6.1 安全功能要求

6.1.1 組網與部署

6.1.1.1 部署模式

產品應支持以下部署模式：

a)透明傳輸模式；

b)路由轉發模式；

c)反向代理模式。

6.1.1.2 路由

6.1.1.2.1 靜態路由

產品應支持靜態路由功能，且能配置靜態路由。

6.1.1.2.2 策略路由

具有多個相同屬性網絡接口(多個外部網絡接口、多個內部網絡接口或多個DMZ網絡接口) 的產品，應支持策略路由功能，包括但不限于：

a)基于源、目的IP策略路由；

b)基于接口的策略路由；

c)基于協議和端口的策略路由；

d)基于應用類型的策略路由；

e)基于多鏈路負載情況自動選擇路由。

6.1.1.2.3 動態路由

產品應支持動態路由功能， 包括 RIP、OSPF 或 BGP 中一種或多種動態路由協議。

6.1.1.3 高可用性

6.1.1.3.1 冗余部署

產品應支持“主-備”、“主-主”或“集群”中的一種或多種冗余部署模式。

6.1.1.3.2 負載均衡

產品應支持負載均衡功能，能根據安全策略將網絡流量均衡到多臺服務器上。

6.1.1.4 設備虛擬化(可選)

6.1.1.4.1 虛擬系統

若產品支持在邏輯上劃分為多個虛擬子系統，虛擬子系統間應支持隔離和獨立管理，包括但不限于：

a)對虛擬子系統分別設置管理員，實現針對虛擬子系統的管理配置；

b)虛擬子系統能分別維護路由表、安全策略和日志系統；

c)對虛擬子系統的資源使用配額進行限制。

6.1.1.4.2 虛擬化部署

若產品為虛擬化形態，應支持部署于虛擬化平臺，并接受平臺統一管理，包括但不限于：

a)支持部署于一種虛擬化平臺， 如VMware ESX i、KVM、Citrix Xen server和Hyper-V等；

b)結合虛擬化平臺實現產品資源彈性伸縮，根據虛擬化產品的負載情況動態調整資源；

c)結合虛擬化平臺實現故障遷移，當虛擬化產品出現故障時能實現自動更新、替換。

6.1.1.5 IPv6 支持(可選)

6.1.1.5.1 支持 IPv6 網絡環境

若產品支持 IPv6 ， 應支持在 IPv6 網絡環境下正常工作， 能有效運行其安全功能和自身安全功能。

6.1.1.5.2 協議一致性

若產品支持 IPv6 ， 應滿足 IPv6 協議一致性的要求， 至少包括 IPv6 核心協議、IPv6NDP 協議、IPv6 Autoconfig 協議和 ICMP v6 協議。

6.1.1.5.3 協議健壯性

若產品支持 IPv6 ， 應滿足 IPv6 協議健壯性的要求， 抵御 IPv6 網絡環境下畸形協議報文攻擊。

6.1.1.5.4 支持IPv 6過渡網絡環境

若產品支持 IPv6 ， 應支持在以下一種或多種 IPv6 過渡網絡環境下工作：

a)協議轉換， 將IPv 4和IPv 6兩種協議相互轉換；

b)隧道， 將IPv 6封裝在IPv 4中穿越IPv 4網絡， 如IPv6overIPv 4、IPv6toIPv 4、ISATAP等。

6.1.2 網絡層控制

6.1.2.1 訪問控制

6.1.2.1.1 包過濾

產品的包過濾功能要求如下：

a)安全策略應使用最小安全原則，即除非明確允許，否則就禁止；

b)安全策略應包含基于源IP地址、目的IP地址的訪問控制；

c)安全策略應包含基于源端口、目的端口的訪問控制；

d)安全策略應包含基于協議類型的訪問控制；

e)安全策略應包含基于MAC地址的訪問控制；

f)安全策略應包含基于時間的訪問控制；

g)應支持用戶自定義的安全策略， 安全策略包括MAC地址、IP地址、端口、協議類型和時間的部分或全部組合。

6.1.2.1.2 網絡地址轉換

產品的網絡地址轉換功能要求如下：

a)支持SNAT和DNAT；

b)SNAT應實現“多對一”地址轉換， 使得內部網絡主機訪問外部網絡時， 其源IP地址被轉換；

c)DNAT應實現“一對多”地址轉換， 將DMZ的IP地址/端口映射為外部網絡合法IP地址/端口， 使外部網絡主機通過訪問映射地址和端口實現對DMZ服務器的訪問；

