A.3 區域邊界安全(C)

A.3.1 隔離(C1)

A.3.1.1 終端隔離(C101)

本類產品是同時連接兩個不同安全域，采用物理斷開技術在終端上實現安全域物理隔離的安全隔離卡或安全隔離計算機。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(C101)。

A.3.1.2 網絡隔離(C102)

本類產品是位于兩個不同安全域之間，采用協議隔離技術在網絡上實現安全隔離與信息交換的產品。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(C102)。

A.3.1.3 網絡單向導入(C103)

本類產品位于兩個不同安全域之間，通過物理方式構造信息單向傳輸的唯一通道，實現信息單向導入，并且保證只有安全策略允許傳輸的信息可以通過，同時反方向無任何信息傳輸或反饋。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(C103)。

A.3.2 入侵防范(C2)

A.3.2.1 網絡入侵防御(C201)

本類產品在網絡入侵行為進入被保護網絡之前通過報警阻斷或干擾隔離(如蜜罐技術)等措施為網絡提供防護，目的是對網絡入侵行為進行阻止。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(C201)。

A.3.2.2 網絡惡意代碼防范(C202)

本類產品側重于防護網絡系統資源，針對惡意代碼(如木馬、惡意腳本、病毒等)的網際傳播提供過濾功能，目的是防止惡意代碼通過網絡進行擴散。

本類產品的安全功能可主要歸納為兩個方面：

a)防病毒網關；

b)網際惡意代碼防范。

任何提供以上一種或兩種功能，且該功能為主導性功能的產品，均可歸入本類(C202)。

A.3.2.3 抗拒絕服務攻擊(C203)

本類產品用于識別和攔截攻擊者通過消耗過量系統資源(如計算資源、帶寬資源等)而導致系統不能及時執行合法用戶任務的攻擊，目的是保障系統可用性。

本類產品的安全功能可主要歸納為兩個方面：

a)當遇到大量用戶請求時，可以識別出合法用戶的請求而給予響應；

b)當遇到大量用戶請求時，可以動態分配資源從而保障通信暢通。

任何提供以上一種或兩種功能，且該功能為主導性功能的產品，均可歸入本類(C203)。

A.3.3 邊界訪問控制(C3)

A.3.3.1 防火墻(C301)

本類產品部署于不同安全域之間，針對系統的網絡數據流入/流出提供深度內容檢測和防御，目的是阻止安全域外部連接的非授權進入內部或者是內部的異常行為或流量外發，以及通過多元素、精細化的訪問控制手段阻斷特定的內外連接。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(C301)。

A.3.3.2 安全路由器(C302)

本類產品集成常規路由功能與網絡安全功能， 除普通路由功能以外， 內置防火墻、IPSec等模塊， 提供網絡互連、流量控制、網絡和信息安全維護等安全功能，目的是阻止安全域外部連接的非授權進入內部，以及保障網絡通信的安全性。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(C302)。

A.3.3.3 安全交換機(C303)

本類產品在傳統的交換功能的基礎上， 提供了基于ACL的報文過濾、CPU過載保護、廣播風暴控制、VLAN、基于802.1X的接入控制等安全功能， 目的是保障安全域數據交換的安全性。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(C303)。

A.3.4 接入安全(C4)

終端接入控制(C401)

本類產品提供對接入網絡的終端進行訪問控制的功能，能發現終端接入網絡的行為，并能根據訪問控制策略采取行動(如允許授權終端接入、斷開非授權的終端連接等)，目的是通過對終端接入的控制，保障安全域邊界安全。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(C401)。

A.3.5 區域邊界安全其他(CX)

不能歸為上述4類的區域邊界安全類產品暫歸為區域邊界安全其他類(CX)。