标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
Q/GDW 10940-2018 防火墙测试要求.pdf防火墙应具备NAT功能,具体测试要求如下: a)防火墙支持双向NAT:SNAT和DNAT; SNAT应至少可实现“多对一”地址转换,使得内部网络主机正常访问外部网络时,其源IP地 址被转换,并应屏蔽内部网络的IP地址: DNAT应至少可实现“一对多”地址转换,将DMZ的IP地址/端口映射为外部网络合法IP地址 /端口,使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问: 防火墙应支持动态SNAT技术,实现“多对多”的SNAT: e 防火墙应支持动态DNAT技术,实现“多对多”的DNAT
防火墙应具备流量统计功能,具体测试要求如下: a)防火墙应能够通过IP地址、网络服务、时间和协议类型等参数或它们的组合对流量进行正确 的统计: b)防火墙应能够实时或者以报表形式输出流量统计结果。
GB/T 36972-2018 电动自行车用锂离子蓄电池5.2.6公司统一监控系统支持
a)防火墙应支持将Sys1og日志输出到指定的服务器,基本数据格式、数据质量要求等应符合 Q/GDW11802及公司统一监控系统数据接入规范的其他要求 防火墙应支持通过安全增强的SNMP协议对防火墙进行监控,可对防火墙的CPU状态、内存利 用率等内容监控,SNMP协议版本应支持SNMPV2c及以上
Q/GDW109402018
防火墙应支持NTP协议,具体测试要求如下: a)防火墙应支持使用NTP进行时间同步; b)防火墙应支持对NTP时间源的认证。
防火墙应具备管理功能,具体测试要求如下: 管理安全: 1)支持对授权管理员的口令鉴别方式,并可根据口令长度、数字字母字符组合、口令使用周 期等条件设置口令策略,口令策略设置应满足安全要求,且口令应加密存储于配置文件中: 2) 防火墙应在所有授权管理员、可信主机、主机和用户请求执行任何操作之前,对每个授权 管理员、可信主机、主机和用户进行唯一的身份识别: 3) 防火墙应支持使用USBKey等身份鉴别信息载体进行身份鉴别: 4) 防火墙应对授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别: 5) 防火墙应具有登录失败处理功能,身份鉴别在经过一个可设定的鉴别失败最大次数后,防 火墙应终止可信主机或用户建立的会话; 远程管理过程中,防火墙应通过指定IP的方式限定可对防火墙进行管理的主机,且并发 管理连接数限定,且管理端与防火墙之间的所有通讯应加密: 防火墙应支持管理员权限划分,至少需分为三个部分,可将防火墙系统管理、安全策略管 理和审计日志管理权限分割; 8 防火墙应为每一个规定的授权管理员、可信主机、主机和用户提供一套唯一的为执行安全 策略所必需的安全属性: 9)防火墙应能进行适当报警,如声音、邮件等,并提供网络是否受到监测或攻击的详细信息。 管理方式: 1)防火墙应支持通过console端口进行本地管理; 2) 防火墙应支持通过专用的网络接口进行远程管理,并可限定可进行远程管理的网络接口 3)远程管理过程中,管理端与防火墙之间的所有通讯数据应非明文传输: 4)防火墙应支持在线和离线两种升级方式,不会因升级影响系统的正常工作。 管理能力: 1) 防火墙向授权管理员提供设置和修改安全管理相关的数据参数的功能: 2 防火墙向授权管理员提供设置、查询和修改各种安全策略的功能: 3 防火墙向授权管理员提供根据条件进行策略查询的功能: 4 防火墙向授权管理员提供根据策略分组功能,可对具备特定条件的策略进行分组: 防火墙向授权管理员提供管理审计日志的功能: 6) 防火墙向授权管理员提供监控防火墙状态和网络数据流状态的功能。 管理接口独立:防火墙应具备独立的管理接口,与业务接口分离
