标准规范下载简介
Q/GDW 10940-2018 防火墙测试要求.pdf可用的测试工具包括但不限于:可模拟内外网的服务器和客户端终端;可对被测设备实施扫描的漏 洞扫描器;生成网络背景流量的专用网络性能测试仪。只要有利于科学、公正、可重复地得到防火墙的 测试结果,可采取多种测试工具和测试方法对系统进行测试。
包过滤的测试方法与预期结果如下: a) 测试方法: 1) 检查防火墙的缺省安全策略: 2) 配置基予MAC地址的包过滤策略,产生相应的网络会话: 3) 配置基于源IP地址、目的IP地址的包过滤策略,产生相应的网络会话; 4 配置基于源端口、目的端口的包过滤策略,产生相应的网络会话: 5) 配置基于协议类型的包过滤策略,产生相应的网络会话: 6) 配置基于时间的包过滤策略,产生相应的网络会话; 配置用户自定义的包过滤策略,过滤条件是2)~6)过滤条件的部分或全部组合,产生相 应的网络会话: 8 配置一条策略,在规定时间内不产生匹配该策略的访问。 b) 预期结果:测试结果符合5.2.2的要求
状态检测的测试方法与预期结果如下: a) 测试方法: 1)配置启动防火墙状态检测模块: 2 配置包过滤策略JB/T 13690-2019 浇注型母线槽.pdf,允许特定条件的网络会话通过防火墙: 3 产生满足该特定条件的一个完整的网络会话: 4)产生满足该特定条件的网络会话中的不是第一个连接请求SYN包的一个或多个数据包。 b 预期结果:测试结果符合5.2.3的要求。
NAT的测试方法与预期结果如下: a)测试方法: 1)为内部网络用户访问外部网络主机分别设置“多对一”和“多对多”SNAT,检查内部网络 中的主机能否通过防火墙访问外部网络中的主机: 2)为外部网络用户访问DMZ服务器设置“一对多"DNAT,检查外部网络的主机能否通过防火墙 访问DM亿的服务器: 3)在内部网络、外部网络和DMZ内部署协议分析仪,检验数据包在经过防火墙NAT功能前后的 源地址、目的地址和包头信息,来验证防火墙地址转换功能的有效性。 b)预期结果:测试结果符合5.2.4的要求。
D/GDW109402018
D/GDW109402018
流量统计的测试方法与预期结果如下: a)测试方法: 1)配置防火墙流量统计策略,产生相应的网络流量: 2)检查防火墙能否进行流量统计,并如何输出统计结果。 b)预期结果:测试结果符合5.2.5的要求。
3.5公司统一监控系统
公司统一监控系统支持的测试方法与预期结果如下: a)测试方法: 1)配置防火墙Syslog日志外发的相关功能,将Syslog日志发往指定的日志服务器,在日志服 务器上进行抓包: 2) 配置防火墙基于安全增强的SNMP的监控功能:使用SNMP监控工具(可使用厂家自带监控工 具)进行监控;抓包进行分析。 b)预期结果:测试结果符合5.2.6的要求。
NTP支持的测试方法与预期结果如下: a)测试方法: 1)配置防火墙的时间同步功能,配置指定的NTP时间源进行认证;进行时间同步,检查防火 墙的时间是否自动被设置为时间源提供的时间(可选用本地主机时间和网络时间源); 2)检查防火墙是否具备时间源的认证功能。 b)预期结果:测试结果符合5.2.7的要求。
测试方法: 1)查看防火墙本地和远程管理是否必须通过口令鉴别,且口令复杂度及使用周期可配置,口 令是否加密存储于配置文件中; 查看防火墙本地和远程管理是否支持双因子身份鉴别,并对授权管理员设置两种或两种以 上组合的鉴别技术进行身份鉴别: 3 查看防火墙是否确保管理员进行操作之前,对管理员、主机和用户等进行唯一的身份识别: 4 在登录过程中输入错误口令,达到防火墙设定的最大失败次数(如5次)后,查看防火墙 是否能够终止可信主机或用户建立会话的过程,并对该失败用户做禁止访问处理; 5) 查看防火墙是否可通过指定主机IP的方式对防火墙进行远程管理,过协议分析仪查看防火 墙的管理信息是否安全; 检查防火墙的管理权限划分,是否做到权限分离,是否可对每一个规定的授权管理员、可 信主机、主机和用户提供一套唯一的为执行安全策略所必需的安全属性; 查着防火墙的管理方式,是否支持本地管理和远程管理方式,并进行验证;检查防火墙是 否具有独立的管理接口;是否能够关闭业务接口上的管理服务: 8 查看防火墙是否支持在线和离线两种升级方式,并在安全策略开启的情况下进行在线和离 线升级,升级成功后查看安全策略是否仍然有效,查看审计日志是否记录升级操作; 是否文持加 式是否可以关团
