ICS 备案号： Q/GDW 国家电网公司企业标准 Q / GDW 1940 — 2013 国家电网公司防火墙测试要求 State Grid Testing requirements for firewall 2014-05-01发布 2014-05-01实施 国家电网公司 发布 Q/GDW 1940 2013 目 次 前言 II 范围… 规范性引用文件 2 3术语和定义 4符号、代号和缩略语 5测试要求… 5.1总体说明… 5.2功能测试要求 5.3性能测试要求 5.4安全测试要求 5.5开发者保障要求 编制说明 Q/GDW1940 2013 前言 防火墙是网络安全的基础设备之一，是保证网络安全稳定运行的重要保障。 随着国家电网公司信息化建设的逐步深入，防火墙产品广泛的应用到各级网络中，为了规范防火墙 产品的测试工作，明确防火墙产品的测试指标，保证防火墙产品的正常使用，应对防火墙产品提出统 的测试要求，以此来规范防火墙的测试工作。《国家电网公司防火墙测试要求》（以下简称《测试要求》） 参照国家相关标准要求及公司相关规定，提出了适用于国家电网公司内部的防火墙产品测试要求，指导 公司防火墙产品的测试、选型，保障公司网络稳定运行。 本标准由国家电网公司信息通信部提出并解释。 本标准由国家电网公司科技部归口。 本标准参加起草单位：中国电力科学研究院 本标准主要起草人：郭旭、刘楠、李凌、高昆仑、詹雄、单松玲、宋小芹、严敏辉、韩丽芳、周亮、 王栋、王怀宇。 本标准首次发布。 II Q/GDW1940—2013 国家电网公司防火墙测试要求 1 范围 本标准规定了国家电网公司系统内防火墙产品的测试要求。 本标准主要适用于以下人员： a）防火墙产品的设计和开发人员 b）防火墙产品的测试和评估人员 2规范性引用文件 下列文件对于本标准的应用是必不可少的。凡是标注日期的引用文件，仅标注日期的版本适用于本 标准。凡是不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T5271.8—2001 信息技术词汇第八部分：安全（idtISO2382-8：1998） GB/T18336一2008信息技术安全技术信息技术安全性评估准则 GB/T20281一2006信息安全技术防火墙技术要求和测试评价方法 GB/T22239—20081 信息安全技术信息系统安全等级保护基本要求 3术语和定义 GB/T20281一2006中确立的术语和定义适用于本文件。 3.1 基本级basiclevel 规定了在国家电网公司内使用的防火墙产品应满足的测试要求。 3.2 增强级enhanced level 在基本级测试要求基础上对防火墙提出的更高的测试要求，对满足增强级测试要求的防火墙可给予 更高的产品评价。 3.3 有效访问控制策略effectiveaccesscontrolpolicy 明确定义了源地址、目的地址、源端口、目的端口、网络服务的访问控制策略 3.4 trunk 在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通 讯的技术。 符号、代号和缩略语 42 DMZ：非军事区（DemilitaryZone） DNAT：目的网络地址转换（DestinationNAT） DNS：域名系统（DomainNameSystem） FTP：文件传输系统（FileTransferProtocol） HTTP：超文本传输协议（HypertextTransferProtocol） ICMP：网间控制报文协议（InternetControlMessagesProtocol） 1 Q/GDW1940—2013 IMS：信息运维综合监管系统（InformationMaintenanceconsolidated