【文章內容簡介】 化系統(tǒng)采用的包過濾防火墻必須具有以下的基本安全功能： 用戶數(shù)據(jù)保護功能 完整的客體訪問控制防火墻的安全功能應在以下方面執(zhí)行未鑒別的端到端策略:a）主體：未經(jīng)防火墻鑒別的主機；b）客體：內部或外部網(wǎng)上的主機。以及安全功能策略所包括主體和客體上的所有操作。防火墻的安全功能應確保安全功能策略包括了控制范圍中的任何主體和客體之間的所有操作。 訪問授權與拒絕防火墻的安全功能應執(zhí)行未鑒別的端到端策略。根據(jù)主體和客體的安全屬性值提供明確的訪問保障能力。防火墻的安全功能應執(zhí)行未鑒別的端到端策略。根據(jù)主體和客體的安全屬性值提供明確的拒絕訪問能力。 多種安全屬性訪問控制防火墻應根據(jù)源地址，目的地址，傳輸層協(xié)議和請求的服務（如源端口號或目的端口號）對客體執(zhí)行未鑒別的端到端策略。防火墻應執(zhí)行以下規(guī)則以確定受控主體與受控客體之間的操作是否被允許：a）防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有內部網(wǎng)絡上的主機源地址的訪問或服務請求。b）防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有廣播網(wǎng)絡上的主機源地址的訪問或服務請求。c）防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有保留網(wǎng)絡上的主機源地址的訪問或服務請求。d）防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有環(huán)回網(wǎng)絡上的主機源地址的訪問或服務請求。 資源分配時對遺留信息的充分保護防火墻應保證在為所有客體進行資源分配時，不提供以前的任何信息內容。 管理員屬性修改防火墻應執(zhí)行訪問控制的功能策略（SFP）：未鑒別的端到端策略，向授權管理員提供修改下述參數(shù)的能力：a）標識與角色（例如：管理員）的關聯(lián)。b）。c）與安全有關的管理數(shù)據(jù)。 管理員屬性查詢防火墻應執(zhí)行訪問控制的功能策略：未鑒別的端到端策略，向授權管理員提供以下查詢：a）。b）主機名。 識別與鑒別功能 授權管理員和可信主機鑒別數(shù)據(jù)初始化。防火墻應確保只允許授權管理員使用這些功能。 授權管理員和可信主機鑒別數(shù)據(jù)的基本保護防火墻應保護存儲于設備中的鑒別數(shù)據(jù)不受未授權查閱、修改和破壞。 鑒別失敗的基本處理防火墻的安全功能應能夠在鑒別嘗試經(jīng)一個可設定的次數(shù)失敗以后，終止可信主機建立會話的過程。最多失敗次數(shù)僅由授權管理員設定。在可信主機會話建立過程終止后，防火墻的安全功能應能夠關閉可信主機的帳號，直至授權管理員重新開啟。 授權管理員、可信主機和主機屬性的初始化防火墻的安全功能應提供用默認值對授權管理員，可信主機和主機屬性初始化的能力。 授權管理員、可信主機和主機唯一屬性定義防火墻的安全功能應為每一個規(guī)定的授權管理員、可信主機和主機提供一套唯一的，為了執(zhí)行安全策略所必須的安全屬性。 授權管理員的基本鑒別防火墻的安全功能應鑒別任何通過防火墻的控制口履行授權管理員功能的管理員身份。 單一使用的鑒別機制防火墻的安全功能應鑒別任何聲稱要履行授權管理員和可信主機功能的管理員和主機的身份。防火墻應預防與遠程管理和遠程可信主機操作有關的鑒別數(shù)據(jù)的重用。 授權管理員、可信主機和主機唯一身份識別防火墻的安全功能應確保在所有授權管理員、可信主機和主機請求執(zhí)行的任何操作之前，對每個授權管理員、可信主機和主機進行唯一身份識別。 保密功能 符合規(guī)定的加密操作防火墻的安全功能應保證其從外部網(wǎng)絡到防火墻的遠程管理會話的加密符合國家密碼管理的有關規(guī)定。 