中国电信网络安全设备技术规范的通知

中国电信〔2009〕915号

关于印发中国电信网络安全

设备技术规范的通知

集团公司各省级分公司，欧洲公司，信元公司，卫星公司；股份公司并转各省级分公司，各专业公司，各境外公司，各研究院，中国电信学院：

为稳步提升中国电信IP网络的网络安全水平，适应未来IPv6技术的逐步引入，集团公司技术部组织设在广州研究院的“中国电信网络安全实验室”编制了2009年版的《中国电信网络安全设备技术规范》，内容涉及统一威胁管理（UTM）、防火墙（FW）、入侵防护（IPS）和异常流量清洗设备，现随文下发，供各地在网络发展和改造工作中参考。

二○○九年十一月九日

保密等级：企业秘密

中国电信统一威胁管理设备技术规范 (2009年版)

2009-11-15发布 2009-12-1实施

中国电信集团公司 发布

目录

1.编制说明 (1)

1.1范围 (1)

1.2引用标准 (1)

1.3定义、术语和缩写 (2)

1.3.1定义 (2)

1.3.2术语和缩写 (2)

2.技术规范 (3)

2.1设备质量要求 (3)

2.1.1功能完备性 (3)

2.1.2安全性 (3)

2.1.3易用性 (3)

2.2系统功能要求 (4)

2.2.1防火墙功能 (4)

2.2.2入侵防护功能 (9)

2.2.3病毒过滤功能 (10)

2.2.4内容过滤功能 (11)

2.2.5 VPN功能 (11)

2.2.6垃圾邮件防护功能 (12)

2.2.7流量管理功能 (13)

2.3设备网络管理功能 (13)

2.3.1网管基本功能 (13)

2.3.2性能管理 (14)

2.3.3安全管理 (14)

2.3.4故障管理 (15)

2.4系统性能要求 (15)

2.4.1应用层吞吐量要求 (15)

2.4.2 UTM TCP最大并发连接数 (16)

2.4.3 UTM TCP最大连接速率 (16)

2.4.4 VPN性能要求 (16)

2.5设备绿色要求 (17)

2.5.1设备管理要求 (17)

2.5.2设备环保与包装要求 (17)

2.5.3能耗分级标准 (18)

1.编制说明

1.1范围

本技术规范以RFC文档、IEEE标准以及国内相关行业标准为依据，根据中国电信实际情况和具体要求，对UTM设备的定义、系统功能、性能等进行了规定。

在本规范中：

必须：表示该条目是本规范必须，违反这样的要求是原则性错误。

必须实现：表示该要求必须实现，但不要求缺省使能。

不允许（不可以）：表示该条目绝对禁止。

应当（建议）：表示在某些特定条件下存在忽视该条目的理由，但是忽视或违反该条目时必须仔细衡量。

应当（建议）实现：与应当（建议）类似，实现时不必要缺省使能。

不应当（不建议）：表示在某些特定条件下存在所描述行为可接受或有效的理由，但实现该行为时必须仔细衡量。

可以：表示该条目确实可选。

1.2引用标准

下列标准包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会修订，使用本标准的各方应探讨，使用下列标准最新版本的可能性。

RFC791 IP

RFC793 TCP

RFC2616 HTTP1.1

RFC2821 SMTP

GB/T

信息系统 词汇 第8部分：安全

5271.8-2001

GB/T 17859-1999 计算机信息系统安全保护等级划分准则

GB/T 18019-1999 信息技术包过滤防火墙安全技术要求

GB/T 18020-1999 信息技术应用级防火墙安全技术要求

GB/T 18336.1~3-2001 信息技术 安全技术 信息技术安全性评估准则

RFC 1441-1452 简单网络管理协议（SNMP v2）

RFC2570-2575 简单网络管理协议（SNMP v3）

RFC0792 互联网控制消息协议（ICMP）

RFC0826 以太网地址解析协议（ARP）

RFC1157 简单网络管理协议（SNMP）

RFC 2460互联网协议（版本六）

RFC 4291 IP v6地址体系结构

1.3定义、术语和缩写

1.3.1定义

统一威胁管理（Unified Threat Management，简称UTM），它集成了防火墙、防病毒、防垃圾邮件、内容过滤、入侵防护、VPN等多项安全功能为一体的安全网关设备。

1.3.2术语和缩写

AAA认证、授权和计费

ARP 地址解析协议

DHCP 动态主机配置协议

文件传输协议

FTP

GRE 通用路由封装

ICMP 互联网消息协议

互联网协议

IP

IPSec IP网络安全协议

L2TP 二层隧道协议

LAN 局域网

NAT 网络地址转换

OSPF 开放最短路径优先

RADIUS 远程身份验证拨入用户服务

SNMP 简单网络管理协议

TCP 传输控制协议

UDP 用户数据包协议

VLAN 虚拟局域网

VPN 虚拟专用网

2.技术规范

2.1设备质量要求

2.1.1功能完备性

设备应依据本规范书实现完善、准确的功能。

2.1.2安全性

1)设备应提供有效的安全保密措施，确保系统和数据资源的安全，防止对系统

资源的非法侵入。

2)应保证所用的操作系统不存在安全漏洞。

3)远程接入只能通过HTTPS和SSH 实现，支持通过带IP 访问控制的HTTPS

来确保远程web 接入的安全性，命令行支持SSH。

4)系统应提供严格的操作控制和存取控制，在各层次应具有完善的、有效的用

户管理，能够灵活地分配用户群、用户的权限。

5)系统具备安全日志功能，可完整地记录用户的重要操作、访问信息。

6)整个系统在正式运行之前要进行安全性测试，以确保系统的安全性。

2.1.3易用性

1)应易于安装和使用，具备风格一致用户界面。

2)设备应能在浏览器中完成基本的管理任务，对用户输入错误，应尽早发现和

提示。

3)设备必须支持分布式结构，能够提供统一的管理界面对所有设备进行配置及