*角色選擇：	學(xué)生教師

當(dāng)前位置：首頁 > 文章資訊 > 信息技術(shù) > 網(wǎng)絡(luò)安全培訓(xùn)：防火墻安全技術(shù)要求

網(wǎng)絡(luò)安全培訓(xùn)：防火墻安全技術(shù)要求

發(fā)表于：2020-11-24

閱讀：295

評論：0

防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件，與殺毒軟件不同的是，防火墻通過各種技術(shù)手段（如規(guī)則設(shè)定），來保護(hù)用戶的計(jì)算機(jī)安全，直接攔截和降低系統(tǒng)受到威脅傷害的幾率，這就是它存在的意義。

對中毒已深的計(jì)算機(jī)來說，防火墻不具備除毒作用，當(dāng)有害程序試圖通過聯(lián)網(wǎng)將信息反饋給病毒制造者時(shí)，將會實(shí)行攔截。（如：盜號***）。反病毒技術(shù)的進(jìn)步對于防火墻的發(fā)展促進(jìn)是非常明顯的，有的防火墻融入了先進(jìn)的“云計(jì)算”，有的防火墻中HIPS能力相當(dāng)成熟，有的防火墻行為分析能力出色，也有的防火墻支持傳統(tǒng)路線，導(dǎo)致了普通用戶看不出實(shí)質(zhì)差別，弄的一頭霧水，今天就讓我們來分析這8款獨(dú)立網(wǎng)絡(luò)防火墻之間的較量。

防火墻是作用于不同安全域之間，具備訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品，主要分為網(wǎng)絡(luò)型防火墻、WEB應(yīng)用防火墻、數(shù)據(jù)庫防火墻、主機(jī)型防火墻或其組合。

防火墻的安全技術(shù)要求分為安全功能要求、自身安全要求、性能要求和安全保障要求四個(gè)大類。其中，安全功能要求對防火墻應(yīng)具備的安全功能提出具體要求，包括組網(wǎng)與部署、網(wǎng)絡(luò)層控制、應(yīng)用層控制、攻擊防護(hù)和安全審計(jì)與分析;自身安全要求針對防火墻的自身安全提出具體的要求，包括身份標(biāo)識與鑒別、管理能力、管理審計(jì)、管理方式和安全支撐系統(tǒng);性能要求則是對防火墻應(yīng)達(dá)到的性能指標(biāo)作出規(guī)定，包括吞吐量、延遲、連接速率和并發(fā)連接數(shù);安全保障要求針對防火墻的生命周期過程提出具體要求，包括開發(fā)、指導(dǎo)性文檔、生命周期支持、測試和脆弱性評定。

1、安全功能要求

（1）組網(wǎng)與部署

1）部署模式

產(chǎn)品應(yīng)支持以下部署模式：

a)透明傳輸模式;

b)路由轉(zhuǎn)發(fā)模式;

c)反向代理模式。

2）路由

① 靜態(tài)路由

產(chǎn)品應(yīng)支持靜態(tài)路由功能，且能配置靜態(tài)路由。

② 策略路由

具有多個(gè)相同屬性網(wǎng)絡(luò)接口(多個(gè)外部網(wǎng)絡(luò)接口、多個(gè)內(nèi)部網(wǎng)絡(luò)接口或多個(gè)DMZ網(wǎng)絡(luò)接口)的產(chǎn)品，應(yīng)支持策略路由功能，包括但不限于：

a)基于源、目的IP策略路由;

b)基于接口的策略路由;

c)基于協(xié)議和端口的策略路由;

d)基于應(yīng)用類型的策略路由;

e)基于多鏈路負(fù)載情況自動(dòng)選擇路由。

③ 動(dòng)態(tài)路由

產(chǎn)品應(yīng)支持動(dòng)態(tài)路由功能，包括RIP、OSPF或BGP中一種或多種動(dòng)態(tài)路由協(xié)議。

3）高可用性

① 冗余部署

產(chǎn)品應(yīng)支持“主-備”、“主-主”或“集群”中的一種或多種冗余部署模式。

② 負(fù)載均衡

產(chǎn)品應(yīng)支持負(fù)載均衡功能，能根據(jù)安全策略將網(wǎng)絡(luò)流量均衡到多臺服務(wù)器上。

4）設(shè)備虛擬化（可選）

① 虛擬系統(tǒng)

