ICS 35.040 GA A90 中华人民共和国公共安全行业标准 GA/T 1177—2014 信息安全技术 第二代防火墙安全技术要求 Information security technology-Security technique requirements for the second generation firewall products 2014-07-24发布 2014-09-01实施 中华人民共和国公安部 发布 GA/T 1177—2014 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 4 缩路语 5 安全技术要求 5.1 总体说明 5.2 安全功能要求 5.3 安全保证要求 10 5.4 环境适应性要求 15 5.5 性能要求 16 GA/T 11772014 前言 本标准按照GB/T1.12009给出的规则起草。 本标准出公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会提出并归口。 术有限公司、启明星辰信息技术有限公司。 本标准主要起草人：邹春明、俞优、宋好好、陆臻、顾健、李焕波、王帆、王刚、段继平、冯涛、黄涛 GA/T 1177—2014 信息安全技术 第二代防火墙安全技术要求 1范围 本标准规定了第二代防火墙产品的安全功能要求、安全保证要求、环境适应性要求、性能要求和安 全等级划分 本标准适用于第二代防火墙产品的设计、开发和测试。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB17859—1999计算机信息系统安全保护划分准则 GB/T18336.32008信息技术安全技术信息技术安全性评估准则 1第3部分：安全保证要求 GB/T20281-2006 信息安全技术防火墙技术要求和测试评价方法 GB/T25069—2010 信息安全技术术语 3术语和定义 GB17859 1999、GB/T202812006和GB/T25069一2010界定的以及下列术语和定义适用手 本文件。 3.1 第一代防火墙 firewall 个或·组在不同安全策略的网络或安全域之间实施访问控制的系统，具备包过滤、网络地址转换 （NAT)、状态检测等安全功能。 3.2 第二代防火墙 thesecondgenerationfirewall 除具备第一代防火墙基本功能之外，还具有应用流量识别、应用层访问控制、应用层安全防护、用户 控制、深度内容检测、高性能等特征的控制的系统 3.3 深度内容检测 deepcontentinspection 对应用协议进行深人解析，识别出协议中的各种要素（如，针对http协议，可具体解析到如cookic、 Get参数、Post表单等内容)及协议所承载的业务内容（如，业务系统交互中包含在协议或文件中的数据 内容），并对这些数据进行快速解析，以还原其原始通信的信息。根据解析后的原始信息，检测其中是否 包含威胁以及敏感内容。 3.4 SQL注入SQLinjection 把SQL命令插人到web表单递交或者页面请求的参数中，以达到欺骗服务器执行恶意SQL命令 的目的。 1