标准规范下载简介
YD/T 3**5-2019 应用防护增强型防火墙技术要求.pdfYD/T 3**5-2019 应用防护增强型防火墙技术要求.pdf简介:
"YD/T 3**5-2019 应用防护增强型防火墙技术要求.pdf" 是一份关于网络安全技术的标准或规范。"YD"代表邮电部,"T"是技术标准的代号,"3**5-2019"是标准的发布年份和顺序号。这份标准详细规定了应用防护增强型防火墙(Application-Layer Firewall, AFW)在信息系统的应用中应满足的技术要求。它可能涵盖了防火墙的设计、功能、性能、安全性、合规性等方面,目的是为了保证网络应用的安全性、稳定性和可控性。具体内容可能涉及到防火墙的策略管理、访问控制、安全日志、审计、威胁检测和防护等方面的技术细节。这份标准对于防火墙设备的设计、生产和使用具有指导意义,是保障网络信息安全的重要参考依据。
YD/T 3**5-2019 应用防护增强型防火墙技术要求.pdf部分内容预览:
本标准依据GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:中国移动通信集团有限公司、中国电信集团有限公司、中国联合网络通信集团有 限公司、中兴通讯股份有限公司、华为技术有限公司、新华三技术有限公司 本标准主要起草人:杜海涛、曹一生、栗栗、张峰、彭晋、林兆骥、耿涛、沈军、孙松儿
本标准规定了应用防护增强型防火墙设备的体系结构、基础安全功能要求、检测与响应功能要求, 以及管理功能要求、性能和自身安全性要求等方面的要求。 本标准适用于应用防护增强型防火墙。
CJT251-2007标准下载术语和定义适用于本文件
综合型的边界网关防护设备,除具备网络地址转换(NAT)、VPN功能、状态检测等传统防 功能之外,还具有应用流量识别、应用层安全防护、用户控制、深度内容检测等特征的防火墙
虚拟化virtualization 将一台物理设备,虚拟成多个逻辑设备,且对每个逻辑设备可以进行动态地资源分配,每个逻辑设 备相互独立,互不影响,并行使用。
YD/T3**52019
YD/T3**52019
YD/T3**52019
5.2应用层安全技术要求
增强型防火墙应支持7层应用控制技术,能够正确识别、控制各种常见应用,包括但不限于F IM类、OA办公应用、数据库应用、ERP应用、软件升级应用、炒股软件、视频应用、代理软件 等。 增强型防火墙应支持对应用的精细化控制,如支持允许IM软件的语音功能但限制文件传输功1
5.2.2入侵防御功能
增强型防火墙应支持入侵防御功能,对网络间传输的报文进行深层检查,通过制订规则和下发相应 的策略,对非法的、不正常的、含攻击行为的报文能实时地告警和拦截。入侵行为包括蠕虫、病毒、木 马、拒绝服务、恶意扫描等。
增强型防火墙应具备用户管理与识别的功能,具体技术要求如下: a)应支持基于用户名/密码的本地认证方式; b)应支持LDAP、Radius等第三方认证服务器对用户身份进行鉴别: c)应支持基于用户/用户组进行访问控制; d)应支持读取第三方认证系统的用户及组织结构制订基于用户的访问控制。
5.2.5恶意软件防护
5.2.*Web攻击防护
增强型防火墙应具备深度内容检测的能力,具体技术要求如下: a)支持SQL注入攻击检测与防护,并能支持base**编码的SQL注入攻击检测与防护; b)支持XSS攻击检测与防护:
增强型防火墙应具备深度内容检测的能力,具体技术要求如下: a)支持SQL注入攻击检测与防护,并能支持base**编码的SQL注入攻击检测与防护 b)支持XSS攻击检测与防护:
YD/T3**52019
c)能够支持对常见的Web服务器环境的Webshell的拦截,包含ASPX、ASP、PHP、JSP; d)能够支持对目录遍历的攻击防护; e)能够支持对未授权URL安全限制,能够抵御未经授权的用户强制访问资源; f)应支持HTTP响应报文头出错页面的过滤。
5.2.7智能模块联动
增强型防火墙具备智能联动的能力,具体技术要求如下: a)应支持内部各安全模块之间的有机联动,实现各模块之间的信息关联和安全协同能力; b)支持与外部云端的联动,结合云端威胁情报共享,提高对攻击行为的识别能力; c)支持与外部安全设备如IDS等的联动,提高网络整体防御能力。
5.2.8未知感胁防护
