- 賽事資訊
- 職教新聞
- 新聞專題
- 汽修專業(yè)
- 數(shù)控專業(yè)
- 電子專業(yè)
- 加工制造
- 機(jī)電專業(yè)
- 模具專業(yè)
- 電氣信息
- 旅游管理
- 建筑專業(yè)
- 信息技術(shù)
- 化工專業(yè)
- 機(jī)械制造
- 財經(jīng)專業(yè)
- 餐飲專業(yè)
- 酒店專業(yè)
- 商貿(mào)專業(yè)
- 醫(yī)藥衛(wèi)生
- 地質(zhì)勘察
- 交通土建
- 財經(jīng)商貿(mào)
- 鐵道工程
- 服裝設(shè)計
- 基礎(chǔ)課程
- 美容美發(fā)
- 農(nóng)林牧漁
- 包裝印刷
- 材料能源
- 法學(xué)專業(yè)
- 公共事業(yè)
- 生物工程
- 市場營銷
- 資源環(huán)境
- 機(jī)器人
- 無人機(jī)
- 通用性技能知識
- 綜合
當(dāng)前位置:首頁 > 文章資訊 > 信息技術(shù) > 網(wǎng)絡(luò)安全培訓(xùn):防火墻安全技術(shù)要求
網(wǎng)絡(luò)安全培訓(xùn):防火墻安全技術(shù)要求
防火墻就是一個位于計算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件,與殺毒軟件不同的是,防火墻通過各種技術(shù)手段(如規(guī)則設(shè)定),來保護(hù)用戶的計算機(jī)安全,直接攔截和降低系統(tǒng)受到威脅傷害的幾率,這就是它存在的意義。
對中毒已深的計算機(jī)來說,防火墻不具備除毒作用,當(dāng)有害程序試圖通過聯(lián)網(wǎng)將信息反饋給病毒制造者時,將會實(shí)行攔截。(如:盜號***)。反病毒技術(shù)的進(jìn)步對于防火墻的發(fā)展促進(jìn)是非常明顯的,有的防火墻融入了先進(jìn)的“云計算”,有的防火墻中HIPS能力相當(dāng)成熟,有的防火墻行為分析能力出色,也有的防火墻支持傳統(tǒng)路線,導(dǎo)致了普通用戶看不出實(shí)質(zhì)差別,弄的一頭霧水,今天就讓我們來分析這8款獨(dú)立網(wǎng)絡(luò)防火墻之間的較量。
防火墻是作用于不同安全域之間,具備訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品,主要分為網(wǎng)絡(luò)型防火墻、WEB應(yīng)用防火墻、數(shù)據(jù)庫防火墻、主機(jī)型防火墻或其組合。
防火墻的安全技術(shù)要求分為安全功能要求、自身安全要求、性能要求和安全保障要求四個大類。其中,安全功能要求對防火墻應(yīng)具備的安全功能提出具體要求,包括組網(wǎng)與部署、網(wǎng)絡(luò)層控制、應(yīng)用層控制、攻擊防護(hù)和安全審計與分析;自身安全要求針對防火墻的自身安全提出具體的要求,包括身份標(biāo)識與鑒別、管理能力、管理審計、管理方式和安全支撐系統(tǒng);性能要求則是對防火墻應(yīng)達(dá)到的性能指標(biāo)作出規(guī)定,包括吞吐量、延遲、連接速率和并發(fā)連接數(shù);安全保障要求針對防火墻的生命周期過程提出具體要求,包括開發(fā)、指導(dǎo)性文檔、生命周期支持、測試和脆弱性評定。
1、安全功能要求
(1)組網(wǎng)與部署
1)部署模式
產(chǎn)品應(yīng)支持以下部署模式:
a)透明傳輸模式;
b)路由轉(zhuǎn)發(fā)模式;
c)反向代理模式。
2)路由
① 靜態(tài)路由
產(chǎn)品應(yīng)支持靜態(tài)路由功能,且能配置靜態(tài)路由。
② 策略路由
具有多個相同屬性網(wǎng)絡(luò)接口(多個外部網(wǎng)絡(luò)接口、多個內(nèi)部網(wǎng)絡(luò)接口或多個DMZ網(wǎng)絡(luò)接口)的產(chǎn)品,應(yīng)支持策略路由功能,包括但不限于:
a)基于源、目的IP策略路由;
b)基于接口的策略路由;
c)基于協(xié)議和端口的策略路由;
d)基于應(yīng)用類型的策略路由;
e)基于多鏈路負(fù)載情況自動選擇路由。
③ 動態(tài)路由
產(chǎn)品應(yīng)支持動態(tài)路由功能,包括RIP、OSPF或BGP中一種或多種動態(tài)路由協(xié)議。
3)高可用性
① 冗余部署
產(chǎn)品應(yīng)支持“主-備”、“主-主”或“集群”中的一種或多種冗余部署模式。
② 負(fù)載均衡
產(chǎn)品應(yīng)支持負(fù)載均衡功能,能根據(jù)安全策略將網(wǎng)絡(luò)流量均衡到多臺服務(wù)器上。
4)設(shè)備虛擬化(可選)
① 虛擬系統(tǒng)