5.2.9IP/MAC绑定
防火墙应具备IP/MAC地址绑定功能,具体测试要求如下: a)防火墙应支持自动或管理员手工绑定IP/MAC地址: b)防火墙应能够检测IP地址盗用,拦截盗用IP地址的主机经过防火墙的各种访间。
D/GDW109402018
D/GDW109402018
防火墙应具备路由功能,具体测试要求如下: a)防火墙应支持静态路由功能: 6) 防火墙应支持OSPF方式的动态路由功能: 防火墙应支持RIP方式的动态路由功能: 具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的 防火墙应能够根据数据包源IP地址、目的IP地址、进入接口、传输层接口或数据包负载内容 等参数来设置路由策略: e 具有多个相同属性网络接口(多个外部网络接口、多个内部网络接口或多个DMZ网络接口)的 防火墙应能够根据下一跳接口、协议和端口、应用类型等参数来设置路由策略,且支持基于多 链路负载情况进行自动选择最优线路
5.2.12网络适应性
防火墙应能以不同的接入方式接入多种网络环境,具体测试要求如下: a)防火墙应支持基于路由转发的接入方式接入网络: b)防火墙应支持基于透明网桥的接入方式接入网络; c)防火墙应支持路由转发和透明网桥两种模式同时具备的混合模式接入网络: d)防火墙应支持VLANTrunk。
5.2.13深度包检测
Q/GDW109402018
Q/GDW109402018
防火墙应根据协议、端口、安全策略等条件进行会话维持,保证特定会话可在较长时间内维持活 状态。
5.2.15动态开放端口
防火墙应具备动态开放端口功能,支持主动模式和被动模式的FTP、以H.323协议建立视频会议 SQL*NET数据库协议
5.2.16连接数控制
防火墙应按照一定的安全协议与其他安全产品协同联动,并支持手工
防火墙应具备基于用户/用户组的网络访问控制功能,支持的用户鉴别方式具体技术要求如下: a)支持本地鉴别方式: b) 支持结合第三方鉴别系统,如基于radius、LDAP服务器的鉴别方式: C 支持基于策略的鉴别方式。
防火墙应具备带宽管理功能, 具体测试要求如下: a)防火墙应能够根据安全策略中设定的大小限制客户端占用的带宽; b)防火墙应能够根据安全策 量动态调整客户端占用的带费
本项应遵循GB/T20281—2015中6.3.1.3.4.2的要
5.2.21VPN功能
防火墙应具备VPN功能,具体测试要求如下: a)防火墙应支持以IPSec协议为基础构建VPN: b)防火墙应支持建立“防火墙至防火墙”和“客户端至防火墙”两种形式的VPN; ) 防火墙应支持预共享密钥和X.509数字证书两种认证方式进行国密VPN认证: d 防火墙所使用的加密算法和验证算法应符合国家密码管理的规定,宜采用国密算法
5.2. 22IPv6
防火墙应支持IPv6协议,具体测试要求如下: a)防火墙应支持纯IPv6网络环境,能够在纯IPv6网络环境下正常工作: b 防火墙应支持通过隧道技术实现IPv6通讯,具体要求如下 1)防火墙应支持6over4网络环境,能够在6over4网络环境下正常工作: 2) 防火墙应支持6to4网络环境,能够在6to4网络环境下正常工作; 3)防火墙应支持ISATAP网络环境,保证在ISATAP网络环境下正常工作
