搜索
中华人民共和国国家标准信息技术包过滤防火墙安全技术要求发布实施国家质量技术监督局发布前言本标准规定了采用传输控制协议网间协议的包过滤防火墙的安全技术要求本标准由国家信息化办公室提出本标准由全国信息技术标准化技术委员会归口本标准起草单位中国国家信息安全测评认证中心电子部所本标准主要起草人吴世忠陈晓桦龚奇敏张桂清杨燕伟贺卫东黄元飞中华人民共和国国家标准信息技术包过滤防火墙安全技术要求国家质量技术监督局批准实施范围本标准规定了采用传输控制协议网间协议的包过滤防火墙产品或系统的安全技术要求本标准适用于防火墙产品或系统安全功能的研制开发测试评估和产品的采购引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型第部分安全体系结构定义和记法约定本章给出本标准中使用的术语和记法约定术语定义本标准采用了中的下列术语和定义审计鉴别密钥管理下列术语适用于本标准用户一个在防火墙外与防火墙相互作用的人此人不具有能够影响防火墙安全策略执行的特权授权管理员任何具有旁路或绕过防火墙安全策略权限的个人本标准中的授权管理员特指防火墙的管理员其职责不包括网络管理主机一台在防火墙外与防火墙相互作用的机器它不具有能够影响防火墙安全策略执行的特权可信主机任何具有旁路或绕过防火墙安全策略权限的机器记法约定细化用于增加某一功能要求的细节从而进一步限制该项要求对功能要求的细化用黑体字表示示例见选择用于从对某一功能要求的陈述中突出一个或多个选项用带下划线的斜体字表示示例见赋值用于将一个特定值赋给某个未定参数如某个口令字的长度赋值出现在方括号中要赋予的值表示某个值示例见包过滤防火墙概述本标准规定包过滤防火墙的最低安全要求指出该类防火墙应对付的威胁定义其实现的安全目标及环境提出安全功能和安全保证要求防火墙的目的是要在内部外部两个网络之间建立一个安全控制点通过允许拒绝或重新定向经过防火墙的数据流实现对进出内部网络的服务和访问的审计和控制虽然防火墙的体系结构和技术多种多样但防火墙产品主要分为两类包过滤和应用网关本标准规定了包过滤防火墙的最低安全要求符合本标准的防火墙在内外网络之间的位置的逻辑表示如图所示包过滤防火墙应根据站点的安全策略在内部网络和外部网络之间选择性地过滤包其过滤规则主要是根据源地址目的地址协议源端口目的端口以及包到达或发出的接口而定图防火墙在网络中的典型位置安全环境符合本标准的防火墙产品应能提供访问控制策略身份识别和鉴别远程管理的加密安全审计功能和最基本的安全保证可用于政府部门企事业单位和商业领域等安全使用的条件防火墙的使用操作环境应满足以下条件连接条件防火墙的连接条件要求如下单一接入防火墙是内外网络之间的唯一连接点见图物理条件防火墙应满足下列物理条件物理访问控制防火墙及其所属的可直接插接的控制端口在物理上是安全的并只有授权的人员才可访问通信保护对已传送的所有信息的保护级别与正在被发送的信息的保护级别相当例如受物理保护的传输媒体加密但明确规定以明文传输的信息除外人员条件用户服务包过滤防火墙不提供通常意义上的计算能力对网络用户基本上是透明的只有授权的管理员可直接访问或远程访问授权管理员授权的管理员应是可以信赖且能善尽职守的人防火墙面临的威胁符合本标准的防火墙应能对付以下威胁未授权逻辑访问未经授权的人可能在逻辑上访问防火墙未经授权的人是指除防火墙的授权用户之外所有已经或可能企图访问这个系统的人假冒网络地址攻击一个主体可能通过假冒成另一个主体获得对特定信息的访问例如外部网上的一个用户可能利用假地址伪装成内部网上的用户访问内部资源针对内部网络的攻击攻击者可能利用高层协议和服务对内部受保护的网络或者网上的主机进行攻击这类攻击可能以拒绝服务和穿透主机或网络结点为目的审计记录丢失或破坏攻击者可能采取耗尽审计存储量的方法导致审计记录丢失或破坏对防火墙配置和其他与安全有关数据的更改这类攻击包括所有采用读取或修改防火墙的内部代码或数据结构配置和与安全相关的数据对防火墙实施的攻