Q/GDW109402018
10)查看防火墙的安全管理参数,如页面超时时间、最大登录重试次数、登陆失败阻断间隔等 验证管理员是否能够设置或修改上述参数: 11)查看防火墙授权管理员是否可添加、修改、查询安全策略: 12)查看授权管理员能否根据策略分组,对具备特定条件的策略进行分组: 13)查看授权管理员是否具备管理审计日志的功能: 14)查看授权管理员能否监控防火墙状态和网络数据流状态。 预期结果:测试结果符合5.2.8的要求。
6.3.8IP/MAC绑定
IP/MAC地址绑定的测试方法与预期结果如下: a)测试方法: 1)为防火墙设置IP/MAC地址绑定策略: 2)使用自动绑定或手工绑定功能将内部网络中主机的IP与MAC地址绑定: 3)分别产生正确IP/MAC绑定的会话和盗用IP的会话,检查绑定的有效性 b)预期结果:测试结果符合5.2.9的要求。
a) 测试方法: 根据目标地址参数及出接口配置防火墙静态路由表项,产生相应的网络会话,检查策略路 由的有效性: 2) 两台防火墙均启用动态路由协议OSPF,配置相关参数及邻居信息,相互发布对端路由,检 查防火墙上的区域、邻居等信息是否正确,检查路由学习是否成功: 3 在防火墙上配置RIP相关功能参数的配置,建立邻居,发布路由,检查防火墙获得路由信 息的周期及路由信息是否正确: 4 检查防火墙是否能够根据数据包源IP地址、目的IP地址、网络入接口、传输层接口或数据 包负载内容等参数来设置路由策略; 5) 根据源目标地址、下一跳接口、协议和端口或应用类型等参数配置防火墙策略路由: 6) 产生相应的网络会话,检查策略路由的有效性; 7 在不同的外网链路上产生较大负荷的流量,检查是否能够根据负载情况进行自动选择最优 线路。 b)预期结果:测试结果符合5.2.10的要求。
双机热备的测试方法与预期结果如下: 测试方法: 1) 使用两台防火墙建立双机热备系统(主备模式),使用穴余的心跳线,连续产生正常的网 络会话: 2) 内网测试机长时间ping外部网络测试机,切断主防火墙电源,检查备防火墙是否能够及时 发现故障并接管主防火墙进行工作: 3) 内网测试机长时间ping外部网络测试机,拔掉主防火墙内部网络、外部网络或DMZ相连的 任意网线,检查备防火墙是否能够及时发现故障并接管主防火墙进行工作:
Q/GDW109402018
4)路由模式下,两台防火墙上均配置VRRP,配置双主模式双机热备系统; 5)检查透明模式下,防火墙是否支持STP协议: 6 检查双机热备系统是否支持会话状态的同步,自动或手动进行会话状态同步: 7 检查双机热备系统是否支持配置的同步,自动或手动进行系统、策略的配置同步: 8)将余的心跳线断开,查看双机热备系统是否正常工作,保证网络正常运行。 预期结果:测试结果符合5.2.11的要求。
6.3.11网络适应性
网络适应性的测试方法与预期结果如下: a)测试方法: 1)配置防火墙全部业务接口为路由模式,每个接口上均配置不同网段IP地址,将防火墙接 入测试环境,检查防火墙两端不同网段的主机是否可以相互访问: 2) 配置防火墙全部接口为透明接口,在防火墙两端使用相同网段的主机进行相互访问; 配置防火墙部分接口为路由转发接口、部分接口为透明接口,在防火墙两端分别使用不同 网段的主机通过路由接口进行相互访问,使用相同网段的主机通过透明接口进行相互访问; 4 配置防火墙接口为trunk模式,并配置允许经过的VLANID,接入交换机,使VLANID 相同和不同的数据同时经过防火墙。 b)预期结果:测试结果符合5.2.12的要求
