防火墙防火墙技术

《信息安全技术防火墙技术要求和测试评价方法》编制说明工作简况任务来源国家发改委颁布了发改办高技[2012]288号文《国家发展改革委办公厅关于组织实施2012年国家下一代互联网信息安全专项有关试点和标准工作事项的通知》,开展实施一系列共81个下一代互联网信息安全标准的"下一代互联网信息安全标准专项项目".
防火墙作为发改委重点扶持发展的十类下一代信息安全产品之一,表明了防火墙在下一代互联网信息安全产品中的地位,其标准的建设工作至关重要.
因此本标准项目建设工作主要是为配合国家下一代互联网产业中信息安全产品层面的推广和落地.

经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制定防火墙技术要求和测试评价方法的国家标准.
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部计算机信息系统安全产品质量监督检验中心(公安部第三研究所)负责主办.

协作单位在接到《信息安全技术防火墙技术要求和测试评价方法》标准的任务后,公安部计算机信息系统安全产品质量监督检验中心立即与各生产防火墙的厂商进行沟通,并得到了多家业内知名厂商的积极参与和反馈.
经过层层筛选之后,最后确定由启明星辰信息技术有限公司、北京网康科技有限公司和华为技术有限公司作为标准编制协作单位.

主要工作过程1.
3.
1成立编制组2012年12月接到标准编制任务,组建标准编制组,由本检测中心、启明星辰、华为及北京网康联合编制.
检测中心的编制组成员均具有资深的防火墙产品检测经验、有足够的标准编制经验、熟悉CC;其他厂商的编制成员均为防火墙的研发负责人及主要研发人员.

检测中心人员包括俞优、顾健、邹春明、沈亮、陆臻等;厂商包括王光宇、吕颖轩、王平等.
1.
3.
2制定工作计划编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况.
1.
3.
3参考资料该标准编制过程中,主要参考了:GB/T5271.
8-2001信息系统词汇第8部分:安全GB17859-1999计算机信息系统安全保护划分准则GB/T18336.
3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法GB/T22239-2008信息安全技术信息系统安全等级保护基本要求近几年到本检测中心所送检的相关防火墙产品及其技术资料1.
3.
4确定编制内容经标准编制组研究决定,以原国标内容和发改委专项测试要求为理论基础,以现有防火墙的发展动向为研究目标,以GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》为主要参考依据,完成《信息安全技术防火墙技术要求和测试评价方法》标准的编制工作.
1.
3.
5编制工作简要过程按照项目进度要求,编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作.
2013年1月,完成了对防火墙的相关技术文档和有关标准的前期基础调研.
在调研期间,主要对我检测中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析,对国内外相关产品的发展动向进行了研究,对相关产品的技术文档和标准进行了分析理解.

2013年2月完成了标准草案的编制工作.
以编制组人员收集的资料为基础,在不断的讨论和研究中,完善内容,最终形成了本标准草稿(第一稿).
2013年3月,编制组在检测中心内部对标准草稿(第一稿)进行了讨论,修改完成后形成草稿(第二稿).
2013年4月,编制组以意见征求会形式邀请深圳市深信服电子科技有限公司、北京中科网威信息技术有限公司等厂商进行现场征求意见,根据反馈意见,增加了透明传输部署模式、多重鉴别、双机热备和带宽管理等要求.

2013年6月,编制组以邮件方式征求了北京启明星辰信息安全技术有限公司、华为技术有限公司、北京网康科技有限公司等参与编制厂商的意见,根据反馈意见,增加连接数控制、会话管理、用户管控、审计空间耗尽处理等主要要求.
通过修改,形成了草稿(第三稿).

2013年7月,WG5工作组在上海召开了标准评审专家会,与会专家对本标准进行了认真审议,并提出了相关意见和建议.
经过与会专家的评审,评审组同意通过评审.
编制组根据专家意见进行修改完善,形成了征求意见稿(第一稿).

2013年8月,WG5工作组组织成员单位对本标准进行投票,全部为赞成票.
根据成员单位反馈的意见,标准编制组对标准进行了修改完善,形成了征求意见稿(第二稿).
2013年9月,冯慧老师对本标准的格式、用语等方面提出了的修改建议,标准编制组依据专家意见进行了修改,形成了征求意见稿(第三稿).
1.
3.
6起草人及其工作标准编制组具体由俞优、邹春明、沈亮、陆臻、顾健等人组成.
俞优全面负责标准编制工作,包括制定工作计划、确定编制内容和整体进度、人员的安排;邹春明和沈亮主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作;陆臻负责标准校对审核等工作;顾健主要负责标准编制过程中的各项技术支持和整体指导.