若產(chǎn)品支持在邏輯上劃分為多個虛擬子系統(tǒng),虛擬子系統(tǒng)間應(yīng)支持隔離和獨(dú)立管理,包括但不限于:
a)對虛擬子系統(tǒng)分別設(shè)置管理員,實(shí)現(xiàn)針對虛擬子系統(tǒng)的管理配置;
b)虛擬子系統(tǒng)能分別維護(hù)路由表、安全策略和日志系統(tǒng);
c)對虛擬子系統(tǒng)的資源使用配額進(jìn)行限制。
② 虛擬化部署
若產(chǎn)品為虛擬化形態(tài),應(yīng)支持部署于虛擬化平臺,并接受平臺統(tǒng)一管理,包括但不限于:
a)支持部署于一種虛擬化平臺,如VMware ESXi、KVM、Citrix Xenserver和 Hyper-V等;
b)結(jié)合虛擬化平臺實(shí)現(xiàn)產(chǎn)品資源彈性伸縮,根據(jù)虛擬化產(chǎn)品的負(fù)載情況動態(tài)調(diào)整資源;
c)結(jié)合虛擬化平臺實(shí)現(xiàn)故障遷移,當(dāng)虛擬化產(chǎn)品出現(xiàn)故障時能實(shí)現(xiàn)自動更新、替換。
5)IPv6支持(可選)
① 支持IPv6網(wǎng)絡(luò)環(huán)境
若產(chǎn)品支持IPv6,應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下正常工作,能有效運(yùn)行其安全功能和自身安全功能。
② 協(xié)議一致性
若產(chǎn)品支持IPv6,應(yīng)滿足IPv6協(xié)議一致性的要求,至少包括IPv6核心協(xié)議、IPv6 DNP協(xié)議、IPv6 Autoconfig協(xié)議和ICMPv6協(xié)議。
③ 協(xié)議健壯性
若產(chǎn)品支持IPv6,應(yīng)滿足IPv6協(xié)議健壯性的要求,抵御IPv6網(wǎng)絡(luò)環(huán)境下畸形協(xié)議報文攻擊。
④ 支持IPv6過渡網(wǎng)絡(luò)環(huán)境
若產(chǎn)品支持IPv6,應(yīng)支持在以下一種或多種IPv6過渡網(wǎng)絡(luò)環(huán)境下工作:
a)協(xié)議轉(zhuǎn)換,將IPv4和IPv6兩種協(xié)議相互轉(zhuǎn)換;
b)隧道,將IPv6封裝在IPv4中穿越IPv4網(wǎng)絡(luò),如IPv6 over IPv4、IPv6 to IPv4、ISATAP等。
(2)網(wǎng)絡(luò)層控制
1)訪問控制
① 包過濾
產(chǎn)品的包過濾功能要求如下:
a)安全策略應(yīng)使用最小安全原則,即除非明確允許,否則就禁止;
b)安全策略應(yīng)包含基于源IP地址、目的IP地址的訪問控制;
c)安全策略應(yīng)包含基于源端口、目的端口的訪問控制;
d)安全策略應(yīng)包含基于協(xié)議類型的訪問控制;
e)安全策略應(yīng)包含基于MAC地址的訪問控制;
f)安全策略應(yīng)包含基于時間的訪問控制;
g)應(yīng)支持用戶自定義的安全策略,安全策略包括MAC地址、IP地址、端口、協(xié)議類型和時間的部分或全部組合。
② 網(wǎng)絡(luò)地址轉(zhuǎn)換
產(chǎn)品的網(wǎng)絡(luò)地址轉(zhuǎn)換功能要求如下:
a)支持SNAT和DNAT;
b)SNAT應(yīng)實(shí)現(xiàn)“多對一”地址轉(zhuǎn)換,使得內(nèi)部網(wǎng)絡(luò)主機(jī)訪問外部網(wǎng)絡(luò)時,其源IP地址被轉(zhuǎn)換;
c)DNAT應(yīng)實(shí)現(xiàn)“一對多”地址轉(zhuǎn)換,將DMZ的IP地址/端口映射為外部網(wǎng)絡(luò)合法IP地址/端 口,使外部網(wǎng)絡(luò)主機(jī)通過訪問映射地址和端口實(shí)現(xiàn)對DMZ服務(wù)器的訪問;
D)支持動態(tài)SNAT技術(shù),實(shí)現(xiàn)“多對多”的SNAT。
③ 狀態(tài)檢測
產(chǎn)品應(yīng)支持基于狀態(tài)檢測技術(shù)的包過濾功能,具備狀態(tài)檢測能力。
④ 動態(tài)開放端口
產(chǎn)品應(yīng)支持協(xié)議的動態(tài)端口開放,包括但不限于:
a)FTP協(xié)議;
b)H.323等音視頻協(xié)議。
⑤ IP/MAC地址綁定
產(chǎn)品應(yīng)支持自動或手工綁定IP/MAC地址,當(dāng)主機(jī)的IP地址、MAC地址與IP/MAC綁定表中不一致時,阻止其流量通過。
2)流量管理
① 帶寬管理
產(chǎn)品應(yīng)支持帶寬管理功能,能根據(jù)策略調(diào)整客戶端占用的帶寬,包括但不限于:
a)根據(jù)源IP、目的IP、應(yīng)用類型和時間段的流量速率或總額進(jìn)行限制;
b)根據(jù)源IP、目的IP、應(yīng)用類型和時間段設(shè)置保障帶寬;
c)在網(wǎng)絡(luò)空閑時自動解除流量限制,并在總帶寬占用率超過閾值時自動啟用限制。
② 連接數(shù)控制
產(chǎn)品應(yīng)支持限制單IP的最大并發(fā)會話數(shù)和新建連接速率,防止大量非法連接產(chǎn)生時影響網(wǎng)絡(luò)性能。
③ 會話管理
在會話處于非活躍狀態(tài)一定時間或會話結(jié)束后,產(chǎn)品應(yīng)終止會話。
(3)應(yīng)用層控制
1)用戶管控
產(chǎn)品應(yīng)支持基于用戶認(rèn)證的網(wǎng)絡(luò)訪問控制功能,包括但不限于:
a)本地用戶認(rèn)證方式;
b)結(jié)合第三方認(rèn)證系統(tǒng),如基于Radius、LDAP服務(wù)器的認(rèn)證方式。
2)應(yīng)用類型控制
產(chǎn)品應(yīng)支持根據(jù)應(yīng)用特征識別并控制各種應(yīng)用類型,包括:
a)HTTP協(xié)議;
b)數(shù)據(jù)庫協(xié)議;
c)FTP、TELNET、SMTP、POP3和IMAP等常見協(xié)議;
d)即時聊天類、P2P類、網(wǎng)絡(luò)流媒體類、網(wǎng)絡(luò)游戲、股票交易類等應(yīng)用;
e)逃逸或隧道加密特點(diǎn)的應(yīng)用,如加密代理類應(yīng)用;
f)自定義應(yīng)用。
3)應(yīng)用內(nèi)容控制
① WEB應(yīng)用
產(chǎn)品應(yīng)支持基于以下內(nèi)容對WEB應(yīng)用的訪問進(jìn)行控制,包括但不限于:
a)URL網(wǎng)址,并具備分類網(wǎng)址庫;
b)HTTP傳輸內(nèi)容的關(guān)鍵字;
c)HTTP請求方式,包括GET、POST、PUT、HEAD等;
d)HTTP請求文件類型;
e)HTTP協(xié)議頭中各字段長度,包括general-header、request-header、response-header等;
f)HTTP上傳文件類型;
g)HTTP請求頻率;
h)HTTP返回的響應(yīng)內(nèi)容,如服務(wù)器返回的出錯信息等;
i) 支持HTTPS流量解密。
② 數(shù)據(jù)庫應(yīng)用
產(chǎn)品應(yīng)支持基于以下內(nèi)容對數(shù)據(jù)庫的訪問進(jìn)行控制,包括但不限于:
a)訪問數(shù)據(jù)庫的應(yīng)用程序、運(yùn)維工具;
b)數(shù)據(jù)庫用戶名、數(shù)據(jù)庫名、數(shù)據(jù)表名和數(shù)據(jù)字段名;
c)SQL語句關(guān)鍵字、數(shù)據(jù)庫返回內(nèi)容關(guān)鍵字;
d)影響行數(shù)、返回行數(shù)。
③ 其他應(yīng)用
產(chǎn)品應(yīng)支持基于以下內(nèi)容對FTP、TELNET、SMTP、POP3和IMAP等應(yīng)用進(jìn)行控制,包括但不限于:
a)傳輸文件類型;
b)傳輸內(nèi)容,如協(xié)議命令或關(guān)鍵字。
(4)攻擊防護(hù)
1)拒絕服務(wù)攻擊防護(hù)
產(chǎn)品具備特征庫,應(yīng)支持拒絕服務(wù)攻擊防護(hù)功能,包括但不限于:
a)ICMP Flood攻擊防護(hù);
b)UDP Flood攻擊防護(hù);
c)SYN Flood攻擊防護(hù);
d)TearDrop攻擊防護(hù);
e)Land攻擊防護(hù);
f)Ping of Death攻擊防護(hù);
g)CC攻擊防護(hù)。
2)WEB攻擊防護(hù)
產(chǎn)品具備特征庫,應(yīng)支持 WEB攻擊防護(hù)功能,包括但不限于:
a)SQL注入攻擊防護(hù);
b)XSS攻擊防護(hù);
c) 第三方組件漏洞攻擊防護(hù);
d) 目錄遍歷攻擊防護(hù);
e)Cookie注入攻擊防護(hù);
f)CSRF攻擊防護(hù);
g) 文件包含攻擊防護(hù);
h) 盜鏈防護(hù);
i)OS命令注入攻擊防護(hù);
j)WEBshell識別和攔截;
k) 反序列化攻擊防護(hù)。
3)數(shù)據(jù)庫攻擊防護(hù)
產(chǎn)品具備特征庫,應(yīng)支持?jǐn)?shù)據(jù)庫攻擊防護(hù)功能,包括但不限于:
a) 數(shù)據(jù)庫漏洞攻擊防護(hù);
b)異常SQL語句阻斷;
c) 數(shù)據(jù)庫拖庫攻擊防護(hù);
d) 數(shù)據(jù)庫撞庫攻擊防護(hù)。
4)惡意代碼防護(hù)
產(chǎn)品具備特征庫,應(yīng)支持惡意代碼防護(hù)功能,包括但不限于:
