GB／T 20281-2020标准规范下载简介

GB／T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价方法

攻击逃逸防护的测评方法如下： a） 测评方法： 1）在产品开启攻击防护策略； 2 使用攻击仿真器，经产品发起经混淆、编码转换等逃逸技术处理过的攻击； 3）验证产品是否能检测并阻断以上攻击行为。 b） 预期结果： 产品能检测并阻断经逃逸技术处理过的攻击行为

e）结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.2.4.8外部系统协同防护

外部系统协同防护的测评方法如下： a 测评方法： 查看产品是否提供接口说明，验证是否支持与其他网络安全产品进行联动 b） 预期结果： 提供接口GB 51249-2017 建筑钢结构防火技术规范.pdf，支持与其他网络安全产品进行联动。 结果判定： ? 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.2.5安全审计、告警与统计

7.2.5.1安全审计

7.2.5.2安全告警

7.2.5.3.1网络流量统计

网络流量统计的测评方法如下： a）测评方法： 1）在不同时间段向产品发送包含多个IP地址、多种协议的混合流量，尝试按IP地址、时间 段和协议类型等条件或以上条件组合对网络流量进行统计； 2）验证是否能实时或者以报表形式输出统计结果 b） 预期结果： 1）产品能按IP地址、时间段和协议类型等条件或以上条件组合对网络流量进行统计； 2）产品能实时或者以报表形式输出统计结果。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.2.5.3.2应用流量统计

应用流量统计的测评方法如下： a） 测评方法： 1）在不同时间段向产品发送包含多个IP地址、多种应用的混合流量，尝试按IP地址、时 段和协议类型等条件或以上条件组合对应用流量进行统计； 2） 验证是否能以报表形式输出统计结果； 3） 验证是否支持不同时间段统计结果对比 b） 预期结果： 1）产品能按IP地址、时间段和应用类型等条件或以上条件组合对应用流量进行统计； 2）产品能以报表形式输出统计结果； 3） 支持不同时间段统计结果的比对。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.3.1身份识别与鉴别

身份识别与鉴别的测评方法如下： 测评方法： 1）测试产品是否对其用户进行唯一性标识，如不允许创建重名用户； 2） 测试产品对于用户鉴别信息的存储和传输过程中，采取何种措施对其保密性和完整性进 行保护； 3） 尝试连续多次失败登录产品，触发产品的登录失败处理功能，检查产品采用何种机制防止 用户进一步进行尝试： 4 产品登录后，在超时时间内无任何操作，查看产品是否自动退出： 5） 若产品采用口令鉴别机制，测试产品是否提供了口令复杂度校验机制，是否不充许用户设 置弱口令，如空口令、纯数字等； 6） 产品存在默认口令时，检查产品是否提示用户对默认口令进行修改； 7）查看产品本地和远程管理是否支持双因子身份鉴别。 b） 预期结果： 1 产品确保在管理员进行操作之前，对管理员、主机和用户等进行唯一的身份识别： 2） 产品支持非明文的远程管理会话，明文的远程管理方式能关闭： 3） 输人错误口令达到设定的最大失败次数后，产品终止可信主机或用户建立会话的过程，并 对该失败用户做禁止访问处理； 4 产品登录后，在超时时间内无任何操作，产品自动退出； 5 管理员需通过口令验证等身份鉴别措施，并对口令强度具有要求； 6） 产品存在默认口令时，产品能提示用户对默认口令进行修改； 7） 产品支持双因子鉴别。 C 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

管理能力的测评方法如下：

a 测评方法： 1）验证产品是否向授权管理员提供设置和修改安全管理参数的功能； 验证产品是否向授权管理员提供设置、查询和修改各种安全策略的功能； 验证产品是否向授权管理员提供管理审计日志的功能； 4） 验证产品是否支持自身系统以及各种特征库的升级； 5） 验证产品是否支持从NTP服务器上同步系统时间； 验证产品是否支持将日志、告警等信息以SYSYLOG协议发送至日志服务器； 7 验证产品是否区分管理员角色，是否能划分为系统管理员、安全操作员和安全审计员，且 三类管理员角色权限相互制约； 8） 验证产品是否向授权管理员提供策略有效性检测功能， b 预期结果： 产品能向授权管理员提供设置和修改安全管理参数的功能； 2 产品能向授权管理员提供设置、查询和修改各种安全策略的功能； 3） 产品能向授权管理员提供管理审计日志的功能； 4） 产品能支持自身系统以及各种特征库的升级； 5）产品能支持从NTP服务器同步系统时间； 6） 产品能支持将日志、告警等信息以SYSYLOG协议发送至日志服务器； 7）产品能区分管理员角色，能划分为系统管理员、安全操作员和安全审计员，且三类管理员 角色权限相互制约； 8）产品能向授权管理员提供策略有效性检查功能。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

