第三章 防火墙技术要求

    3.3 安全要求

    防火墙的安全要求是对防火墙自身安全和防护能力提出具体的要求。本节的安全要求同样采用增量描述方法。

    3.3.1 一级产品安全要求

    1．抗渗透性

    防火墙具备一定的抗攻击渗透能力，能够抵御Syn Flood、源IP地址欺骗、IP碎片包等基本的攻击，能够检测和记录端口扫描行为，保护自身并防止受保护网络受到攻击。

    2．恶意代码防御

    防火墙应具备基本的恶意代码防御能力，能够拦截典型的木马攻击行为。

    3．支撑系统

    防火墙的底层支撑系统应满足如下技术要求。

    ·确保其支撑系统不提供多余的网络服务。

    ·不含任何导致防火墙权限丢失、拒绝服务和敏感信息泄露的安全漏洞。

    4．非正常关机

    防火墙在非正常条件（比如掉电、强行关机）关机再重新启动后，应满足如下技术要求。

    ·安全策略恢复到关机前的状态。

    ·日志信息不会丢失。

    ·管理员重新认证。

    3.3.2 二级产品安全要求

    二级产品除需满足一级产品的安全要求外，还需要具备本节介绍的安全要求。

    1．抗渗透性

    防火墙应具备较强的抗攻击渗透能力，具体技术要求如下。

    ·能够抵御各种典型的拒绝服务攻击和分布式拒绝服务攻击，保护自身并防止受保护网络遭受攻击。

    ·能够检测和记录漏洞扫描行为，包括对受保护网络的扫描。

    ·拦截典型邮件炸弹工具发送的垃圾邮件。

    2．恶意代码防御

    防火墙应具备较强的恶意代码防御能力，能够检测并拦截激活的蠕虫、木马和间谍软件等恶意代码的操作行为。

    3．支撑系统

    防火墙的支撑系统应构建于安全增强的操作系统之上。

    3.3.3 三级产品安全要求

    三级产品除需满足一、二级产品的安全要求外，还需要具备本节介绍的安全要求。

    1．抗渗透性

    防火墙应具备很强的抗攻击渗透能力，具体技术要求如下。

    ·能够抵御网络扫描行为，不返回扫描信息。

    ·支持黑名单或特征匹配等方式的垃圾邮件拦截策略配置。

    2．恶意代码防御

    防火墙应具备很强的恶意代码防御能力，具体技术要求如下。

    ·检测并拦截被HTTP网页和电子邮件携带的恶意代码。

    ·发现恶意代码后及时向防火墙控制台告警。

    ·至少每月升级一次，支持在线和离线升级。

    3．支撑系统

    防火墙的支撑系统可构建于安全操作系统之上。