YDT 1707-2007防火墙设备测试方法.pdf

ICS 33 040 40M 32YD中华人民共和国通信行业标准YD/T 1707-2007防火墙设备测试方法Testing Methods for Firewall2007-09-29 发布2008-01-01 实施中华人民共和国信息产业部发布 YD/T 1707-2007目次IT前1范围2规范性引用文件3术语4缩略语测试配置图·56接口测试·7功能测试8性能测试909协议测试:10510网管测试··10611可靠性测试·.11912·123常规测试13环境测试··126 YD/T 1707-2007前：言本标准是防火墙系列标准之一。该系列标准的结构和名称如下：1．YD/T 1132-2001 防火墙设备技术要求;2．YD/T 1707-2007 防火墙设备测试方法。本标准是YD/T1132-2001《防火墙设备技术要求》的配套标准。本标准由中国通信标准化协会提出并归口。本标准起草单位：信息产业部电信研究院本标准主要起草人：段世惠1 YD/T 1707-2007防火墙设备测试方法1范围本标准规定了防火墙设备的接口测试、功能测试、性能测试、协议测试、网管测试、可靠性测试和常规测试。本标准适用于支持IPv4的防火墙设备，同时适用于其他具有防火墙功能的IP设备。2规范性引用文件下列文件中的的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。信息技术设备（包括电气事务设备）的安全GB 4943-1995GB 9254-1998信息技术设备的无线电扰限值和测量方法GB/T 17618-1998信息技术设备抗扰度限值和测试方法电信终端设备的安全要求和试验方法YD/T 965-1998电信终端设备防雷技术要求和测试方法YD/T 993-1998YD/T 1098-2001路由器测试规范低端路由器防火墙设备技术要求YD/T 1132-2001YD/T 1141-2007以太网交换机测试方法IP安全协议（IPSec）测试方法YD/T 1467-20063 术语YD/T1132-2001确立的以及下列术语和定义适用于本标准。防火墙Firewal!在网络之间执行访问控制策略的一个或者一组设备。受保护网络Protected Network受防火墙保护的网段。分区化‧Homed防火墙设备所具有的逻辑接口数目。内部网络Internal Network受保护网络。内部接口 Internal Interface与内部网络相连的网络接口。未保护网络Unprotected Network不受防火墙保护的网段。外部网络External Network YD/T 1707-2007即未保护网络。外部接口External Interface与外部网络连接的网络接口。内部主机Internal Host位于内部网络的主机。外部主机 External Host位于外部网络的主机。非军事区 Demilitarized Zone，DMZ介于受保护网段与未受保护网段之间的网段。非军事区接口 Demilitarized Zone Interface，DZ与非军事区连接的网络接口。网络地址转换Net Address Traslation，NAT网络地址转换是一种将一个IP地址域映射到另一个IP地址域从而为终端主机提供透明路由的方法。正向 NAT为从内部主机向外部主机发起的会话所进行的网络地址转换。反向 NAT为从外部主机向内部主机发起的会话所进行的网络地址转换。策略Policy对被接受的向内部网络、非军事化区以及外部网络的访问进行定义（即规则）的记录。规则集 Rule Set访问控制规则的集合，它定义了防火墙设备应转发和拒绝哪些数据包。包过滤 Packet Filtering通过检查包头内容来控制访问的过程。动态包过滤 Stateful Packet Filtering基于防火墙所维护的状态表的内容来转发或者拒绝数据包的过程。身份验证 Authentication确定访问某一网络资源的用户是否是其所声称的身份的过程。日志 Logging对防火墙或网络中所发生的事件的记录。代理Proxy代表主机接收与转发请求的处理方式链路代理 Circuit Proxy根据用户和系统建立的规则集的许可而不考虑服务本身的特殊性来建立代理连接。应用代理 Application Proxy根据用户和系统建立的规则集，同时考虑服务本身的特殊性，动态地建立与拆卸代理连接。位转发率 Bit Forwarding Rate在给定的负载下，每秒钟被防火墙设备正确的转发到目的端口的被允许的数据的位数，2 YD/T 1707-