管理方式的测评方法如下：

管理方式的测评方法如下：

）测评方法： 1 验证产品是否支持通过console端口进行本地管理； 验证产品是否支持通过网络接口进行远程管理； 3 验证产品在远程管理过程中，管理端与产品之间的所有通信数据是否为非明文传输； 验证产品是否支持通过SNMP协议进行监控和管理； 5 验证产品是否具备独立的管理接口，是否与业务接口分离； 6） 验证产品是否支持集中管理，是否能通过集中管理平台实现监控运行状态、下发安全策 略、升级系统版本、升级特征库版本。 b） 预期结果： 1）产品支持通过console端口进行本地管理； 2） 产品支持通过网络接口进行远程管理，并能限定进行远程管理的IP、MAC地址； 3） 产品在远程管理过程中，管理端与产品之间的所有通信数据为非明文传输； 4） 产品支持通过SNMP协议进行监控和管理； 5） 产品具备独立的管理接口，并能与业务接口分离，同时能关闭业务接口上的管理服务； 6） 产品支持集中管理，并通过集中管理平台实现统一监控运行状态、统一下发安全策略、统 一升级系统版本、统一升级特征库版本。 ）结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.3.5 安全支撑系统

安全支撑系统的测评方法如下： a）测评方法： 1） 查看产品文档，并验证产品的支撑系统是否进行了必要的裁剪，是否不提供多余的组件或 网络服务； 2） 重启产品，验证安全策略和日志信息是否不丢失； 3）对产品进行安全性测试，验证是否不含已知的中、高风险安全漏洞。 b） 预期结果： 1） 产品支撑系统进行了必要的裁剪，不提供多余的组件或网络服务： 2） 重启过程中，安全策略和日志信息不丢失； 3） 产品不含已知中、高风险安全漏洞。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.4.1.1网络层吞吐量

网络层吞吐量的测评方法如下： a）测评方法： 1） 使用性能测试仪连接产品的接口，测试产品一对相应速率的端口在不去包情况下，双向 UDP协议（分别在64字节、512字节和1518字节条件下）的吞吐量； 2）测试高性能的万兆产品在不丢包情况下，整机双向UDP协议（1518字节）的吞吐量。 b）预期结果：

网络层吞吐量不低于6.3.1.1的相应要求 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。

7.4.1.2混合应用层吞叶量

混合应用层吞吐量的测评方法如下： a）测评方法： 1）开启产品应用攻击防护功能，使用性能测试仪构造混合应用层流量（流量参考模型如下 HTTPText,20%;HTTPAudio，10%；HTTPVideo,11%;P2P,12%;SMB,8% SMTP，12%；POP3，12%；FTP，10%；SQL92，5%），连接产品的接口，测试产品在不丢包 且无误拦截情况下，混合应用层数据的吞吐量； 2）测试高性能的万兆产品在不丢包且无误拦截情况下，整机混合应用层吞吐量。 b）预期结果： 混合应用层吞吐量不低于6.3.1.2的相应要求。 C）结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.4.1.3 HTTP 吞吐量

HTTP吞吐量的测评方法如下： a）测评方法： 1）开启产品WEB攻击防护功能，使用性能测试仪连接产品的接口； 2）测试产品在不丢包且无误拦截情况下，双向HTTP数据的吞吐量。 b) 预期结果： HTTP吞吐量不低于6.3.1.3的相应要求。 C 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。

延迟的测评方法如下： a）测评方法： 1）使用性能测试仪连接产品的接口； 2）测试产品一对相应速率的端口分别在64字节、512字节、1518字节最大网络吞吐量90% 条件下的延迟。 b） 预期结果： 延迟不低于6.3.2的相应要求。 c） 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.4.3.1TCP新建连接速率

TCP新建连接速率的测评方法如下： a）测评方法：

GB/T202812020

1）使用性能测试仪连接产品的接口，测试产品的TCP新建连接速率； 2）测试高性能的万兆产品整机TCP新建连接速率。 b） 预期结果： TCP新建连接速率不低于6.3.3.1的相应要求。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.4.3.2HTTP请求速率