若產(chǎn)品支持在邏輯上劃分為多個(gè)虛擬子系統(tǒng)，虛擬子系統(tǒng)間應(yīng)支持隔離和獨(dú)立管理，包括但不限于：

a)對虛擬子系統(tǒng)分別設(shè)置管理員，實(shí)現(xiàn)針對虛擬子系統(tǒng)的管理配置;

b)虛擬子系統(tǒng)能分別維護(hù)路由表、安全策略和日志系統(tǒng);

c)對虛擬子系統(tǒng)的資源使用配額進(jìn)行限制。

② 虛擬化部署

若產(chǎn)品為虛擬化形態(tài)，應(yīng)支持部署于虛擬化平臺，并接受平臺統(tǒng)一管理，包括但不限于：

a)支持部署于一種虛擬化平臺，如VMware ESXi、KVM、Citrix Xenserver和 Hyper-V等;

b)結(jié)合虛擬化平臺實(shí)現(xiàn)產(chǎn)品資源彈性伸縮，根據(jù)虛擬化產(chǎn)品的負(fù)載情況動(dòng)態(tài)調(diào)整資源;

c)結(jié)合虛擬化平臺實(shí)現(xiàn)故障遷移，當(dāng)虛擬化產(chǎn)品出現(xiàn)故障時(shí)能實(shí)現(xiàn)自動(dòng)更新、替換。

5）IPv6支持（可選）

① 支持IPv6網(wǎng)絡(luò)環(huán)境

若產(chǎn)品支持IPv6，應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下正常工作，能有效運(yùn)行其安全功能和自身安全功能。

② 協(xié)議一致性

若產(chǎn)品支持IPv6，應(yīng)滿足IPv6協(xié)議一致性的要求，至少包括IPv6核心協(xié)議、IPv6 DNP協(xié)議、IPv6 Autoconfig協(xié)議和ICMPv6協(xié)議。

③ 協(xié)議健壯性

若產(chǎn)品支持IPv6，應(yīng)滿足IPv6協(xié)議健壯性的要求，抵御IPv6網(wǎng)絡(luò)環(huán)境下畸形協(xié)議報(bào)文攻擊。

④ 支持IPv6過渡網(wǎng)絡(luò)環(huán)境

若產(chǎn)品支持IPv6，應(yīng)支持在以下一種或多種IPv6過渡網(wǎng)絡(luò)環(huán)境下工作：

a)協(xié)議轉(zhuǎn)換，將IPv4和IPv6兩種協(xié)議相互轉(zhuǎn)換;

b)隧道，將IPv6封裝在IPv4中穿越IPv4網(wǎng)絡(luò)，如IPv6 over IPv4、IPv6 to IPv4、ISATAP等。

（2）網(wǎng)絡(luò)層控制

1）訪問控制

① 包過濾

產(chǎn)品的包過濾功能要求如下：

a)安全策略應(yīng)使用最小安全原則，即除非明確允許，否則就禁止;

b)安全策略應(yīng)包含基于源IP地址、目的IP地址的訪問控制;

c)安全策略應(yīng)包含基于源端口、目的端口的訪問控制;

d)安全策略應(yīng)包含基于協(xié)議類型的訪問控制;

e)安全策略應(yīng)包含基于MAC地址的訪問控制;

f)安全策略應(yīng)包含基于時(shí)間的訪問控制;

g)應(yīng)支持用戶自定義的安全策略，安全策略包括MAC地址、IP地址、端口、協(xié)議類型和時(shí)間的部分或全部組合。

② 網(wǎng)絡(luò)地址轉(zhuǎn)換

產(chǎn)品的網(wǎng)絡(luò)地址轉(zhuǎn)換功能要求如下：

a)支持SNAT和DNAT;

b)SNAT應(yīng)實(shí)現(xiàn)“多對一”地址轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡(luò)主機(jī)訪問外部網(wǎng)絡(luò)時(shí)，其源IP地址被轉(zhuǎn)換;

c)DNAT應(yīng)實(shí)現(xiàn)“一對多”地址轉(zhuǎn)換，將DMZ的IP地址/端口映射為外部網(wǎng)絡(luò)合法IP地址/端口，使外部網(wǎng)絡(luò)主機(jī)通過訪問映射地址和端口實(shí)現(xiàn)對DMZ服務(wù)器的訪問;

D)支持動(dòng)態(tài)SNAT技術(shù)，實(shí)現(xiàn)“多對多”的SNAT。

③ 狀態(tài)檢測

產(chǎn)品應(yīng)支持基于狀態(tài)檢測技術(shù)的包過濾功能，具備狀態(tài)檢測能力。

④ 動(dòng)態(tài)開放端口

產(chǎn)品應(yīng)支持協(xié)議的動(dòng)態(tài)端口開放，包括但不限于：

a)FTP協(xié)議;

b)H.323等音視頻協(xié)議。

⑤ IP/MAC地址綁定

產(chǎn)品應(yīng)支持自動(dòng)或手工綁定IP/MAC地址，當(dāng)主機(jī)的IP地址、MAC地址與IP/MAC綁定表中不一致時(shí)，阻止其流量通過。

