3.1 安全功能要求

安全功能要求对防火墙应具备的安全功能提出具体要求，包括组网与部署、网络层控制、应用层控制、攻击防护和安全审计、告警与统计。

3.1.1 组网与部署

1.部署模式

防火墙产品应支持3种部署模式：透明传输模式、路由转发模式和反向代理模式。

（1）透明传输模式

透明传输模式顾名思义就是对用户是透明的，即用户意识不到防火墙的存在。采用透明传输模式时，该类防火墙就像是一个网桥，并且在桥接设备上赋予了过滤的能力。由于桥接设备工作在OSI模型的第二层（也就是数据链路层），所以不会有任何路由的问题。并且，防火墙本身也不需要指定IP地址，因此，这种防火墙的部署能力和隐秘能力都相当强，从而可以很好地应对黑客对防火墙自身的攻击，因为黑客很难获得可以访问的IP地址。

（2）路由转发模式

采用路由转发模式时，防火墙本身就是一个路由器，因此需要配置相应的路由规则，并参与所接入网络的路由。

如果是在现有的网络上采用路由转发模式部署防火墙，可能涉及调整现有的网络结构或网络上路由设备、交换设备的IP地址或路由指向的问题，同时需要考虑防火墙部署位置的关键性，是否需要设计冗余部署防火墙设备等。

显然，在路由转发模式下，因为需要使用防火墙更多的网络路由功能，所以一旦防火墙出现故障，整个网络结构或连接防火墙的设备配置就需要调整。为此，在一般的防火墙部署方案中，特别是路由转发模式（及混合模式）部署时，一定程度上都会考虑防火墙的冗余部署（双机热备等），以避免因防火墙设备故障而长时间造成网络通信中断。

在路由转发模式的部署方案中，在使用的过程中用户必须慎重地考虑到路由的问题。如果网络环境非常复杂，或者需要进行调整，则相应的路由需要进行变更，维护和操作起来有一定的难度和工作量。采用透明传输模式部署的防火墙则可以比较好地解决上述问题。

（3）反向代理模式

通常的代理服务器是用于代理内部主机访问外部网络，当一个代理服务器能够代理外部网络上的主机访问内部网络时，就变成反向代理。

采用反向代理模式时，通常将内部真实服务器的地址映射到反向代理服务器上。此时，代理服务器对外就表现为一个真实服务器。例如，对于Web应用防火墙（WAF），由于外部主机访问的就是WAF，因此WAF无须像透明传输模式和路由转发模式一样需要采用特殊处理去劫持客户端与服务器的会话然后为其代理。当代理服务器收到HTTP的请求报文后，将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备，由WAF设备再将应答发送给外部主机。

这种部署模式需要对网络进行改动，配置相对复杂，除了要配置代理防火墙设备自身的地址和路由外，还需要在其上配置后台真实服务器的地址和虚地址的映射关系。另外，如果原来服务器地址就是全局地址（没经过NAT转换），那么通常还需要改变原有服务器的IP地址，以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在代理防火墙上同时实现负载均衡等功能。

说明：

在实际应用中，还有一种将透明传输模式和路由转发模式兼用的混合部署模式。在某些网络结构下，因为网络设计的需要，若干安全区域需要在同一个网段，如A网段，但又要求区域间的访问受防火墙的控制，这时就采用透明传输模式连接这些区域。而另外有些区域出于更安全的要求，其与A网段不能在同一网段，但同时还需要与A网段进行安全的、可控制的数据交换，为此防火墙的一些接口就需要配置为透明传输模式（网桥模式），另外一些接口配置为路由转发模式，这样部署的防火墙，就是采用的混合模式。同样，混合模式部分接口启用了路由功能，在关键网络上也要考虑防火墙的冗余部署。

