【超清版】 GB/T 44810.3-2024 IPv6网络安全设备技术要求 第3部分：入侵防御系统（IPS）

ICS 33.040.40
CCS M 32
中华人民共和国国家标准
GB/T 44810.3—2024
IPv6 网络安全设备技术要求
第3 部分:入侵防御系统(IPS)
Technical requirement for IPv6 network security equipment—
Part 3:Instrusion prevention system(IPS)
2024-10-26 发布2025-02-01 实施
国家市场监督管理总局
国家标准化管理委员会发 布

目　　次
前言 ····································································································· Ⅲ
引言 ····································································································· Ⅳ
1 范围 ·································································································· 1
2 规范性引用文件 ······················································································ 1
3 术语和定义 ··························································································· 1
4 缩略语 ································································································ 1
5 功能性要求 ··························································································· 2
5.1 数据监测 ························································································· 2
5.1.1　数据收集5.1.1 ··············································································· 2
5.1.2　协议分析 ···················································································· 2
5.1.3　行为监测 ···················································································· 2
5.1.4　流量监测 ···················································································· 2
5.1.5　流量过滤 ···················································································· 2
5.2 入侵分析 ························································································· 2
5.2.1　数据分析 ···················································································· 2
5.2.2　入侵取证 ···················································································· 2
5.2.3　攻击防护 ···················································································· 2
5.2.3.1　拒绝服务攻击防护 ······································································ 2
5.2.3.2　漏洞攻击防护 ··········································································· 3
5.2.3.3　Web 攻击防护 ·········································································· 3
5.2.3.4　僵木蠕攻击防护 ········································································ 3
5.2.3.5　自动化攻击威胁防护 ···································································· 3
5.2.3.6　攻击逃逸防护 ··········································································· 4
5.2.3.7　外部系统协同防护 ······································································ 4
5.2.3.8　威胁情报库 ············································································· 4
5.3 入侵响应 ························································································· 4
5.4 管理控制 ························································································· 4
5.5 检测结果处理 ···················································································· 4
5.6 安全策略 ························································································· 4
5.7 异常应急处置 ···················································································· 4
6 性能要求 ······························································································ 4
6.1 网络层吞吐量 ···················································································· 4
6.2 混合应用层吞吐量 ··············································································· 4
6.3 TCP 新建连接速率 ·············································································· 4

6.4 TCP 并发连接数 ················································································· 5
6.5 误拦截率 ························································································· 5
6.6 漏拦截率 ························································································· 5
7 兼容性要求 ··························································································· 5
8 可靠性要求 ··························································································· 5
9 自身安全性要求 ······················································································ 5
参考文献 ·································································································· 6

前　　言
本文件按照GB/T 1.1—2020《标准化工作导则　第1 部分：标准化文件的结构和起草规则》的规
定起草。
本文件是GB/T 44810《IPv6 网络安全设备技术要求》的第3 部分。GB/T 44810 已经发布了以下
部分：
—第1部分：防火墙；
—第2部分：Web应用防护系统（WAF）；
—第3部分：入侵防御系统（IPS）。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国通信标准化技术委员会（SAC/TC 485）归口。
本文件起草单位：中国信息通信研究院、华为技术有限公司、北京神州绿盟科技有限公司、北京天
融信网络安全技术有限公司、郑州信大捷安信息技术股份有限公司、北京浩瀚深度信息技术股份有限公
司、国家计算机网络应急技术处理协调中心、中国电信集团有限公司、天翼安全科技有限公司、杭州迪
普科技股份有限公司、北京通和实益电信科学技术研究所有限公司、国家工业信息安全发展研究中心、
中国福利会国际和平妇幼保健院、北京元支点信息安全技术有限公司、新华三技术有限公司、深圳大
学、北京可信华泰信息技术有限公司、杭州安恒信息技术股份有限公司。
本文件主要起草人：董悦、戴方芳、王雨晨、李翔、陈宏伟、赵粤征、毕程、王龑、刘为华、
庞韶敏、陈陆颖、石桂欣、严寒冰、康和、龚超、吴庆、左虹、路云鹏、王欣萍、程曦、余果、
陈昌杰、季新华、杨志卫、史晨伟、万晓兰、杜君、段古纳、田丽丹。