2）流量管理

① 帶寬管理

產(chǎn)品應(yīng)支持帶寬管理功能，能根據(jù)策略調(diào)整客戶端占用的帶寬，包括但不限于：

a)根據(jù)源IP、目的IP、應(yīng)用類型和時(shí)間段的流量速率或總額進(jìn)行限制;

b)根據(jù)源IP、目的IP、應(yīng)用類型和時(shí)間段設(shè)置保障帶寬;

c)在網(wǎng)絡(luò)空閑時(shí)自動(dòng)解除流量限制，并在總帶寬占用率超過閾值時(shí)自動(dòng)啟用限制。

② 連接數(shù)控制

產(chǎn)品應(yīng)支持限制單IP的最大并發(fā)會話數(shù)和新建連接速率，防止大量非法連接產(chǎn)生時(shí)影響網(wǎng)絡(luò)性能。

③ 會話管理

在會話處于非活躍狀態(tài)一定時(shí)間或會話結(jié)束后，產(chǎn)品應(yīng)終止會話。

（3）應(yīng)用層控制

1）用戶管控

產(chǎn)品應(yīng)支持基于用戶認(rèn)證的網(wǎng)絡(luò)訪問控制功能，包括但不限于：

a)本地用戶認(rèn)證方式;

b)結(jié)合第三方認(rèn)證系統(tǒng)，如基于Radius、LDAP服務(wù)器的認(rèn)證方式。

2）應(yīng)用類型控制

產(chǎn)品應(yīng)支持根據(jù)應(yīng)用特征識別并控制各種應(yīng)用類型，包括：

a)HTTP協(xié)議;

b)數(shù)據(jù)庫協(xié)議;

c)FTP、TELNET、SMTP、POP3和IMAP等常見協(xié)議;

d)即時(shí)聊天類、P2P類、網(wǎng)絡(luò)流媒體類、網(wǎng)絡(luò)游戲、股票交易類等應(yīng)用;

e)逃逸或隧道加密特點(diǎn)的應(yīng)用，如加密代理類應(yīng)用;

f)自定義應(yīng)用。

3）應(yīng)用內(nèi)容控制

① WEB應(yīng)用

產(chǎn)品應(yīng)支持基于以下內(nèi)容對WEB應(yīng)用的訪問進(jìn)行控制，包括但不限于：

a)URL網(wǎng)址，并具備分類網(wǎng)址庫;

b)HTTP傳輸內(nèi)容的關(guān)鍵字;

c)HTTP請求方式，包括GET、POST、PUT、HEAD等;

d)HTTP請求文件類型;

e)HTTP協(xié)議頭中各字段長度，包括general-header、request-header、response-header等;

f)HTTP上傳文件類型;

g)HTTP請求頻率;

h)HTTP返回的響應(yīng)內(nèi)容，如服務(wù)器返回的出錯(cuò)信息等;

i) 支持HTTPS流量解密。

② 數(shù)據(jù)庫應(yīng)用

產(chǎn)品應(yīng)支持基于以下內(nèi)容對數(shù)據(jù)庫的訪問進(jìn)行控制，包括但不限于：

a)訪問數(shù)據(jù)庫的應(yīng)用程序、運(yùn)維工具;

b)數(shù)據(jù)庫用戶名、數(shù)據(jù)庫名、數(shù)據(jù)表名和數(shù)據(jù)字段名;

c)SQL語句關(guān)鍵字、數(shù)據(jù)庫返回內(nèi)容關(guān)鍵字;

d)影響行數(shù)、返回行數(shù)。

③ 其他應(yīng)用

產(chǎn)品應(yīng)支持基于以下內(nèi)容對FTP、TELNET、SMTP、POP3和IMAP等應(yīng)用進(jìn)行控制，包括但不限于：

a)傳輸文件類型;

b)傳輸內(nèi)容，如協(xié)議命令或關(guān)鍵字。

（4）攻擊防護(hù)

1）拒絕服務(wù)攻擊防護(hù)

產(chǎn)品具備特征庫，應(yīng)支持拒絕服務(wù)攻擊防護(hù)功能，包括但不限于：

a)ICMP Flood攻擊防護(hù);

b)UDP Flood攻擊防護(hù);

c)SYN Flood攻擊防護(hù);

d)TearDrop攻擊防護(hù);

e)Land攻擊防護(hù);

f)Ping of Death攻擊防護(hù);

g)CC攻擊防護(hù)。

2）WEB攻擊防護(hù)

