标准规范下载简介
YD/T 3465-2019 应用防护增强型防火墙技术要求.pdfICS 33.040 M16
中华人民共和国工业和信息化部 发布
本标准依据GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利DB37/T 3246-2018 楸树采穗圃建设技术规程,本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:中国移动通信集团有限公司、中国电信集团有限公司、中国联合网络通信集团有 限公司、中兴通讯股份有限公司、华为技术有限公司、新华三技术有限公司 本标准主要起草人:杜海涛、曹一生、栗栗、张峰、彭晋、林兆骥、耿涛、沈军、孙松儿
本标准规定了应用防护增强型防火墙设备的体系结构、基础安全功能要求、检测与响应功能要求, 以及管理功能要求、性能和自身安全性要求等方面的要求。 本标准适用于应用防护增强型防火墙。
术语和定义适用于本文件
综合型的边界网关防护设备,除具备网络地址转换(NAT)、VPN功能、状态检测等传统防 功能之外,还具有应用流量识别、应用层安全防护、用户控制、深度内容检测等特征的防火墙
虚拟化virtualization 将一台物理设备,虚拟成多个逻辑设备,且对每个逻辑设备可以进行动态地资源分配,每个逻辑设 备相互独立,互不影响,并行使用。
YD/T34652019
YD/T34652019
YD/T34652019
5.2应用层安全技术要求
增强型防火墙应支持7层应用控制技术,能够正确识别、控制各种常见应用,包括但不限于F IM类、OA办公应用、数据库应用、ERP应用、软件升级应用、炒股软件、视频应用、代理软件 等。 增强型防火墙应支持对应用的精细化控制,如支持允许IM软件的语音功能但限制文件传输功1
5.2.2入侵防御功能
增强型防火墙应支持入侵防御功能,对网络间传输的报文进行深层检查,通过制订规则和下发相应 的策略,对非法的、不正常的、含攻击行为的报文能实时地告警和拦截。入侵行为包括蠕虫、病毒、木 马、拒绝服务、恶意扫描等。
增强型防火墙应具备用户管理与识别的功能,具体技术要求如下: a)应支持基于用户名/密码的本地认证方式; b)应支持LDAP、Radius等第三方认证服务器对用户身份进行鉴别: c)应支持基于用户/用户组进行访问控制; d)应支持读取第三方认证系统的用户及组织结构制订基于用户的访问控制。
5.2.5恶意软件防护
5.2.6Web攻击防护
增强型防火墙应具备深度内容检测的能力,具体技术要求如下: a)支持SQL注入攻击检测与防护JD14-048-2019标准下载,并能支持base64编码的SQL注入攻击检测与防护; b)支持XSS攻击检测与防护:
增强型防火墙应具备深度内容检测的能力,具体技术要求如下: a)支持SQL注入攻击检测与防护,并能支持base64编码的SQL注入攻击检测与防护 b)支持XSS攻击检测与防护:
YD/T34652019
c)能够支持对常见的Web服务器环境的Webshell的拦截,包含ASPX、ASP、PHP、JSP; d)能够支持对目录遍历的攻击防护; e)能够支持对未授权URL安全限制,能够抵御未经授权的用户强制访问资源; f)应支持HTTP响应报文头出错页面的过滤。
5.2.7智能模块联动
增强型防火墙具备智能联动的能力,具体技术要求如下: a)应支持内部各安全模块之间的有机联动,实现各模块之间的信息关联和安全协同能力; b)支持与外部云端的联动,结合云端威胁情报共享,提高对攻击行为的识别能力; c)支持与外部安全设备如IDS等的联动,提高网络整体防御能力。
GB50313-2013 消防通信指挥系统设计规范5.2.8未知感胁防护
增强型防火墙应支持对未知威胁的检测和防护技术,对于入侵防御和病毒防护无法识别的威胁信息 以将其上传到云端进行行为分析,判断是否存在恶意行为,并根据返回结果进行告警和拦截,具体技 要求如下: a)防火墙应该能够从主要的网络应用协议中(HTTP、FTP、POP3、SMTP、IMAP等)提取未知 文件,并上传到云端进行行为分析: b)云端能够分析的文件类型至少应包括PE文件、OFFICE文件、PDF、SWF、JAR、APK、压缩 文件等; 云端应该能够分析文件运行的详细信息,比如创建、读取和修改文件的操作、对注册表的操作、 网络行为等内容; d 防火墙针对未知威胁检测,应该通过日志等方式进行监控和呈现,能够显示文件的名称、接收 的时间、检测结果,以及威胁的来源和目标等信息。
增强型防火墙应支持完整的虚拟化功能,能够将物理防火墙划分为多个虚拟化的逻辑防火墙,虚拟 防火墙拥有独立的系统资源、管理员、安全策略、用户认证等功能,具体技术要求如下: a)每个虚拟系统都拥有各自的配置、表项以及资源; b)支持创建虚拟管理员,每个管理员可以分配特定的虚拟系统; c)每个管理员都有各自的配置界面,可以独立维护操作设备。