HTTP请求速率的测评方法如下： a）测评方法： 1）使用性能测试仪连接产品的接口； 2）测试产品的HTTP请求速率。 b） 预期结果： HTTP请求速率不低于6.3.3.2的相应要求。 C 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。

7.4.3.3SOL请求速率

数据库请求速率的测评方法如下： a）测评方法： 1）使用性能测试仪连接产品的接口； 2）测试产品的SQL请求速率。 b）预期结果： SQL请求速率不低于6.3.3.3的相应要求， C 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.4.4.1TCP并发连接数

TCP并发连接数的测评方法如下： a）测评方法： 1）使用性能测试仪连接产品的接口，测试产品的TCP并发连接数； 2）测试高性能的万兆产品整机TCP并发连接数。 b）预期结果： TCP并发连接数不低于6.3.4.1的相应要求 C) 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符

.4.4.2HTTP并发连接数

HTTP并发连接数的测评方法如下： a）测评方法： 1）使用性能测试仪连接产品的接口：

2）测试产品的HTTP并发连接数， b） 预期结果： HTTP并发连接数不低于6.3.4.2的相应要求。 ) 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.4.4.3SOL并发连接数

SQL并发连接数的测评方法如下： a）测评方法： 1）使用性能测试仪连接产品的接口； 2）测试产品的SQL并发连接数。 b 预期结果： SQL并发连接数不低于6.3.4.3的相应要求。 ） 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。

7.5.1.1安全架构

安全架构的测评方法如下： a） 测评方法： 检查开发者提供的安全架构证据，并检查开发者提供的信息是否满足证据的内容和形式的所 有要求： 1）与产品设计文档中对安全功能的描述范围是否相一致； 2）是否充分描述产品采取的自我保护、不可旁路的安全机制。 b 预期结果： 开发者提供的信息应满足6.4.1.1中所述的要求。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5. 1.2功能规范

功能规范的测评方法如下： a）测评方法： 检查开发者提供的功能规范证据，并检查开发者提供的信息是否满足证据的内容和形式的所 有要求： 1 是否清晰描述6.1、6.2中定义的产品安全功能； 2） 是否描述产品所有安全功能接口的目的、使用方法及相关参数： 3） 描述安全功能实施过程中，是否描述与安全功能接口相关的所有行为； 4）是否描述可能由安全功能接口的调用而引起的所有直接错误消息 b） 预期结果： 开发者提供的信息应满足6.4.1.2中所述的要求。 c 结果判定：

功能规范的测评方法如下： 测评方法： 检查开发者提供的功能规范证据，并检查开发者提供的信息是否满足证据的内容和形式的所 有要求： 1）是否清晰描述6.1、6.2中定义的产品安全功能； 2）是否描述产品所有安全功能接口的目的、使用方法及相关参数： 3）描述安全功能实施过程中，是否描述与安全功能接口相关的所有行为； 4）是否描述可能由安全功能接口的调用而引起的所有直接错误消息 b）预期结果： 开发者提供的信息应满足6.4.1.2中所述的要求。 C）结果判定：

实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.1.3 产品设计

产品设计的测评方法如下： a） 测评方法： 检查开发者提供的产品设计证据，并检查开发者提供的信息是否满足证据的内容和形式的所 有要求： 1）是否根据子系统描述产品结构，是否标识和描述产品安全功能的所有子系统，是否描述安 全功能所有子系统间的相互作用； 2） 提供的对应关系是否能证实设计中描述的所有行为映射到调用的安全功能接口； 3） 是否根据实现模块描述安全功能，是否描述所有实现模块的安全功能要求相关接口、接口 的返回值、与其他模块间的相互作用及调用的接口； 4）是否提供实现模块和子系统间的对应关系。 b）预期结果： 开发者提供的信息应满足6.4.1.3中所述的要求。 C 结果判定： 实际测评结果与相关预期结果 定为不符合

7.5.1.4实现表示

实现表示的测评方法如下： a）测评方法： 检查开发者提供的实现表示证据，并检查开发者提供的信息是否满足证据的内容和形式的所 有要求： 1）是否通过软件代码、设计数据等实例详细定义产品安全功能； 2）是否提供实现表示与产品设计描述间的对应关系。 b） 预期结果： 开发者提供的信息应满足6.4.1.4中所述的要求。 C 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.2.1操作用户指南

