胜利石油管理局企业标准
QSLSTAf－2002
信息系统防火墙规范
1总则
为了减少外部网络对企业内部网络的干扰，为了阻击非法用户进入企业内部网络，为了企业用户更好的利用外部网络，根据《应用级防火墙安全技术要求》，《包过滤级防火墙安全技术要求》，《中华人民共和国信息系统安全保护条列》等国家规定，制定本规范。
2范围
本规范规定了防火墙的安全技术要求。本规范适用于防火墙安全功能的使用，测试和产品采购。
3规范解释权
本规范的解释权在胜利油田管理局信息安全管理中心。
4引用标准
GBT179001999《网络代理服务器的安全技术要求》
GBT180191999《信息技术包过滤防火墙安全技术要求》
GBT180201999《信息技术应用级防火墙安全技术要求》
GB981388
《微型数字电子计算机通用技术条件》
5防火墙类型
51应用级别防火墙。52在应用层上根据预先设定的标准判断是否允许对某些应用程序的访问的防
火墙。应用级防火墙检查所有应用层的信息，放行符合预先设定标准的数据包。53包过滤。
f54采用包过滤技术保护整个网络不受非法入侵的防火墙。它在网络层上简单检查所有进入网络的信息，并将不符合预先设定标准的数据丢掉。
55应用代理。56控制两边的应用程序只能通过服务器间接通信的防火墙。此防火墙接受来自
一边的通信，检查这一通信是否授权通过，如果是则启动到通信目标的连接。相反则反之。57混合型防火墙。58使用包过滤、应用层控制技术和网络代理的防火墙。
6防火墙安全运行环境
符合本规范的防火墙用于敏感但不保密的信息处理环境。防火墙应提供访问控制策略、身份标识与鉴别、远程管理员会话加密、一定的审计能力以及最基本的安全保证。
61安全使用条件
防火墙的使用操作环境及运行环境符合以下条件：
611连接条件
单一接入：防火墙是内外网络之间的唯一连接点。
612物理条件
物理访问控制。防火墙和与其直接相连的控制台在物理上是安全的，而且仅供授权人使
用。通信保护。信息传输的保护级别应该与信息的敏感性一致（例如：受物理保护的传
输媒体，加密），或者明确说明该信息可以明文传输。
613人员条件
用户服务。
1
f应用级防火墙提供的不是通常意义下的计算能力，对网络用户基本上是“透明”的，只有授权管理员才能直接访问和远程访问防火墙。
授权管理员。管理员应值得信任、无恶意，能够正确执行各项职责。62安全威胁
符合本标准的防火墙应能阻止以下威胁：621未授权逻辑访问
未经授权的人r