线速的20%,千兆及千兆以上防火墙应不小于线速的35%;2) 对512字节中长包,十兆和百兆防火墙应不小于线速的70%,千兆及千兆以上防火墙应不小于线速的80%;3) 对1518字节长包,十兆和百兆防火墙应不小于线速的90%,千兆及千兆以上防火墙应不小于线速的95%。b) 在添加大数量访问
26、控制规则(不同的200余条)的情况下,防火墙的吞吐量下降应不大于原吞吐量的3%。5.3.2 延迟防火墙的延迟视不同速率的防火墙有所不同,具体指标要求如下:a) 十兆防火墙的最大延迟不应超过1ms; b) 百兆防火墙的最大延迟不应超过500的c) 千兆及千兆以上防火墙的最大延迟不应超过90问;d) 在添加大数量访问控制规则(不同的200余条)的情况下,防火墙延迟所受的影响应不大于原来的3%。9 GB/ T 20281-2006 5. 3. 3 最大并发连接数最大并发连接数视不同速率的防火墙有所不同,具体指标要求如下:a) 十兆防火墙的最大并发连接数应不小于1000个;b) 百兆防火墙的最大并发连
27、接数应不小于10000个;c) 千兆及千兆以上防火墙的最大并发连接数应不小于100000个。5. 3. 4 最大连接速率最大连接速率视不同速率的防火墙有所不同,具体技术要求如下:a) 十兆防火墙的最大连接速率应石安全分类抗渗透支撑系统非正常关机5.4. 1. 2 抗渗透防火墙具备一定的抗a) 能够抵御S川oogof保护网络受到攻击;b) c) 能够抵御源IP地址欺骗攻击;d) 能够抵御IP碎片包攻击。5. 4.1.3 恶意代码防御防火墙应具备基本的恶意代码防御能力,能够拦截典型的木马攻击行为。5.4. 1. 4 支撑系统防火墙的底层支撑系统应满足如下技术要求:a) 确保其支撑系统不提供多余的网
28、络服务;b) 不含任何导致防火墙权限丢失、拒绝服务和敏感信息地露的安全漏洞。5. 4. 1. 5 非正常关机防火墙在非正常条件(比如掉电、强行关机)关机再重新启动后,应满足如下技术要求:10 a) 安全策略恢复到关机前的状态;b) 日志信息不会丢失;c) 管理员重新认证。5. 4.2 二级产晶安全要求5. 4.2.1 安全要求列表二级产品除需满足一级产品的安全要求外,还需增加如表5所示的安全要求。安全分类抗渗透恶意代码防御支撑系统5. 4.2.2 抗渗透防火墙应具b)能c)拦5.4. 2. 3 恶意防火墙应的操作行为。5.4. 3 三级产品5.4. 3. 1 安全要求安全分类抗渗透恶意代码防御
29、支撑系统5.4.3.2 抗渗透表5二级产品增加的安全要求细目检测并拦截被HTTP网页和电子邮件携带的恶意代码恶意代码检测告警构建于安全操作系统之上防火墙应具备很强的抗攻击渗透能力,具体技术要求如下:a) 能够抵御网络扫描行为,不返回扫描信息;b) 支持黑名单或特征匹配等方式的垃圾邮件拦截策略配置。5.4. 3.3 恶意代码防御防火墙应具备很强的恶意代码防御能力,具体技术要求如下:G/ T 20281-2006 受保护网络遭受11 GB/T 20281-2006 a) 检测并拦截被HTTP网页和电子邮件携带的恶意代码:b) 发现恶意代码后及时向防火墙控制台告警;c) 至少每月升级一次,支持在线和
30、离线升级。5.4.3.4 支撑系统防火墙的支撑系统可构建于安全操作系统之上。5.5 保证要求5.5. 1 t兑明保证要求采用增量描述方法。通常,二级产品的保证要求应包括一级产品的保证要求,三级产品的保证要求应包括一级和二级产品的保证要求;在某些项目,高等级产品的保证要求比低等级产品的保证要求更为严格,则不存在增量的关系。5.5.2 一级产晶保证要求5.5.2.1 配置管理配置管理应满足如下要求:a) 开发者应为防火墙产品的不同版本提供惟一的标识;b) 开发者应针对不同用户提供惟一的授权标识;c) 配置项应有惟一的标识。5.5.2.2 支付与运行交付与运行应满足如下要求:a) 评估者应审查开发者