操作用户指南的测评方法如下： a）测评方法： 检查开发者提供的操作用户指南证据，并检查开发者提供的信息是否满足证据的内容和形式 的所有要求： 1）是否描述用户能访问的功能和特权（包含适当的警示信息）； 2大 是否描述如何以安全的方式使用产品提供的可用接口，是否描述产品安全功能及接口的 用户操作方法（包括配置参数的安全值）； 3） 是否标识和描述产品运行的所有可能状态，包括操作导致的失败或者操作性错误； 4）是否描述实现产品安全目的必需执行的安全策略。 b）预期结果：

开发者提供的信息应满足6.4.2.1中所述的要求 c）结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。

7.5.2.2准备程序

用准备程序的测评方法如下： a）测评方法： 检查开发者提供的准备程序证据，并检查开发者提供的信息是否满足证据的内容和形式的所 有要求： 1）是否描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤； 2）是否描述安全安装产品及其运行环境必需的所有步骤。 b） 预期结果： 开发者提供的信息应满足6.4.2.2中所述的要求 C） 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。

7.5.3生命周期支持

7.5.3. 1配置管理能力

配置管理能力的测评方法如下： a）测评方法： 检查开发者提供的配置管理能力证据，并检查开发者提供的信息是否满足内容和形式的所有 要求： 1）检查开发者是否为不同版本的产品提供唯一的标识； 2） 现场检查配置管理系统是否对所有的配置项作出唯一的标识，且是否对配置项进行了维护； 检查开发者提供的配置管理文档，是否描述了对配置项进行唯一标识的方法； 4） 现场检查是否能通过自动化配置管理系统支持产品的生成，是否仅通过自动化措施对配 置项进行授权变更； 5） 检查配置管理计划是否描述了用来接受修改过的或新建的作为产品组成部分的配置项的 程序；检查配置管理计划是否描述如何使用配置管理系统开发产品，现场核查活动是否与 计划一致。 b） 预期结果： 开发者提供的信息和现场活动证据内容应满足6.4.3.1中所述的要求。 C）结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.3.2配置管理范围

配置管理范围的测评方法如下： 测评方法： 检查开发者提供的配置管理范围证据，并检查开发者提供的信息是否满足内容和形式的所有 要求： 1）检查开发者提供的配置项列表是否包含产品、安全保障要求的评估证据和产品的组成部 分及相应的开发者：

2）检查开发者提供的配置项列表是否包含实现 预期结果： 开发者提供的信息和现场活动证据内容应满足6.4.3.2中所述的要求， 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.3.3交付程序

交付程序的测评方法如下： a）测评方法： 检查开发者提供的交付程序证据，并检查开发者提供的信息是否满足内容和形式的所有要求 1）现场检查开发者是否使用一定的交付程序交付产品； 2）检查开发者是否使用文档描述交付过程，文档中是否包含以下内容：在给用户方交付系统 的各版本时，为维护安全所必需的所有程序。 b） 预期结果： 开发者提供的信息和现场活动证据内容应满足6.4.3.3中所述的要求， C 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.3.4开发安全

开发安全的测评方法如下： a）测评方法： 检查开发者提供的开发安全证据，并检查开发者提供的信息是否满足内容和形式的所有要求： 1）检查开发者提供的开发安全文档，该文档是否描述在系统的开发环境中，为保护系统设计 和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施； 2） 现场检查产品的开发环境，开发者是否使用了物理的、程序的、人员的和其他方面的安全 措施保证产品设计和实现的保密性和完整性，这些安全措施是否得到了有效地执行。 b 预期结果： 开发者提供的信息和现场活动证据内容应满足6.4.3.4中所述的要求。 C 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.3.5生命周期定义

生命周期定义的测评方法如下： a）测评方法： 检查开发者提供的生命周期定义证据，并检查开发者提供的信息是否满足内容和形式的所有要求： 1）现场检查开发者是否使用生命周期模型对产品的开发和维护进行的必要控制； 2）检查开发者提供生命周期定义文档是否描述了用于开发和维护产品的模型。 b） 预期结果： 开发者提供的信息和现场活动证据内容应满足6.4.3.5中所述的要求。 C 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.3.6工具和技术

