信息技术 应用级防火墙安全技术要求 GBT 18020-1999.pdf

GB/T18020-1999墙应阻止的威胁，定义了它的安全目标和使用环境，提出了应用级防火墙的安全功能和安全保证要求。同时，说明了防火墙安全目标及功能和保证要求的基本原则。防火墙的目的是对进、出内部网的服务访问实行控制和审计。准许，拒绝或重新定向通过防火墙的数据流。虽然防火情的体系结构和技术多种多样，但防火墙产品基本上可分成两类：包过滤防火墙和应用级防火墙。网络中防火墙的典型位置如图1所示。外部网防火境内部网图1网络中防火墙的典型位置应用级防火墙的作用是：仲裁不同网络上客户和服务器之间的通信业务流。应用级防火墙通常与包过滤控制配合使用，以承担对应用级协议包的进一步控制。（例如：FTP、Tet)。应用级防火墙可以雇用代理服务器筛选数据包。5安全环境符合本标准的防火墙用于敏感但不保密的信息处理环境。防火墙应提供方问控制策略、身份标识与鉴别、远程管理员会话加密、一定的审计能力以及最基本的安全保证。5.1安全条件假定假定防火墙的运行环境符合以下条件：5.1.1单一接人(A.SINGLEPT)如图1所示意的那样，防火墙是网络间唯一的互连点。5.1.2物理访问控制(A.SECURE)防火墙和与其直接相连的控制台在物理上是安全的，而且仅供授权人使用。5.1.3通信保护(A.COMMS)信息传输的保护级别应该与信总的敏感性一致（例如：受物理保护的传输媒体，加密），或者明确说明该信息可以明文传输。5.1.4用户(A.USER)应用级防火墙提供的不是通常意义下的计算能力（例如：执行任意代码或应用程序），它对通过防火墙发送通信业务流的用户进行身份标识和鉴别。只有授权管理员才能直接访间和远程访问防火墙。5.1.5授权管理员(A.NOEVIL)管理员应值得信任、无恶意，能够正确执行各项职责。5.2安全威胁本标准的目的在于提供一种能力，以控制通过防火墙的数据包，限制那些潜在恶意用户的活动能力，阻止他们获得对内部网或者对内部网上的某一主机的访问权。5.2.1防火墙阻止的威胁符合本标准的防火墙应能阻止以下威肋：5.2.1.1未授权逻辑访问(T.LACCESS)2