增强型防火墙应支持对未知威胁的检测和防护技术,对于入侵防御和病毒防护无法识别的威胁信息 以将其上传到云端进行行为分析,判断是否存在恶意行为,并根据返回结果进行告警和拦截,具体技 要求如下: a)防火墙应该能够从主要的网络应用协议中(HTTP、FTP、POP3、SMTP、IMAP等)提取未知 文件,并上传到云端进行行为分析: b)云端能够分析的文件类型至少应包括PE文件、OFFICE文件、PDF、SWF、JAR、APK、压缩 文件等; 云端应该能够分析文件运行的详细信息,比如创建、读取和修改文件的操作、对注册表的操作、 网络行为等内容; d 防火墙针对未知威胁检测,应该通过日志等方式进行监控和呈现,能够显示文件的名称、接收 的时间、检测结果,以及威胁的来源和目标等信息。
增强型防火墙应支持完整的虚拟化功能,能够将物理防火墙划分为多个虚拟化的逻辑防火墙,虚拟 防火墙拥有独立的系统资源、管理员、安全策略、用户认证等功能,具体技术要求如下: a)每个虚拟系统都拥有各自的配置、表项以及资源; b)支持创建虚拟管理员,每个管理员可以分配特定的虚拟系统; c)每个管理员都有各自的配置界面,可以独立维护操作设备。
增强型防火墙性能指标主要包括在开启应用识别、入侵防御、恶意代码防御等安全功能的情况下吞 吐量、新建连接数、并发连接数等参数指标。
增强型防火墙在状态检测机制下能够处理一定包长数据的最大转发能力,不丢包的情况下,一
墙在状态检测机制下能够处理一定包长数据的最大转发能力,不丢包的情况下,一对相
YD/T3**52019
率的端口在具有多条(200条)包过滤规则的条件下应达到的双向吞吐量指标: 长度为1518字节的为大包吞吐量,大包吞吐量不小于线速的90%;长度为**字节的为小包吞 小包吞叶量不小于线速的70%。
*.3TCP新建连接数
每秒所能建立的最大TCP连接数。
所能建立的最大TCP连
*.*TCP并发连接数
*.5HTTP新建连接数
*.*HTTP并发连接数
设备应具备多种管理方式,包括但不限于:本地串口管理、远程营理、集中管理、分级管理等。设 备应支持SNMP方式将自身运行状态上报给第三方设备管理系统,上报的信息至少包括: a 防火墙名称、型号、软件版本、序列号、厂家、防火墙投入生产运行时间; b) 防火墙的管理IP地址、当前状态(0:正常运行,1:闲置,2:故障); c)防火墙吞吐能力、并发连接数、每秒新建连接数、防火墙策略。 设备应支持访问控制策略的管理,通过分析策略命中率等技术,发现失效、穴余、冲突的策略,有 限控制策略规模。
设备应至少能够分为系统管理员、普通管理员两类角色: a)系统管理员能使用防火墙的所有完整功能,包括用户管理、系统管理等; b)普通管理员只能配置防火墙策略、NAT、路由等基本功能,没有用户管理和系统管理等权限。 c)对于用户(系统管理员、普通管理员)登录防火墙时身份鉴别方式包括本地鉴权和远程鉴权两 种JG∕T 50**-1995 振动桩锤技术条件,远程鉴权方式包括但不限于Radius、LDAP等方式
YD/T3**52019
设备支持基本的安全管理功能,具体技术要求如下: a)支持配置限定用户登录的P地址范围; b)支持SSH、HTTPS等加密方式进行远程访问; c)支持对用户口令进行加密保存; d)支持用户口令复杂度设置及检查,拒绝设置不符合复杂度要求的口令: e)支持最大登录失败重试次数设置,登录失败超过重试次数后处理方法有:锁定账号、自动退出 等,支持设备自动解锁和人工解锁; f 支持用户登录超时timeout时间设置,用户登录空闲时间超过配置时间后自动断开连接,并需 要再次登录才能进入设备。
设备支持基本的安全管理功能,具体技术要求如下: a)支持配置限定用户登录的P地址范围; b)支持SSH、HTTPS等加密方式进行远程访问; c)支持对用户口令进行加密保存; d)支持用户口令复杂度设置及检查,拒绝设置不符合复杂度要求的口令: e)支持最大登录失败重试次数设置,登录失败超过重试次数后处理方法有:锁定账号、自动退出 等,支持设备自动解锁和人工解锁; 支持用户登录超时timeout时间设置,用户登录空闲时间超过配置时间后自动断开连接,并需 要再次登录才能进入设备。
设备应具备高可靠性《家用和类似用途电器的安全 微波炉,包括组合型微波炉的特殊要求 GB*70*.21-2008》,具体技术要求如下。
/T3**5—2019 a 应支持物理设备状态检测。当一台防火墙自身出现断电或其他故障时,另外一台防火墙应及时 发现井接管主防火墙进行工作,切换时间不超过3秒。 * 应具备基于链路状态检测的双机热备功能,当一台防火墙直接相莲的链路发生故障而无法正常 工作时,另外一台防火墙应及时发现并接管主防火墙进行工作,切换时间不超过3秒。 c)应能够支持主/主和主/备两种模式的双机部署。