d)支持動態SNAT技術， 實現“多對多”的SNAT。

6.1.2.1.3 狀態檢測

產品應支持基于狀態檢測技術的包過濾功能，具備狀態檢測能力。

6.1.2.1.4 動態開放端口

產品應支持協議的動態端口開放，包括但不限于：

a)FTP協議；

b)H.323等音視頻協議。

6.1.2.1.5 IP/MAC 地址綁定

產品應支持自動或手工綁定IP/MAC地址， 當主機的IP地址、MAC地址與IP/MAC綁定表中不一致時，阻止其流量通過。

6.1.2.2 流量管理

6.1.2.2.1帶寬管理

產品應支持帶寬管理功能，能根據策略調整客戶端占用的帶寬，包括但不限于：

a)根據源IP、目的IP、應用類型和時間段的流量速率或總額進行限制；

b)根據源IP、目的IP、應用類型和時間段設置保障帶寬；

c)在網絡空閑時自動解除流量限制，并在總帶寬占用率超過閾值時自動啟用限制。

6.1.2.2.2 連接數控制

產品應支持限制單IP的最大并發會話數和新建連接速率，防止大量非法連接產生時影響網絡性能。

6.1.2.2.3 會話管理

在會話處于非活躍狀態一定時間或會話結束后，產品應終止會話。

6.1.3 應用層控制

6.1.3.1 用戶管控

產品應支持基于用戶認證的網絡訪問控制功能，包括但不限于：

a)本地用戶認證方式；

b)結合第三方認證系統， 如基于Radius、LDAP服務器的認證方式。

6.1.3.2 應用類型控制

產品應支持根據應用特征識別并控制各種應用類型，包括：

a)HTTP 協議；

b)數據庫協議；

c)FTP、TELNET、SMTP、POP 3 和 IMAP 等常見協議；

d)即時聊天類、P2P類、網絡流媒體類、網絡游戲、股票交易類等應用；

e)逃逸或隧道加密特點的應用，如加密代理類應用；

f)自定義應用。

6.1.3.3 應用內容控制

6.1.3.3.1 WEB 應用

產品應支持基于以下內容對WEB應用的訪問進行控制， 包括但不限于：

a) URL 網址， 并具備分類網址庫；

b) HTTP 傳輸內容的關鍵字；

c) HTTP 請求方式， 包括 GET、POST、PUT、HEAD 等；

d) HTTP 請求文件類型；

e) HTTP 協議頭中各字段長度， 包括 general-header、request-header、response-header 等；

f) HTTP 上傳文件類型；

g) HTTP 請求頻率；

h) HTTP 返回的響應內容， 如服務器返回的出錯信息等；

i)支持 HTTPS 流量解密。

6.1.3.3.2 數據庫應用

產品應支持基于以下內容對數據庫的訪問進行控制，包括但不限于：

a)訪問數據庫的應用程序、運維工具；

b)數據庫用戶名、數據庫名、數據表名和數據字段名；

c)SOL語句關鍵字、數據庫返回內容關鍵字；

d)影響行數、返回行數。

6.1.3.3.3 其他應用

產品應支持基于以下內容對FTP、TELNET、SMTP、POP 3和IMAP等應用進行控制， 包括但不限于：

a)傳輸文件類型；

b)傳輸內容，如協議命令或關鍵字。

6.1.4 攻擊防護

6.1.4.1 拒絕服務攻擊防護

產品具備特征庫，應支持拒絕服務攻擊防護功能，包括但不限于：

a) ICMP Flood 攻擊防護；

b) UDP Flood 攻擊防護；

c) SYN Flood 攻擊防護；

d) TearDrop 攻擊防護；

e) Land 攻擊防護；

f) Ping of Death 攻擊防護；