6.3.12深度包检测
会话维持的测试方法与预期结果如下: a)测试方法: 1)在防火墙上配置HTTP或FTP协议的会话维持,打开web页面或FTP,停止任何引起传输的操 作; 2)在未超过设定时间和超过设定时间两个时段,检查防火墙的连接状态。 b)预期结果:测试结果符合5.2.14的要求。
6.3.14动态开放端口
动态开放端口的测试方法与预期结果如下: 测试方法: 1)设置防火墙动态开放端口策略以支持以下应用: 2)内部网络主机通过FTP(包括主动模式和被动模式)访问外部网络,检查防火墙是否能及 时打开FTP数据连接所使用的动态端口,网络会话是否连接正常:
Q/GDW109402018
3 使用支持H.323协议的视频工具(如NetMeeting)在内部网络和外部网络中的用户发起视 频会议,检查防火墙是否能及时打开所使用的动态端口,视频会议是否正常进行: 4)内部网络主机访问外部网络SQL服务器,检查防火墙是否支持SQL*NET数据库协议。 b)预期结果:测试结果符合5.2.15的要求。
6.3.15连接数控制
连接数控制的测试方法与预期结果如下: a)测试方法: 1)配置单个IP的最大并发会话数; 2)从内部网络指定主机向外部网络服务器、或者从外部网络向DMZ区服务器发起大量TCP连接, 使得单个IP连接数超过设定的限制值。 b)预期结果,测试结果符合5.2.16的要求
协同联动的测试方法与预期结果如下: a)测试方法: 1)配置防火墙联动策略,并设定认证方式: 2 外部网络主机向内部网络主机主机发起策略定义为阻断的攻击,检查防火墙是否能及时接 收IDS报警,并拦截该攻击: 3)大量发起策略定义为阻断的攻击,测试防火墙是否因联动而造成拒绝服务。 b)预期结果:测试结果符合5.2.17的要求
用户鉴别的测试方法与预期结果如下: a 测试方法: 1)在防火墙本地添加用户、用户组; 2)配置第三方鉴别服务器,在防火墙上配置用第三方鉴别服务器: 3)配置基于本地鉴别、第三方鉴别服务器的用户访问控制。 b)预期结果:测试结果符合5.2.18的要求。
6. 3. 18 带宽管理
带宽管理的测试方法与预期结果如下: a)测试方法: 1)配置防火墙带宽管理策略,产生相应的网络流量; 2)从内部网络向外部网络发送流量,流量速率在带宽允许的范围内; 3)从内部网络向外部网络发送流量,使流量的速率超出带宽允许的范围 b)预期结果:测试结果符合5.2.19的要求
负载均衡的测试方法与预期结果如下: a)测试方法: 1)设置防火墙负载均衡策略:
负载均衡的测试方法与预期结果如下: a)测试方法: 1)设置防火墙负载均衡策略:
D/GDW109402018
/GDW109402018
2)在外部网络主机上,产生大量访问DMZ中服务器的网络流量: 3)通过协议分析仪或包捕获工具观察网络流量,根据数据包源目标地址和流量大小,检查防 火墙是否成功地实现了负载均衡功能。 b)预期结果:测试结果符合5.2.20的要求。
6.3.20VPN功能
VPN功能的测试方法与预期结果如下: a)测试方法: 1)分别创建防火墙至防火墙、防火墙至客户端的VPN隧道,产生相应的网络会话; 2)检查VPN隧道的加密算法、认证算法等属性; 3)通过协议分析和协议符合性测试工具,测试VPN会话是否符合协议规范且安全。 b)预期结果:测试结果符合5.2.21的要求。
测试方法: 1)模拟纯IPv6网络环境,检测防火墙是否能够支持纯IPv6网络环境,在纯IPv6网络环境下其 安全功能是否能够正常工作; 模拟6over4隧道的网络环境,检测防火墙是否能够支持6over4隧道,在6over4隧道网络环 境下是否能够正常工作: 模拟6to4隧道的网络环境,检测防火墙是否能够支持6to4隧道,在6to4隧道网络环境下是 否能够正常工作; 4 模拟ISATAP隧道的网络环境,检测防火墙是否能够支持ISATAP隧道,在ISATAP隧道网络环 境下是否能够正常工作: 5) 