标准主要内容2.
1编制原则为了使防火墙标准的内容从一开始就与国家标准保持一致,本标准的编写参考了其他国家有关标准,主要有GB/T17859-1999、GB/T20271-2006、GB/T22239-2008和GB/T18336-2008.
本标准符合我国的实际情况,遵从我国有关法律、法规的规定.
具体原则与要求如下:1)先进性标准是先进经验的总结,同时也是技术的发展趋势.
目前,我国防火墙产品种类繁多,功能良莠不齐,要制定出先进的产品国家标准,必须参考国内外先进技术和标准,吸收其精华,才能制定出具有先进水平的标准.
本标准的编写始终遵循这一原则.

2)实用性标准必须是可用的,才有实际意义,因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,广泛了解了市场上主流产品的功能,吸收其精华,制定出符合我国国情的、可操作性强的标准.

3)兼容性本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致.
编制组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规.
2.
2编制思路目前,我国开展信息安全管理的纲领性文件有两个,一个GB17859,另一个是GB/T18336.
这两个国家标准从提纲挈领的角度规定了我国开展信息安全管理和信息安全产品标准编制的基本原则.
具体理由阐述如下:从20世纪80年代开始,世界各国相继制定了多个信息技术安全评价标准.
这些标准中美国国防部发布的可信计算机系统评估准则(TCSEC)是这方面最早的标准.
在TCSEC发布后的十多年里,美国政府和机构的信息系统安全性有了较大程度的提高,特别是在操作系统和数据库方面,开创了安全标准的先河.
根据TCSEC而进行的评估项目已经向一百多种商业安全产品颁发了证书,达到C2级的操作系统安全已得到世界上广泛的承认.
并随后引发了加拿大和欧洲等国进行相似标准的研发.

随着信息安全的不断向前推进,人们发现TCSEC的一些要求太严格,以致限制了其应用范围,需要新的评估准则来完成TCSEC所不能完成的使命.
同时,信息安全产品的厂商迫切需要一种国际性的评估准则,而不是各国各自的不同准则来评估其产品,这样产品的国际市场将大大拓宽.
因此,1996年,CC作为时代发展的产物被推上了历史的舞台.

为了更好的实现由TCSEC向CC的平稳过渡,美国国防部下属机构,"国家安全电信与信息系统安全委员会"(简称NSTISSC,现已更名为"国家系统安全委员会"简称CNSS)于1999年3月发布了"关于可信计算机评估准则向国际信息技术安全评估通用准则过渡的咨询备忘录"(NSTISSAMCOMPUSEC/1-99).
"目前采用TCSEC准则进行评估的安全项目仍可进行,但自1999年2月1日起,任何新的安全产品必须采用CC来评估.
截止到2001年12月31日,之前所有采用TCSEC进行评估的产品要么废止,要么将TCSEC级别相应转换为CC的保证级别,否则所有TCSEC级别将被视为无效.
"目前,NSA根据CC已将TCSEC中的C2、B1、B2、B3级操作系统形成了各自的PP,各类防火墙的PP已经完成.
根据此备忘录的精神,国家计算机安全处(NCSC)出版的包括TCSEC在内的彩虹系列在之后的时间里分别根据CC的需求进行相应的分类,要么不再采用,要么修改采用以满足CC的需求.
CC根据"安全保证要求"不断递增而分为7个保证级,但实际上除了这7个保证级外,"保护轮廓"(PP)根据数据的敏感性、信息所面对的威胁级别等要求也分为三种强健性级别:基本、中等、高级.
因此,即使是同种产品,由于应用于不同强健级别的环境中,对其安全功能要求不同,故PP的级别不同.
这一点在本质上与TCSEC的按安全功能要求分为5级是相似的,也是CC在理论上承继TCSEC的具体体现.
上述资料表明,TCSEC与CC两者虽然在不同的历史时期出现,但在本质上它们是一脉相承,互相融合的.
由于信息技术及市场需求的发展,TCSEC准则在过渡到CC的时候,将自身有价值的方面融入新出现的CC准则中,让其不断发扬光大.