防火墙应支持IPv6协议,具体测试要求如下: a)防火墙应支持纯IPv6网络环境,能够在纯IPv6网络环境下正常工作: 防火墙应支持通过隧道技术实现IPv6通讯,具体要求如下: 1 防火墙应支持6over4网络环境,能够在6over4网络环境下正常工作: 2) 防火墙应支持6to4网络环境,能够在6to4网络环境下正常工作; 3)防火墙应支持ISATAP网络环境,保证在ISATAP网络环境下正常工作
Q/GDW109402018
c)防火墙应支持IPv4/IPv6双栈网络环境,可同时进行IPv6和IPv4的通讯; d)防火墙宜支持IPv6Core协议一致性; 防火墙宜支持IPv6NDP协议一致性; 防火墙宜支持IPv6Autoconfig协议一致性; 防火墙宜支持IPv6PMTU协议一致性: h) 防火墙宜支持ICMPv6协议一致性: 防火墙应支持IPv6网络环境下的协议健壮性,能够抵御畸形协议报文攻击,具体要求如下: 1)IPv6畸形报文; 2)ICMPv6畸形报文; 3)其他协议畸形报文。 j)防火墙应支持在IPv6网络环境下的自身管理; K 防火墙应支持将IPv4和IPv6两种网络相互转换,能够在协议转换网络环境下正常工作
5.2.24应用协议控制
防火墙应能识别并控制各种应用协议类型,具体技术要求如下: a)HTTP、FTP、TELNET、SMTP和POP3等常见应用: b 即时聊天类应用、P2P流媒体类应用、网络流媒体类应用、网络游戏、股票软件: C 逃逸或隧道加密特点的应用: d)自定义应用类型。
5.2.25应用内容控制
防火墙应能识别和过滤主流应用的内容,具体技术要求如下: a 基于HTTP、FTP、SMTP和POP3等应用对文件类型进行访问控制,包括文件类型的上传、下载 等动作: b 基于HTTP、FTP、TELNET、SMTP和POP3等应用对关键字进行访问控制; c)其他类型的应用内容。
5.3.1性能测试要求列表
产品的性能测试要求由表2所列项目组成。
表2性能测试要求项目
Q/GDW109402018
Q/GDW109402018
防火墙的整机吞吐量视不同速率的防火墙有所不同,具体测试要求如下;防火墙在如下条件下,整 机吞吐量指标应不低于表3所示的要求 a)防火墙在开启NAT功能后,整机吞吐量下降应不大于原吞吐量的2%: b)防火墙在开启全部日志功能后,整机吞吐量下降应不大于原吞吐量的3%; 防火墙在添加大数量有效访问控制策略 (百兆防火墙大于800条,千兆防火墙大于5000条, 万兆防火墙大于12000条) , 降应不大于原吞吐量的2% 防火墙在开启主要安全功能(包括但不限于审计日志、抗攻击、深度包检测、流量统计、应用
防火墙整机吞吐量测试枣
防火墙的延迟视不同速率的防火墙有所不同,具体测证 高于表4所示的要求: a)防火墙在开启NAT功能后,延迟增加应不大于原延迟的2%: b) 防火墙在开启全部日志功能后,延迟增加应不大于原延迟的3%: c) 防火墙在添加大数量有效访问控制策略(百兆防火墙大于800条,千兆防火墙大于5000条, 万兆防火墙大于12000条)后,延迟增加应不大于原延迟的2%: 防火墙在开启主要安全功能(包括但不限于审计日志、抗攻击、深度包检测、流量统计、应用 层协议控制)后,延迟增加应不大于原延迟的20%。
表4防火墙延迟测试要求
5.3.4最大并发连接数
最大并发连接数视 a)百兆防火墙在500条有 大并发连接数应不小于120万个; b)千兆防火墙在4000条有效访问控 况下最大并发连接数应不小于250方个 c)万兆防火墙在10000条有效访问 下最大并发连接数应不小于500万个
5.3.5最大连接速率
Q/GDW109402018