模拟IPv4和IPv6两种协议同时存在的网络环境,检测防火墙是否能够同时支持IPv4和IPv6 两种协议,在IPv4/IPv6双栈网络环境下是否能够正常工作; 6 若防火墙为路由模式,将防火墙与协议一致性测试仪串联;在协议一致性测试仪上选择 IPv6Core协议一致性测试套件,并选择必选项进行测试,并记录测试结果;若防火墙为 网桥模式,将防火墙、协议一致性测试仪和任意一台路由器串联;在协议一致性测试仪上 选择IPv6Core协议一致性测试套件,并选择必选项进行测试,并记录测试结果;再将协 议一致性测试仪和路由器串联,重新测试一次IPv6Core协议一致性;比较两次IPv6Core 协议一致性结果是否一致; 7)若防火墙为路由模式,将防火墙与协议一致性测试仪串联;在协议一致性测试仪上选择 IPv6NDP协议一致性测试套件,并选择必选项进行测试,并记录测试结果:若防火墙为网 桥模式,将防火墙、协议一致性测试仪和任意一台路由器串联:在协议一致性测试仪上选 择IPv6NDP协议一致性测试套件,并选择必选项进行测试,并记录测试结果;再将协议 致性测试仪和路由器串联,重新测试一次IPv6NDP协议一致性;比较两次IPv6NDP协议 致性结果是否一致; 8)若防火墙为路由模式,将防火墙与协议一致性测试仪串联;在协议一致性测试仪上选择 IPv6Autoconfig协议一致性测试套件,并选择必选项进行测试,并记录测试结果:若防 火墙为网桥模式,将防火墙、协议一致性测试仪和任意一台路由器串联;在协议一致性测 试仪上选择IPv6Autoconfig协议一致性测试套件,并选择必选项进行测试,并记录测试
Q/GDW109402018
结果;再将协议一致性测试仪和路由器串联,重新测试一次IPv6Autoconfig协议一致性; 比较两次IPv6Autoconfig协议一致性结果是否一致: 若防火墙为路由模式,将防火墙与协议一致性测试仪串联;在协议一致性测试仪上选择 IPv6PMTU协议一致性测试套件,并选择必选项进行测试,并记录测试结果;若为网桥模 式,将防火墙、协议一致性测试仪和任意一台路由器串联:在协议一致性测试仪上选择IPv6 PMTU协议一致性测试套件,并选择必选项进行测试,并记录测试结果:再将协议一致性测 试仪和路由器串联,重新测试一次IPv6PMTU协议一致性;比较两次IPv6PMTU协议一致性 结果是否一致: 10)若防火墙为路由模式,将防火墙与协议一致性测试仪串联;在协议一致性测试仪上选择 ICMPv6协议一致性测试套件,并选择必选项进行测试,并记录测试结果;若防火墙为网桥 模式,将防火墙、协议一致性测试仪和任意一台路由器串联:在协议一致性测试仪上选择 ICMPv6协议一致性测试套件,并选择必选项进行测试,并记录测试结果;再将协议一致性 测试仪和路由器串联,重新测试一次ICMPv6协议一致性:比较两次ICMPv6协议一致性结果 是否一致; 11)将防火墙与协议健壮性测试仪串联;在协议健壮性测试仪上选择IPv6畸形报文攻击,记录 测试结果:在协议健壮性测试仪上选择ICMPv6畸形报文攻击,记录测试结果:在协议健壮 性测试仪上选择其他协议畸形报文攻击,记录测试结果 12)模拟IPv6网络环境,检测防火墙是否能够支持在IPv6网络环境下自身管理; 13)模拟IPv4和IPv6两种协议相互转换的网络环境,检测防火墙是否能够支持IPv4和IPv6两种 协议相互转换,在IPv4/IPv6协议转换网络环境下是否能够正常工作。 预期结果:测试结果符合5.2.22的要求。
6.3. 22会话管理
会话管理的测试方法与预期结如下: 测试方法: 1) 防火墙应具有默认的会话超时机制,则需文档说明各协议的超时结束时间,或者配置各协 议的超时结束时间: 2) 在不经过防火墙的条件下,从客户端主机向服务器发起连接会话,并确认该会话不会在防 火墙所设定的超时时间内断开: 3 从内部网络指定主机向外部网络服务器、或者从外部网络向DMZ区服务器建立相应的连接 会话,并不再对该会话进行任何操作,通过主机查看该会话的状态。 b)预期结果:测试结果符合5.2.23的要求。