另一方面,TCSEC进入中国以后,也结合中国的特点进行了修改与完善,并形成了强制性国家标准GB17859.
GB17859首先对计算机信息系统及其可信计算基(TCB)作了规范性说明,指出:"计算机信息系统"是由计算机及其相关的配套设备、设施(含网络)构成的,按照一定的应用目标和规格对信息进行采集、加工、存储、传输、检索等处理的人机系统,而"可信计算基"则是计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体.
它建立了一个基本的保护环境,并提供一个可信计算系统所要求的附加用户服务.

GB17859在系统、科学地分析计算机信息系统安全问题的基础上,结合我国信息系统建设的实际情况,从技术角度将计算机信息系统安全保护等级划分为五个级别,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级.
这五个级别定义了不同强度的信息系统保护能力,包含有不同要素和不同强度的安全控制.
安全保护能力从第一级到第五级逐级增强.

从某种意义上说,GB17859代表了中国信息安全的实际需求,GB/T18336则代表了与国际接轨的需求.
所以,基于TCSEC的GB17859与翻译自ISO/IEC15408的GB/T18336共同组成了我国信息安全标准体系的两大基础.
作为单一的信息安全产品标准,必须同时兼顾GB17859与GB/T18336的要求,才能做到既有特色与又能兼容,满足国家主管部门、厂商与用户对防火墙标准的实际需求.
所以,本标准的编制将主要基于GB17859和GB/T18336进行.
2.
3标准内容2.
3.
1标准结构本标准的编写格式和方法依照GB/T1.
1-2009标准化工作导则第一部分:标准的结构和编写规则.
本标准主要结构包括如下内容:范围2.
规范性引用文件3.
术语和定义4.
缩略语5.
防火墙描述6.
技术要求7.
测试评价方法2.
3.
2主要内容2.
3.
2.
1范围、规范性引用文件、术语和定义和缩略语该部分定义了本标准适应的范围,所引用的其它标准情况,及以何种方式引用,术语和定义部分明确了该标准所涉及的一些术语.
在术语中明确了"防火墙"、"深度包检测"、"深度内容检测"、"SQL注入"和"跨站脚本"等重要概念.
2.
3.
2.
2防火墙描述防火墙的目的是在不同的安全域之间建立安全控制点,根据预先定义的访问控制策略和安全防护策略,解析和过滤经过防火墙的数据流,实现向被保护的安全域提供访问可控的服务请求.
此外,适用于下一代互联网网络环境的防火墙的协议栈除支持IPv4技术外,还应支持IPv6、IPv4/IPv6过渡技术.

防火墙保护的资产是受安全策略保护的网络服务和资源等,此外,防火墙本身及其内部的重要数据也是受保护的资产.
防火墙通常以路由模式或透明模式运行,且一般将网络划分为若干个安全域,通过安全策略实现对不同安全域间服务和访问的审计和控制.

下图1是防火墙的一个典型运行环境.
它将网络分为内部网络、外部网络和DMZ三个区域.
内部网络是一个可信区域,外部网络是一个不可信区域,DMZ中的服务器可以向外部网络和内部网络用户提供应用服务.

图1防火墙典型运行环境2.
3.
2.
3技术要求标准将防火墙技术要求分为安全功能、安全保证、环境适应性和性能要求四个大类.
其中,安全功能要求是对防火墙应具备的安全功能提出具体要求,包括网络层控制、应用层控制和安全运维管理;安全保证要求针对防火墙的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发和指南文件等;环境适应性要求是对防火墙的部署模式和应用环境提出具体的要求;性能要求则是对防火墙应达到的性能指标作出规定,包括吞吐量、延迟、最大并发连接数和最大连接速率.

此外,按照防火墙安全功能要求强度,以及参照GB/T18336.
3-2008,对防火墙安全等级进行划分.
安全等级分为基本级和增强级,安全功能强弱和安全保证要求高低是等级划分的具体依据.
安全等级突出安全特性,环境适应性要求和性能要求不作为等级划分依据.