supervisionSystem） ISS：信息外网安全监测系统（InformationSecuritymonitoringSystem） IP：网际协议（InternetProtocol） IPv6：网际协议6（InternetProtocolVersion6） MAC：介质访问控制层（MediaAccessControl） NAT：网络地址转换（NetworkAddressTranslation） NTP：网络时间同步协议（NetworkTimeProtocol） OSPF：开放式最短路径优先（OpenShortestPathFirst） POP3：邮局协议3（PostOfficeProtocol3） RIP：路由选择信息协议（RoutingInformationProtocol） SMTP：简单邮件（SimpleMailTransferProtocol) SNAT：源网络地址转换（SourceNAT） SNMPvl：简单网络管理协议1（SimpleNetworkManagementProtocol1） SNMPv2：简单网络管理协议2（SimpleNetworkManagementProtocol2） SNMPv3：简单网络管理协议3（SimpleNetworkManagementProtocol3） SSN：安全服务网络（SecureServiceNetwork） STP：生成树协议（SpanningTreeProtocol） TCP：传输控制协议（TransportControlProtocol) UDP：用户数据报协议（UserDatagramProtocol) URL：统一资源定位器（UniformResourceLocator） USB：通用串行总线（UniversalSerialBus） VLAN：虚拟局域网（VirtualLocalAreaNetwork） VPN：虚拟专用网（VirtualPrivateNetwork） VRRP：虚拟路由器穴余协议（VirtualRouterRedundancyProtocol） 5测试要求 5.1总 总体说明 本标准将防火墙测试要求分为功能测试要求、性能测试要求、安全测试要求、开发者保障要求四个大类。 功能测试要求：根据国家电网公司对防火墙产品的需求提出的对防火墙产品应具备的功能的测试要 求，分为基本级和增强级。在国家电网公司内使用的防火墙产品应满足基本级功能测试要求。在满足基 本级功能测试要求的基础上，防火墙产品如满足增强级测试要求，可对产品给予更高的评价。 性能测试要求：根据国家电网公司对防火墙产品的需求提出的对防火墙产品应达到的性能指标的要 求，分为基本级和增强级。在国家电网公司内使用的防火墙产品应满足基本级性能测试要求。增强级性 能测试要求从防火墙产品的实际应用角度对产品的性能指标提出了要求。 安全测试要求：根据国家电网公司对防火墙产品的安全要求以及防火墙产品自身的特点提出的防火 墙产品的自身安全和防护能力的测试要求，分为基本级和增强级。所有在国家电网公司内使用的防火墙 产品应满足基本级安全测试要求。根据防火墙应用场景的不同，增强级防火墙具备对较高级别的攻击的 抵抗能力。 开发者保障要求：针对防火墙开发者和防火墙自身提出的具体保障要求。 5.2功能测试要求 5.2.1基本级功能测试要求 5.2.1.1功能测试要求列表 基本级产品的测试功能要求由表1所列项目组成。 2 Q/GDW 1940 一 2013 表1 本级产品功能测试要求项目 功能分类 功能测试要求项目 支持默认禁止原则 支持基于IP地址的访问控制 支持基于端口的访问控制 包过滤 支持基于协议类型的访问控制 支持基于时间的访问控制 支持基于用户自定义安全策略的访问控制 状态检测 支持基于状态检测技术的访问控制 支持双向NAT NAT 支持动态NAT 支持根据IP地址、协议、时间等参数对流量进行统计 流量统计 支持统计结果的报表形式输出 支持SYSLOG方式的日志输出 IMS和ISS支持 支持SNMPv1、SNMPv2、SNMPv3网络管理协议 NTP支持 支持NTP协议，支持NTP认证 支持对授权管理员的口令鉴别方式 支持对授权管理员、可信主机、主机和用户进行身份鉴别 支持鉴别失败处理 支持本地和远程管理 支持远程管理安全 支持管理员权限划分 管理 支持设置和修改安全管理相关的数据参数 支持设置和修改安全策略 支持策略查询 支持策略分组 支持管理审计日志 支持防火墙状态和网络数据流状态监控 IP/MAC绑定 支持IP/MAC地址绑定 支持静态路由功能 支持OSPF方式的动态路由功能 甲蝎 支持RIP方式的动态路由功能 支持根据数据包信息设置策略路由 支持主-备模式的双机热备 支持主-主模式的双机热备 双机热备 支持物理设备状态检测 支持会话状态同步 支持配置同步 3