信息安全技术防火墙分类及安全技术要求等级划分

防火墙分类及安全技术要求等级划分本附录根据防火墙运用需求及安全目的，分类上主要包括网络层防火墙、下一代防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙或其组合。同时，将防火墙的安全等级分为基本级和增强级，安全功能与自身安全保护的强弱、以及安全保障要求的高低是等级划分的具体依据，安全等级突出安全特性。A.1网络层防火墙表A.1规定了标准中定义的网络层防火墙的安全等级划分。表A.1网络层防火墙安全技术要求等级划分表安全技术要求基本级增强级安全功能要求组网与部署部署模式a)~b)a)~b)路由静态路由..1策略路由.2a).2a)~c)动态路由.3冗余部署设备虚拟化虚拟系统.1有则适用.1有则适用虚拟化部署.2有则适用.2有则适用IPv6支持支持纯IPv6网络环境.1有则适用.1有则适用协议一致性.2有则适用.2有则适用协议健壮性.3有则适用.3有则适用支持IPv6过渡网络环境.4有则适用.4有则适用网络层控制访问控制包过滤.1a)~d).1NAT.2a)~c).2状态检测..3动态开放端口.4a).4IP/MAC地址绑定.5流量管理带宽管理.1a).1a)~b)连接数控制..2会话管理..3应用层控制用户管控应用类型控制a)、c)攻击防护拒绝服务攻击防护a)~f)a)~f)外部系统协同防护安全审计与分析安全审计

安全告警统计分析网络流量统计..1攻击事件统计.3a).3自身安全功能要求身份识别与鉴别6.2.1a)~e)6.2.1管理能力6.2.2a)~d)6.2.2管理审计.3管理方式6.2.4a)~c)6.2.4异常处理机制.5性能要求吞吐量网络层吞吐量延迟.2连接速率TCP新建连接速率最大并发连接数TCP并发连接数安全保障要求开发安全架构功能规范产品设计a)~b)实现表示—指导性文档操作用户指南准备程序生命周期支持配置管理能力a)~c)配置管理范围a)交付程序开发安全—生命周期定义—工具和技术—测试测试覆盖a)测试深度—功能测试独立测试脆弱性评定.5“一一”表示不适用。注：A.2下一代防火墙表A.2规定了标准中定义的下一代防火墙的安全等级划分。表A.2下一代防火墙安全技术要求等级划分表安全技术要求基本级增强级安全功能要求组网与部署部署模式a)~b)a)~b)路由静态路由..1

策略路由.2a)~d).2动态路由.3冗余部署设备虚拟化虚拟系统.1有则适用.1有则适用虚拟化部署.2有则适用.2有则适用IPv6支持支持纯IPv6网络环境.1有则适用.1有则适用协议一致性.2有则适用.2有则适用协议健壮性.3有则适用.3有则适用支持IPv6过渡网络环境..4有则适用.4有则适用网络层控制访问控制包过滤.1a~d).1NAT.2a~c).2状态检测..3动态开放端口..4IP/MAC地址绑定.5流量管理带宽管理.1a).1连接数控制..2会话管理..3应用层控制用户管控应用类型控制a)~d)应用内容控制应用WEB.1a)~c).1a)~d)、g)其他应用.3攻击防护拒绝服务攻击防护a)~f)a)~f)攻击防护WEBa)~c)a~c)数据库攻击防护a)~b)a)~b)恶意代码防护其他应用攻击防护a)~c)自动化工具威胁防护a)~b)攻击逃逸防护外部系统协同防护安全审计与分析安全审计安全告警

统计分析网络流量统计..1应用流量统计.2a).2攻击事件统计.3a).3自身安全功能要求身份识别与鉴别6.2.1a)~e)6.2.1管理能力6.2.2a)~d)6.2.2管理审计.3管理方式6.2.4a)~c)6.2.4异常处理机制.5性能要求吞吐量网络层吞吐量混合应用层吞吐量延迟.2连接速率TCP新建连接速率最大并发连接数TCP并发连接数安全保障要求开发安全架构功能规范产品设计a)~b)实现表示—指导性文档操作用户指南准备程序生命周期支持配置管理能力a)~c)配置管理范围a)交付程序开发安全 .生命周期定义—工具和技术—测试测试覆盖a)测试深度—功能测试独立测试脆弱性评定.5“一一”表示不适用。注：A.3WEB应用防火墙表A.3规定了标准中定义的WEB应用防火墙的安全等级划分。表A.3WEB应用防火墙安全技术要求等级划分表安全技术要求基本级增强级