最大连接速率视不同速率的防火墙有所不同,具体测试要求如下: a)百兆防火墙在500条有效访问控制策略的情况下最大连接速率应不小于每秒1.5万个: b)千兆防火墙在4000条有效访问控制策略的情况下最大连接速率应不小于每秒8万; c)万兆防火墙在10000条有效访问控制策略的情况下最大连接速率应不小于每秒20万: d 防火墙在开启NAT功能后,最大连接速率下降应不大于原最大连接速率的2%; 防火墙在开启全部日志功能后,最大连接速率下降应不大于原最大连接速率的3%; 防火墙在添加大数量有效访问控制策略(百兆防火墙大于800条,千兆防火墙大于5000条: 万兆防火墙高于12000条)后,最大连接速率下降应不大于原最大连接速率的2%; 防火墙在开启主要安全功能(包括但不限于审计日志、抗攻击、深度包检测、流量统计、应用 层协议控制)后,最大连接速率下降应不大于原最大连接速率的20%。
产品的安全测试要求由表5所列项目组成
表5安全测试要求项目
Q/GDW109402018
Q/GDW109402018
防火墙具备抗攻击能力,具体测试要求如下: )能够抵御典型的拒绝服务攻击和分布式拒绝服务攻击,包括ICMPF1ood攻击、UDPF1ood攻 击、SYNFlood攻击、TearDrop攻击、Land攻击、超大ICMP数据攻击等,保护自身并防止受 保护网络受到攻击: 6) 能检测和记录端口扫描和漏洞扫描信息,包括对防火墙自身和受保护网络的扫描,不返回扫描 信息: C 能够抵御源IP地址欺骗攻击; d 能够抵御IP碎片包攻击: e)宜具备基于IP信誉库的过滤功能,并支持IP信誉库的升级更新
防火墙的底层支撑系统应满足如下测试要求: a)确保其支撑系统不提供多余的网络服务,仅开放必要的通讯端口; b)支撑系统不含任何可能导致防火墙权限丢失、拒绝服务和敏感信息泄露等的漏洞。
防火墙在非正常条件(如断电、强制关机)关机并重新启动后,应满足如下测试要求: a)安全策略恢复到关机前的状态: b) 已产生的日志信息不会丢失: c) 已认证的管理员需重新认证: d)千兆及以下类型防火墙设备重启时间宜小于90秒,千兆以上类型防火墙设备重启时间宜小 180秒。
5.4.5.1异常报文处理
5.4.5.2协议穿透识别
Q/GDW109402018
防火墙应具备抗渗透功能,具体测试要求如下: 防火墙应具备抵御检测到的扫描行为的能力: 防火墙应具备深度包检测功能抵御来自应用层的攻击,具体技术要求如下: 1 能够检测并抵御操作系统类、应用服务器类(如web服务器、FTP服务器等)的漏洞攻击: 能够检测并抵御文件类漏洞攻击: 能够检测并抵御ActiveX控件漏洞攻击; 4) 能够检测并抵御常见web攻击,如SQL注入、XSS脚本和目录遍历等; 能够检测script、php和asp等危险代码。 防火墙可支持与有开放接口的入侵检测系统联动。
5.5.1开发者保障要求列表
产品的开发者保障要求由表6所列项目组成。
Q/GDW109402018
表6开发者保障要求项目
5. 5.2 配置管理
5.5.2.1配置管理能力
配置管理系统应对所有的配置项做出唯一的标识,并保证只有经过授权才能修改配置项,还应支持 系统基本配置项的生成。配置管理文档应包括配置清单、配置管理计划以及接受计划。配置清单用来描 述组成系统的配置项。在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配 置管理计划相一致。在接受计划中,应描述对修改过或新建的配置项进行接受的程序。配置管理文档还 应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效地维护的证据。
5.5.2.2配置管理范围
开发者应提供配置管理文档。配置管理文档应说明配置管理系统至少能跟踪:产品实现表示、设 文档、测试文档、用户文档、管理员文档和配置管理文档,并描述配置管理系统是如何跟踪配置项的