击绕开身份识别和鉴别机制这类攻击是企图绕过或欺骗身份识别和鉴别机制假冒成另一个授权管理员或侵入已建立的会话连接例如拦截鉴别信息如口令字重放有效的鉴别交换信息以及截取会话连接等攻击运行环境面临的威胁以下的可能威胁不是符合本标准的防火墙所能处理的它们应靠环境制度程序来对付可列为对系统的潜在威胁受保护网络内部网上的恶意用户企图把信息传送给网外用户这类威胁涉及的是内部受保护网络的用户企图把信息传送给外部网络的非授权用户由于防火墙的设计主要是为了保护内部网络免受外部网的侵害所以难以对付此类威胁受保护网络上的恶意用户攻击同一网上的计算机由于防火墙主要是用来保护防火墙内的网络用户免受防火墙外的用户的攻击因此它无法控制不经过防火墙的通信业务属于此范畴的攻击是指来自受保护网络内的对本网络服务功能的攻击或者对同一网段上的计算机的攻击对高层协议和服务的攻击此类威胁针对传输层以上的协议层和利用这些协议的服务如超文本传输协议中的漏洞符合本标准的防火墙可以完全拒绝对特定主机或主机群的访问但是如果允许数据包通过的话那么仍有可能对上述的这些服务攻击截取传输的信息攻击者可能截取通过防火墙传输的敏感信息安全目标信息技术性安全目标防火墙应达到的信息技术安全目标如下访问仲裁目标是通过允许或拒绝从一个主体发送实体传到一个客体接受实体的信息流为连接在防火墙上的两个网络之间提供受控制的访问这些控制是根据主体客体的有关参数由防火墙生成的状态信息和管理上配置的访问控制规则实现的管理员访问此项目标是仅限授权的管理者才能访问防火墙即只允许他们有配置防火墙的能力个体身份记录个体记录提供对用户的记录能力并允许基于唯一身份对访问作出判定鉴别为确定身份是否真实提供了方法防火墙的自保护为了成功地达到这一目标防火墙应能把正在处理的数据与需要运算的数据分开应保护自己不受外部实体的攻击此外防火墙还应能保护授权管理员的通信会话连接审计对于判定是否存在绕过安全策略尝试是否因配置错误而不知觉地允许了本应拒绝的访问审计记录起着重要的作用不仅应收集审计数据还应使其具有可读性并较易使用审计记录应受到充分保护并应了解丢失审计记录的可能性有多大以帮助管理者做出正确的安全决定非信息技术安全目标非信息技术安全目标是指除防火墙技术要求之外还需满足的要求它们不需防火墙硬件和软件的机制实现而是通过采用物理的过程的或管理的方法来达到由于防火墙是完整的独立的专用设备因此正常工作时不必依靠任何其他设备但是为了支持防火墙的安全功能应达到有关运行环境方面的某些目标防火墙的非信息技术安全目标如下安装与操作控制要确保对防火墙的交付安装管理操作都是安全可控的物理控制对防火墙的物理访问应可控制授权管理员培训安全管理员应经过专业培训并得到资格认可以建立并保持正确的安全策略和实施水准安全要求本章给出了符合本标准的防火墙应满足的安全功能要求功能要求本标准的安全功能要求由表的下列项目组成用户数据保护功能类要求概述防火墙的安全策略由一项安全功能策略构成该策略定义如下该策略称为未鉴别的端到端策略用来处理防火墙一侧的主体向另一侧客体发送数据表功能要求功能分类功能组件用户数据保护完整的客体访问控制访问授权与拒绝多种安全属性访问控制资源分配时对遗留信息的充分保护管理员属性修改管理员属性查询识别和鉴别授权管理员和可信主机鉴别数据初始化授权管理员和可信主机鉴别数据的基本保护鉴别失败的基本处理授权管理员可信主机和主机属性的初始化授权管理员可信主机和主机唯一属性定义授权管理员的基本鉴别单一使用的鉴别机制授权管理员可信主机和主机唯一标识密码支持符合规定的加密操作可信安全功能的保护防火墙安全策略的不可旁路性安全功能区域分隔区分安全管理角色管理功能安全审计审计数据生成审计跟踪管理可理解的格式限制审计跟踪访问限制审计查阅可选择查阅审计防止审计数据丢失完整的客体访问控制防火墙的安全功能应在以下方面执行未鉴别的端到端策略主体未经防火墙鉴别的主机客体内部或外部网上的主机以及安全功能策略所包括的主体客体的所有操作防火墙的安全功