g) CC 攻擊防護。

6.1.4.2 WEB攻擊防護

產品具備特征庫， 應支持WEB攻擊防護功能， 包括但不限于：

a) SQL 注人攻擊防護；

b) XSS 攻擊防護；

c)第三方組件漏洞攻擊防護；

d)目錄遍歷攻擊防護；

e) Cookie 注人攻擊防護；

f) CSRF 攻擊防護；

g)文件包含攻擊防護；

h)盜鏈防護；

i) OS 命令注人攻擊防護；

j) WEBshell 識別和攔截；

k)反序列化攻擊防護。

6.1.4.3 數據庫攻擊防護

產品具備特征庫，應支持數據庫攻擊防護功能，包括但不限于：

a)數據庫漏洞攻擊防護；

b)異常 SQL 語句阻斷；

c)數據庫拖庫攻擊防護；

d)數據庫撞庫攻擊防護。

6.1.4.4 惡意代碼防護

產品具備特征庫，應支持惡意代碼防護功能，包括但不限于：

a)能攔截典型的木馬攻擊行為；

b)檢測并攔截被 HTTP 網頁和電子郵件等攜帶的惡意代碼。

6.1.4.5 其他應用攻擊防護

產品具備特征庫，應支持防護來自應用層的其他攻擊，包括但不限于：

a)操作系統類漏洞攻擊防護；

b)中間件類漏洞攻擊防護；

c)控件類漏洞攻擊防護。

6.1.4.6 自動化工具威脅防護

產品具備特征庫，應支持防護自動化工具發起的攻擊，包括但不限于：

a)網絡掃描行為防護；

b)應用掃描行為防護；

c)漏洞利用工具防護。

6.1.4.7 攻擊逃逸防護

產品應支持檢測并阻斷經逃逸技術處理過的攻擊行為。

6.1.4.8 外部系統協同防護

產品應提供聯動接口，能通過接口與其他網絡安全產品進行聯動，如執行其他網絡安全產品下發的安全策略等。

6.1.5 安全審計、告警與統計

6.1.5.1 安全審計

產品應支持安全審計功能，包括但不限于：

a)記錄事件類型：

1)被產品安全策略匹配的訪問請求；

2)檢測到的攻擊行為。

b)日志內容：

1)事件發生的日期和時間；

2)事件發生的主體、客體和描述，其中數據包日志包括協議類型、源地址、目標地址、源端口和目標端口等；

3)攻擊事件的描述。

c)日志管理：

1)僅允許授權管理員訪問日志，并提供日志查閱、導出等功能；

2)能對審計事件按日期、時間、主體、客體等條件查詢；

3)日志存儲于掉電非易失性存儲介質中；

4)日志存儲周期設定不小于六個月；

5)存儲空間達到閾值時，能通知授權管理員，并確保審計功能的正常運行；

6)日志支持自動化備份至其他存儲設備。

6.1.5.2 安全告警

產品應支持對 6.1.4 中的攻擊行為進行告警，并能對高頻發生的相同告警事件進行合并告警，避免出現告警風暴。告警信息至少包括以下內容：

a)事件主體；

b)事件客體；

c)事件描述；

d)危害級別；

e)事件發生的日期和時間。

6.1.5.3 統計

6.1.5.3.1 網絡流量統計

產品應支持以圖形化界面展示網絡流量情況，包括但不限于：

a)按照IP、時間段和協議類型等條件或以上條件組合對網絡流量進行統計；

b)實時或以報表形式輸出統計結果。

6.1.5.3.2 應用流量統計

產品應支持以圖形化界面展示應用流量情況，包括但不限于：

a)按照IP、時間段和應用類型等條件或以上條件組合對應用流量進行統計；

b)以報表形式輸出統計結果；

c)對不同時間段的統計結果進行比對。

6.1.5.3.3 攻擊事件統計

產品應支持以圖形化界面展示攻擊事件情況，包括但不限于：

a)按照攻擊事件類型、IP和時間段等條件或以上條件組合對攻擊事件進行統計；

b)以報表形式輸出統計結果。