一、安全功能要求产品安全功能要求主要对产品实现的功能进行了要求.
主要包括网络层控制、应用层控制和安全运维管理三部分.
其中网络层控制包括:包过滤、NAT、状态检测、策略路由、动态端口开放、IP/MAC绑定、流量会话管理、抗拒绝服务攻击和网络扫描防护等;应用层控制包括:用户管控、应用协议控制、应用内容控制、恶意代码防护和应用攻击防护;安全运维管理包括:运维管理、安全审计、安全管理和高可用性.
表1安全功能要求分级说明安全功能要求基本级增强级网络层控制包过滤**NAT***状态检测**策略路由***动态开放端口***IP/MAC地址绑定**流量会话管理流量统计**带宽管理*连接数控制**会话管理*抗拒绝服务攻击**网络扫描防护***应用层控制用户管控*应用协议控制**应用内容控制*恶意代码防护*应用攻击防护*安全运维管理运维管理***安全审计**安全管理管理口独立**安全支撑系统**异常处理机制**高可用性双击热备*负载均衡*注:"*"表示具有该要求,"**"表示要求有所增强.
二、安全保证要求该部分对产品的开发和使用文档的内容进行了要求,包括配置管理、交付与运行、开发、指导性文档、生命周期支持、测试保证和脆弱性分析保证.
表2安全保证要求分级说明安全保证要求基本级增强级配置管理部分配置管理自动化*配置管理能力版本号**配置项**授权控制*产生支持和接受程序*配置管理范围配置管理覆盖*问题跟踪配置管理覆盖*交付与运行交付程序**修改检测*安装、生成和启动程序**开发功能规范非形式化功能规范**充分定义的外部接口*高层设计描述性高层设计**安全加强的高层设计*安全功能实现的子集*描述性低层设计*非形式化对应性证实**非形式化产品安全策略模型*指导性文档管理员指南**用户指南**生命周期支持安全措施标识*开发者定义的生命周期模型*明确定义的开发工具*测试测试覆盖覆盖证据**覆盖分析*测试:高层设计*功能测试**独立测试一致性**抽样**脆弱性评定误用指南审查*分析确认*产品安全功能强度评估**脆弱性分析开发者脆弱性分析**独立的脆弱性分析*中级抵抗力*三、环境适应性要求该部分对防火墙产品的部署模式、以及对下一代互联网环境的适应性支持.
四、性能要求该部分对防火墙的吞吐量、延迟、最大并发连接数、最大连接速率和最大事务数等性能指标进行了要求.
2.
3.
2.
4安全功能基本原理本部分资料用以说明防火墙安全功能要求产生的过程.
下述内容详细描述了与防火墙安全需求相关的使用环境、安全风险和组织策略,定义了防火墙及其支撑环境的安全目的,并通过对应关系论证了安全功能要求能够追溯并覆盖产品安全目的,安全目的能够追溯并覆盖安全需求相关的使用环境、安全风险和组织策略.