產(chǎn)品具備特征庫，應(yīng)支持 WEB攻擊防護(hù)功能，包括但不限于：

a)SQL注入攻擊防護(hù);

b)XSS攻擊防護(hù);

c) 第三方組件漏洞攻擊防護(hù);

d) 目錄遍歷攻擊防護(hù);

e)Cookie注入攻擊防護(hù);

f)CSRF攻擊防護(hù);

g) 文件包含攻擊防護(hù);

h) 盜鏈防護(hù);

i)OS命令注入攻擊防護(hù);

j)WEBshell識別和攔截;

k) 反序列化攻擊防護(hù)。

3）數(shù)據(jù)庫攻擊防護(hù)

產(chǎn)品具備特征庫，應(yīng)支持?jǐn)?shù)據(jù)庫攻擊防護(hù)功能，包括但不限于：

a) 數(shù)據(jù)庫漏洞攻擊防護(hù);

b)異常SQL語句阻斷;

c) 數(shù)據(jù)庫拖庫攻擊防護(hù);

d) 數(shù)據(jù)庫撞庫攻擊防護(hù)。

4）惡意代碼防護(hù)

產(chǎn)品具備特征庫，應(yīng)支持惡意代碼防護(hù)功能，包括但不限于：

a)能攔截典型的木馬攻擊行為;

b) 檢測并攔截被HTTP網(wǎng)頁和電子郵件等攜帶的惡意代碼。

5）其他應(yīng)用攻擊防護(hù)

產(chǎn)品具備特征庫，應(yīng)支持防護(hù)來自應(yīng)用層的其他攻擊，包括但不限于：

a)操作系統(tǒng)類漏洞攻擊防護(hù);

b)中間件類漏洞攻擊防護(hù);

c)控件類漏洞攻擊防護(hù)。

6）自動(dòng)化工具威脅防護(hù)

產(chǎn)品具備特征庫，應(yīng)支持防護(hù)自動(dòng)化工具發(fā)起的攻擊，包括但不限于：

a)網(wǎng)絡(luò)掃描行為防護(hù);

b)應(yīng)用掃描行為防護(hù);

c)漏洞利用工具防護(hù)。

7）攻擊逃逸防護(hù)

產(chǎn)品應(yīng)支持檢測并阻斷經(jīng)逃逸技術(shù)處理過的攻擊行為。

8）外部系統(tǒng)協(xié)同防護(hù)

產(chǎn)品應(yīng)提供聯(lián)動(dòng)接口，能通過接口與其他網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行聯(lián)動(dòng)，如執(zhí)行其他網(wǎng)絡(luò)安全產(chǎn)品下發(fā)的安全策略等。

（5）安全審計(jì)、告警與統(tǒng)計(jì)

1）安全審計(jì)

產(chǎn)品應(yīng)支持安全審計(jì)功能，包括但不限于：

a)記錄事件類型：

① 被產(chǎn)品安全策略匹配的訪問請求;

② 檢測到的攻擊行為。

b)日志內(nèi)容：

① 事件發(fā)生的日期和時(shí)間;

② 事件發(fā)生的主體、客體和描述，其中數(shù)據(jù)包日志包括協(xié)議類型、源地址、目標(biāo)地址、源端口和目標(biāo)端口等;

③ 攻擊事件的描述。

c)日志管理：

① 僅允許授權(quán)管理員訪問日志，并提供日志查閱、導(dǎo)出等功能;

② 能對審計(jì)事件按日期、時(shí)間、主體、客體等條件查詢;

③ 日志存儲于掉電非易失性存儲介質(zhì)中;

④ 日志存儲周期設(shè)定不小于六個(gè)月;

⑤ 存儲空間達(dá)到閾值時(shí)，能通知授權(quán)管理員，并確保審計(jì)功能的正常運(yùn)行;

⑥ 日志支持自動(dòng)化備份至其他存儲設(shè)備。

2）安全告警

產(chǎn)品應(yīng)支持對上述攻擊行為進(jìn)行告警，并能對高頻發(fā)生的相同告警事件進(jìn)行合并告警，避免出現(xiàn)告警風(fēng)暴。告警信息至少包括以下內(nèi)容：

a)事件主體;

b)事件客體;

c)事件描述;

d)危害級別;

e)事件發(fā)生的日期和時(shí)間。

3）統(tǒng)計(jì)

① 網(wǎng)絡(luò)流量統(tǒng)計(jì)

