第三章 防火墙技术要求

    13．管理

    防火墙应具备安全管理功能，具体技术要求如下。

    ·应支持智能卡、USB钥匙等身份鉴别信息载体。

    ·身份鉴别在经过一个可设定的鉴别失败最大次数后，防火墙应终止可信主机或用户建立会话的过程。

    ·防火墙应为每一个规定的授权管理员、可信主机、主机和用户提供一套唯一的为执行安全策略所必需的安全属性。

    ·远程管理过程中，管理端与防火墙之间的所有通信应加密确保安全。

    ·防火墙向授权管理员提供监控防火墙状态和网络数据流状态的功能。

    3.1.3 三级产品功能要求

    三级产品除需满足一、二级产品的功能要求外，还需要具备本节介绍的功能要求。

    1．深度包检测

    防火墙应具备深度包检测功能，具体技术要求如下。

    ·防火墙的安全策略应包含基于文件类型、基于用户的访问控制。

    ·防火墙的安全策略可包含基于关键字的访问控制，对HTTP网页数据和和电子邮件正文数据进行检查。

    2．应用代理

    应用代理型和复合型防火墙应具备透明应用代理功能，支持HTTP、FTP、TELNET、SMTP、POP3和DNS等协议。

    3．动态开放端口

    防火墙应具备动态开放端口功能，具体技术要求如下。

    ·防火墙应支持以H.323协议建立视频会议。

    ·防火墙应支持SQL*NET数据库协议。

    ·防火墙应支持VLAN协议。

    4．带宽管理

    防火墙应具备带宽管理功能，能够根据安全策略和网络流量动态调整客户端占用的带宽。

    5．双机热备

    防火墙应具备基于链路状态检测的双机热备功能，当主防火墙直接相连的链路发生故障而无法正常工作时，备防火墙应及时发现并接管主防火墙进行工作。

    6．负载均衡

    防火墙应具备基于集群工作模式的负载均衡功能，使得多台防火墙能够协同工作均衡网络流量。

    7．VPN

    防火墙可具备VPN功能，具体技术要求如下。

    ·防火墙应支持以IPSec协议为基础构建VPN。

    ·防火墙应支持建立“防火墙至防火墙”和“防火墙至客户机”两种形式的VPN。

    ·防火墙应支持预共享密钥和X.509数字证书两种认证方式来进行VPN认证。

    ·防火墙所使用的加密算法和验证算法应符合国家密码管理的有关规定。

    8．协同联动

    防火墙应具备与其他安全产品的协同联动功能（例如与IDS），具体技术要求如下。

    ·防火墙应按照一定的安全协议与其他安全产品协同联动，并支持手工与自动方式来配置联动策略。

    ·防火墙应在协同联动前对与其联动的安全产品进行身份鉴别。

    9．安全审计

    防火墙应具备安全审计功能，具体技术要求如下。

    ·防火墙应记录协同联动响应行为事件。

    ·防火墙日志存储耗尽，防火墙应能采取相应的安全措施，包括向管理员报警、基于策略的最早产生的日志删除和系统工作停止。

    10．管理

    防火墙应具备管理功能，具体要求如下。

    ·支持指纹、虹膜等生物特征鉴别方式的管理员身份鉴别。

    ·防火墙应支持管理员权限划分，至少需分为两个部分，可将防火墙管理、安全策略管理或审计日志管理权限分割。