5. 5.3. 1范围
开发者应提供测试覆需的分析 明测试文档中所标识的测试与安全功 能设计中所描述的安全功能是对应的,且该对应是完整的
5.5.3.2测试深度
开发者应提供测试深度的分析。在深度分析中,应说明测试文档中所标识的对安全功能的测试,足 以表明该安全功能和高层设计是一致的
5.5.3.3功能测试
预期的测 试结果和实际测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试规程应标识要执 行的测试,并描述每个安全功能的测试概况, ,这些概况包括对其他测试结果的顺序依颗赖性。期望的测试 结果应表明测试成功后的预期输出 玻测试的安全功能能按照规定进行运作
5.5.3.4独立性测试
开发者应提供证据证明,开发者提供的系统经过独立的第三方测试并通过。 6测试方法
D/GDW109402018
防火墙功能测试网络拓扑结构参见图1,性能测试网络拓扑结构参见图2,安全性测试网络拓扑结构 参见图3。测试设备包括测试终端、交换机、被测设备、路由器、性能测试仪、协议测试工具和漏洞扫 描仪等。
图1功能测试拓扑总图
图3安全性测试拓扑图
Q/GDW109402018
可用的测试工具包括但不限于:可模拟内外网的服务器和客户端终端;可对被测设备实施扫描的漏 洞扫描器;生成网络背景流量的专用网络性能测试仪。只要有利于科学、公正、可重复地得到防火墙的 测试结果,可采取多种测试工具和测试方法对系统进行测试。
包过滤的测试方法与预期结果如下: a) 测试方法: 1) 检查防火墙的缺省安全策略: 2) 配置基予MAC地址的包过滤策略,产生相应的网络会话: 3) 配置基于源IP地址、目的IP地址的包过滤策略,产生相应的网络会话; 4 配置基于源端口、目的端口的包过滤策略,产生相应的网络会话: 5) 配置基于协议类型的包过滤策略,产生相应的网络会话: 6) 配置基于时间的包过滤策略,产生相应的网络会话; 配置用户自定义的包过滤策略,过滤条件是2)~6)过滤条件的部分或全部组合,产生相 应的网络会话: 8 配置一条策略,在规定时间内不产生匹配该策略的访问。 b) 预期结果:测试结果符合5.2.2的要求
状态检测的测试方法与预期结果如下: a) 测试方法: 1)配置启动防火墙状态检测模块: 2 配置包过滤策略,允许特定条件的网络会话通过防火墙: 3 产生满足该特定条件的一个完整的网络会话: 4)产生满足该特定条件的网络会话中的不是第一个连接请求SYN包的一个或多个数据包。 b 预期结果:测试结果符合5.2.3的要求。
NAT的测试方法与预期结果如下: a)测试方法: 1)为内部网络用户访问外部网络主机分别设置“多对一”和“多对多”SNAT,检查内部网络 中的主机能否通过防火墙访问外部网络中的主机: 2)为外部网络用户访问DMZ服务器设置“一对多"DNAT,检查外部网络的主机能否通过防火墙 访问DM亿的服务器: 3)在内部网络、外部网络和DMZ内部署协议分析仪,检验数据包在经过防火墙NAT功能前后的 源地址、目的地址和包头信息,来验证防火墙地址转换功能的有效性。 b)预期结果:测试结果符合5.2.4的要求。
D/GDW109402018
D/GDW109402018
流量统计的测试方法与预期结果如下: a)测试方法: 1)配置防火墙流量统计策略,产生相应的网络流量: 2)检查防火墙能否进行流量统计,并如何输出统计结果。 b)预期结果:测试结果符合5.2.5的要求。
GB/T 29665-2013 护肤乳液3.5公司统一监控系统
