第三章 防火墙技术要求

   3.1功能要求

    防火墙的功能要求是对防火墙产品应具备的安全功能提出具体的要求，包括包过滤、应用代理、内容过滤、安全审计和安全管理等。

    本节的功能要求采用增量描述方法，即，二级产品的功能要求应包括一级产品的功能要求，三级产品的功能要求应包括一级和二级产品的功能要求；在某些项目，高等级产品的功能要求比低等级产品的功能要求更为严格，则不存在增量的关系。

    3.1.1 一级产品功能要求

    1．包过滤

    防火墙应具备包过滤功能，具体技术要求如下。

    ·防火墙的安全策略应使用最小安全原则，即除非明确允许，否则就禁止。

    ·防火墙的安全策略应包含基于源IP地址、目的IP地址、源端口、目的端口以及协议类型的访问控制。

    2．应用代理

    应用代理型和复合型防火墙应具备应用代理功能，且应至少支持HTTP、FTP、TELNET、POP3和SMTP等协议的应用代理。

    3．NAT

    包过滤型和复合型防火墙应支持双向NAT：SNAT和DNAT，具体技术要求如下。

    ·SNAT应至少可实现“多对一”地址转换，使得内部网络主机正常访问外部网络时，其源IP地址被转换。

    ·DNAT应至少可实现“一对多”地址转换，将DMZ的IP地址映射为外部网络合法IP地址，使外部网络主机通过访问映射地址实现对DMZ服务器的访问。

    4．流量统计

    防火墙应具备流量统计功能，具体技术要求如下。

    ·防火墙应能够通过IP地址、网络服务、时间和协议类型等参数或它们的组合进行流量统计。

    ·防火墙应能够实时或者以报表形式输出流量统计结果。

    5．安全审计

    防火墙应具备安全审计功能，具体技术要求如下。

    （1）记录事件类型

    ·被防火墙策略允许的从外部网络访问内部网络、DMZ和防火墙自身的访问请求。

    ·被防火墙策略允许的从内部网络和DMZ访问外部网络服务的访问请求。

    ·从内部网络、外部网络和DMZ发起的试图穿越或到达防火墙的违反安全策略的访问请求。

    ·试图登录防火墙管理端口和管理身份鉴别请求。

    （2）日志内容

    ·数据包发生的时间，日期必须包括年、月、日，时间必须包括时、分、秒。

    ·数据包的协议类型、源地址、目标地址、源端口和目标端口等。

    （3）日志管理

    ·防火墙应只允许授权管理员访问日志。

    ·防火墙管理员应支持对日志存档、删除和清空的权限。

    ·防火墙应提供能查阅日志的工具，并且只允许授权管理员使用查阅工具。

    ·防火墙应提供对审计事件一定的检索和排序的能力，包括对审计事件以时间、日期、主体ID和客体ID等排序的功能。

    6．管理

    防火墙应具备管理功能，具体技术要求如下。

    （1）管理安全

    ·支持对授权管理员的口令鉴别方式，且口令设置满足安全要求。

    ·防火墙应在所有授权管理员、可信主机、主机和用户请求执行任何操作之前，对每个授权管理员、可信主机、主机和用户进行唯一的身份识别。

    （2）管理方式

    ·防火墙应支持通过Console端口进行本地管理。

    ·防火墙应支持通过网络接口进行远程管理。

    （3）管理能力

    ·防火墙向授权管理员提供设置和修改安全管理相关的数据参数的功能。

    ·防火墙向授权管理员提供设置、查询和修改各种安全策略的功能。

    ·防火墙向授权管理员提供管理审计日志的功能。