GB／T 20281-2020标准规范下载简介

GB／T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法简介：

GB/T 20281-2020是中国国家标准，全称为《信息安全技术 防火墙安全技术要求和测试评价方法》。这个标准主要规定了防火墙产品在信息安全领域的基本技术要求和测试评价体系，目的是为了确保防火墙产品的安全性、稳定性和有效性。

该标准涵盖了以下几个方面：

1. 技术要求：对防火墙的功能、性能、安全策略管理、日志记录、审计、系统管理等方面提出了详细的技术要求，如数据包过滤、状态检测、虚拟私有网络（VPN）支持、入侵检测和防御等。

2. 安全功能：强调防火墙应能够防止未经授权的访问，保护内部网络不受外部威胁，包括防止病毒、木马、网络攻击等。

3. 测试评价方法：规定了防火墙产品的测试评估框架，包括功能测试、性能测试、安全性测试、稳定性测试等，以验证防火墙产品的各项性能指标是否达到标准要求。

4. 安全管理体系：要求防火墙产品应具备完善的安全管理体系，包括安全策略配置、安全事件响应、安全更新管理等。

这个标准的实施，对于防火墙产品的研发、生产、销售和使用都具有重要的指导意义，有助于提升整个行业的安全水平。

GB／T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法部分内容预览：

开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求： a）与产品设计文档中对安全功能的描述范围相一致； b）充分描述产品采取的自我保护、不可旁路的安全机制

6.4.1.2功能规范

开发者应提供完备的功能规范说明，功能规范说明应满足以下要求 a）根据产品类型清晰描述6.1、6.2中定义的安全功能； 标识和描述产品所有安全功能接口的目的、使用方法及相关参数； C 描述安全功能实施过程中，与安全功能接口相关的所有行为； d）描述可能由安全功能接口的调用而引起的所有直接错误消息

LD∕T 99.6-2008 建设工程劳动定额市政工程-桥涵工程6.4.1.3产品设计

开发者应提供产品设计文档，产品设计文档应满足以下要求： 通过子系统描述产品结构，标识和描述产品安全功能的所有子系统，并描述子系统间的相互 作用； 提供子系统和安全功能接口间的对应关系； C 通过实现模块描述安全功能，标识和描述实现模块的目的、相关接口及返回值等，并描述实现 模块间的相互作用及调用的接口； 提供实现模块和子系统间的对应关系，

6.4.1.4实现表示

开发者应提供产品安全功能的实现表示，实现表示应满足以下要求：

a）详细定义产品安全功能，包括： 码、设计数据等实例； b）提供实现表示与产品设计描述间的对应关系。

6.4.2.1操作用户指南

GB/T202812020

开发者应提供明确和合理的操作用户指南，对每一种用户角色的描述应满足以下要求： a）描述用户能访问的功能和特权，包含适当的警示信息； b）描述产品安全功能及接口的用户操作方法，包括配置参数的安全值等； c）标识和描述产品运行的所有可能状态，包括操作导致的失败或者操作性错误； d）描述实现产品安全目的必需执行的安全策略

6.4.2.2准备程序

开发者应提供产品及其 a）描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤； b）描述安全安装产品及其运行环境必需的所有步骤，

6.4.3生命周期支持

6.4.3.1配置管理能力

发者的配置管理能力应满足以下要求： 为产品的不同版本提供唯一的标识； 使用配置管理系统对组成产品的所有配置项进行维护，并进行唯一标识； 提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法； 配置管理系统提供自动方式来支持产品的生成，通过自动化措施确保配置项仅接受授权变更； 配置管理文档包括一个配置管理计划，描述用来接受修改过的或新建的作为产品组成部分的 配置项的程序。配置管理计划描述应描述如何使用配置管理系统开发产品，开发者实施的配 置管理应与配置管理计划相一致

6.4.3.2配置管理范围

开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容： a）产品及其组成部分、安全保障要求的评估证据； b）实现表示、安全缺陷报告及其解决状态。

6.4.3.3交付程序

开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时 交付文档应描述为维护安全所必需的所有程序

6.4.3.4开发安全

开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现 的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施

6.4.3.5生命周期定义

开发者应建立一个生命周期对产品的开发和维护进行的必要控制，并提供生命周期定义文

GB/T 20281—2020

描述用于开发和维护产品的

6.4.3.6工具和技术

开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含 义和所有依赖于实现的选项的含义

6.4.4.1测试覆盖

开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求： a）表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性：； b）表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。

6.4.4.2测试深度

开发者应提供测试深度的分析。测试深度分析描述应满足以下要求： 1）证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性； b）证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试