可信安全功能保護 防火墻安全策略的不可旁路性防火墻的安全功能應確保任何與安全有關的操作被允許執(zhí)行之前，都必須通過安全策略的檢查。 安全功能區(qū)域分割防火墻的安全功能應為其自身的執(zhí)行過程設定一個安全區(qū)域，以保護其免遭不可信主體的干擾和篡改。 區(qū)分安全管理角色防火墻的安全功能應將與安全相關的管理功能與其它功能區(qū)分開。防火墻的安全功能中與安全相關的管理功能集應包括安裝、配置和管理防火墻安全功能所需的所有功能，其中至少應包括:增加和刪除主體和客體；查閱安全屬性；分配、修改和撤銷安全屬性；查閱和管理審計數(shù)據(jù)。防火墻的安全功能應把執(zhí)行與安全相關的管理功能的能力限定為一種安全管理職責，該職責具有一套特別授權的功能和響應的責任。防火墻的安全功能應能把授權執(zhí)行管理功能的授權管理員和可信主機與使用防火墻的所有其他個人或系統(tǒng)分開。防火墻的安全功能應只允許授權管理員和可信主機承擔安全管理職責。防火墻的安全功能應在提出一個明確的請求以后，才會讓授權管理員和可信主機承擔安全管理職責。 管理功能防火墻的安全功能應使授權管理員能夠設置和更新與安全相關的數(shù)據(jù)。防火墻的安全功能應向授權管理員提供能夠執(zhí)行防火墻的安裝及初始配置，系統(tǒng)啟動和關閉功能，備份和恢復的能力。備份能力應有自動工具的支持。如果防火墻的安全功能支持外部或內部接口的遠程管理，那么它應該：a） 具有對兩個接口或其中之一關閉遠程管理的選擇權；b） 能夠限制那些可進行遠程管理的地址；c） 能夠通過加密來保護遠程管理對話。 安全審計功能 審計數(shù)據(jù)生成防火墻的安全功能應能夠對可審計事件生成一個審計記錄, 在每一個審計記錄中至少記錄以下信息：事件發(fā)生的日期和時間，事件的類型，主體身份和成功或失敗事件。 審計跟蹤管理防火墻的安全功能應使管理員能創(chuàng)建、存檔、刪除和清空審計記錄。 可理解的格式防火墻的安全功能應使審計記錄中的所有審計數(shù)據(jù)可為人所理解。 限制審計跟蹤訪問防火墻的安全功能應只允許授權管理員訪問審計記錄。 限制審計查閱防火墻的安全功能應提供具有查閱審計數(shù)據(jù)能力的工具。防火墻應只允許授權管理員使用審計查閱工具。 可選擇查閱審計防火墻的安全功能應提供能對審計數(shù)據(jù)進行查找和排序的審計查閱工具：a) 主體 ID；b) 客體 ID；c) 日期；d) 時間；e) 上述各參數(shù)的邏輯組合（如“和”、“與”）。 防止審計數(shù)據(jù)丟失防火墻的安全功能應把生成的審計記錄儲存于一個永久性的審計記錄中。防火墻的安全功能應限制由于故障和攻擊造成的審計事件丟失的數(shù)量。一旦審計存儲耗盡，防火墻應能保證在授權管理員所采取的審計行為以外，防止其他可審計行為的出現(xiàn)。 應用網(wǎng)關防火墻應具備的基本安全功能中國移動企業(yè)信息化系統(tǒng)采用的應用網(wǎng)關防火墻必須具有以下的基本安全功能： 用戶數(shù)據(jù)保護功能 完整的客體訪問控制（1）防火墻的安全功能應在以下方面執(zhí)行未鑒別的端到端策略:a）主體：未經(jīng)防火墻鑒別的主機；b）客體：內部或外部網(wǎng)上的主機。以及安全功能策略所包括主體和客體上的所有操作。防火墻的安全功能應確保安全功能策略包括了控制范圍中的任何主體和客體之間的所有操作。 完整的客體訪問控制（2）防火墻的安全功能應在以下方面執(zhí)行有鑒別的端到端策略： a) 主體：經(jīng)防火墻鑒別的用戶； b) 客體：在內部或外部網(wǎng)絡上的主機；以及安全功能策略所包括的主體、客體的所有操作。防火墻的安全功能應確保安全功能策略包括了控制范圍內的任何主體和客體之間的所有操作。 訪問授權與拒絕防火墻的安全功能應執(zhí)行：a) 未鑒別的端到端策略；b) 有鑒別的端到端策略；根據(jù)主體和客體的安全屬性值提供明確的訪問保障能力。