a)能攔截典型的木馬攻擊行為;
b) 檢測并攔截被HTTP網(wǎng)頁和電子郵件等攜帶的惡意代碼。
5)其他應(yīng)用攻擊防護(hù)
產(chǎn)品具備特征庫,應(yīng)支持防護(hù)來自應(yīng)用層的其他攻擊,包括但不限于:
a)操作系統(tǒng)類漏洞攻擊防護(hù);
b)中間件類漏洞攻擊防護(hù);
c)控件類漏洞攻擊防護(hù)。
6)自動化工具威脅防護(hù)
產(chǎn)品具備特征庫,應(yīng)支持防護(hù)自動化工具發(fā)起的攻擊,包括但不限于:
a)網(wǎng)絡(luò)掃描行為防護(hù);
b)應(yīng)用掃描行為防護(hù);
c)漏洞利用工具防護(hù)。
7)攻擊逃逸防護(hù)
產(chǎn)品應(yīng)支持檢測并阻斷經(jīng)逃逸技術(shù)處理過的攻擊行為。
8)外部系統(tǒng)協(xié)同防護(hù)
產(chǎn)品應(yīng)提供聯(lián)動接口,能通過接口與其他網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行聯(lián)動,如執(zhí)行其他網(wǎng)絡(luò)安全產(chǎn)品下發(fā)的安全策略等。
(5)安全審計、告警與統(tǒng)計
1)安全審計
產(chǎn)品應(yīng)支持安全審計功能,包括但不限于:
a)記錄事件類型:
① 被產(chǎn)品安全策略匹配的訪問請求;
② 檢測到的攻擊行為。
b)日志內(nèi)容:
① 事件發(fā)生的日期和時間;
② 事件發(fā)生的主體、客體和描述,其中數(shù)據(jù)包日志包括協(xié)議類型、源地址、目標(biāo)地址、源端口和目標(biāo)端口等;
③ 攻擊事件的描述。
c)日志管理:
① 僅允許授權(quán)管理員訪問日志,并提供日志查閱、導(dǎo)出等功能;
② 能對審計事件按日期、時間、主體、客體等條件查詢;
③ 日志存儲于掉電非易失性存儲介質(zhì)中;
④ 日志存儲周期設(shè)定不小于六個月;
⑤ 存儲空間達(dá)到閾值時,能通知授權(quán)管理員,并確保審計功能的正常運(yùn)行;
⑥ 日志支持自動化備份至其他存儲設(shè)備。
2)安全告警
產(chǎn)品應(yīng)支持對上述攻擊行為進(jìn)行告警,并能對高頻發(fā)生的相同告警事件進(jìn)行合并告警,避免出現(xiàn)告警風(fēng)暴。告警信息至少包括以下內(nèi)容:
a)事件主體;
b)事件客體;
c)事件描述;
d)危害級別;
e)事件發(fā)生的日期和時間。
3)統(tǒng)計
① 網(wǎng)絡(luò)流量統(tǒng)計
產(chǎn)品應(yīng)支持以圖形化界面展示網(wǎng)絡(luò)流量情況,包括但不限于:
a)按照IP、時間段和協(xié)議類型等條件或以上條件組合對網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計;
b)實(shí)時或以報表形式輸出統(tǒng)計結(jié)果。
② 應(yīng)用流量統(tǒng)計
產(chǎn)品應(yīng)支持以圖形化界面展示應(yīng)用流量情況,包括但不限于:
a) 按照IP、時間段和應(yīng)用類型等條件或以上條件組合對應(yīng)用流量進(jìn)行統(tǒng)計;
b)以報表形式輸出統(tǒng)計結(jié)果;
c)對不同時間段的統(tǒng)計結(jié)果進(jìn)行比對。
③ 攻擊事件統(tǒng)計
產(chǎn)品應(yīng)支持以圖形化界面展示攻擊事件情況,包括但不限于:
a)按照攻擊事件類型、IP和時間段等條件或以上條件組合對攻擊事件進(jìn)行統(tǒng)計;
b)以報表形式輸出統(tǒng)計結(jié)果。
2、自身安全要求
(1)身份標(biāo)識與鑒別
產(chǎn)品的身份標(biāo)識與鑒別安全要求包括但不限于:
a)對用戶身份進(jìn)行標(biāo)識和鑒別,身份標(biāo)識具有唯一性;
b)對用戶身份鑒別信息進(jìn)行安全保護(hù),保障用戶鑒別信息存儲和傳輸過程中的保密性;
c)具有登錄失敗處理功能,如限制連續(xù)的非法登錄嘗試次數(shù)等相關(guān)措施;
d)具有登錄超時處理功能,當(dāng)?shù)卿涍B接超時自動退出;
e) 在采用基于口令的身份鑒別時,要求對用戶設(shè)置的口令進(jìn)行復(fù)雜度檢查,確保用戶口令滿足一定的復(fù)雜度要求;
f)當(dāng)產(chǎn)品中存在默認(rèn)口令時,提示用戶對默認(rèn)口令進(jìn)行修改,以減少用戶身份被冒用的風(fēng)險;
g)應(yīng)對授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別。