一、安全需求1、使用环境防火墙安全需求相关的使用环境如表3所示.
表3使用环境使用环境名称使用环境描述物理访问所有实施防火墙安全策略相关的硬件和软件应受到保护,以免受非授权的物理更改人员能力只用授权的管理员才能直接访问或远程访问防火墙;授权管理员是无恶意的,训练有素的,并遵循管理员指南连接性防火墙是被分隔的安全域网络之间的唯一连接点安全维护当防火墙的应用环境发生变化时,应立即反映在产品的安全策略中并保持其安全功能有效2、安全风险防火墙安全需求相关的安全风险如表4所示.
表4安全风险安全风险名称安全风险描述未授权访问非授权用户可能试图访问和使用防火墙提供的安全功能;未授权用户是指除防火墙授权用户之外所有已经或可能企图访问的人未授权信息流入、流出未授权的信息流的流入\流出,可能导致外网非法信息的入侵或内网信息的泄露网络地址欺骗攻击外部网络的用户可能尝试伪装利用内网网络地址,访问内部资源网络恶意攻击攻击者可能对内部受保护的网络或主机进行攻击,这类攻击可能已拒绝服务和穿透主机或网络节点为目的应用恶意攻击攻击者可能对内部受保护的服务资源进行攻击,这类攻击可能以恶意代码的形式进入网络,导致服务资源的信息泄露或崩溃绕开鉴别机制攻击攻击者可能绕过或欺骗身份鉴别机制,假冒授权管理员或侵入已建立的会话连接.
例如,拦截鉴别信息、重放有效地鉴别数据以及截取会话连接等攻击持续鉴别攻击非授权用户可能通过反复猜测鉴别数据的方法,进一步获取管理员权限审计记录丢失或破坏攻击者可能采取耗尽审计存储空间的方法导致审计记录丢失或破坏设备脆弱性攻击攻击者可能通过防火墙的自身缺陷进行攻击,导致产品权限丢失或功能故障设备状态异常防火墙可能出现超负载、断电故障等异常情况,导致防火墙无法提供正常服务3、组织策略防火墙安全需求相关的组织策略如表5所示.
表5组织策略组织策略名称组织策略描述安全审计为追踪与安全相关活动的责任,防火墙应对与安全相关的事件进行记录、保存和审查,并提供一种可理解方式供管理员读取安全管理防火墙应为授权管理员提供管理手段,使其以安全的方式进行管理二、安全目的基本原理1、产品安全目的表6定义了防火墙的安全目的.
这些安全目的旨在对应已标识的安全风险或组织策略.
表6产品安全目的产品安全目的名称产品安全目的描述对应的安全风险或组织策略身份认证在允许用户访问产品功能之前,产品必须对用户身份进行唯一的标识和鉴别未授权访问信息流控制防火墙应控制流入\流出防火墙的信息流,除了一般的协议控制之外,还应包括对信息的深度检测并控制未授权信息流入、流出抗攻击渗透防火墙应能抵抗地址欺骗、拒绝服务、网络扫描、恶意代码、应用漏洞等常见攻击网络地址欺骗攻击网络恶意攻击应用恶意攻击鉴别失败处理防火墙应具备安全机制防止恶意用户反复猜测鉴别数据持续鉴别攻击审计记录保护审计记录应受到充分保护,防火墙应具备防止事件记录丢失的措施审计记录丢失或破坏自身保护为更好地防范防火墙自身的漏洞,应确保底层支撑系统的可靠性和稳定性;此外防火墙还应保护授权管理员的通信会话连接绕开鉴别机制攻击设备脆弱性攻击失效处理防火墙应具备负载均衡、双击热备等高可用性保证措施设备状态异常安全审计产品应记录安全相关的事件,以便追踪安全相关行为的责任,并应提供方法审查所记录的数据未授权信息流入、流出网络恶意攻击审计记录丢失或破坏审计安全管理产品应向授权管理员提供以安全方式进行管理的有效手段管理2、环境安全目的表7定义了非技术或程序方法进行处理的安全目的.
该部分确定的使用环境被包含在环境安全目的中.
表7环境安全目的环境安全目的名称环境安全目的描述对应的使用环境物理访问所有实施防火墙安全策略相关的硬件和软件应受到保护,以免受非授权的物理更改物理访问人员能力只用授权的管理员才能直接访问或远程访问防火墙;授权管理员是无恶意的,训练有素的,并遵循管理员指南人员能力连接性防火墙是被分隔的安全域网络之间的唯一连接点连接性安全维护当防火墙的应用环境发生变化时,应立即反映在产品的安全策略中并保持其安全功能有效安全维护三、安全功能要求基本原理表8说明了安全功能要求的充分必要性的基本原理,即每个产品安全目的都至少有一个安全功能要求与其对应,每个安全功能要求都至少解决了一个产品安全目的,因此安全功能要求是充分和必要的.
表8中的"("即表明对应关系.