2.路由

（1）静态路由

防火墙产品应支持静态路由功能，且能配置静态路由。

（2）策略路由

具有多个相同属性网络接口（多个外部网络接口、多个内部网络接口或多个DMZ网络接口）的防火墙产品，应支持策略路由功能，包括但不限于以下路由功能。

● 基于源、目的IP策略路由。

● 基于接口的策略路由。

● 基于协议和端口的策略路由。

● 基于应用类型的策略路由。

● 基于多链路负载情况自动选择路由。

（3）动态路由

防火墙产品应支持动态路由功能，包括RIP、OSPF或BGP中的一种或多种动态路由协议。

3.高可用性

（1）冗余部署

防火墙产品应支持“主-备”“主-主”或“集群”中的一种或多种冗余部署模式。

（2）负载均衡

防火墙产品应支持负载均衡功能，能根据安全策略将网络流量均衡到多台服务器上。

4.设备虚拟化（可选）

（1）虚拟系统

若防火墙产品支持在逻辑上划分为多个虚拟子系统，虚拟子系统间应支持隔离和独立管理，包括但不限于以下要求。

● 对虚拟子系统分别设置管理员，实现针对虚拟子系统的管理配置。

● 虚拟子系统能分别维护路由表、安全策略和日志系统。

● 对虚拟子系统的资源使用配额进行限制。

（2）虚拟化部署

若防火墙产品为虚拟化形态，应支持部署于虚拟化平台，并接受平台统一管理，包括但不限于以下功能。

● 支持部署于一种虚拟化平台，如VMware ESXi、KVM、Citrix XenServer和Hyper-V等。

● 结合虚拟化平台实现产品资源弹性伸缩，根据虚拟化产品的负载情况动态调整资源。

● 结合虚拟化平台实现故障迁移。当虚拟化产品出现故障时能实现自动更新、替换。

5.IPv6支持（可选）

（1）支持IPv6网络环境

支持在IPv6网络环境下正常工作，能有效运行其安全功能和自身安全功能。

（2）协议一致性

满足IPv6协议一致性的要求，至少包括IPv6核心协议、IPv6 NDP、IPv6 auto config协议和ICMPv6协议。

（3）协议健壮性

满足IPv6协议健壮性的要求，抵御IPv6网络环境下畸形协议报文攻击。

（4）支持IPv6过渡网络环境

若防火墙产品支持IPv6，应支持在以下一种或多种IPv6过渡网络环境下工作。

● 协议转换，将IPv4和IPv6两种协议相互转换。

● 隧道，将IPv6封装在IPv4中穿越IPv4网络，如IPv6 over IPv4、IPv6 to IPv4、ISATAP等。

3.1.2 网络层控制

1.访问控制

（1）包过滤

防火墙产品的包过滤功能要求如下。

● 安全策略应使用最小安全原则，即除非明确允许，否则就禁止。

● 安全策略应包含基于源IP地址、目的IP地址、源端口、目的端口、协议类型、MAC地址和时间的访问控制。

● 应支持用户自定义的安全策略，包括MAC地址、IP地址、端口、协议类型和时间的部分或全部组合。

（2）网络地址转换

防火墙产品的网络地址转换功能应支持SNAT和DNAT。具体要求如下。

● SNAT应实现“多对一”地址转换，使得内部网络主机访问外部网络时，其源IP地址被转换。

● DNAT应实现“一对多”地址转换，将DMZ的IP地址/端口映射为外部网络合法IP地址/端口，使外部网络主机通过访问映射地址和端口实现对DMZ服务器的访问。

● 支持动态SNAT技术，实现“多对多”的SNAT。

（3）状态检测

防火墙产品应支持基于状态检测技术的包过滤功能，具备状态检测能力。

（4）动态开放端口

防火墙产品应支持协议的动态端口开放，包括但不限于FTP、H.323等音/视频协议。

（5）IP/MAC地址绑定

防火墙产品应支持自动或手工绑定IP/MAC地址，当主机的IP地址、MAC地址与IP/MAC绑定表中不一致时，阻止流量通过。

2.流量管理

（1）带宽管理

防火墙产品应支持带宽管理功能，能根据策略调整客户端占用的带宽，包括但不限于以下功能。

● 根据源IP、目的IP、应用类型和时间段的流量速率或总额进行限制。

● 根据源IP、目的IP、应用类型和时间段设置保障带宽。

● 在网络空闲时自动解除流量限制，并在总带宽占用率超过阈值时自动启用限制。

（2）连接数控制

防火墙产品应支持限制单IP的最大并发会话数和新建连接速率，防止大量非法连接产生时影响网络性能。

（3）会话管理

会话处于非活跃状态一定时间或会话结束后，防火墙产品应终止会话。

3.1.3 应用层控制

1.用户管控

防火墙产品应支持基于用户认证的网络访问控制功能，包括但不限于以下方式。

● 本地用户认证方式。

● 结合第三方认证系统（如基于Radius、LDAP服务器）的认证方式。

2.应用类型控制

防火墙产品应支持根据应用特征识别并控制各种应用类型，包括：

