双栈防火墙设备技术要求

通信行业标准项目建议书

建议项目名称 (中文) 制定或修订 采用程度 国际标准名称 (中文) 采用快速程序 ICS分类号 牵头单位 参加单位 中国移动 华为 随着Internet 的迅速增长和无线设备的激增，现行的IPv4在地址空间、端到端的IP 连接、服务质量、网络安全和移动性等方面都暴露出了不足，极大地限制了IP网络的进一步发展。而IPv6 所提供的巨大的地址空间以及所具有的诸多优势和功能获得了普遍关注和广泛认可。 然而，从IPv4 升级到IPv6 不是一二天内完成的。IPv4与IPv6系统在一段时期共存是不可避免的事实。IPv6 协议的一个重要设计目标是与IPv4 兼容。在这个阶段IPv6 节点之间的目的、意义或必要性 通信依赖于现有IPv4 网络的设施。而且IPv6 结点也必不可少地要与IPv4 结点通信。对于同时支持两种协议的主机，攻击者可以同时使用两种协议协调作战。对于安全产品，也应该同时支持两种协议，并联系起来分析，才能真正起到保障安全的作用。这对于网络安全提出了新的要求。研究IPv4/IPv6 过渡阶段下的新的安全体系设计是非常必要的。IPv6 利用IPsec 实现了网络层的加密与认证，部分解决了现有网络协议IPv4 存在的安全问题。但是，相关的密钥交换加密算法等标准都不成熟。IPSec 的提出仍然替代不了传统安全设备，如防火墙和入侵检测系统。设计IPv4/IPv6 过渡阶段的防火墙是构造过渡阶段安全体系结构的重要部分，对保障IPv6的实现有着重要的意义。 本标准定义了IPv4/IPv6双栈防火墙设备的技术规范。 定义防火墙具备IPv4/IPv6 包处理的能力要求、防火墙安全策略、各种IPv4/IPv6共存场景中范围和主要 技术内容 防火墙应支持的安全防护要求、IPv4和IPv6节点间通信情况下防火墙应支持的安全防护要求等等。 对网络的划分、网络间通信的基本策略、防火墙管理部分的实现、以及对用户的接口都予以说明。另外，对防火墙的性能指标予以一定的说明。 双栈防火墙设备技术要求 建议项目名称 (英文) 被修订标准号 采标号 国际标准名称 (英文) FTP 快速程序代码 中国标准分类号 计划起止时间 2012.6 – 2013.12 The Specification of Firewall Equipment for Dual stack of IPv4-IPv6 制定 IDT MOD 修订 NEQ B C 从IPv4向IPv6过渡的过程中，IETF也曾专门发布一系列关于IPv4/IPv6过渡阶段下网络安全分析的草案和标准。如，RFC3942 IPv6过渡/共存安全考虑，RFC3964 6to4安全考虑等。 国内外情况 简要说明 当前在国外从事网络安全的研究和产品开发的公司不计其数。 国内也有很多的公司和机构展开相应的研究。 但针对过渡时期防火墙设备的规范目前还处于起步阶段。 该标准项目在国内尚无国家或行业标准，未发现有关知识产权问题。 牵头单位 （签字、盖公章） 年 月 日 [注1] 填写制定或修订项目中，若选择修订则必须填写被修订标准号； [注2] 选择采用国际标准，必须填写采标号及采用程度； [注3] 选择采用快速程序，必须填写快速程序代码。

归口单位 （签字、盖公章） 年 月 日