產(chǎn)品應(yīng)支持以圖形化界面展示網(wǎng)絡(luò)流量情況，包括但不限于：

a)按照IP、時(shí)間段和協(xié)議類型等條件或以上條件組合對網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì);

b)實(shí)時(shí)或以報(bào)表形式輸出統(tǒng)計(jì)結(jié)果。

② 應(yīng)用流量統(tǒng)計(jì)

產(chǎn)品應(yīng)支持以圖形化界面展示應(yīng)用流量情況，包括但不限于：

a) 按照IP、時(shí)間段和應(yīng)用類型等條件或以上條件組合對應(yīng)用流量進(jìn)行統(tǒng)計(jì);

b)以報(bào)表形式輸出統(tǒng)計(jì)結(jié)果;

c)對不同時(shí)間段的統(tǒng)計(jì)結(jié)果進(jìn)行比對。

③ 攻擊事件統(tǒng)計(jì)

產(chǎn)品應(yīng)支持以圖形化界面展示攻擊事件情況，包括但不限于：

a)按照攻擊事件類型、IP和時(shí)間段等條件或以上條件組合對攻擊事件進(jìn)行統(tǒng)計(jì);

b)以報(bào)表形式輸出統(tǒng)計(jì)結(jié)果。

2、自身安全要求

（1）身份標(biāo)識與鑒別

產(chǎn)品的身份標(biāo)識與鑒別安全要求包括但不限于：

a)對用戶身份進(jìn)行標(biāo)識和鑒別，身份標(biāo)識具有唯一性;

b)對用戶身份鑒別信息進(jìn)行安全保護(hù)，保障用戶鑒別信息存儲和傳輸過程中的保密性;

c)具有登錄失敗處理功能，如限制連續(xù)的非法登錄嘗試次數(shù)等相關(guān)措施;

d)具有登錄超時(shí)處理功能，當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出;

e) 在采用基于口令的身份鑒別時(shí)，要求對用戶設(shè)置的口令進(jìn)行復(fù)雜度檢查，確保用戶口令滿足一定的復(fù)雜度要求;

f)當(dāng)產(chǎn)品中存在默認(rèn)口令時(shí)，提示用戶對默認(rèn)口令進(jìn)行修改，以減少用戶身份被冒用的風(fēng)險(xiǎn);

g)應(yīng)對授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別。

（2）管理能力

產(chǎn)品的管理能力安全要求包括但不限于：

a)向授權(quán)管理員提供設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)的功能;

b)向授權(quán)管理員提供設(shè)置、查詢和修改各種安全策略的功能;

c)向授權(quán)管理員提供管理審計(jì)日志的功能;

d)支持更新自身系統(tǒng)的能力，包括對軟件系統(tǒng)的升級以及各種特征庫的升級;

e)能從NTP服務(wù)器同步系統(tǒng)時(shí)間;

f)支持通過SYSLOG協(xié)議向日志服務(wù)器同步日志、告警等信息;

g)應(yīng)區(qū)分管理員角色，能劃分為系統(tǒng)管理員、安全操作員和安全審計(jì)員，三類管理員角色權(quán)限能相互制約;

h)提供安全策略有效性檢查功能，如安全策略匹配情況檢測等。

（3）管理審計(jì)

產(chǎn)品的管理審計(jì)安全要求包括但不限于：

a)對用戶賬戶的登錄和注銷、系統(tǒng)啟動(dòng)、重要配置變更、增加/刪除/修改管理員、保存/刪除審計(jì)日志等操作行為進(jìn)行日志記錄;

b)對產(chǎn)品及其模塊的異常狀態(tài)進(jìn)行告警，并記錄日志;

c)日志記錄中包括如下內(nèi)容：事件發(fā)生的日期和時(shí)間，事件的類型，事件主體，事件操作結(jié)果;

d)僅允許授權(quán)管理員訪問日志。

（4）管理方式

產(chǎn)品的管理方式安全要求包括但不限于：

a)支持通過console端口進(jìn)行本地管理;

b)支持通過網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理，并能限定進(jìn)行遠(yuǎn)程管理的IP、MAC地址;

c) 遠(yuǎn)程管理過程中，管理端與產(chǎn)品之間的所有通信數(shù)據(jù)應(yīng)非明文傳輸;

d) 支持SNMP網(wǎng)管協(xié)議方式的監(jiān)控和管理;

e)支持管理接口與業(yè)務(wù)接口分離;

f) 支持集中管理，通過集中管理平臺實(shí)現(xiàn)監(jiān)控運(yùn)行狀態(tài)、下發(fā)安全策略、升級系統(tǒng)版本、升級特征庫版本。

（5）安全支撐系統(tǒng)