● HTTP、数据库协议、FTP、TELNET、SMTP、POP3和IMAP等常见协议。

● 即时聊天类、P2P类、网络流媒体类、网络游戏、股票交易类等应用。

● 逃逸或隧道加密特点的应用，如加密代理类应用。

● 自定义应用。

3.应用内容控制

（1）Web应用

防火墙产品应支持基于以下内容对Web应用的访问进行控制，包括但不限于以下内容。

● URL网址，并具备分类网址库。

● HTTP传输内容的关键字。

● HTTP请求方式，包括GET、POST、PUT、HEAD等。

● HTTP请求文件类型、上传文件类型、请求频率。

● HTTP协议头中各字段长度，包括general header、request header、response header等。

● HTTP返回的响应内容，如服务器返回的出错信息等。

● 支持HTTPS流量解密。

（2）数据库应用

防火墙产品应支持基于以下内容对数据库的访问进行控制，包括但不限于以下内容。

● 访问数据库的应用程序、运维工具。

● 数据库用户名、数据库名、数据表名和数据字段名。

● SQL语句关键字、数据库返回内容关键字。

● 影响行数、返回行数。

（3）其他应用

防火墙产品应支持基于传输文件类型、传输内容，如协议命令或关键字等，对FTP、TELNET、SMTP、POP3和IMAP等应用进行控制。

3.1.4 攻击防护

1.拒绝服务攻击防护

防火墙产品具备特征库，应支持针对拒绝服务攻击的防护功能，如ICMP Flood攻击、UDP Flood攻击、SYN Flood攻击、TearDrop攻击、Land攻击、Ping of Death攻击和CC攻击等。

2.Web攻击防护

防火墙产品具备特征库，应支持针对Web攻击的防护功能，如SQL注入攻击、XSS攻击、第三方组件漏洞攻击、目录遍历攻击、Cookie注入攻击、CSRF攻击、文件包含攻击、盗链、OS命令注入攻击、WebShell攻击和反序列化攻击等。

3.数据库攻击防护

防火墙产品具备特征库，应支持针对数据库攻击的防护功能，如数据库漏洞攻击、异常SQL语句、数据库拖库攻击、数据库撞库攻击等。

4.恶意代码防护

防火墙产品具备特征库，应支持针对恶意代码的防护功能，如能拦截典型的木马攻击行为、检测并拦截由HTTP网页和电子邮件等携带的恶意代码等。

5.其他应用攻击防护

防火墙产品具备特征库，应支持防护来自应用层的其他攻击，如操作系统类漏洞攻击、中间件类漏洞攻击和控件类漏洞攻击等。

6.自动化工具威胁防护

防火墙产品具备特征库，应支持防护自动化工具发起的攻击，如网络扫描行为、应用扫描行为和漏洞利用工具等。

7.攻击逃逸防护

防火墙产品应支持检测并阻断经逃逸技术处理过的攻击行为。

8.外部系统协同防护

防火墙产品应提供联动接口，能通过接口与其他网络安全产品进行联动，如执行其他网络安全产品下发的安全策略等。

3.1.5 安全审计、告警与统计

1.安全审计

防火墙产品应支持安全审计功能，包括但不限于以下内容。

（1）记录事件类型

例如，被产品安全策略匹配的访问请求、检测到的攻击行为等。

（2）日志内容

例如，事件发生的日期和时间；事件发生的主体、客体和描述，其中数据包日志包括协议类型、源地址、目的地址、源端口和目的端口等；攻击事件的描述。

（3）日志管理

例如以下内容。

● 仅允许授权管理员访问日志，并提供日志查阅、导出等功能。

● 能对审计事件按日期、时间、主体、客体等条件进行查询。

● 日志存储于掉电非易失性存储介质中。

● 日志存储周期设定不小于六个月。

● 存储空间达到阈值时，能通知授权管理员，并确保审计功能的正常运行。

● 日志支持自动化备份至其他存储设备。

2.安全告警

防火墙产品应支持对第3.1.4小节中的攻击行为进行告警，并能对高频发生的相同告警事件进行合并告警，避免出现告警风暴。告警信息至少包括事件主体、事件客体、事件描述、危害级别、事件发生的日期和时间。

3.统计

（1）网络流量统计

防火墙产品应支持以图形化界面展示网络流量情况，包括但不限于以下内容。

● 按照IP地址、时间段和协议类型等条件，或以上条件的组合，对网络流量进行统计。

● 实时或以报表形式输出统计结果。

（2）应用流量统计

防火墙产品应支持以图形化界面展示应用流量情况，包括但不限于以下内容。

● 按照IP地址、时间段和应用类型等条件，或以上条件的组合，对应用流量进行统计。

● 以报表形式输出统计结果。

● 对不同时间段的统计结果进行比对。

（3）攻击事件统计

防火墙产品应支持以图形化界面展示攻击事件的情况，包括但不限于以下内容。

● 按照攻击事件的类型、IP地址和时间段等条件，或以上条件的组合，对攻击事件进行统计。

● 以报表形式输出统计结果。