31、是否提供了文档说明防火墙的安装、生成、启动和使用的过程。用户能够通过此文档了解安装、生戚、启动和使用过程。b) 防火墙运行稳定。c) 对错误输入的参数,不应导致防火墙出现异常,且给出提示信息。5.5.2.3 安全功能开发过程5.5.2.3. 1 功能设计功能设计应满足如下要求:a) 功能设计应当使用非形式化风格来描述防火墙安全功能与其外部接口pb) 功能设计应当是内在一致的;c) 功能设计应当描述使用所有外部防火墙安全功能接口的目的与方法,适当的时候,要提供结果影响例外情况和错误信息的细节;d) 功能设计应当完整地表示防火墙安全功能;e) 功能设计应是防火墙安全功能要求的精确和完整的示例。5.
32、5.2.3.2 表示对应性开发者应在防火墙安全功能表示的所有相邻对之间提供对应性分析,具体要求如下:a) 防火墙各种安全功能表示(如防火墙功能设计、高层设计、低层设计、实现表示)之间的对应性是所提供的抽象防火墙安全功能表示要求的精确而完整的示例;b) 防火墙安全功能在功能设计中进行细化,抽象防火墙安全功能表示的所有相关安全功能部分,在具体防火墙安全功能表示中应进行细化。5.5.2.4 指导性文挡5.5.2.4. 1 管理员指南开发者应提供供系统管理员使用的管理员指南,该指南应包括如下内容:a) 防火墙可以使用的管理功能和接口;b) 怎样安全地管理防火墙;c) 对一致、有效地使用安全功能提供指导
33、;12 GB/T 20281-2006 d) 在安全处理环境中应进行控制的功能和权限;e) 所有对与防火墙的安全操作有关的用户行为的假设;f) 所有受管理员控制的安全参数,如果可能,应指明安全值;g) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;h) 所有与系统管理员有关的IT环境的安全要求;i) 怎样配置防火墙的指令;j) 应描述在防火墙的安全安装过程中,可能要使用的所有配置选项。5.5.2.4.2 用户指南开发者应提供供系统用户使用的用户指南,该指南应包括如下内容za) 防火墙的非管理用户可使用的安全功能和接口;b) 防火墙提供给用户的安全功能和接口
34、的用法;c) 用户可获取但应受安全处理环境控制的所有功能和权限;d) 防火墙安全操作中用户所应承担的职责;e) 与用户有关的IT环境的所有安全要求;f) 使用防火墙提供的安全功能的指导。5.5.2.5 生命周期支持开发者所提供的信息应满足如下要求:a) 开发人员的安全管理:开发人员的安全规章制度,开发人员的安全教育培训制度和记录;b) 开发环境的安全管理:开发地点的出入口控制制度和记录,开发环境的温湿度要求和记录,开发环境的防火防盗措施和国家有关部门的许可文件,开发环境中所使用安全产品必须采用符合国家有关规定的产品并提供相应证明材料;c) 开发设备的安全管理z开发设备的安全管理制度,包括开发主
35、机使用管理和记录,设备的购置、修理、处置的制度和记录,上网管理,计算机病毒管理和记录等;d) 开发过程和成果的安全管理:对产品代码、文档、样机进行受控管理的制度和记录,若代码和文档进行加密保护必须采用符合国家有关规定的产品并提供相应证明材料。5.5.2.6 测试5.5.2.6. 1 范围开发者应提供测试覆盖分析结果,且该测试文档中所标识的测试与安全功能设计中所描述的安全功能对应。5.5.2.6.2 功能测试功能测试应满足如下要求:a) 测试文档应包括测试计划、测试过程、预期的测试结果和实际测试结果;b) 评估测试计划应标识要测试的安全功能,并描述测试的目标;c) 评估测试过程应标识要执行的测试
