第三章 防火墙技术要求

    3.1.2 二级产品功能要求

    二级产品除需满足一级产品的功能要求外，还需要具备本节介绍的功能要求。

    1．包过滤

    防火墙应具备包过滤功能，具体技术要求如下。

    ·防火墙的安全策略可包含基于MAC地址、基于时间的访问控制。

    ·防火墙应支持用户自定义的安全策略，安全策略可以是MAC地址、IP地址、端口、协议类型和时间的部分或全部组合。

    2．状态检测

    防火墙应具备状态检测功能。

    3．深度包检测

    防火墙应具备深度包检测功能，具体技术要求如下。

    ·防火墙的安全策略应包含基于URL的访问控制。

    ·防火墙的安全策略应包含基于电子邮件中的Subject、To、From域等进行的访问控制。

    4．应用代理

    应用代理型和复合型防火墙应具备DNS协议的应用代理。

    5．NAT

    包过滤型和复合型防火墙应具备NAT功能，具体技术要求如下。

    ·防火墙应支持动态SNAT技术，实现“多对多”的SNAT。

    ·防火墙应支持动态DNAT技术，实现“多对多”的DNAT。

    6．IP/MAC地址绑定

    防火墙应具备IP/MAC地址绑定功能，具体技术要求如下。

    ·防火墙应支持自动或管理员手工绑定IP/MAC地址。

    ·防火墙应能够检测IP地址盗用，拦截盗用IP地址的主机经过防火墙的各种访问。

    7．动态开放端口

    防火墙应具备动态开放端口功能，支持主动模式和被动模式的FTP。

    8．策略路由

    具有多个相同属性网络接口（多个外部网络接口、多个内部网络接口或多个DMZ网络接口）的防火墙应具备策略路由功能，具体技术要求如下。

    ·防火墙应能够根据数据包源目的地址、进入接口、传输层接口或数据包负载内容等参数来设置路由策略。

    ·防火墙应能够设置多个路由表，且每个路由表能包含多条路由信息。

    9．带宽管理

    防火墙应具备带宽管理功能，能够根据安全策略中管理员设定的大小限制客户端占用的带宽。

    10．双机热备

    防火墙应具备双机热备功能，具体技术要求如下。

    ·防火墙应支持物理设备状态检测。当主防火墙自身出现断电或其他故障时，备防火墙应及时发现并接管主防火墙进行工作。

    ·在路由模式下，防火墙可支持VRRP。

    ·在透明模式下，防火墙可支持STP。

    11．负载均衡

    防火墙应具备负载均衡功能，能够根据安全策略将网络流量均衡到多台服务器上。

    12．安全审计

    防火墙应具备安全审计功能，具体技术要求如下。

    （1）记录事件类型

    ·每次重新启动，包括防火墙系统自身的启动和安全策略的启动。

    ·所有对防火墙系统时钟的手动修改操作。

    （2）日志内容

    ·指明在管理端口上的认证请求是成功还是失败，若认证请求失败必须记录失败的原因。

    ·对日志事件和防火墙采取的相应措施进行详细的描述。

    （3）日志管理

    ·防火墙应支持把日志存储和备份在一个安全、永久性的地方。

    ·防火墙应支持只能使用日志管理工具管理日志。

    ·防火墙应支持对日志的统计分析和生成报表的功能。

    ·日志应该可以发送到日志服务器上集中管理。