6.3.23应用协议控制
b)预期结果:测试结果符合5.2.24的要求。
6.3.24应用内容控制
D/GDW109402018
应用内容控制的测试方法与预期结果如下: a)测试方法: 1)针对HTTP、FTP、SMTP和POP3等应用配置文件上传下载限制: 2 针对HTTP网页关键词,FTP传输文件名关键词,TELNET命令关键词,收发邮件的主题、正 文、收发件人关键词等配置过滤规则: 3)配置其他应用的内容关键词过滤规则,如即时通讯。 b)预期结果:测试结果符合5.2.25的要求。
整机吞吐量的测试方法和预期结果如下: a)测试方法: 1)使用性能测试仪连接防火墙的一对接口: 2) 配置防火墙工作模式为路由模式,配置一条双向全通规则: 3) 按5.3.2的测试要求进行配置,使用性能测试仪测试防火墙在不丢包的情况下,双向UDI (分别在64字节、512字节和1518字节条件下)的吞吐量,测试持续时间3分钟; 4)对于防火墙,测试整机在1518字节包下的吞吐量,防火墙规则及测试仪配置同上。 b)预期结果:吞吐量双向平均值不低于5.3.2的相应要求
延迟的测试方法和预期结果如下: a)测试方法: 1)使用性能测试仪连接防火墙的一对接口; 2)配置防火墙的工作模式为路由模式,配置一条双向全通规则: 3 按5.3.3的测试要求进行配置,使用性能测试仪测试防火墙在64字节、512字节、1518字节 最大吞吐量的90%条件下的UDP包延迟。 b) 预期结果:最大吞吐量90%条件下双向平均延迟不低于5.3.3的相应要求。
6.4.3最大并发连接数
最大并发连接数的测试方法和预期结果如下: a)测试方法: 1)使用性能测试仪连接防火墙的一对接口: 2)配置防火墙工作模式为路由模式,配置一条双向全通规则: 3)按5.3.4的测试要求进行配置,使用性能测试仪测试防火墙最大所能维持的TCP并发连接数 b)预期结果:测试结果不低于5.3.4的相应要求
6.4.4最大连接速率
最大连接速率的测试方法和预期结果如下: a)测试方法:
Q/GDW109402018
Q/GDW109402018
1)使用性能测试仪连接防火墙的一对接口; 2)配置防火墙工作模式为路由模式,配置一条双向全通规则: 3)按5.3.5的测试要求进行配置,使用性能测试仪测试防火墙的最大TCP新建连接数。 b)预期结果:测试结果不低于5.3.5的相应要求。
攻击的测试方法与预期结果如下: 测试方法: 1 配置启用防火墙的抗拒绝服务攻击功能: 2) 采用渗透测试工具或专用模拟攻击测试设备,对防火墙进行多种拒绝服务攻击,同时通过 防火墙建立正常的TCP连接(新建连接速率为100个/s),持续时间1分钟: 3 查看防火墙能否抵御上述攻击,是否会造成性能下降或崩溃,检查拒绝服务攻击包通过的 比例,以及正常TCP连接成功建立的比例 4 防火墙在开放全通策略的情况下,使用IP信誉库中黑名单的IP地址,通过防火墙对内部服 务进行访间。 预期结果:测试结果符合5.4.2的要求。
发撑系统的测试方法与预期结果如下: 测试方法: 1)查看防火墙涉及文档或通过询问厂家等方式获取防火墙的支撑系统类型及版本并进行记 录; 使用扫描器对防火墙的管理端口或数据通讯端口进行全端口扫描 3) 查着扫描结果,将扫描确认开放的端口与系统设计文档对照,确认为正常端口; 查看扫描结果,确认通过端口开放的服务不包含可利用的漏洞: 5) 检查产品文档,确定防火墙所申明的开放端口: 6 通过专业扫描器,对防火墙进行端口和安全扫描分析。 预期结果:测试结果符合5.4.3的要求。
非正常关机的测试方法与预期结果如下: a测试方法: 1)记录防火墙的当前状态,如安全策略等,并保存配置,并通过管理界面连接防火墙: 2)直接断开防火墙电源,再接通电源开机启动 3 再次尝试通过界面进行管理,检查安全策略、日志信息等; 4 硬重启与软重启防火墙设备,秒表计时,通过防火墙内网测试机ping外网测试机,ping 通后停止计时。 b)预期结果:测试结果符合5.4.4的要求。