產(chǎn)品的支撐系統(tǒng)安全要求包括但不限于：

a)進(jìn)行必要的裁剪，不提供多余的組件或網(wǎng)絡(luò)服務(wù);

b)重啟過程中，安全策略和日志信息不丟失;

c)不含已知中、高風(fēng)險(xiǎn)安全漏洞。

3、性能要求

（1）吞吐量

1）網(wǎng)絡(luò)層吞吐量

硬件產(chǎn)品的網(wǎng)絡(luò)層吞吐量視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下：

a)一對相應(yīng)速率的端口應(yīng)達(dá)到的雙向吞吐率指標(biāo)：

① 對于ⅦⅤ字節(jié)短包，百兆產(chǎn)品不小于線速的20%，千兆和萬兆產(chǎn)品不小于線速的35%;

② 對于512字節(jié)中長包，百兆產(chǎn)品不小于線速的70%，千兆和萬兆產(chǎn)品不小于線速的80%;

③ 對于1518字節(jié)長包，百兆產(chǎn)品不小于線速的90%，千兆和萬兆產(chǎn)品不小于線速的95%;

b) 針對高性能的萬兆產(chǎn)品，對于1518字節(jié)長包，吞吐量至少達(dá)到80Gbit/s。

2）混合應(yīng)用層吞吐量

硬件產(chǎn)品的應(yīng)用層吞吐量視不同速率的產(chǎn)品有所不同，開啟應(yīng)用攻擊防護(hù)功能的情況下，具體指標(biāo)要求如下：

a)百兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于60Mbit/s;

b)千兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于600Mbit/s;

c)萬兆產(chǎn)品混合應(yīng)用層吞吐量應(yīng)不小于5Gbit/s;針對高性能的萬兆產(chǎn)品，整機(jī)混合應(yīng)用層吞吐量至少達(dá)到20Gbit/s。

3）HTTP吞吐量

硬件產(chǎn)品的HTTP吞吐量視不同速率的產(chǎn)品有所不同，開啟WEB攻擊防護(hù)功能的情況下，具體指標(biāo)要求如下：

a)百兆產(chǎn)品應(yīng)用層吞吐量應(yīng)不小于80Mbit/s;

b)千兆產(chǎn)品應(yīng)用層吞吐量應(yīng)不小于800Mbit/s;

c)萬兆產(chǎn)品應(yīng)用層吞吐量應(yīng)不小于6Gbit/s。

（2）延遲

硬件產(chǎn)品的延遲視不同速率的產(chǎn)品有所不同，一對相應(yīng)速率端口的延遲具體指標(biāo)要求如下：

a)對于64字節(jié)短包、512字節(jié)中長包、1518字節(jié)長包，百兆產(chǎn)品的平均延遲不應(yīng)超過500μs;

b)對于64字節(jié)短包、512字節(jié)中長包、1518字節(jié)長包，千兆、萬兆產(chǎn)品的平均延遲不應(yīng)超過90μs。

（3）連接速率

1）TCP新建連接速率

硬件產(chǎn)品的TCP新建連接速率視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下：

a)百兆產(chǎn)品的TCP新建連接速率應(yīng)不小于1500個(gè)/s;

b)千兆產(chǎn)品的TCP新建連接速率應(yīng)不小于5000個(gè)/s;

c)萬兆產(chǎn)品的新建連接數(shù)速率應(yīng)不小于50000個(gè)/s;針對高性能的萬兆產(chǎn)品，整機(jī)新建連接數(shù) 速率應(yīng)不小于250000個(gè)/s。

2）HTTP請求速率

硬件產(chǎn)品的HTTP請求速率視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下：

a)百兆產(chǎn)品的HTTP請求速率應(yīng)不小于800個(gè)/s;

b)千兆產(chǎn)品的HTTP請求速率應(yīng)不小于3000個(gè)/s;

c)萬兆產(chǎn)品的HTTP請求速率應(yīng)不小于5000個(gè)/s。

3）SQL請求速率

硬件產(chǎn)品的SQL請求速率視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下：

a)百兆產(chǎn)品的SQL請求速率應(yīng)不小于2000個(gè)/s;

b)千兆產(chǎn)品的SQL請求速率應(yīng)不小于10000個(gè)/s;

c)萬兆產(chǎn)品的SQL請求速率應(yīng)不小于50000個(gè)/s。

（4）并發(fā)連接數(shù)

1）TCP并發(fā)連接數(shù)