工具和技术的测评方法如下：

a）测评方法： 检查开发者提供的工具和技术证据，并检查开发者提供的信息是否满足内容和形式的所有要求： 1）现场检查开发者是否明确定义用于开发产品的工具； 2）是否提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的 含义。 b）预期结果： 开发者提供的信息和现场活动证据内容应满足6.4.3.6中所述的要求。 C）结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.4.1测试覆盖

测试覆盖的测评方法如下： a 测评方法： 检查开发提供的测试覆盖证据，并检查开发者提供的信息是否满足证据的内容和形式的所有 要求： 1）检查开发者提供的测试覆盖文档，在测试覆盖证据中，是否表明测试文档中所标识的测试 与功能规范中所描述的产品的安全功能是对应的； 2）检查开发者提供的测试覆盖分析结果，是否表明功能规范中的所有安全功能接口都进行 了测试。 b） 预期结果： 开发者提供的信息应满足6.4.4.1中所述的要求 C 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.4.2测试深度

测试深度的测评方法如下： a 测评方法： 检查开发者提供的测试深度证据，并检查开发者提供的信息是否满足证据的内容和形式的所 有要求： 1）检查开发者提供的测试深度分析，是否说明了测试文档中所标识的对安全功能的测试，并 足以表明与产品设计中的安全功能子系统和实现模块之间的一致性； 2）是否能证实所有安全功能子系统、实现模块都已经进行过测试。 b）预期结果： 开发者提供的信息应满足6.4.4.2中所述的要求 c） 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.4.3功能测试

功能测试的测评方法如下： a）测评方法： 检查开发者提供的功能测试证据，并检查开发者提供的信息是否满足内容和形式的所有要求

1）检查开发者提供的测试文档，是否包括测试计划、预期的测试结果和实际测试结果，检查 测试计划是否标识了要测试的安全功能，是否描述了每个安全功能的测试方案； 2） 检查期望的测试结果是否表明测试成功后的预期输出； 3）检查实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。 b）预期结果： 开发者提供的信息应满足6.4.4.3中所述的要求。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

7.5.4.4独立测试

独立测试的测评方法如下： a）测评方法： 检查开发者提供的测试集合是否与其自测系统功能时使用的测试集合相一致，以用于安全功 能的抽样测试，并检查开发者提供的资源是否满足内容和形式的所有要求 b） 预期结果： 开发者提供的信息应满足6.4.4.4中所述的要求。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

脆弱性评定的测评方法如下： a）测评方法： 1 从用户可能破坏安全策略的明显途径出发，按照安全机制定义的安全强度级别，对产品进 行脆弱性分析； 2） 判断产品是否能抵抗基本型攻击； 3）判断产品是否能抵抗中等型型攻击 b） 预期结果： 1）渗透性测试结果应表明产品能抵抗基本型攻击； 2）渗透性测试结果应表明产品能抵抗中等型攻击。 结果判定： 实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

GB/T 20281—2020

附录A （规范性附录） 防火墙分类及安全技术要求等级划分

根据防欠墙分类分别列出 数据库防火墙、主机型防火墙安全技 术要求的条款DBJ04／T 385-2019 建筑隔震橡胶支座质量要求和检验标准，并明确了各类防火墙

，1列出了网络型防火墙安全技术要求的等级划分

GB/T20281—2020表A.2（续）安全技术要求基本级对应章条号增强级对应章条号身份标识与鉴别6.2.1 a)~e)6.2.1管理能力6.2.2 a)~f)6.2.2自身安全管理审计6.2.36.2.3要求管理方式6.2.4 a)~d)6.2.4安全支撑系统6.2.56.2.5吞吐量HTTP吞吐量6.3.1.36.3.1.3性能要求连接速率HTTP请求速率6.3.3.26.3.3.2并发连接数HTTP并发连接数6.3.4.26.3.4.2安全架构6.4.1.16.4.1.1功能规范6.4.1.26.4.1.2开发产品设计6.4.1.3 a),b)6.4.1.3实现表示6.4.1.4操作用户指南6.4.2.16.4.2.1指导性文档准备程序6.4.2.26.4.2.2配置管理能力6.4.3.1 a) ~c)6.4.3.1配置管理范围6.4.3.2 a)6.4.3.2安全保障生命周期交付程序6.4.3.36.4.3.3要求支持开发安全6.4.3.4生命周期定义6.4.3.5工具和技术一6.4.3.6测试覆盖6.4.4.1 a)6.4.4.1测试深度6.4.4.2测试功能测试6.4.4.36.4.4.3独立测试6.4.4.46.4.4.4脆弱性评定6.4.5 a)6.4.5 b)注：“一”表示不适用。A.4数据库防火墙表A.3列出了数据库防火墙安全技术要求的等级划分45

