GB/T 18019-1999信息技术　包过滤防火墙安全技术要求.pdf

GB/T 18019-1999 健绪 前 b 本标准规定了采用 “传输控制协议／网间协议”的包过滤防火墙的安全技术要求。 本标准由国家信息化办公室提出。 本标准由全国信息技术标准化技术委员会归口。 本标准起草单位：中国国家信息安全测评认证中心、电子部30所。 本标准主要起草人：昊世忠、陈晓桦、龚奇敏、张桂清、杨燕伟、贺卫东、黄元飞。 中华人 民共和 国国家标 准 信 息 技 术 包过滤防火墙安全技术要求 GB/T 18019-1999 Informationtechnology一 Securityrequirementsforpacketfilterfirewalls 范围 本标准规定了采用 “传输控制协议 ／网间协议 T（CP/IP)”的包过滤防火墙产品或系统的安全技术要 本标准适用于防火墙产品或系统安全功能的研制、开发、测试、评估和产品的采购。 2 引用标准 下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均 为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准必威体育精装版版本的可能性。 GB/T9387.2-1995 信息处理系统 开放系统互连 基本参考模型 第2部分：安全体系结构 (idtISO 7498-2：1989) 3 定义和记法约定 本章给出本标准中使用的术语和记法约定。 3.1 术语定义 本标准采用了GB/T9387.2中的下列术语和定义： 审计 audit 鉴别 authentication 密钥管理 keymanagement 下列术语适用于本标准。 3.1.1 用户 user 一个在防火墙外与防火墙相互作用的人，此人不具有能够影响防火墙安全策略执行的特权。 3.1.2 授权管理员 authorizedadministrator 任何具有旁路或绕过防火墙安全策略权限的个人。本标准中的 “授权管理员”特指防火墙的管理员， 其职责不包括网络管理。 3.1.3 主机 host 一台在防火墙外与防火墙相互作用的机器，它不具有能够影响防火墙安全策略执行的特权。 3.1.4 可信主机 trustedhost 任何具有旁路或绕过防火墙安全策略权限的机器。 3.2 记法约定 细化：用于增加某一功能要求的细节，从而进一步限制该项要求。对功能要求的细化用黑体字表示。 国家质f技术监督局1999-11一11批准 2000-05-01实施 GB/T 18019-1999 示例见0 选择：用于从对某一功能要求的陈述中突出一个或多个选项，用带万圳翼劣粼举字表示。示例见 。 赋值：用于将一个特定值赋给某个未定参数，如某个 口令字的长度。赋值出现在方括号中，要〔赋予 的值〕表示某个值。示例见0 4 包过滤防火墙概述 本标准规定包过滤防火墙的最低安全要求，指出该类防火墙应对付的威胁，定义其实现的安全 目标 及环境，提出安全功能和安全保证要求。 防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经 过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。虽然防火墙的体系结构和技术 多种多样，但防火墙产品主要分为两类：包过滤和应用网关。本标准规定了包过滤防火墙的最低安全要 求。 符合本标准的防火墙在内外网络之间的位置的逻辑表示如图1所示。包过滤防火墙应根据站点的 安全策略，在内部网络和外部网络之间选择性地过滤包。其过滤规则主要是根据源地址、目的地址、协 议、源端口、目的端口以及包到达或发出的接口而定。 外部网 防火堵 内翻网