能应确保安全功能策略包括了控制范围中的任何主体和客体之间的所有操作访问授权与拒绝防火墙的安全功能应执行未鉴别的端到端策略根据主体和客体的安全属性值提供明确的访问保障能力防火墙的安全功能应执行未鉴别的端到端策略根据主体和客体的安全属性值提供明确的拒绝访问能力多种安全属性访问控制防火墙应根据源地址目的地址传输层协议和请求的服务如源端口号或目的端口号对客体执行未鉴别的端到端策略防火墙应执行以下附加规则以确定受控主体与受控客体之间的操作是否被允许防火墙应拒绝从外部网络发出的但拥有内部网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有广播网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有保留网络上的主机源地址的访问或服务请求防火墙应拒绝从外部网络发出的但拥有环回网络上的主机源地址的访问或服务请求资源分配时对遗留信息的充分保护防火墙应保证在为所有客体进行资源分配时不提供以前的任何信息内容应用注解该要求是对用于支持连接的所有设备资源例如寄存器缓存器管理的要求目的是不让网络用户访问以前的任何会话信息这样其他任何网络用户的通信中都不会包含别人的信息或会话片段该要求通常是通过对这些设备资源进行清除或重写来达到要求概述下述两项要求确定了支持管理员完成其职能所必需的能力特别是查阅和修改与安全相关参数的能力这些要求将在后续的对与安全有关数据初始化的要求中予以详述或补充随后的识别与鉴别组的要求与有关安全参数如鉴别数据的定义管理和使用的需要紧密相关管理员属性修改防火墙应执行访问控制的功能策略未鉴别的端到端策略向授权管理员提供修改下述参数的能力标识与角色例如管理员的关联中标识的访问控制属性与安全相关的管理数据管理员属性查询防火墙应执行访问控制的功能策略未鉴别的端到端策略向授权管理员提供以下查询中标识的访问控制属性主机名识别与鉴别功能类授权管理员和可信主机鉴别数据初始化防火墙应提供与和中规定的鉴别机制有关的授权管理员和可信主机鉴别数据的初始化功能防火墙应确保只允许授权管理员使用这些功能授权管理员和可信主机鉴别数据的基本保护防火墙应保护储存于设备中的鉴别数据不受未授权查阅修改和破坏鉴别失败的基本处理防火墙的安全功能应能够在鉴别尝试经一个可设定的次数失败以后终止可信主机建立会话的过程最多失败次数仅由授权管理员设定在可信主机会话建立过程终止后防火墙的安全功能应能够关闭可信主机的帐号直至授权管理员重新开启授权管理员可信主机和主机属性的初始化防火墙的安全功能应提供用默认值对授权管理员可信主机和主机属性初始化的能力授权管理员可信主机和主机唯一属性定义防火墙的安全功能应为每一个规定的授权管理员可信主机和主机提供一套唯一的为了执行安全策略所必需的安全属性授权管理员的基本鉴别防火墙的安全功能应鉴别任何通过防火墙的控制口履行授权管理员功能的管理员身份单一使用的鉴别机制防火墙的安全功能应鉴别任何声称要履行授权管理员和可信主机功能的管理员和主机的身份防火墙应预防与远程管理和远程可信主机操作有关的鉴别数据的重用授权管理员可信主机和主机唯一身份识别防火墙的安全功能应确保在所有授权管理员可信主机和主机请求执行的任何操作之前对每个授权管理员可信主机和主机进行唯一身份识别保密功能类符合规定的加密操作防火墙的安全功能应保证其远程管理会话的加密符合国家密码管理的有关规定可信安全功能保护类要求概述下面两项要求和规定了保护内部代码和数据结构的基础性体系结构的能力并能够表明安全策略始终是有效的防火墙安全策略的不可旁路性防火墙的安全功能应确保任何与安全有关的操作被允许执行之前都必须通过安全策略的检查安全功能区域分隔防火墙的安全功能应为其自身的执行过程设定一个安全区域以保护其免遭不可信主体的干扰和篡改防火墙的安全功能应把防火墙控制范围内的各个主体的安全区域分隔开应用注解该项可选区分安全管理角色防火墙的安全功能应将与安全相关的管理功能与其