(2)管理能力
產(chǎn)品的管理能力安全要求包括但不限于:
a)向授權(quán)管理員提供設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)的功能;
b)向授權(quán)管理員提供設(shè)置、查詢和修改各種安全策略的功能;
c)向授權(quán)管理員提供管理審計日志的功能;
d)支持更新自身系統(tǒng)的能力,包括對軟件系統(tǒng)的升級以及各種特征庫的升級;
e)能從NTP服務(wù)器同步系統(tǒng)時間;
f)支持通過SYSLOG協(xié)議向日志服務(wù)器同步日志、告警等信息;
g)應(yīng)區(qū)分管理員角色,能劃分為系統(tǒng)管理員、安全操作員和安全審計員,三類管理員角色權(quán)限能相互制約;
h)提供安全策略有效性檢查功能,如安全策略匹配情況檢測等。
(3)管理審計
產(chǎn)品的管理審計安全要求包括但不限于:
a)對用戶賬戶的登錄和注銷、系統(tǒng)啟動、重要配置變更、增加/刪除/修改管理員、保存/刪除審計日志等操作行為進(jìn)行日志記錄;
b)對產(chǎn)品及其模塊的異常狀態(tài)進(jìn)行告警,并記錄日志;
c)日志記錄中包括如下內(nèi)容:事件發(fā)生的日期和時間,事件的類型,事件主體,事件操作結(jié)果;
d)僅允許授權(quán)管理員訪問日志。
(4)管理方式
產(chǎn)品的管理方式安全要求包括但不限于:
a)支持通過console端口進(jìn)行本地管理;
b)支持通過網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理,并能限定進(jìn)行遠(yuǎn)程管理的IP、MAC地址;
c) 遠(yuǎn)程管理過程中,管理端與產(chǎn)品之間的所有通信數(shù)據(jù)應(yīng)非明文傳輸;
d) 支持SNMP網(wǎng)管協(xié)議方式的監(jiān)控和管理;
e)支持管理接口與業(yè)務(wù)接口分離;
f) 支持集中管理,通過集中管理平臺實(shí)現(xiàn)監(jiān)控運(yùn)行狀態(tài)、下發(fā)安全策略、升級系統(tǒng)版本、升級特征庫版本。
(5)安全支撐系統(tǒng)
產(chǎn)品的支撐系統(tǒng)安全要求包括但不限于:
a)進(jìn)行必要的裁剪,不提供多余的組件或網(wǎng)絡(luò)服務(wù);
b)重啟過程中,安全策略和日志信息不丟失;
c)不含已知中、高風(fēng)險安全漏洞。
3、性能要求
(1)吞吐量
1)網(wǎng)絡(luò)層吞吐量
硬件產(chǎn)品的網(wǎng)絡(luò)層吞吐量視不同速率的產(chǎn)品有所不同,具體指標(biāo)要求如下:
a)一對相應(yīng)速率的端口應(yīng)達(dá)到的雙向吞吐率指標(biāo):
① 對于ⅦⅤ字節(jié)短包,百兆產(chǎn)品不小于線速的20%,千兆和萬兆產(chǎn)品不小于線速的35%;
② 對于512字節(jié)中長包,百兆產(chǎn)品不小于線速的70%,千兆和萬兆產(chǎn)品不小于線速的80%;
③ 對于1518字節(jié)長包,百兆產(chǎn)品不小于線速的90%,千兆和萬兆產(chǎn)品不小于線速的95%;
b) 針對高性能的萬兆產(chǎn)品,對于1518字節(jié)長包,吞吐量至少達(dá)到80Gbit/s。
2)混合應(yīng)用層吞吐量
硬件產(chǎn)品的應(yīng)用層吞吐量視不同速率的產(chǎn)品有所不同,開啟應(yīng)用攻擊防護(hù)功能的情況下,具體指標(biāo)要求如下:
a)百兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于60Mbit/s;
b)千兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于600Mbit/s;
c)萬兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于5Gbit/s;針對高性能的萬兆產(chǎn)品,整機(jī)混合應(yīng)用層吞吐量至少達(dá)到20Gbit/s。
3)HTTP吞吐量
硬件產(chǎn)品的HTTP吞吐量視不同速率的產(chǎn)品有所不同,開啟WEB攻擊防護(hù)功能的情況下,具體指標(biāo)要求如下:
a)百兆產(chǎn)品應(yīng)用層吞吐量應(yīng)不小于80Mbit/s;
b)千兆產(chǎn)品應(yīng)用層吞吐量應(yīng)不小于800Mbit/s;
c)萬兆產(chǎn)品應(yīng)用層吞吐量應(yīng)不小于6Gbit/s。
(2)延遲