引　　言
根据《关于加快推进互联网协议第六版（IPv6）规模部署和应用工作的通知》，为更好面对网络复
杂化和用户规模扩大化带来的安全挑战，推动IPv6 网络安全工作的标准化，我国制定了一系列IPv6 安
全标准。其中，GB/T 44810《IPv6 网络安全设备技术要求》是为规范在IPv6 中网络安全产品的适用性
的技术标准，拟由三个部分构成。
—第1部分：防火墙。目的在于IPv6部署后，保障防火墙在新的网络环境中的有效应用。
第2部分： W e b应用防护系统（ W A F ） 。目的在于IPv6部署后，保障Web应用防护系统
（WAF）在新的网络环境中的有效应用。
—
第3部分：入侵防御系统（IPS）。目的在于IPv6部署后，保障入侵防御系统（IPS）在新的网
络环境中的有效应用。
—

1　范围
本文件规定了支持IPv6 的入侵防御系统的安全技术要求。
本文件适用于支持IPv6 的入侵防御系统的设计、开发、部署、使用、维护与测试。
2　规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文
件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用
于本文件。
GB/T 25069—2022　信息安全技术　术语
GB/T 28451—2023　信息安全技术　网络入侵防御产品技术规范
GB/T 44810.1—2024　IPv6 网络安全设备技术要求　第1 部分：防火墙
3　术语和定义
GB/T 25069—2022、GB/T 28451—2023 界定的以及下列术语和定义适用于本文件。
3.1
安全事件　incident
对网络和信息系统或者其中的数据造成危害的事件。
4　缩略语
下列缩略语适用于本文件。
API：应用程序编程接口（Application Programming Interface）
CC：挑战黑洞（Challenge Collapsar）
CSRF：跨站请求伪造（Cross﹘site request forgery）
DNS：域名系统（Domain Name System）
HTTP：超文本传输协议（Hypertext Transfer Protocol）
HTTPS：安全超文本传输协议（Hypertext Transfer Protocol Secure）
ICMP：网间控制报文协议（Internet Control Messages Protocol）
IP：互联网协议（Internet Protocol）
IPv6：互联网协议第六版（Internet Protocol Version 6）
NDP：邻居发现协议(Neighbor Discovery Protocol)
SIP：会话初始协议（Session initialization Protocol）
SQL：结构化查询语言（Structured Query Language）
TCP：传输控制协议（Transport Control Protocol）
UDP：用户数据报协议（User Datagram Protocol）
GB/T 44810.3—2024
1
XSS：跨站脚本（Cross Site Scripting）
5　功能性要求
5.1　数据监测
5.1.1　数据收集
系统应具有实时获取受保护网段内的IPv6 协议数据包的能力。
5.1.2　协议分析
系统应对收集的IPv6 协议数据包进行协议分析，统计报文信息，还原协议栈内容，识别攻击载荷。
5.1.3　行为监测
系统应支持监视基于IPv6 协议的端口扫描、应用层暴力破解、非法外联或非授权访问、异常流量等
攻击。
5.1.4　流量监测
系统应支持监视IPv6 协议的报文流量和字节流量。
5.1.5　流量过滤
系统应支持通过配置IPv6 黑白名单，过滤掉不关注的流量或者仅接收关注流量。
5.2　入侵分析
5.2.1　数据分析
系统应对收集的IPv6 数据包进行分析，发现安全事件。
5.2.2　入侵取证
系统应对含有IPv6 地址的入侵内容进行证据保留，用于进一步分析和判定。
5.2.3　攻击防护
5.2.3.1　拒绝服务攻击防护
系统应支持基于IPv6 的拒绝服务攻击防护功能，包括：
a） NDP 泛洪（Flood）攻击防护；
b） UDP Flood攻击防护；
c） TCP Flood攻击防护；
d） HTTP Flood攻击防护；
e） HTTPS Flood攻击防护；
f） DNS Flood攻击防护；
g） SIP Flood攻击防护；
h） ICMP Flood攻击防护；
i） IPv6扩展头攻击防护。
GB/T 44810.3—2024
2
5.2.3.2　漏洞攻击防护