表8安全功能要求基本原理产品安全目的产品功能要求身份认证信息流控制抗攻击渗透鉴别失败处理审计记录保护自身保护失效处理安全审计安全管理网络层控制包过滤((NAT(状态检测(策略路由(动态开放端口(IP/MAC地址绑定((流量会话管理((抗拒绝服务攻击((网络扫描防护((应用层控制用户管控(应用协议控制(应用内容控制(恶意代码防护((应用攻击防护((安全运维管理运维管理((((安全审计(((安全管理((((高可用性((2.
3.
2.
5新旧国家标准对比本标准与GB/T20281-2006的主要差异如下:——增加了高性能防火墙的描述;——增加了防火墙的功能分类;——加强了防火墙的应用层控制能力;——增加了下一代互联网协议支持能力的要求;——级别统一划分为基本级和增强级.
2.
4编制的背景和意义2011年12月23日温家宝总理在国务院常务会议上,明确提出了研究部署加快发展我国下一代互联网产业的目标.
表明了在我国将全面启动IPv6,并在2015年开展大规模商用.
IPv6作为发展下一代互联网技术和物联网技术的关键环节.
随着IPv6的推广与普及,原有的信息安全产品必然面临着全新的设计与实现.
一方面,现有的信息安全产品必须适应IPv6的网络环境;另一方面,随着IPv6使用时间的延伸,新的安全问题必将逐渐暴露,新的安全防护技术也必将逐渐产生.
这必将对防火墙等边界安全类产品造成严重影响.
然而我国目前的IPv6规范大部分还未完成,广泛部署条件也尚未成熟.
IPv6的应用前景已经逼迫我国信息安全行业越来越关注我国IPv6技术标准的制定和开发工作.
因此,在这种需求背景下,发改委开展实施一系列共81个"下一代互联网信息安全专项标准",具体工作由公安部网络安全保卫局具体实施.
"下一代互联网关键信息安全产品相关标准项目"就是建设这81个下一代互联网IPv6系列标准中,发改委产业化扶持的三类/十个下一代互联网关键信息安全产品.
这三类分别是:边界安全类产品、网络通信安全类产品、安全管理与支持类产品.
如表9所示.
表9下一代互联网关键信息安全产品产品类型具体产品边界安全类产品高性能入侵防御产品高性能安全隔离与信息交换产品高性能防火墙产品高性能统一威胁管理系统高性能防病毒网关高性能入侵防御产品网络通信安全类产品高性能入侵检测系统高性能VPN设备下一代互联网网络病毒监控系统安全管理与支持类产品下一代互联网网络审计系统下一代互联网网络漏洞扫描和补丁管理产品防火墙作为发改委重点扶持发展的十类下一代信息安全产品之一,表明了防火墙在下一代互联网信息安全产品中的地位.
此外传统防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁.
由于采用的是基于服务的架构与Web2.
0使用的普及,更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低.
深层数据包检查可根据已知攻击对操作系统与漏失部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护.

因此编制防火墙标准的建设工作至关重要,并在编制过程中应重点考虑高性能防火墙对于下一代万兆网络环境的支持,以及对于应用层方面的访问控制.
2.
5编制的目的在标准制定过程中,坚持以国内外产品发展的动向为研究基础,对防火墙的安全技术要求提出规范化的要求,并结合系统等级保护中产品的使用,制定切实可行的产品标准.
标准可用于该类产品的研制、开发、测试、评估和产品的采购,有利于规范化、统一化.

同时我们还能有效地为正在开展等级保护工作服务.
能借此按照标准的流程对产品的现状、技术等相关领域展开系统的、全面的调研工作,使得标准更符合产品实际情况,对防火墙有着显著推进作用.
国内外标准对比情况随着互联网的迅速发展,由于传统防火墙能力有限,接口带宽较窄和数据时延大的问题,这些方面的缺陷使传统防火墙成为互联网安全进一步发展的瓶颈.
当前主流的高性能防火墙配备多个万兆接口,整机网络吞吐能力可达80Gbps,TCP最大并发连接数至少达到800万,TCP最大新建连接速率至少达到50万/秒,能够适用于不同的万兆网络应用场景.
但目前实施的国家标准《GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法》缺少对下一代万兆网络环境的支持,此外应用层控制方面的要求也过低,因此急需制定防火墙相关标准.
与有关的现行法律、法规和强制性国家标准的关系建议本标准推荐性实施.
本标准不触犯国家现行法律法规,不与其他强制性国标相冲突.
重大分歧意见的处理经过和依据本标准编制过程中,如标准编制组内部出现重大意见分歧时,由标准编制组组长组织召开内部调解会解决;如标准编制单位之间出现重大意见分歧,由标准编制承担单位公安部计算机信息系统安全产品质量监督检验中心组织召开参编单位调解会解决.
如征求意见过程中,各厂家,特别是各部委意见与标准编制组之间出现重大意见分歧,由全国信息安全标准化技术委员会组织召开协调会解决,并认真听取专家意见进行修改.

国家标准作为强制性国家标准或推荐性国家标准的建议建议将本标准作为国家标准在全国推荐性实施.
贯彻国家标准的要求和措施建议该国标为生产、测试和评估防火墙提供指导性意见,建议在全国推荐性实施.
在具体贯彻实施该标准时,首先可要求不同的产品测试机构使用该标准作为防火墙的测试依据,例如,可使用在产品的销售许可测试、政府采购设备的准入测试、不同需求单位的招标选型测试等,由此可以进一步推动产品的生产厂商以该标准为依据,更全面地应用到产品的研发生产过程中,达到业界内全面使用该标准的局面.