GB/T 32917-2016 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法

ICS35.040

L80OB

中华人民共和国国彖标准

GB/T32917—2016

信息安全技术WEB应用防火墙

安全技术要求与测试评价方法

Informationsecuritytechnology—

Securitytechniquerequirementsandtestingandevaluationapproaches

forWEBapplicationfirewall

2016-08-29发布2017-03-01实施

GB/T32917—2016

目次

前言m

引言N

1范围1

2规范性引用文件1

3术语、定义和缩略语1

3.1术语和定义1

3.2缩略语1

4安全技术要求2

4.1基本级2

4.1.1安全功能要求2

4.1.2自身安全保护3

4.1.3安全保障要求4

4.2增强级7

4.2.1安全功能要求7

4.2.2自身安全保护9

4.2.3安全保障要求10

4.3性能要求13

4.3.1HTTP吞吐量13

4.3.2HTTP最大请求速率13

4.3.3HTTP最大并发连接数13

5测试评价方法13

5.1测试环境13

5.2基本级15

5.2.1安全功能要求测试评价方法15

5.2.2自身安全保护测试评价方法18

5.2.3安全保障要求测试评价方法20

5.3增强级25

5.3.1安全功能要求测试评价方法25

5.3.2自身安全保护测试评价方法28

5.3.3安全保障要求测试评价方法32

5.4性能测试评价方法37

5.4.1HTTP吞吐量37

5.4.2HTTP最大请求速率37

5.4.3HTTP最大并发连接数37

6WEB应用防火墙安全技术要求分级表38

参考文献40

T

GB/T32917—2016

■ir■■i

刖吕

本标准按照GB/T1.1—2009给出的规则起草。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位:公安部第三研究所、上海天泰网络技术有限公司、北京神州绿盟科技有限公司、北

京中软华泰信息技术有限责任公司。

本标准主要起草人:邱梓华、张艳、顾健、胡亚兰、叶志强、李从宇、宋万龙、俞优、程胜年、罗宇、任浩、

张笑笑、宋好好、吴其聪。

m

GB/T32917—2016

引言

本标准包含两部分内容，一部分是WEB应用防火墙的安全技术要求，用以指导设计者如何设计和

实现WEB应用防火墙；另一部分是依据技术要求，提出了具体的测试评价方法，用以指导评估者对

WEB应用防火墙评估，同时也为WEB应用防火墙的开发者提供测试参考。

本标准将WEB应用防火墙划分为2个等级:基本级和增强级。为清晰表示增强级相较于基本级

的安全技术要求的增加和增强，在第4章、第5章的描述中，增强级的新增部分用“宋体加粗”表示。在

第6章WEB应用防火墙安全技术要求分级表中，以表格形式列举了基本级和增强级的差异。

IV

GB/T32917—2016

信息安全技术WEB应用防火墙

安全技术要求与测试评价方法

1范围

本标准规定了WEB应用防火墙的安全功能要求、自身安全保护要求、性能要求和安全保障要求，

并提供了相应的测试评价方法。

本标准适用于WEB应用防火墙的设计、生产、检测及采购。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2010信息安全技术术语

3术语、定义和缩略语

3.1术语和定义

GB/T25069—2010界定的以及下列术语和定义适用于本文件。

3.1.1

WEB应用防火墙WEBapplicationfirewall

是根据预先定义的过滤规则和安全防护规则，对所有WEB服务器的访问请求和WEB服务器的响

应进行协议和内容过滤，对WEB服务器及WEB应用实现安全防护功能的信息安全产品。

3.1.2

WEB服务器WEBserver

Web服务器是向发出请求的客户端（如浏览器）提供服务的程序。当Web浏览器（客户端）连到服

务器上并请求资源时，服务器将处理该请求并将资源发送到该浏览器上。Web服务器使用HTTP与

Web浏览器进行信息交流。常用的Web服务器有Apache和Internet信息服务器。

3.1.3

WEB应用WEBapplication

基于WEB服务器软件，为用户提供具体业务应用的程序或文件。

3.2缩略语

下列缩略语适用于本文件。

CSRF跨站请求伪造(Cross-siterequestforgery)

HTTP超文本传输协议(HypertextTransferProtocol)

HTTPS安全超文本传输协议(HypertextTransferProtocoloverSecureSocketLayer)