硬件產(chǎn)品的TCP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下：

a)百兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于50000個(gè);

b)千兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于200000個(gè);

c)萬兆產(chǎn)品的并發(fā)連接數(shù)應(yīng)不小于2000000個(gè);針對高性能的萬兆產(chǎn)品，整機(jī)并發(fā)連接數(shù)至少達(dá)到3000000個(gè)。

2）HTTP并發(fā)連接數(shù)

硬件產(chǎn)品的HTTP并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下：

a)百兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于50000個(gè);

b)千兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于200000個(gè);

c)萬兆產(chǎn)品的HTTP并發(fā)連接數(shù)應(yīng)不小于2000000個(gè)。

3）SQL并發(fā)連接數(shù)

硬件產(chǎn)品的SQL并發(fā)連接數(shù)視不同速率的產(chǎn)品有所不同，具體指標(biāo)要求如下：

a)百兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于800個(gè);

b)千兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于2000個(gè);

c)萬兆產(chǎn)品的SQL并發(fā)連接數(shù)應(yīng)不小于4000個(gè)。

4、安全保障要求

（1）開發(fā)

1）安全架構(gòu)

開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：

a)與產(chǎn)品設(shè)計(jì)文檔中對安全功能的描述范圍相一致;

b)充分描述產(chǎn)品采取的自我保護(hù)、不可旁路的安全機(jī)制。

2）功能規(guī)范

開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：

a)根據(jù)產(chǎn)品類型清晰描述1、2中定義的安全功能;

b)標(biāo)識和描述產(chǎn)品所有安全功能接口的目的、使用方法及相關(guān)參數(shù);

c)描述安全功能實(shí)施過程中，與安全功能接口相關(guān)的所有行為;

d)描述可能由安全功能接口的調(diào)用而引起的所有直接錯(cuò)誤消息。

3）產(chǎn)品設(shè)計(jì)

開發(fā)者應(yīng)提供產(chǎn)品設(shè)計(jì)文檔，產(chǎn)品設(shè)計(jì)文檔應(yīng)滿足以下要求：

a)通過子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)，標(biāo)識和描述產(chǎn)品安全功能的所有子系統(tǒng)，并描述子系統(tǒng)間的相互作用;

b)提供子系統(tǒng)和安全功能接口間的對應(yīng)關(guān)系;

c)通過實(shí)現(xiàn)模塊描述安全功能，標(biāo)識和描述實(shí)現(xiàn)模塊的目的、相關(guān)接口及返回值等，并描述實(shí)現(xiàn)模塊間的相互作用及調(diào)用的接口;

d)提供實(shí)現(xiàn)模塊和子系統(tǒng)間的對應(yīng)關(guān)系。

4）實(shí)現(xiàn)表示

開發(fā)者應(yīng)提供產(chǎn)品安全功能的實(shí)現(xiàn)表示，實(shí)現(xiàn)表示應(yīng)滿足以下要求：

a)詳細(xì)定義產(chǎn)品安全功能，包括軟件代碼、設(shè)計(jì)數(shù)據(jù)等實(shí)例;

b)提供實(shí)現(xiàn)表示與產(chǎn)品設(shè)計(jì)描述間的對應(yīng)關(guān)系。

（2）指導(dǎo)性文檔

1）操作用戶指南

開發(fā)者應(yīng)提供明確和合理的操作用戶指南，對每一種用戶角色的描述應(yīng)滿足以下要求：

a)描述用戶能訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?

b)描述產(chǎn)品安全功能及接口的用戶操作方法，包括配置參數(shù)的安全值等;

c)標(biāo)識和描述產(chǎn)品運(yùn)行的所有可能狀態(tài)，包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤;

d)描述實(shí)現(xiàn)產(chǎn)品安全目的必需執(zhí)行的安全策略。

2）準(zhǔn)備程序

開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：

a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟;

b)描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。

（3）生命周期支持

1）配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a)為產(chǎn)品的不同版本提供唯一的標(biāo)識;

b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù)，并進(jìn)行唯一標(biāo)識;

c)提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項(xiàng)的方法;

d)配置管理系統(tǒng)提供自動(dòng)方式來支持產(chǎn)品的生成，通過自動(dòng)化措施確保配置項(xiàng)僅接受授權(quán)變更;

e)配置管理文檔包括一個(gè)配置管理計(jì)劃，描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項(xiàng)的程序。配置管理計(jì)劃描述應(yīng)描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品，開發(fā)者實(shí)施的配置管理應(yīng)與配置管理計(jì)劃相一致。

2）配置管理范圍

開發(fā)者應(yīng)提供產(chǎn)品配置項(xiàng)列表，并說明配置項(xiàng)的開發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容：

a)產(chǎn)品及其組成部分、安全保障要求的評估證據(jù);

b)實(shí)現(xiàn)表示、安全缺陷報(bào)告及其解決狀態(tài)。

3）交付程序

開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時(shí)，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。

