GB/T 32917-2016 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法.pdf

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32917-2016 信息安全技术WEB应用防火墙 安全技术要求与测试评价方法 Information security technology- Security technique requirements and testing and evaluation approaches for WEB application firewall 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32917-2016 目 次 前言 Ⅲ 引言 1范围 2规范性引用文件 3术语、定义和缩略语 3.1术语和定义 1 3.2缩略语 4安全技术要求 .2 4.1基本级 4.1.1安全功能要求 2 4.1.2自身安全保护 3 4.1.3安全保障要求 4 4.2增强级 7 4.2.1安全功能要求 7 4.2.2自身安全保护 9 4.2.3安全保障要求 10 4.3性能要求 13 4.3.1HTTP吞吐量 13 4.3.2HTTP最大请求速率 13 4.3.3HTTP最大并发连接数 13 5测试评价方法 13 5.1测试环境 13 5.2基本级 15 5.2.1安全功能要求测试评价方法 15 5.2.2自身安全保护测试评价方法 18 5.2.3安全保障要求测试评价方法 20 5.3增强级 25 5.3.1安全功能要求测试评价方法 25 5.3.2自身安全保护测试评价方法 28 5.3.3安全保障要求测试评价方法 32 5.4性能测试评价方法 37 5.4.1HTTP吞吐量 37 5.4.2HTTP最大请求速率 37 5.4.3HTTP最大并发连接数 37 6WEB应用防火墙安全技术要求分级表 38 参考文献 40 I GB/T32917-2016 引言 本标准包含两部分内容，一部分是WEB应用防火墙的安全技术要求，用以指导设计者如何设计和 实现WEB应用防火墙；另一部分是依据技术要求，提出了具体的测试评价方法，用以指导评估者对 WEB应用防火墙评估，同时也为WEB应用防火墙的开发者提供测试参考. 本标准将WEB应用防火墙划分为2个等级：基本级和增强级.为清晰表示增强级相较于基本级 的安全技术要求的增加和增强，在第4章、第5章的描述中，增强级的新增部分用“宋体加粗”表示.在 第6章WEB应用防火墙安全技术要求分级表中，以表格形式列举了基本级和增强级的差异. V ...