系统具备漏洞攻击防护特征库，应支持在IPv6 网络环境中能发现并阻断已知应用层漏洞攻击事件和
防止入侵行为进入目标网络功能，包括：
a） 操作系统类漏洞攻击防护；
b） 中间件类漏洞攻击防护；
c） 控件类漏洞攻击防护；
d） 应用服务漏洞攻击防护。
5.2.3.3　Web 攻击防护
系统具备Web 攻击防护特征库，应支持IPv6 网络环境下的Web 攻击防护功能，包括：
a） SQL注入攻击防护；
b） XSS攻击防护；
c） 第三方组件漏洞攻击防护；
d） 目录遍历攻击防护；
e） Cookie注入攻击防护；
f） CSRF攻击防护；
g） 文件包含攻击防护；
h） 盗链防护；
i） 命令注入攻击防护；
j） 网页后门（Webshell）攻击防护；
k） 反序列化攻击防护；
l） CC攻击防护；
m） 暴力破解攻击防护；
n） 爬虫防护；
o） 非法上传防护；
p） 非法下载防护；
q） XML攻击防护；
r） 信息泄露攻击防护或敏感文件访问攻击防护。
5.2.3.4　僵木蠕攻击防护
系统具备僵木蠕攻击防护特征库，应支持IPv6 网络环境下的僵尸网络、木马蠕虫、远程控制类的攻
击防护功能。
5.2.3.5　自动化攻击威胁防护
系统具备自动化攻击威胁防护特征库，应支持IPv6 网络环境下通过自动化工具发起的攻击防护功
能，包括：
a） 网络端口扫描行为防护；
b） 应用扫描行为防护；
c） 漏洞利用工具防护。
注：5.2.3.2~5.2.3.5 的特征库参考国家信息安全漏洞共享平台（CNVD）、中国国家信息安全漏洞库（CNNVD）、
通用漏洞披露（CVE）等。
GB/T 44810.3—2024
3
5.2.3.6　攻击逃逸防护
系统应支持检测并阻断经逃逸技术处理过的攻击行为的功能。
5.2.3.7　外部系统协同防护
系统应提供联动接口，能通过接口与其他网络安全设备进行联动，如执行其他网络安全设备下发的
安全策略、黑名单等，应支持IPv6 网络环境下的对接联动能力。
5.2.3.8　威胁情报库
系统应支持IPv6 威胁情报库，用于配合相关安全功能。
5.3　入侵响应
系统应支持根据定义的策略对入侵行为进行拦截、告警功能等。
5.4　管理控制
系统的管理控制功能应包括如下功能：
a） 定制安全策略、审阅日志、产品状态管理，并以可视化的形式提交授权用户进行管理；
提供北向API，第三方可通过API对系统实现安全策略配置管理、产品状态管理，并提供合理的
安全校验机制；
b）
c） 管理接口与业务接口使用不同的物理接口，确保管理数据流和业务数据流的分离。
5.5　检测结果处理
发现安全事件后可通过邮件、短消息、调用特定API 等方式，在5 min 内提醒管理者或者安全运维
人员。
5.6　安全策略
系统应支持针对入侵防御的策略进行配置功能，且应支持策略的集中管理。
5.7　异常应急处置
系统应支持异常情况下硬件和软件旁路绕过（bypass）功能。
6　性能要求
6.1　网络层吞吐量
系统在IPv6 网络环境中，视不同速率的产品有所不同，应符合GB/T 28451—2023 中6.3.1 规定的
要求。
6.2　混合应用层吞吐量
系统在IPv6 网络环境中，视不同速率的产品有所不同，应符合GB/T 28451—2023 中6.3.2 规定的
要求。
6.3　TCP 新建连接速率
系统在IPv6 网络环境中，视不同速率的产品有所不同，应符合GB/T 28451—2023 中6.3.3 规定的
要求。
GB/T 44810.3—2024
4
6.4　TCP 并发连接数
系统在IPv6 网络环境中，视不同速率的产品有所不同，应符合GB/T 28451—2023 中6.3.4 规定的
要求。
6.5　误拦截率
系统在IPv6 网络环境中，视不同速率的产品有所不同，应符合GB/T 28451—2023 中6.3.5 规定的
要求。
6.6　漏拦截率
系统在IPv6 网络环境中，视不同速率的产品有所不同，应符合GB/T 28451—2023 中6.3.6 规定的
要求。
7　兼容性要求
应符合GB/T44810.1—2024 第7 章规定的要求。
8　可靠性要求
应符合GB/T 44810.1—2024 第8 章中可靠性规定的要求。
9　自身安全性要求
应符合GB/T 44810.1—2024 第9 章中自身安全性规定的要求。
GB/T 44810.3—2024
5
参　考　文　献
[1]　GB/T 25000.51—2016　系统与软件工程　系统与软件质量要求和评价（SQuaRE）　第
51 部分：就绪可用软件产品（RUSP）的质量要求和测试细则
[2]　GB 42250—2022　信息安全技术　网络安全专用产品安全技术要求
—
GB/T 44810.3—2024
6