硬件產(chǎn)品的延遲視不同速率的產(chǎn)品有所不同,一對相應(yīng)速率端口的延遲具體指標(biāo)要求如下:
a)對于64字節(jié)短包、512字節(jié)中長包、1518字節(jié)長包,百兆產(chǎn)品的平均延遲不應(yīng)超過500μs;
b)對于64字節(jié)短包、512字節(jié)中長包、1518字節(jié)長包,千兆、萬兆產(chǎn)品的平均延遲不應(yīng)超過90μs。
(3)連接速率
1)TCP新建連接速率
硬件產(chǎn)品的TCP新建連接速率視不同速率的產(chǎn)品有所不同,具體指標(biāo)要求如下:
a)百兆產(chǎn)品的TCP新建連接速率應(yīng)不小于1500個/s;
b)千兆產(chǎn)品的TCP新建連接速率應(yīng)不小于5000個/s;
c)萬兆產(chǎn)品的新建連接數(shù)速率應(yīng)不小于50000個/s;針對高性能的萬兆產(chǎn)品,整機(jī)新建連接數(shù) 速率應(yīng)不小于250000個/s。
2)HTTP請求速率
硬件產(chǎn)品的HTTP請求速率視不同速率的產(chǎn)品有所不同,具體指標(biāo)要求如下:
a)百兆產(chǎn)品的HTTP請求速率應(yīng)不小于800個/s;
b)千兆產(chǎn)品的HTTP請求速率應(yīng)不小于3000個/s;
c)萬兆產(chǎn)品的HTTP請求速率應(yīng)不小于5000個/s。
3)SQL請求速率
硬件產(chǎn)品的SQL請求速率視不同速率的產(chǎn)品有所不同,具體指標(biāo)要求如下:
a)百兆產(chǎn)品的SQL請求速率應(yīng)不小于2000個/s;
b)千兆產(chǎn)品的SQL請求速率應(yīng)不小于10000個/s;
c)萬兆產(chǎn)品的SQL請求速率應(yīng)不小于50000個/s。
(4)并發(fā)連接數(shù)
1)TCP并發(fā)連接數(shù)
硬件產(chǎn)品的TCP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同,具體指標(biāo)要求如下:
a)百兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于50000個;
b)千兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于200000個;
c)萬兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于2000000個;針對高性能的萬兆產(chǎn)品,整機(jī)并發(fā)連接數(shù)至少 達(dá)到3000000個。
2)HTTP并發(fā)連接數(shù)
硬件產(chǎn)品的HTTP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同,具體指標(biāo)要求如下:
a)百兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于50000個;
b)千兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于200000個;
c)萬兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于2000000個。
3)SQL并發(fā)連接數(shù)
硬件產(chǎn)品的SQL并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同,具體指標(biāo)要求如下:
a)百兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于800個;
b)千兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于2000個;
c)萬兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于4000個。
4、安全保障要求
(1)開發(fā)
1)安全架構(gòu)
開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述,安全架構(gòu)描述應(yīng)滿足以下要求:
a)與產(chǎn)品設(shè)計文檔中對安全功能的描述范圍相一致;
b)充分描述產(chǎn)品采取的自我保護(hù)、不可旁路的安全機(jī)制。
2)功能規(guī)范
開發(fā)者應(yīng)提供完備的功能規(guī)范說明,功能規(guī)范說明應(yīng)滿足以下要求:
a)根據(jù)產(chǎn)品類型清晰描述1、2中定義的安全功能;
b)標(biāo)識和描述產(chǎn)品所有安全功能接口的目的、使用方法及相關(guān)參數(shù);
