中国电信网络安全设备技术规范的通知

集团公司各省级分公司，欧洲公司，信元公司，卫星公司；股份公司并转各省级分公司，各专业公司，各境外公司，各研究院，中国电信学院：

为稳步提升中国电信IP网络的网络安全水平，适应未来IPv6技术的逐步引入，集团公司技术部组织设在广州研究院的“中国电信网络安全实验室”编制了2009年版的《中国电信网络安全设备技术规范》，内容涉及统一威胁管理（UTM）、防火墙（FW）、入侵防护（IPS）和异常流量清洗设备，现随文下发，供各地在网络发展和改造工作中参考。

二○○九年十一月九日

保密等级：企业秘密

中国电信统一威胁管理设备技术规范(2009年版)

2009-11-15发布2009-12-1实施

中国电信集团公司发布

目录

1.编制说明(1)

1.1范围(1)

1.2引用标准(1)

1.3定义、术语和缩写(2)

1.3.1定义(2)

1.3.2术语和缩写(2)

2.技术规范(3)

2.1设备质量要求(3)

2.1.1功能完备性(3)

2.1.2安全性(3)

2.1.3易用性(3)

2.2系统功能要求(4)

2.2.1防火墙功能(4)

2.2.2入侵防护功能(9)

2.2.3病毒过滤功能(10)

2.2.4内容过滤功能(11)

2.2.5VPN功能(11)

2.2.6垃圾邮件防护功能(12)

2.2.7流量管理功能(13)

2.3设备网络管理功能(13)

2.3.1网管基本功能(13)

2.3.2性能管理(14)

2.3.3安全管理(14)

2.3.4故障管理(15)

2.4系统性能要求(15)

2.4.1应用层吞吐量要求(15)

2.4.2UTMTCP最大并发连接数(16)

2.4.3UTMTCP最大连接速率(16)

2.4.4VPN性能要求(16)

2.5设备绿色要求(17)

2.5.1设备管理要求(17)

2.5.2设备环保与包装要求(17)

2.5.3能耗分级标准(18)

1.编制说明

1.1范围

在本规范中：

必须：表示该条目是本规范必须，违反这样的要求是原则性错误。

必须实现：表示该要求必须实现，但不要求缺省使能。

不允许（不可以）：表示该条目绝对禁止。

应当（建议）：表示在某些特定条件下存在忽视该条目的理由，但是忽视或违反该条目时必须仔细衡量。

应当（建议）实现：与应当（建议）类似，实现时不必要缺省使能。

不应当（不建议）：表示在某些特定条件下存在所描述行为可接受或有效的理由，但实现该行为时必须仔细衡量。

可以：表示该条目确实可选。

1.2引用标准

下列标准包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会修订，使用本标准的各方应探讨，使用下列标准最新版本的可能性。

RFC791IP

RFC793TCP

RFC2616HTTP1.1

RFC2821SMTP

GB/T

信息系统词汇第8部分：安全

5271.8-2001

GB/T17859-1999计算机信息系统安全保护等级划分准则

GB/T18019-1999信息技术包过滤防火墙安全技术要求

GB/T18020-1999信息技术应用级防火墙安全技术要求

GB/T18336.1~3-2001信息技术安全技术信息技术安全性评估准则

RFC1441-1452简单网络管理协议（SNMPv2）

RFC2570-2575简单网络管理协议（SNMPv3）

RFC0792互联网控制消息协议（ICMP）

RFC0826以太网地址解析协议（ARP）

RFC1157简单网络管理协议（SNMP）

RFC2460互联网协议（版本六）

RFC4291IPv6地址体系结构

1.3定义、术语和缩写

1.3.1定义

统一威胁管理（UnifiedThreatManagement，简称UTM），它集成了防火墙、防病毒、防垃圾邮件、内容过滤、入侵防护、VPN等多项安全功能为一体的安全网关设备。

1.3.2术语和缩写

ARP地址解析协议

DHCP动态主机配置协议

文件传输协议

FTP

GRE通用路由封装

ICMP互联网消息协议

互联网协议

IP

IPSecIP网络安全协议

L2TP二层隧道协议

LAN局域网

NAT网络地址转换

OSPF开放最短路径优先

RADIUS远程身份验证拨入用户服务

SNMP简单网络管理协议

TCP传输控制协议

UDP用户数据包协议

VLAN虚拟局域网

VPN虚拟专用网

2.技术规范

2.1设备质量要求

2.1.1功能完备性

设备应依据本规范书实现完善、准确的功能。

2.1.2安全性

1)设备应提供有效的安全保密措施，确保系统和数据资源的安全，防止对系统

资源的非法侵入。

2)应保证所用的操作系统不存在安全漏洞。

3)远程接入只能通过HTTPS和SSH实现，支持通过带IP访问控制的HTTPS

来确保远程web接入的安全性，命令行支持SSH。

4)系统应提供严格的操作控制和存取控制，在各层次应具有完善的、有效的用

户管理，能够灵活地分配用户群、用户的权限。

5)系统具备安全日志功能，可完整地记录用户的重要操作、访问信息。

6)整个系统在正式运行之前要进行安全性测试，以确保系统的安全性。

2.1.3易用性

1)应易于安装和使用，具备风格一致用户界面。

2)设备应能在浏览器中完成基本的管理任务，对用户输入错误，应尽早发现和

提示。

3)设备必须支持分布式结构，能够提供统一的管理界面对所有设备进行配置及