参照规范
- 《信息安全技术防火墙安全技术要求和测试评价方法》
- 《信息安全技术 工业控制系统专用防火墙技术要求》
(一)安全功能指标
安全功能指标 | 功能描述 | |
1 | 网络接口 | 所能保护的网络类型,如以太网、快速以太网、干兆以太网、ATM、令牌环及FDDI等 |
2 | 协议支持 | 除支持IP协议外,还支持AppleTalk、IPX及NETBEUI等协议:建立VPN通道协议IPSec、PPTP等 数据协议分析类型、工控协议分析类型、应用协议识别类型;IPv6协议支持 |
3 | 路由支持 | 静态路由、策略路由、动态路由 |
4 | 设备虚拟化 | 虚拟系统、虚拟化部署 |
5 | 加密支持 | 所能够支持的加密算法,如DES、RC4、IDEA、AES以及国密算法 |
6 | 认证支持 | 所能够支持的认证类型,如RADIUS、Kerberos,TACACS/TACACS+、口令方式、数字证书等 |
7 | 访问控制 | 包过滤、NAT、状态检测、动态开放端口、IP,MAC地址绑定 |
8 | 流量管理 | 带宽管理、连接数控制、会话管理 |
9 | 应用层控制 | 用户管控、应用类型控制、应用内容控制、负载均衡 |
10 | 攻击防护 | 拒绝服务攻击防护、Web攻击防护、数据库攻击防护、恶意代码防护、其他应用攻击防护、自动化工具威胁防护、攻击逃逸防护、外部系统协同防护 |
11 | 管理功能 | 所能够支持的管理方式,如基于SNMP管理、管理的通信协议、带宽管理、负载均衡管理、失效管理、用户权限管理、远程管理和本地管理等 |
12 | 审计和报表 | 所能够支持的审计方式和分析处理审计数据的表达形式,如远程审计、本地审计等 |
(二)性能指标
指标 | 说明 | |
1 | 最大吞吐量 | 在只有1条默认允许规则和不丢包情况下达到的最大吞吐速率 如网络层吞吐量、HTTP吞吐量、SQL吞吐量 |
2 | 最大连接速率 | TCP新建连接速率、HTTP请求速率、SQL请求速率 |
3 | 最大规则数 | 在添加大量访问规则情况下,防火墙性能变化状况 |
4 | 并发连接数 | 单位时问内所能建立的最大TCP连接数,每秒连接数 |
(三)安全保障指标
用于测评防火墙安全保障程度,包括技术、指导性文档、生命周期支持、测试、脆弱性评定
(四)环境适应性指标
评估防火墙部署和正常运行所需条件
- 网络环境:IPv4/IPv6网络、云计算环境、工控网络
- 物理环境:气候、电磁兼容、绝缘、接地、机械适应性、外壳防护等
(五)自身安全指标
评价指标有身份识别与鉴别、管理能力、管理审计、管理方式、异常处理机制、防火墙操作系统安全等级、抗攻击能力等