c)描述安全功能實(shí)施過程中,與安全功能接口相關(guān)的所有行為;
d)描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。
3)產(chǎn)品設(shè)計
開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔,產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求:
a)通過子系統(tǒng)描述產(chǎn)品結(jié)構(gòu),標(biāo)識和描述產(chǎn)品安全功能的所有子系統(tǒng),并描述子系統(tǒng)間的相互作用;
b)提供子系統(tǒng)和安全功能接口間的對應(yīng)關(guān)系;
c)通過實(shí)現(xiàn)模塊描述安全功能,標(biāo)識和描述實(shí)現(xiàn)模塊的目的、相關(guān)接口及返回值等,并描述實(shí)現(xiàn)模塊間的相互作用及調(diào)用的接口;
d)提供實(shí)現(xiàn)模塊和子系統(tǒng)間的對應(yīng)關(guān)系。
4)實(shí)現(xiàn)表示
開發(fā)者應(yīng)提供產(chǎn)品安全功能的實(shí)現(xiàn)表示,實(shí)現(xiàn)表示應(yīng)滿足以下要求:
a)詳細(xì)定義產(chǎn)品安全功能,包括軟件代碼、設(shè)計數(shù)據(jù)等實(shí)例;
b)提供實(shí)現(xiàn)表示與產(chǎn)品設(shè)計描述間的對應(yīng)關(guān)系。
(2)指導(dǎo)性文檔
1)操作用戶指南
開發(fā)者應(yīng)提供明確和合理的操作用戶指南,對每一種用戶角色的描述應(yīng)滿足以下要求:
a)描述用戶能訪問的功能和特權(quán),包含適當(dāng)?shù)木拘畔?
b)描述產(chǎn)品安全功能及接口的用戶操作方法,包括配置參數(shù)的安全值等;
c)標(biāo)識和描述產(chǎn)品運(yùn)行的所有可能狀態(tài),包括操作導(dǎo)致的失敗或者操作性錯誤;
d)描述實(shí)現(xiàn)產(chǎn)品安全目的必需執(zhí)行的安全策略。
2)準(zhǔn)備程序
開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序,準(zhǔn)備程序描述應(yīng)滿足以下要求:
a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟;
b)描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。
(3)生命周期支持
1)配置管理能力
開發(fā)者的配置管理能力應(yīng)滿足以下要求:
a)為產(chǎn)品的不同版本提供唯一的標(biāo)識;
b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù),并進(jìn)行唯一標(biāo)識;
c)提供配置管理文檔,配置管理文檔描述用于唯一標(biāo)識配置項(xiàng)的方法;
d)配置管理系統(tǒng)提供自動方式來支持產(chǎn)品的生成,通過自動化措施確保配置項(xiàng)僅接受授權(quán)變更;
e)配置管理文檔包括一個配置管理計劃,描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項(xiàng)的程序。配置管理計劃描述應(yīng)描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品,開發(fā)者實(shí)施的配置管理應(yīng)與配置管理計劃相一致。
2)配置管理范圍
開發(fā)者應(yīng)提供產(chǎn)品配置項(xiàng)列表,并說明配置項(xiàng)的開發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容:
a)產(chǎn)品及其組成部分、安全保障要求的評估證據(jù);
b)實(shí)現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。
3)交付程序
開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品,并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時,交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。
4)開發(fā)安全