防火墻的安全功能應執(zhí)行：a) 未鑒別的端到端策略；b) 有鑒別的端到端策略；根據(jù)主體和客體的安全屬性值提供明確的拒絕訪問能力。 多種安全屬性訪問控制（1）防火墻應根據(jù)源地址，目的地址，傳輸層協(xié)議和請求的服務（如源端口號或目的端口號）對客體執(zhí)行未鑒別的端到端策略。防火墻應執(zhí)行以下附加規(guī)則以確定受控主體與受控客體之間的操作是否被允許：a）防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有內部網(wǎng)絡上的主機源地址的訪問或服務請求。b）防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有廣播網(wǎng)絡上的主機源地址的訪問或服務請求。c）防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有保留網(wǎng)絡上的主機源地址的訪問或服務請求。d）防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有環(huán)回網(wǎng)絡上的主機源地址的訪問或服務請求。 多種安全屬性訪問控制（2）防火墻應根據(jù)用戶ID、源地址、目的地址、運輸層協(xié)議和請求的服務（如源端口號和/或目的端口號），以及服務命令（例如：FTP STOR/PUT）對客體執(zhí)行有鑒別的端到端策略。防火墻應執(zhí)行以下附加規(guī)則以確定受控主體與受控客體之間的操作是否被允許：a)防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有內部網(wǎng)絡上的主機源地址的訪問或服務請求； b)防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有廣播網(wǎng)絡上的主機源地址的訪問或服務請求； c)防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有保留網(wǎng)絡上的主機源地址的訪問或服務請求； d)防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有環(huán)回網(wǎng)絡上的主機源地址的訪問或服務請求。 資源分配時對遺留信息的充分保護防火墻應保證在為所有客體進行資源分配時，不提供以前的任何信息內容。 管理員屬性修改防火墻應執(zhí)行訪問控制的功能策略（SFP）：a) 未鑒別的端到端策略；b) 有鑒別的端到端策略；向授權管理員提供修改下述參數(shù)的能力：a）標識與角色（例如：管理員）的關聯(lián)。b）。c）與安全有關的管理數(shù)據(jù)。 管理員屬性查詢防火墻應執(zhí)行訪問控制的功能策略：a) 未鑒別的端到端策略；b) 有鑒別的端到端策略；向授權管理員提供以下查詢：a）。b）主機名。c) 用戶名 識別與鑒別功能 授權管理員和可信主機鑒別數(shù)據(jù)初始化。防火墻應確保只允許授權管理員使用這些功能。 授權管理員和可信主機鑒別數(shù)據(jù)的基本保護防火墻應保護存儲于設備中的鑒別數(shù)據(jù)不受未授權查閱、修改和破壞。 鑒別失敗的基本處理防火墻的安全功能應能夠在鑒別嘗試經(jīng)一個可設定的次數(shù)失敗以后，終止可信主機或用戶建立會話的過程。最多失敗次數(shù)僅由授權管理員設定。在可信主機或用戶會話建立過程終止后，防火墻的安全功能應能夠關閉可信主機或用戶的帳號，直至授權管理員重新開啟。 授權管理員、可信主機、主機和用戶屬性的初始化防火墻的安全功能應提供用默認值對授權管理員，可信主機、主機和用戶屬性初始化的能力。 授權管理員、可信主機、主機和用戶唯一屬性定義防火墻的安全功能應為每一個規(guī)定的授權管理員、可信主機、主機和用戶提供一套唯一的，為了執(zhí)行安全策略所必須的安全屬性。 