4）開發(fā)安全

開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

5）生命周期定義

開發(fā)者應(yīng)建立一個(gè)生命周期模型對產(chǎn)品的開發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔描述用于開發(fā)和維護(hù)產(chǎn)品的模型。

6）工具和技術(shù)

開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實(shí)現(xiàn)中每個(gè)語句的含義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的含義。

（4）測試

1）測試覆蓋

開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求：

a)表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應(yīng)性;

b)表明上述對應(yīng)性是完備的，并證實(shí)功能規(guī)范中的所有安全功能接口都進(jìn)行了測試。

2）測試深度

開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求：

a)證實(shí)測試文檔中的測試與產(chǎn)品設(shè)計(jì)中的安全功能子系統(tǒng)和實(shí)現(xiàn)模塊之間的一致性;

b)證實(shí)產(chǎn)品設(shè)計(jì)中的所有安全功能子系統(tǒng)、實(shí)現(xiàn)模塊都已經(jīng)進(jìn)行過測試。

3）功能測試

開發(fā)者應(yīng)測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：

a)測試計(jì)劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個(gè)測試的方案，這些方案包括對于其他測試結(jié)果的任何順序依賴性;

b)預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出;

c)實(shí)際測試結(jié)果和預(yù)期的測試結(jié)果的對比。

4）獨(dú)立測試

開發(fā)者應(yīng)提供一組與其自測安全功能時(shí)使用的同等資源，以用于安全功能的抽樣測試。

（5）脆弱性評定

基于已標(biāo)識的潛在脆弱性，產(chǎn)品能抵抗以下強(qiáng)度的攻擊：

a)具有基本攻擊潛力的攻擊者的攻擊;

b)具有中等攻擊潛力的攻擊者的攻擊。

文章來源微信公眾號：計(jì)算機(jī)與網(wǎng)絡(luò)安全

ID：Computer-network

以上就是100唯爾(100vr.com)小編為您介紹的關(guān)于防火墻的知識技巧了，學(xué)習(xí)以上的網(wǎng)絡(luò)安全培訓(xùn)：防火墻安全技術(shù)要求知識，對于防火墻的幫助都是非常大的，這也是新手學(xué)習(xí)信息技術(shù)所需要注意的地方。如果使用100唯爾還有什么問題可以點(diǎn)擊右側(cè)人工服務(wù)，我們會有專業(yè)的人士來為您解答。

本站在轉(zhuǎn)載文章時(shí)均注明來源出處，轉(zhuǎn)載目的在于傳遞更多信息，未用于商業(yè)用途。如因本站的文章、圖片等在內(nèi)容、版權(quán)或其它方面存在問題或異議，請與本站聯(lián)系(電話：0592-5551325，郵箱：help@onesoft.com.cn)，本站將作妥善處理。

向客服提問

文章標(biāo)簽：防火墻安全技術(shù)要求網(wǎng)絡(luò)安全培訓(xùn)

上一篇：混合現(xiàn)實(shí)技術(shù)（MR）為人們帶來什么？混合現(xiàn)實(shí)技術(shù)(MR)帶來的醫(yī)學(xué)革命

下一篇：計(jì)算機(jī)二級面臨改革？

贊一個(gè)

踩一下

換一批

防火墻課程推薦

網(wǎng)絡(luò)安全技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)

141426人學(xué)過

￥500/月

數(shù)據(jù)庫基礎(chǔ)

軟件與信息服務(wù)

86681人學(xué)過

￥500/月

綜合布線技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)

143787人學(xué)過

￥500/月

計(jì)算機(jī)組裝與維修

計(jì)算機(jī)與數(shù)碼產(chǎn)品維修

87319人學(xué)過

￥500/月

計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)

137407人學(xué)過

￥500/月

PLC

數(shù)控

發(fā)動(dòng)機(jī)

焊接

電梯

信息技術(shù)

模具專業(yè)

汽修專業(yè)

交通土建

數(shù)控專業(yè)

機(jī)械制造

公共事業(yè)

市場營銷

信息技術(shù)技術(shù)文檔

信息技術(shù)客服中心

王老師

立即交談

林老師

立即交談

更多>>

100VR精品課程推薦

評價(jià)

共0條

發(fā)表評論

0/500字

*發(fā)票類型：	全電普票全電專票
*類別：	個(gè)人單位
*個(gè)人姓名：
*納稅人識別號：
*單位地址：
*電話：
*開戶銀行：
*銀行賬號：

官方客服