36、,应描述每个安全功能的测试概况(这些概况包括对其他测试结果的顺序依赖性); d) 评估期望的测试结果应表明测试成功后的预期输出;e) 评估实际测试结果应表明每个被测试的安全功能能按照规定进行运作。5.5.3 二级产晶保证要求5.5.3.1 配置管理5.5.3. 1. 1 配置管理能力配置管理能力应满足如下要求:a) 开发者应使用配置管理系统并提供配置管理文档,且具备全中文操作界面、易于使用和支持在GB/ T 20281-2006 线帮助,以及为防火墙产品的不同版本提供惟一的标识。b) 配置管理系统应对所有的配置项作出惟一的标识,并保证只有经过授权才能修改配置项。c) 配置管理文档应包括配置清单
37、、配置管理计划。配置清单用来描述组成防火墙的配置项。在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。d) 配置管理文档还应描述对配置项给出惟一标识的方法,并提供所有的配置项得到有效地维护的证据。5. 5. 3. 1. 2 配置管理范围防火墙配置管理范围,应将置管理文档等置于配置管理此要求:5.5.3. 1. 3 管理防火墙应提内5.5.3.2 交付与交付与运行a) 开发者5.5.3.3 安全5. 5.3. 3.1 高层开发者所提#a) 高层设计b) 高层设计).)1c) 防火墙高层踵芷d) 防火墙的高层两的相互关系,并将f5.5.3.4 指导性文档5.
38、5. 3.4. 1 管理员指南管理员指南应满足如下要求:档、用户文档、管理员文档、配a) 对于应该控制在安全环境中的功能和特权,管理员指南应有警告;b) 管理员指南应说明两种类型功能之间的差别:一种是允许管理员控制安全参数,而另一种是只允许管理员获得信息;c) 管理员指南应描述管理员控制下的所有安全参数;d) 管理员指南应充分描述与安全管理相关的详细过程;e) 管理员指南应与提交给测试、评估和认证的其他文件一致。5. 5. 3. 4. 2 用户指南用户指南应满足如下要求:14 GB/ T 20281-2006 a) 对于应该控制在安全处理环境中的功能和特权,用户指南应有警告;b ) 用户指南应
39、与提交给测试、评估和认证的其他文件一致。5.5.3. 5 测试5.5.3.5.1 范围评估测试文档中所标识的测试应当完整。5.5.3.5.2 深度测试开发者提供的测试深度分析应说明测试文档中所标识的对安全功能的测试,以表明该安全功能和高层设计是一致的。5.5.3. 5.3 独立性测试开发者应提供用于测试的5. 5. 3.6 脆弱性评定5.5. 3.6. 1 指南检查开发者提供的指5. 5. 4. 1. 2 配置开发者所提供自1a) 配置管理系b) 配置管理文档应5.5.4. 1.3 配置管理范围、开发者提供的配置管理支节飞/hu 、JLU b) 开发工具配置管理范围,除问题阳刷、具和相关信息的
40、跟踪。5. 5.4.2 交付与运行交付与运行应满足如下要求:a) 开发者交付的文档应包含产品版本变更控制的版本和版次说明、实际产品版本变更控制的版本和版次说明、监测防火墙程序版本修改说明;b) 开发者交付的文档应包含对试图伪装成开发者向用户发送防火墙产品行为的检测方法。5. 5.4.3 安全功能开发过程5. 5.4.3.1 功能设计开发者所提供的功能规范应当包括防火墙安全功能基本原理的完整表示。孙,要求特别强调对安全缺陷的跟踪;m围所描述的内容外,要求特别强调对开发工15 GB/T 20281-2006 5.5.4.3.2 安全功能实现开发者所提供的信息是否满足如下要求:a) 开发者应当为选定