授權管理員的基本鑒別防火墻的安全功能應鑒別任何通過防火墻的控制口履行授權管理員功能的管理員身份。 單一使用的鑒別機制防火墻的安全功能應當在執(zhí)行任何與授權管理員、可信主機或用戶相關功能之前，鑒別授權管理員、可信主機或用戶的身份。防火墻的安全功能應防止與遠程授權管理員、遠程可信主機和用戶要求的下述服務相關的鑒別數(shù)據(jù)重用。 —— 文件傳送協(xié)議（FTP）； —— 超文本傳輸協(xié)議（HTTP）； —— 登錄； —— 郵政協(xié)議（POP）； —— 遠程登錄； —— 簡單網(wǎng)絡管理協(xié)議（SNMP）； —— Telnet。 授權管理員、可信主機、主機和用戶唯一身份識別防火墻的安全功能應確保在所有授權管理員、可信主機、主機或用戶請求執(zhí)行的任何操作之前，對其進行唯一身份識別。 保密功能 符合規(guī)定的加密操作防火墻的安全功能應保證其從外部網(wǎng)絡到防火墻的遠程管理會話的加密符合國家密碼管理的有關規(guī)定。 可信安全功能保護 防火墻安全策略的不可旁路性防火墻的安全功能應確保任何與安全有關的操作被允許執(zhí)行之前，都必須通過安全策略的檢查。 安全功能區(qū)域分割防火墻的安全功能應為其自身的執(zhí)行過程設定一個安全區(qū)域，以保護其免遭不可信主體的干擾和篡改。 區(qū)分安全管理角色防火墻的安全功能應將與安全相關的管理功能與其它功能區(qū)分開。防火墻的安全功能中與安全相關的管理功能集應包括安裝、配置和管理防火墻安全功能所需的所有功能，其中至少應包括:增加和刪除主體和客體；查閱安全屬性；分配、修改和撤銷安全屬性；查閱和管理審計數(shù)據(jù)。防火墻的安全功能應把執(zhí)行與安全相關的管理功能的能力限定為一種安全管理角色，該角色具有一套特別授權的功能和響應的責任。防火墻的安全功能應能把授權執(zhí)行管理功能的授權管理員和可信主機與使用防火墻的所有其他個人或系統(tǒng)分開。防火墻的安全功能應只允許授權管理員和可信主機承擔安全管理角色。防火墻的安全功能應在提出一個明確的請求以后，才會讓授權管理員和可信主機承擔安全管理角色。 管理功能防火墻的安全功能應使授權管理員能夠設置和更新與安全相關的數(shù)據(jù)。防火墻的安全功能應向授權管理員提供能夠執(zhí)行防火墻的安裝及初始配置，系統(tǒng)啟動和關閉功能，備份和恢復的能力。備份能力應有自動工具的支持。如果防火墻的安全功能支持外部或內部接口的遠程管理，那么它應該：a） 具有對兩個接口或其中之一關閉遠程管理的選擇權；b） 能夠限制那些可進行遠程管理的地址；c） 能夠通過加密來保護遠程管理對話。 安全審計功能 審計數(shù)據(jù)生成防火墻的安全功能應能夠對可審計事件生成一個審計記錄, 在每一個審計記錄中至少記錄以下信息：事件發(fā)生的日期和時間，事件的類型，主體身份和成功或失敗事件。 審計跟蹤管理防火墻的安全功能應使管理員能創(chuàng)建、存檔、刪除和清空審計記錄。 可理解的格式防火墻的安全功能應使審計記錄中的所有審計數(shù)據(jù)可為人所理解。 限制審計跟蹤訪問防火墻的安全功能應只允許授權管理員訪問審計記錄。 限制審計查閱防火墻的安全功能應提供具有查閱審計數(shù)據(jù)能力的工具。防火墻應只允許授權管理員使用審計查閱工具。 可選擇查閱審計防火墻的安全功能應提供能對審計數(shù)據(jù)進行查找和排序的審計查閱工具：f) 主體 ID；g) 客體 ID；h) 日期；i) 時間；j) 上述各參數(shù)的邏輯組合（如“和”、“與”）。 防止審計數(shù)據(jù)丟失防火墻的安全功能應把生成的審計記錄儲存于一個永久性的審計記錄中。防火墻的安全功能應限制由于故障和攻擊造成的審計事件丟失的數(shù)量。一旦審計存儲耗盡，防火墻應能保證在授權管理員所采取的審計行為以外，防止其他可審計行為的出現(xiàn)