6.4.4.3功能测试

开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容： a 测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果 的任何顺序依赖性； b 预期的测试结果，表明测试成功后的预期输出； C）实际测试结果和预期的测试结果的对比

6.4.4.4独立测试

开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。

具有基本攻击潜力的攻击者的攻击； ）具有中等攻击潜力的攻击者的攻击

全功能与自身安全测评理

安全功能及自身安全测评典型环境见图1

安全功能及自身安全测评典型环境见图1

7.1.2性能测评环境

图1安全功能及自身安全测评典型环境示意图

生能测评典型环境见图2.采用专用性能测试仪 直接通过网线连接防火墙业务接口

[7.2 安全功能测评

7.2.1 组网与部署

7.2.1.1部署模式

部署模式的测评方法如下： a）测评方法： 1）将产品配置为透明传输模式，并配置相关安全策略； 2）将产品配置为路由转发模式，并配置相关安全策略； 3）将产品配置为反向代理模式，并配置相关安全策略。 b）预期结果： 1）透明传输模式下，安全策略生效：

图2性能测评典型环境示意图

2）路由转发模式下，安全策略生效； 3）反向代理模式下，安全策略生效。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.2.1.2.1静态路由

静态路由的测评方法如下： a）测评方法： 1）在产品设置一条静态路由； 2）向产品发送匹配上述路由策略的数据包。 b）预期结果： 1）产品支持设置静态路由； 2）产品将匹配策略的数据包按照路由策略转发。 C 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.2.1.2.2策略路由

策略路由的测评方法如下： a）测评方法： 1）在产品设置一条基于源、目的IP的策略路由，向产品发送匹配上述路由策略的数据包； 2） 在产品设置一条基于接口的策略路由，向产品发送匹配上述路由策略的数据包； 3）在产品设置一条基于协议和端口的策略路由，向产品发送匹配上述路由策略的数据包； 4） 在产品设置一条基于应用类型的策略路由，向产品发送匹配上述路由策略的数据包； 5） 针对某一目标地址在产品部署多条路由，设置一条根据多链路负载情况自动选路的策略 路由，改变各链路的负载情况。 b预期结果： 2）产品支持设置基于接口的策略路由，匹配策略数据包的下一跳接口与策略设置一致； 产品支持设置基于协议和端口的策略路由，匹配策略数据包的路由与策略设置一致； 4）产品支持设置基于应用类型的策略路由，匹配策略数据包的路由与策略设置一致； 5）产品支持设置基于多链路负载情况自动选路的策略路由，匹配策略数据包的路由与策略 设置一致。 C）结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.2.1.2.3动态路由

动态路由的测评方法如下： a）测评方法： 1）在产品尝试开启RIP动态路由功能； 2）改变各链路状态，验证RIP动态路由是否生效； 3）在产品尝试开启OSPF动态路由功能；

GB/T202812020

4）改变各链路状态，验证OSPF动态路由是否生效； 5）在产品尝试开启BGP动态路由功能； 6）改变各链路状态，验证BGP动态路由是否生效， b 预期结果： 1）产品支持设置RIP动态路由功能； 2）产品支持设置OSPF动态路由功能； 3）产品支持设置BGP动态路由功能。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.2.1.3高可用性

7.2.1.3.1穴余部署

7.2.1.3.2负载均衡

负载均衡的测评方法如下： a）测评方法： 1）在产品DMZ区设置服务器集群，设置外网访问DMZ区服务器的负载均衡策略； 2）在外网主机产生大量连接访问DMZ区服务器； 3） 在DMZ区使用协议分析仪观察网络流量，验证流量是否均衡到DMZ区多台服务器上。 b）预期结果：

产品支持负载均衡功能，能将网络访问均衡到多台服务器上 C）结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。

DB33／T 2173-2018标准下载7.2.1.4设备虚拟化

7.2.1.4.1虚拟系统

7.2.1.4.2虚拟化部署

7.2.1.5IPv6 支持

7.2.1.5.1支持IPv6网络环境

支持IPv6网络环境的测评方法如下： a）测评方法： 1）模拟IPv6网络环境，验证产品及其安全功能是否能在IPv6网络环境下正常工作 2）模拟IPv6网络环境，验证产品是否支持在IPv6网络环境下实现自身管理

b）预期结果： 1）产品支持在纯IPv6网络环境下正常工作； 2）产品支持在IPv6网络环境下实现自身管理。 c） 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

CECS 554-2018-T标准下载7.2.1.5.2协议一致性