6.5.4.1异常报文处理
Q/GDW10940201
异常报文处理的测试方法与预期结果如下: a 测试方法: 1)监听设备已启用的端口,利用工具构造报文对设备进行模糊攻击,构造针对通信协议的恶 意报文进行攻击: 2)检查防火墙是否出现异常、配置算改和溢出漏洞。 b) 预期结果:测试结果符合5.4.5.1的要求。
6.5.4.2协议穿透识别
协议穿透识别的测试方法和预期结果如下 a)测试方法: 1)配置防火墙安全策略规则: 2)使用测试PC通过IP欺骗、ARP欺骗、HTTP端口转向等对防火墙进行穿透攻击; 3)查看防火墙是否可以识别伪装的协议并有效抵抗伪装成正常通讯协议的攻击 b)预期结果:测试结果符合5.4.5.2的要求。
抗渗透的测试方法与预期结果如下: 测试方法: 1)尝试通过防火墙对主机、服务器进行安全漏洞扫描 2)尝试通过防火墙对web应用资源进行安全漏洞扫描: 3)尝试通过攻击工具对服务器进行其他常见web攻击。
Q/GDW109402018
D预期结果:测试结果符合5.4.7的要求
D/GDW109402018
Q/GDW109402018
1编制背景... 2编制主要原则 3与其他标准文件的关系 4主要工作过程, 5标准结构和内容 30 6条文说明 30
DB41/T 1786-2019标准下载编制背景.. 编制主要原则 29 与其他标准文件的关系 主要工作过程.. 标准结构和内容 30 条文说明 30
D/GDW109402018
本标准依据《国家电网公司关于下达2017年度公司第一批技术标准制修订计划的通知》(国家电网 公司(2017)72号)的要求编写。 随着技术的不断发展和进步,安全产品的技术也在不断发展,尤其是防火墙产品,近几年已经发生 了较大的变化。为了贯彻国家电网公司信息化建设“四统一”原则,规范和加强公司信息化建设,为公 同集团化运作、集约化发展和精细化管理提供坚强支撑,规范防火墙产品的测试工作,明确防火墙产品 为测试指标,保证防火瑞产品的正常使用,及时增加或更新现有技术指标,因此需要对原标准进行修订。 本标准编制主要目的是明确国家电网公司防火墙的测试要求和测试方法,为保证公司在测试、采购 过程中选择的防火墙产品为市场上的主流、先进的产品提供依据。本标准仅适用于现有防火墙。
3与其他标准文件的关系
本标准与相关技术领域的国家现行法律、法规和政策保持一致。 本标准不涉及专利、著作权等知识产权问题
Q/GDW109402018
本标准按照《国家电网公司技术标准管理办法》(国家电网企管(2018)222号文)的要求编写。 本标准的主要结构和内容如下: 本标准主题章分为2章,由测试要求和测试方法构成DB22/T 2654-2017 出租房屋消防安全规范, 本标准代替Q/GDW1940一2013,与Q/GDW1940一2013相比,本次修订做了如下重大调整: 增加了通过隧道技术实现IPv6通讯的具体要求; 增加了“安全审计”“抗渗透”的部分安全测试要求: 增加了“包过滤”“管理”“路由”“会话管理”“应用协议控制”“应用内容控制”的部 分功能测试要求; 一增加了“动态开放端口”“连接数控制”“应用协议控制”等功能测试要求; 一增加了第6章“测试方法”。 本标准原起草单位:中国电力科学研究院。本标准原主要起草人:郭旭、刘楠、李凌、高昆仑、詹 单松玲、宋小芹、严敏辉、韩丽芳、周亮、王栋、王怀宇。
所有在国家电网有限公司范围内采购、使用的防火墙产品必须满足本标准5.2.1中表1所规定的测试 要求。 本标准第5.3条“性能测试要求”中的性能指标,均根据近三年公司集中招标采购所依据的技术规 范书制定。 本标准第5.4.2条中仅规定了防火墙应抵御的攻击类型,在测试过程中所使用的攻击种类和攻击手 去需根据防火墙的不同应用场景选取。 本标准第5.5条“开发者保障要求”是针对防火墙产品开发者提出的要求。开发者在将提交产品进 行测试时,必须提交相关的证明文件,证明其所开发的产品符合此项要求的内容