SSL安全套接层协议(SecureSocketLayer)

SQL结构化查询语言(StructuredQueryLanguage)

1

GB/T32917—2016

URL统一资源定位器(UniformResourceLocator)

WEB万维网(WorldWideWeb)

xss跨站脚本(CrossSiteScripting)

4安全技术要求

4.1基本

4.1.1安全功能要求

HTTP过滤功能

.1允许/禁止HTTP请求类型

应能根据HTTP的请求类型（至少包括:GET、POST、PUT、HEAD等）设置过滤规则，并根据过

滤规则允许或者禁止访问。

.2HTTP协议头各个字段的长度限制

应能对HTTP协议头（至少包括：general-header、request-header、response-header）的各部分长度

设置过滤规则，并根据过滤规则允许或者禁止访问，以防止缓冲区溢出攻击。

.3后缀名过滤

应能对所请求的WEB资源文件后缀名设置过滤规则，并根据过滤规则允许或者禁止访问。

.4支持多种HTTP请求参数编码方式

应能支持对UNIC（）DE、BASE64、二进制、十六进制等不同编码方式的HTTP请求参数进行识别

和转换。

.5识别和限制HTTP响应码

应能对HTTP服务器返回的响应码设置过滤规则，并根据过滤规则允许或者禁止访问。

.6URL内容关键字过滤

应能对所请求的URL中的内容设置关键字过滤规则，并根据过滤规则允许或者禁止访问。

.7WEB服务器返回内容过滤

应能对WEB服务器返回的内容设置关键字过滤规则，并根据过滤规则允许或者禁止访问。

安全防护功能

.1WEB应用防护功能

应具备以下WEB应用防护功能：

a）对利用WEB服务器漏洞进行攻击的行为，能识别攻击行为并拒绝访问；

b）对利用主流脚本语言（如:PHPJSP.ASPJavaScript等）的漏洞进行攻击的行为，能识别攻击

行为并拒绝访问。

2

GB/T32917—2016

.2WEB攻击防护功能

应具备以下WEB攻击防护功能:

a)SQL注入攻击防护；

b)XSS攻击防护；

c)盗链防护；

d)WEB应用扫描防护；

e)爬虫防护；

f)CSRF防护；

g)命令注入防护攻击；

h)非法上传防护；

i)非法下载防护；

j)HTTPFld防护。

其他功能

.1自定义错误页面功能

应能对WEB服务器返回的错误页面进行自定义。

.2规则库管理

应具备以下规则库管理功能：

a）应能根据用户的WEB应用环境，提供相匹配的安全防护规则库，并能进行自动或手动升级

b）应能添加、删除、修改自定义过滤规则。

.3报警功能

应能对违规事件进行告警，并满足以下要求：

a）至少支持屏幕报警、邮件告警.SNMPtrap告警、短信告警等方式中的一种；

b）记录告警事件，内容包括：事件发生的日期和时间、匹配规则、告警事件描述等。

4.1.2自身安全保护

标识与鉴别

.1唯一性标识

应为授权管理员提供唯一的身份标识，同时将授权管理员的身份标识与该授权管理员的所有可审

计事件相关联。

.2身份鉴别

应在执行任何与安全功能相关的操作之前，鉴别任何声称要履行授权管理员职责的管理员身份。

.3鉴别数据保护

应保证鉴別数据不被未授权查阅和修改。

.4鉴别失败处理

当管理员鉴別尝试不成功达到指定次数后，应能:

