密级：
文档编号：
项目代号：
中国移动企业信息化
防火墙安全规范
Version1.0
中国移动通信有限公司
拟制:
审核:
批准:
会签:
标准化:
版本控制
版本号
日期
参与人员
更新说明
分发控制
编号
读者
文档权限
与文档的主要关系创建、修改、读取
负责编制、修改、审核批准
负责本文档的批准程序标准化审核
作为本项目的标准化负责人，负责对本文档进行标准化审核读取读取
目录
1 综述 6
2 防火墙简介和分类 7
2.1 防火墙简介 7
2.2 防火墙分类 8
2.2.1 包过滤（PacketFilter） 8
2.2.2 应用层代理（Proxy） 9
2.2.3 电路层代理（CircuitProxy） 9
2.2.4 动态包过滤（DynamicPacketFilter） 10
2.2.5 全状态检测（StatefulInspection） 10
2.2.6 自适应代理（AdaptiveProxy） 11
2.2.7 深度包检测（DeepPacketInspection） 11
3 防火墙技术 13
3.1 NAT 13
3.2 双机热备 14
3.3 桥接、路由 14
3.4 内容过滤 16
3.5 带宽管理 17
3.6 附加功能：攻击保护，联动功能，入侵检测，防止攻击 18
4 防火墙的体系结构 21
4.1 屏蔽路由器（ScreeningRouter） 21
4.2 双穴主机网关（DualHomedGateway） 21
4.3 屏蔽主机网关（ScreenedHostGateway） 22
4.4 屏蔽子网（ScreenedSubnet） 22
5 防火墙的功能要求 24
5.1 包过滤防火墙应具备的基本安全功能 24
5.1.1 用户数据保护功能 24
5.1.2 识别与鉴别功能 26
5.1.3 保密功能 27
5.1.4 可信安全功能保护 27
5.1.5 安全审计功能 28
5.2 应用网关防火墙应具备的基本安全功能 30
5.2.1 用户数据保护功能 30
5.2.2 识别与鉴别功能 33
5.2.3 保密功能 34
5.2.4 可信安全功能保护 34
5.2.5 安全审计功能 35
5.3 防火墙的特殊安全功能要求 37
5.4 选择防火墙的考虑 39
6 防火墙的管理与配置 41