GB/T 18020-1999信息技术　应用级防火墙安全技术要求.pdf

华人民共和 国国家标准 信 息 技 术 应用级防火墙安全技术要求 发布 实施 国家质量技术监督局 发 布 免费标准网() 无需注册 即可下载 前 言 本标准规定了网络安全设备 应用级防火墙的安全技术要求 本标准由国家信息化办公室提出 本标准由全国信息技术标准化技术委员会归口 本标准起草单位 国家信息中心 中国国家信息安全测评认证中心 本标准主要起草人 叶红 吴亚非 吴世忠 陈晓桦 李正男 严望佳 免费标准网() 无需注册 即可下载 中华人 民共和 国国家标准 信 息 技 术 应用级防火墙安全技术要求 范围 本标准规定了应用级防火墙的安全技术要求 本标准适用于应用级防火墙安全功能的研制 开发 测试 评估和产品采购 引用标准 下列标准所包含的条文 通过在 标准中引用而构成 标准的条文 本标准出版时 所示版 均 有效 所有标准都会被修订 使用 标准的各方应探讨使用下列标准最新版本的可能性 信息处理系统 开放系统互连 基 参考模型 第 部分 安全体系结构 定义和记法约定 章给出本标准中使用的术语和记法约定 定义 用户 在防火墙之外 但与防火墙相互作用的人 他不具有影响防火墙安全策略执行的特权 授权管理员 任何具有旁路或绕过防火墙安全策略权限的授权人 标准中的 授权管理员 严格定义 防火墙 的管理员 他不具有网络管理的职责 主机 在防火墙之外 但与防火墙相互作用的计算机 它不具有影响防火墙安全策略执行的特权 可信主机 任何具有旁路或绕过防火墙安全策略权限的授权计算机 记法约定 细化 用于增加某一功能要求的细节 从而进一步限制该项要求 对功能要求的细化用黑体字表示 示例见 选择 用于在对某一功能要求的陈述中 出一个或多个选项 用带下划线的斜体字表示 示例见 赋值 用于将一个特定值赋给某个未定参数 如某个口令字的长度 赋值出现在方括号中 要赋予 的值 表示某个值 示例见 应用级防火墙概述 本标准规定了应用级防火墙在低风险 敏感但不保密 环境下的最低安全要求 明确了应用级防火 国家质量技术监督局 批准 实施 免费标准网() 无需注册 即可下载 墙应阻止的威胁 定义了它的安全目标和使用环境 提出了应用级防火墙的安全功能和安全保证要求 同时 说明了防火墙安全目标及功能和保证要求的基 原则 防火墙的目的是对进 出内部网的服务访问实行控制和审计 准许 拒绝或重新定向通过防火墙的 数据流 虽然防火墙的体系结构和技术多种多样 但防火墙产品基 上可分成两类 包过滤防火墙和应 用级防火墙 网络中防火墙的典型位置如图 所示 图 网络中防火墙的典型位置 应用级防火墙的作用是 仲裁不同网络上客户和服务器之间的通信业务流 应用级防火墙通常与包 过滤控制配合使用 以承担对应用级协议包的进一步控制 例如 应用级防火墙可以雇 用代理服务器筛选数据包 安全环境 符合 标准的防火墙用于敏感但不保密的信息处理环境 防火墙应提供访问控制策略 身份标识与 鉴别 远程管理员会话加密 一定的审计能 以及最基本的安全保证 安全条件假定 假定防火墙的运行环境符合以下条件 单一接入 如图 所示意的那样 防火墙是网络间唯一的互连点 物理访问控制 防火墙和与其直接相连的控制台在物理上是安全的 而且仅供授权人使用 通信保护 信息传输的保