3

GB/T32917—2016

a）终止会话。

安全审计

.1审计数据生成

应生成以下审计日志：

a）对于所有成功和失败的WEB访问事件,都应生成审计记录。审计日志内容应包括：每个事件

发生的日期、时间、IP地址、所请求的URL、成功或失败标识、匹配规则；

b）管理员成功和失败鉴别日志；审计日志内容应包括:每个事件发生的日期、时间、IP地址、用户

名、成功或失败标识。

.2审计日志管理功能

应提供对审计数据的备份、查询等管理功能。

.3可理解的格式

所有审计记录能被理解。

.4防止审计数据丢失

日志信息应存储在永久性存储介质中，当存储空间被耗尽时，应采取相应措施，保证审计数据不

丢失。

统计功能

应具有以下统计功能：

a）对WEB资源的访问总次数以及单个IP访问的总次数按照不同的时间段（如：天、小时等）进

行统计。

远程管理加密

当需要通过远程进行管理时，应能对远程管理通信进行加密保护。

状态监测

在启动和正常工作时，应周期性地、或者按照授权管理员的要求执行自检，包括硬件工作状态监测、

软件模块状态监测等；当检测到工作状态异常时，应向管理员进行报警。

双机热备

应具备双机热备功能，当主WEB应用防火墙出现故障时，备WEB应用防火墙应及时发现并接管

主WEB应用防火墙进行丁作。

4.1.3安全保障要求

开

.1安全架构

开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：

a）与产品设计文档中对安全功能实施抽象描述的级别一致；

4

GB/T32917—2016

b）描述与安全功能要求一致的产品安全功能的安全域；

c）描述产品安全功能初始化过程为何是安全的；

d）证实产品安全功能能够防止被破坏；

e）证实产品安全功能能够防止安全特性被旁路。

.2功能规范

开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：

a）完全描述产品的安全功能；

b）描述所有安全功能接口的目的与使用方法；

c）标识和描述每个安全功能接口相关的所有参数；

d）描述安全功能接口相关的安全功能需求执行行为；

e）描述由安全功能实施行为和异常而引起的直接错误消息；

f）描述与安全功能接口相关的安全功能需求支撑和无关的行为；

g）证实安全功能要求到安全功能接口的追溯。

.3产品设计

开发者应提供产品设计文档，产品设计文档应满足以下要求：

a）根据子系统描述产品结构；

b）标识产品安全功能的所有子系统；

c）对每一个安全功能需求无关子系统的行为进行足够详细的描述，以确定它是安全功能需求

无关；

d）概括安全功能需求执行子系统的安全功能需求支撑和无关行为；

e）概括安全功能需求支撑了系统的行为；

f）描述安全功能需求执行子系统的安全功能需求执行行为；

g）描述安全功能所有子系统间的相互作用；

h）提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。

指导性文档

.1操作用户指南

开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一

致，对每一种用户角色的描述应满足以下要求：

a）描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；

b）描述如何以安全的方式使用产品提供的可用接口；

c）描述可用功能和接口，尤其是受用户控制的所有安全参数,适当时指明安全值；

d）明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控

制实体的安全特性；

e）标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全

运行之间的因果关系和联系；

f）充分实现安全目的所必须执行的安全策略。

.2准备程序

开发者应提供产品及其准备程序，准备程序描述应满足以下要求:

5

GB/T32917—2016

a）描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；

b）描述安全安装产品及其运行环境必需的所有步骤。

生命周期支持

.1配置管理能力

开发者的配置管理能力应满足以下要求：

a）为产品的不同版本提供唯一的标识；

b）使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项；

c）提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；

d）配置管理系统应提供措施使得只能对配置项进行授权变更；

e）配置管理文档包括一个配置管理计划.配置管理计划描述如何使用配置管理系统开发产品；

f）实施的配置管理与配置管理计划相一致。

.2配置管理范围

开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：

a）产品、安全保障要求的评估证据和产品的组成部分和实现表示；

b）配置项列表应唯一标识配置项；

c）对于每一个安全功能相关的配置项，配置项列表应简要说明该配置项的开发者。

.3交付程序

开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时,

交付文档应描述为维护安全所必需的所有程序。

.4开发安全

开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现

的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。

.5生命周期定义

开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档

描述用于开发和维护产品的模型。

测试

.1覆盖

开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求：

a）测试覆盖分析应证实测试文档中的测试与功能规范中安全功能接口之间的对应性；

b）测试覆盖分析应证实已经对功能规范中的所有安全功能接口都进行了测试，

.2深度

开发者应提供测试深度的分析。测试深度分析描述应满足以下要求：

a）证实测试文档中的测试与产品设计中的安全功能子系统之间的一致性；

b）证实产品设计中的所有安全功能子系统都已经进行过测试。

6

GB/T32917—2016

.3功能测试

开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：

a）测试计划：标识要执行的测试,并描述执行每个测试的方案，这些方案包括对于其他测试结果

的任何顺序依赖性；

b）预期的测试结果：表明测试成功后的预期输出；

c）实际测试结果：和预期的测试结果一致。

.4独立测试

开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。

脆弱性评定

基于已标识的潜在脆弱性，产品能够抵抗以下攻击行为：

a）具有基本攻击潜力的攻击者的攻击’