公司统一监控系统支持的测试方法与预期结果如下: a)测试方法: 1)配置防火墙Syslog日志外发的相关功能,将Syslog日志发往指定的日志服务器,在日志服 务器上进行抓包: 2) 配置防火墙基于安全增强的SNMP的监控功能:使用SNMP监控工具(可使用厂家自带监控工 具)进行监控;抓包进行分析。 b)预期结果:测试结果符合5.2.6的要求。
NTP支持的测试方法与预期结果如下: a)测试方法: 1)配置防火墙的时间同步功能,配置指定的NTP时间源进行认证;进行时间同步,检查防火 墙的时间是否自动被设置为时间源提供的时间(可选用本地主机时间和网络时间源); 2)检查防火墙是否具备时间源的认证功能。 b)预期结果:测试结果符合5.2.7的要求。
测试方法: 1)查看防火墙本地和远程管理是否必须通过口令鉴别,且口令复杂度及使用周期可配置,口 令是否加密存储于配置文件中; 查看防火墙本地和远程管理是否支持双因子身份鉴别,并对授权管理员设置两种或两种以 上组合的鉴别技术进行身份鉴别: 3 查看防火墙是否确保管理员进行操作之前,对管理员、主机和用户等进行唯一的身份识别: 4 在登录过程中输入错误口令,达到防火墙设定的最大失败次数(如5次)后,查看防火墙 是否能够终止可信主机或用户建立会话的过程,并对该失败用户做禁止访问处理; 5) 查看防火墙是否可通过指定主机IP的方式对防火墙进行远程管理,过协议分析仪查看防火 墙的管理信息是否安全; 检查防火墙的管理权限划分,是否做到权限分离,是否可对每一个规定的授权管理员、可 信主机、主机和用户提供一套唯一的为执行安全策略所必需的安全属性; 查着防火墙的管理方式,是否支持本地管理和远程管理方式,并进行验证;检查防火墙是 否具有独立的管理接口;是否能够关闭业务接口上的管理服务: 8 查看防火墙是否支持在线和离线两种升级方式,并在安全策略开启的情况下进行在线和离 线升级,升级成功后查看安全策略是否仍然有效,查看审计日志是否记录升级操作; 是否文持加 式是否可以关团
Q/GDW109402018
10)查看防火墙的安全管理参数,如页面超时时间、最大登录重试次数、登陆失败阻断间隔等 验证管理员是否能够设置或修改上述参数: 11)查看防火墙授权管理员是否可添加、修改、查询安全策略: 12)查看授权管理员能否根据策略分组,对具备特定条件的策略进行分组: 13)查看授权管理员是否具备管理审计日志的功能: 14)查看授权管理员能否监控防火墙状态和网络数据流状态。 预期结果:测试结果符合5.2.8的要求。
DB33T 286.5-2012 珠茶 精加工技术规程6.3.8IP/MAC绑定
IP/MAC地址绑定的测试方法与预期结果如下: a)测试方法: 1)为防火墙设置IP/MAC地址绑定策略: 2)使用自动绑定或手工绑定功能将内部网络中主机的IP与MAC地址绑定: 3)分别产生正确IP/MAC绑定的会话和盗用IP的会话,检查绑定的有效性 b)预期结果:测试结果符合5.2.9的要求。
a) 测试方法: 根据目标地址参数及出接口配置防火墙静态路由表项,产生相应的网络会话,检查策略路 由的有效性: 2) 两台防火墙均启用动态路由协议OSPF,配置相关参数及邻居信息,相互发布对端路由,检 查防火墙上的区域、邻居等信息是否正确,检查路由学习是否成功: 3 在防火墙上配置RIP相关功能参数的配置,建立邻居,发布路由,检查防火墙获得路由信 息的周期及路由信息是否正确: 4 检查防火墙是否能够根据数据包源IP地址、目的IP地址、网络入接口、传输层接口或数据 包负载内容等参数来设置路由策略; 5) 根据源目标地址、下一跳接口、协议和端口或应用类型等参数配置防火墙策略路由: 6) 产生相应的网络会话,检查策略路由的有效性; 7 在不同的外网链路上产生较大负荷的流量,检查是否能够根据负载情况进行自动选择最优 线路。 b)预期结果:测试结果符合5.2.10的要求。