41、的防火墙安全功能子集提供实现表示;b) 开发者应当为整个防火墙安全功能提供实现表示;c) 实现表示应当无歧义地定义一个详细级别的防火墙安全功能,该防火墙安全功能的子集无需选择进一步的设计就能生成;d) 实现表示应当是内在一致的。5.5.4.3.3 低层设计开发者所提供的防火墙安全功能的低层设计应满足如下要求:a) 低层设计的表示应当是非形式化的;b) 低层设计应当是内在一致的;c) 低层设计应当以模块术语描述防火墙安全功能;d) 低层设计应当描述每一个模块的目的;e) 低层设计应当以所提供的安全功能性和对其他模块的依赖性术语定义模块间的相互关系;f) 低层设计应当描述如何提供每一个防火墙安全策
42、略强化功能;g) 低层设计应当标识防火墙安全功能模块的所有接口;h) 低层设计应当标识防火墙安全功能模块的哪些接口是外部可见的;i) 低层设计应当描述防火墙安全功能模块所有接口的目的与方法,适当时,应提供影响、例外情况和错误信息的细节;j) 低层设计应当描述如何将防火墙分离成防火墙安全策略加强模块和其他模块。5.5.4.3.4 安全策略模型开发者所提供的信息应满足如下要求:a) 开发者应提供一个基于防火墙安全策略子集的安全策略模型;b) 开发者应阐明功能规范和防火墙安全策略模型之间的对应性;c) 安全策略模型应当是非形式化的;d) 安全策略模型应当描述所有可以模型化的安全策略模型的规则与特征;
43、e) 安全策略模型应当包括一个基本原理,即阐明该模型对于所有可模型化的安全策略模型来说,是一致的,而且是完整的;f) 安全策略模型和功能设计之间的对应性阐明应当说明,所有功能规范中的安全功能对于安全策略模型来说,是与其一致,而且是完整的。5.5.4.4 指导性文档5.5.4.4. 1 管理员指南管理员指南应满足如下要求:a) 管理员指南应描述各类需要执行管理功能的安全相关事件,包括在安全功能控制下改变实体的安全特性;b) 管理员指南应包括安全功能如何相互作用的指导。5.5.4.4.2 用户指南用户指南应描述用户可见的安全功能之间的相互作用。5.5.4.5 生命周期支持5.5.4.5. 1 生命
44、周期模型开发者所提供的生命周期定义文件中应包含以下内容:16 GB/T 20281一2006a) 开发者定义的生命周期模型,要求开发者应建立用于开发和维护防火墙的生命周期模型。该模型应对防火墙开发和维护提供必要的控制。开发者所提供的生命周期定义文档应描述用于开发和维护防火墙的模型。b) 标准生命周期模型,要求开发者应建立标准化的、用于开发和维护防火墙的生命周期模型。该模型应对防火墙开发和维护提供必要的控制。开发者所提供的生命周期定义文档应描述用于开发和维护防火墙的模型,解释选择该模型的原因,解释如何用该模型来开发和维护防火墙,以及阐明与标准化的生命周期模型的相符性。c) 可测量的生命周期模型,要求开发者应建立标准化的、可测量的、用于开发和维护防火墙的生命周期模型,并用此模型来衡量防火墙的开发。该模型应对防火墙开发和维护提供必要的控制。开发者所提供的生命周期定义文档应描述用于开发和维护防火墙的模型,包括针对该模型衡量防火墙开发所需的算术参数和/或度量的细节。生命周期定义文档应解释选择该模型的原因,解释如何用该模型来开发和维护防火墙,阐明与标准化的可测量的生命周期模型的相符性,以及提供利用标准化的可测量的生命周期模型来进行防火墙开发的测量结果。5.5.4.5.2 工具和技术开发者所提供的信息应满足如下要求:a) 明