開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中,為保護(hù)產(chǎn)品設(shè)計和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。
5)生命周期定義
開發(fā)者應(yīng)建立一個生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制,并提供生命周期定義文檔描述用于開發(fā)和維護(hù)產(chǎn)品的模型。
6)工具和技術(shù)
開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具,并提供開發(fā)工具文檔無歧義地定義實(shí)現(xiàn)中每個語句的含義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的含義。
(4)測試
1)測試覆蓋
開發(fā)者應(yīng)提供測試覆蓋文檔,測試覆蓋描述應(yīng)滿足以下要求:
a)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應(yīng)性;
b)表明上述對應(yīng)性是完備的,并證實(shí)功能規(guī)范中的所有安全功能接口都進(jìn)行了測試。
2)測試深度
開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求:
a)證實(shí)測試文檔中的測試與產(chǎn)品設(shè)計中的安全功能子系統(tǒng)和實(shí)現(xiàn)模塊之間的一致性;
b)證實(shí)產(chǎn)品設(shè)計中的所有安全功能子系統(tǒng)、實(shí)現(xiàn)模塊都已經(jīng)進(jìn)行過測試。
3)功能測試
開發(fā)者應(yīng)測試產(chǎn)品安全功能,將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容:
a)測試計劃,標(biāo)識要執(zhí)行的測試,并描述執(zhí)行每個測試的方案,這些方案包括對于其他測試結(jié)果的任何順序依賴性;
b)預(yù)期的測試結(jié)果,表明測試成功后的預(yù)期輸出;
c)實(shí)際測試結(jié)果和預(yù)期的測試結(jié)果的對比。
4)獨(dú)立測試
開發(fā)者應(yīng)提供一組與其自測安全功能時使用的同等資源,以用于安全功能的抽樣測試。
(5)脆弱性評定
基于已標(biāo)識的潛在脆弱性,產(chǎn)品能抵抗以下強(qiáng)度的攻擊:
a)具有基本攻擊潛力的攻擊者的攻擊;
b)具有中等攻擊潛力的攻擊者的攻擊。
文章來源微信公眾號:計算機(jī)與網(wǎng)絡(luò)安全
ID:Computer-network
以上就是100唯爾(100vr.com)小編為您介紹的關(guān)于防火墻的知識技巧了,學(xué)習(xí)以上的網(wǎng)絡(luò)安全培訓(xùn):防火墻安全技術(shù)要求知識,對于防火墻的幫助都是非常大的,這也是新手學(xué)習(xí)信息技術(shù)所需要注意的地方。如果使用100唯爾還有什么問題可以點(diǎn)擊右側(cè)人工服務(wù),我們會有專業(yè)的人士來為您解答。
本站在轉(zhuǎn)載文章時均注明來源出處,轉(zhuǎn)載目的在于傳遞更多信息,未用于商業(yè)用途。如因本站的文章、圖片等在內(nèi)容、版權(quán)或其它方面存在問題或異議,請與本站聯(lián)系(電話:0592-5551325,郵箱:help@onesoft.com.cn),本站將作妥善處理。
防火墻課程推薦
信息技術(shù)熱門資料
信息技術(shù)技術(shù)文檔
- 1?呼和浩特工務(wù)段卓資東高鐵實(shí)訓(xùn)場建設(shè)項(xiàng)目議價采購二次公告
- 2鐵小微帶你看:大南鐵國家高鐵實(shí)訓(xùn)基地,超牛!
- 3尚義職教中心首屆高鐵專業(yè)學(xué)生赴北京實(shí)習(xí)實(shí)訓(xùn)
- 4技能展示 | 高鐵專業(yè)實(shí)訓(xùn)技能展示
- 5磨礪青春、出彩中職——高鐵專業(yè)實(shí)訓(xùn)風(fēng)采
- 6陜西長城鐵路技師學(xué)院,一所把高鐵實(shí)訓(xùn)搬進(jìn)課堂的高等院校
- 7喜訊!喜訊!1:1仿真高鐵實(shí)訓(xùn)設(shè)備進(jìn)入梧州電子科技學(xué)校
- 8云南工程職業(yè)學(xué)院高鐵實(shí)訓(xùn)基地建成啟用
- 9高鐵實(shí)訓(xùn)課走進(jìn)無錫東站!
- 10職教標(biāo)準(zhǔn)I高等職業(yè)學(xué)校城市軌道交通通信信號技術(shù)教學(xué)標(biāo)準(zhǔn)