GB/T 20281—2020

GB/T20281—2020附录B（规范性附录）防火墙分类及测评方法等级划分B.1概述按照附录A中网络型防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙的安全技术要求，分别列出了对应测评方法的条款，B.2网络型防火墙表B.1列出了网络型防火墙测评方法的等级划分。表B.1网络型防火墙测评方法等级划分表测评方法基本级对应章条号增强级对应章条号部署模式7.2.1.1 a) 1)2)7.2.1.1 a) 1),2)静态路由7.2.1.2.1 a)7.2.1.2.1 a)路由策略路由7.2.1.2.2a)1)~3)7.2.1.2.2 a)动态路由一7.2.1.2.3 a)兀余部署一7.2.1.3.1 a)高可用性负载均衡7.2.1.3.2 a)组网与部署虚拟系统7.2.1.4.1 a)7.2.1.4.1 a)设备虚拟化虚拟化部署7.2.1.4.2 a)7.2.1.4.2 a)支持IPv6网络环境7.2.1.5.1 a)7.2.1.5.1 a)协议一致性7.2.1.5.2 a)7.2.1.5.2 a)IPv6支持协议健壮性7.2.1.5.3 a)7.2.1.5.3 a)安全功能支持IPv6过渡网络环境7.2.1.5.4 a)7.2.1.5.4 a)测评包过滤7,2.2.1.1 a) 1)~4),6),7)7.2.2.1.1 a)网络地址转换7.2.2.1.2a)1)~3)7.2.2.1.2 a)访问控制状态检测7.2.2.1.3 a)7.2.2.1.3 a)网络层控制动态开放端口7.2.2.1.4 a) 1)7.2.2.1.4 a)IP/MAC地址绑定7.2.2.1.5 a)7.2.2.1.5 a)带宽管理7.2.2.2.1 a) 1)7.2.2.2.1 a)流量管理连接数控制7.2.2.2.2 a)7.2.2.2.2 a)会话管理7.2.2.2.3 a)7.2.2.2.3 a)用户管控一7.2.3.1 a)应用类型控制应用层控制7.2.3.2 a)WEB应用一7.2.3.3.1a)1)~4),7)应用内容控制其他应用7.2.3.3.3 a)49GAG

XJJ 117-2021 现浇混凝土夹芯保温系统应用技术标准.pdfGB/T 20281—2020

GB/T 20281—2020表B.2（续）测评方法基本级对应章条号增强级对应章条号身份标识与鉴别7.3.1a)1)~5)7.3.1 a)管理能力7.3.2 a) 1)~6)7.3.2 a)自身安全管理审计7.3.3 a)7.3.3 a)测评管理方式7.3.4 a) 1)~4)7.3.4 a)安全支撑系统7.3.5 a)7.3.5 a)吞吐量HTTP吞吐量7.4.1.3 a)7.4.1.3 a)性能测评连接速率HTTP请求速率7.4.3.2 a)7.4.3.2 a)并发连接数HTTP并发连接数7.4.4.2 a)7.4.4.2 a)安全架构7.5.1.1 a)7.5.1.1 a)功能规范7.5.1.2 a)7.5.1.2 a)开发产品设计7.5.1.3 a) 1),2)7.5.1.3 a)实现表示7.5.1.4 a)操作用户指南7.5.2.1 a)7.5.2.1 a)指导性文档准备程序7.5.2.2 a)7.5.2.2 a)配置管理能力7.5.3.1a)1)~3)7.5.3.1 a)配置管理范围7.5.3.2 a) 1)7.5.3.2 a)安全保障生命周期交付程序7.5.3.3 a)7.5.3.3 a)测评支持开发安全一7.5.3.4 a)生命周期定义一7.5.3.5 a)工具和技术一7.5.3.6 a)测试覆盖7.5.4.1 a) 1)7.5.4.1 a)测试深度7.5.4.2 a)测试功能测试7.5.4.3 a)7.5.4.3 a)独立测试7.5.4.4 a)7.5.4.4 a)脆弱性评定7.5.5 a)1)、2)7.5.5 a)1)、3)注：“一"表示不适用。B.4数据库防火墙表B.3列出了数据库防火墙测评方法的等级划分。SAG52