安全功能要求组网与部署部署模式a)、c)a)、c)冗余部署设备虚拟化虚拟化部署.2有则适用.2有则适用IPv6支持IPv6网络支持纯环境.1有则适用.1有则适用协议一致性.2有则适用.2有则适用协议健壮性.3有则适用.3有则适用支持IPv6过渡网络环境.4有则适用.4有则适用网络层控制访问控制包过滤.1b)~c)应用层控制应用类型控制a)a)应用内容控制WEB应用.1b)~f).1b)~g)负载均衡a)攻击防护拒绝服务攻击防护g)g)WEB攻击防护a)~g)恶意代码防护a)自动化工具威胁防护b)~c)攻击逃逸防护外部系统协同防护安全审计与分析安全审计安全告警统计分析应用流量统计.2a).2攻击事件统计.3a).3自身安全功能要求身份识别与鉴别6.2.1a)~e)6.2.1管理能力6.2.2a)~d)6.2.2管理审计.3管理方式6.2.4a)~c)6.2.4异常处理机制..5性能要求吞吐量HTTP吞吐量连接速率HTTP请求速率最大并发连接数HTTP并发连接数

安全保障要求开发安全架构功能规范产品设计a)~b)实现表示—指导性文档操作用户指南准备程序生命周期支持配置管理能力a)~c)配置管理范围a)交付程序开发安全—生命周期定义—工具和技术—测试测试覆盖a)测试深度—功能测试独立测试脆弱性评定.5“一一”表示不适用。注：A.4数据库防火墙表A.4规定了标准中定义的数据库防火墙的安全等级划分。表A.4数据库防火墙安全技术要求等级划分表安全技术要求基本级增强级安全功能要求组网与部署部署模式a)、c)a)、c)冗余部署设备虚拟化虚拟化部署.2有则适用.2有则适用IPv6支持网络支持纯IPv6环境.1有则适用.1有则适用协议一致性.2有则适用.2有则适用协议健壮性.3有则适用.3有则适用IPv6支持过渡网络环境.4有则适用.4有则适用网络层控制访问控制包过滤.1b)~c)动态开放端口.4c).4c)应用层控制应用类型控制b)b)应用内容控制数据库应用.2a)~c).2

负载均衡b)攻击防护.数据库攻击防护、a)~b)d)~e)攻击逃逸防护外部系统协同防护安全审计与分析安全审计安全告警统计分析应用流量统计.2a).2攻击事件统计.3a).3自身安全功能要求身份识别与鉴别6.2.1a)~e)6.2.1管理能力6.2.2a)~d)6.2.2管理审计.3管理方式6.2.4a)~c)6.2.4异常处理机制.5性能要求吞吐量SQL吞吐量连接速率SQL请求速率最大并发连接数并发连接数SQL安全保障要求开发安全架构功能规范产品设计a)~b)实现表示—指导性文档操作用户指南准备程序生命周期支持配置管理能力a)~c)配置管理范围a)交付程序开发安全—生命周期定义—工具和技术—测试测试覆盖a)测试深度—功能测试独立测试脆弱性评定.5“一一”表示不适用。注：A.5主机型防火墙

表A.54规定了标准中定义的主机型防火墙的安全等级划分。表A.4主机型防火墙安全技术要求等级划分表安全技术要求基本级增强级安全功能要求组网与部署设备虚拟化虚拟化部署.2有则适用.2有则适用IPv6支持支持纯IPv6网络环境.1有则适用.1有则适用网络层控制访问控制包过滤.1b)~d).1b)~g)IP/MAC地址绑定.5流量管理.带宽管理.1a)).1a)~b连接数控制.2会话管理.3应用层控制应用类型控制a)~d)拒绝服务攻击防护恶意代码防护其他应用攻击防护攻击防护自动化工具威胁防护攻击逃逸防护外部系统协同防护a)~c)a)~c)a)~c)a)a)~b)安全审计安全告警安全审计与分析统计分析网络流量统计..1应用流量统计.2a)攻击事件统计.3a).3自身安全功能要求身份识别与鉴别6.2.1a)~e)6.2.1管理能力6.2