返回
GBT18019-1999 信息技术 包过滤防火墙安全技术要求.pdf

GBT18019-1999 信息技术 包过滤防火墙安全技术要求.pdf

ID:402612

大小:704.50 KB

页数:18页

时间:2017-07-30

GBT18019-1999 信息技术 包过滤防火墙安全技术要求.pdf_第1页
GBT18019-1999 信息技术 包过滤防火墙安全技术要求.pdf_第2页
GBT18019-1999 信息技术 包过滤防火墙安全技术要求.pdf_第3页
GBT18019-1999 信息技术 包过滤防火墙安全技术要求.pdf_第4页
GBT18019-1999 信息技术 包过滤防火墙安全技术要求.pdf_第5页
资源描述:

《GBT18019-1999 信息技术 包过滤防火墙安全技术要求.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、中华人民共和国国家标准信息技术包过滤防火墙安全技术要求发布实施国家质量技术监督局发布前言本标准规定了采用传输控制协议网间协议的包过滤防火墙的安全技术要求本标准由国家信息化办公室提出本标准由全国信息技术标准化技术委员会归口本标准起草单位中国国家信息安全测评认证中心电子部所本标准主要起草人吴世忠陈晓桦龚奇敏张桂清杨燕伟贺卫东黄元飞中华人民共和国国家标准信息技术包过滤防火墙安全技术要求范围本标准规定了采用传输控制协议网间协议的包过滤防火墙产品或系统的安全技术要求本标准适用于防火墙产品或系统安全功能的研制开发测试评估和产品的采购引用标准下列标准所包含的条文通过在本标

2、准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型第部分安全体系结构定义和记法约定本章给出本标准中使用的术语和记法约定术语定义本标准采用了中的下列术语和定义审计鉴别密钥管理下列术语适用于本标准用户一个在防火墙外与防火墙相互作用的人此人不具有能够影响防火墙安全策略执行的特权授权管理员任何具有旁路或绕过防火墙安全策略权限的个人本标准中的授权管理员特指防火墙的管理员其职责不包括网络管理主机一台在防火墙外与防火墙相互作用的机器它不具有能够影响防火墙安全策略执

3、行的特权可信主机任何具有旁路或绕过防火墙安全策略权限的机器记法约定细化用于增加某一功能要求的细节从而进一步限制该项要求对功能要求的细化用黑体字表示国家质量技术监督局批准实施示例见选择用于从对某一功能要求的陈述中突出一个或多个选项用带下划线的斜体字表示示例见赋值用于将一个特定值赋给某个未定参数如某个口令字的长度赋值出现在方括号中要赋予的值表示某个值示例见包过滤防火墙概述本标准规定包过滤防火墙的最低安全要求指出该类防火墙应对付的威胁定义其实现的安全目标及环境提出安全功能和安全保证要求防火墙的目的是要在内部外部两个网络之间建立一个安全控制点通过允许拒绝或重新定向经

4、过防火墙的数据流实现对进出内部网络的服务和访问的审计和控制虽然防火墙的体系结构和技术多种多样但防火墙产品主要分为两类包过滤和应用网关本标准规定了包过滤防火墙的最低安全要求符合本标准的防火墙在内外网络之间的位置的逻辑表示如图所示包过滤防火墙应根据站点的安全策略在内部网络和外部网络之间选择性地过滤包其过滤规则主要是根据源地址目的地址协议源端口目的端口以及包到达或发出的接口而定图防火墙在网络中的典型位置安全环境符合本标准的防火墙产品应能提供访问控制策略身份识别和鉴别远程管理的加密安全审计功能和最基本的安全保证可用于政府部门企事业单位和商业领域等安全使用的条件防火墙

5、的使用操作环境应满足以下条件连接条件防火墙的连接条件要求如下单一接入防火墙是内外网络之间的唯一连接点见图物理条件防火墙应满足下列物理条件物理访问控制防火墙及其所属的可直接插接的控制端口在物理上是安全的并只有授权的人员才可访问通信保护对已传送的所有信息的保护级别与正在被发送的信息的保护级别相当例如受物理保护的传输媒体加密但明确规定以明文传输的信息除外标准分享网www.bzfxw.com免费下载人员条件用户服务包过滤防火墙不提供通常意义上的计算能力对网络用户基本上是透明的只有授权的管理员可直接访问或远程访问授权管理员授权的管理员应是可以信赖且能善尽职守的人防火墙

6、面临的威胁符合本标准的防火墙应能对付以下威胁未授权逻辑访问未经授权的人可能在逻辑上访问防火墙未经授权的人是指除防火墙的授权用户之外所有已经或可能企图访问这个系统的人假冒网络地址攻击一个主体可能通过假冒成另一个主体获得对特定信息的访问例如外部网上的一个用户可能利用假地址伪装成内部网上的用户访问内部资源针对内部网络的攻击攻击者可能利用高层协议和服务对内部受保护的网络或者网上的主机进行攻击这类攻击可能以拒绝服务和穿透主机或网络结点为目的审计记录丢失或破坏攻击者可能采取耗尽审计存储量的方法导致审计记录丢失或破坏对防火墙配置和其他与安全有关数据的更改这类攻击包括所有采

7、用读取或修改防火墙的内部代码或数据结构配置和与安全相关的数据对防火墙实施的攻击绕开身份识别和鉴别机制这类攻击是企图绕过或欺骗身份识别和鉴别机制假冒成另一个授权管理员或侵入已建立的会话连接例如拦截鉴别信息如口令字重放有效的鉴别交换信息以及截取会话连接等攻击运行环境面临的威胁以下的可能威胁不是符合本标准的防火墙所能处理的它们应靠环境制度程序来对付可列为对系统的潜在威胁受保护网络内部网上的恶意用户企图把信息传送给网外用户这类威胁涉及的是内部受保护网络的用户企图把信息传送给外部网络的非授权用户由于防火墙的设计主要是为了保护内部网络免受外部网的侵害所以难以对付此类威胁

8、受保护网络上的恶意用户攻击同一网上的计算机由于防火墙

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。