4.2增强级

4.2.1安全功能要求

HTTP过滤功能

.1允许/禁止HTTP请求类型

应能根据HTTP的请求类型（至少包括：GET、POST、PUT、HEAD、OPTIONS等）设置过滤规

则，并根据过滤规则允许或者禁止访问。

.2HTTP协议头各个字段的长度限制

应能对HTTP协议头（至少包括：general-header、request-header、response-header）的各部分长度

设置过滤规则，并根据过滤规则允许或者禁止访问，以防止缓冲区溢出攻击。

.3后缀名过滤

应能对所请求的WEB资源文件后缀名设置过滤规则，并根据过滤规则允许或者禁止访问。

.4支持多种HTTP请求参数编码方式

应能支持UNIC（）DE、BASE64、二进制、十六进制等编码方式，对不同编码格式的HTTP内容能进

行识别和转换。

.5识别和限制HTTP响应码

应能对HTTP服务器返回的响应码设置过滤规则，并根据过滤规则允许或者禁止访问。

.6URL内容关键字过滤

应能对所请求的URL中的内容设置关键字过滤规则，并根据过滤规则允许或者禁止访问。

.7WEB服务器返回内容过滤

应能对WEB服务器返回的内容设置关键字过滤规则，并根据过滤规则允许或者禁止访问。

7

GB/T32917—2016

安全防护功能

.1WEB应用防护功能

应具备以下WEB应用防护功能：

a）对利用WEB服务器漏洞进行攻击的行为，能识别攻击行为并拒绝访问；

b）对利用主流脚本语言（如:PHPJSP.ASPJavaScript等）的漏洞进行攻击的行为，能识別攻击

行为并拒绝访问。

.2WEB攻击防护功能

应具备以下WEB攻击防护功能：

a)SQL注入攻击防护；

b)XSS攻击防护；

c)盗链防护；

d)WEB应用扫描防护；

e)爬虫防护；

f)CSRF防护；

g)命令注入防护攻击；

h)非法上传防护；

i)非法下载防护；

J）HTTPFld防护;

k)Ckie注入攻击防护；

1)Webshell识别和拦截；

m)其他WEB攻击的防护。

其他功能

.1自定义错误页面功能

应能对WEB服务器返回的错误页面进行自定义。

.2白名单功能

应支持白名单功能，只允许特定对象访问指定的WEB资源。

.3支持HTTPS

应能对基于HTTPS的WEB服务器访问请求进行解码，并对解码后的内容提供以下功能：

HTTP过滤功能,安全防护功能..1自定义错误页面功能和.2白名单功能。

.4规则库管理

应具备以下规则库管理功能：

a）根据用户的WEB应用环境，提供相匹配的安全防护规则库,并能进行自动或手动升级；

b）添加、删除、修改自定义过滤规则。

.5报警功能

应能对违规事件进行告警，并满足以下要求：

8

GB/T32917—2016

a）至少支持屏幕报警、邮件告警.SNMPtrap告警、短信告警等方式中的一种；

b）记录告警事件，内容包括:事件发生的日期和时间、匹配规则、告警事件描述等；

O对高频发生的相同吿警事件进行合并吿警，避免出现告警风暴。

4.2.2自身安全保护

4.2.2.1标识与鉴别

.1唯一性标识

系统应为授权管理员提供唯一的身份标识，同时将授权管理员的身份标识与该授权管理员的所有

可审计事件相关联。

.2身份鉴别

应在执行任何与安全功能相关的操作之前，鉴别任何声称要履行授权管理员职责的管理员身份。

.3鉴别数据保护

应保证鉴別数据不被未授权查阅和修改。

.4鉴别失败处理

当管理员鉴別尝试不成功达到指定次数后，应能：

a）终止会话；

b）锁定用户账户或远程登录主机的地址。

.5安全管理角色

应能对管理员角色进行划分：

a）貝有至少两种不同权限的管理员角色（如：管理员、审计员等）；

b）根据不同的功能模块，定义各种不同权限角色。

安全审计

.1审计数据生成

应生成以下审计日志和审计内容：

a）对于所有成功和失败的WEB访问事件,都应生成审计记录。审计日志中应包括：每个事件

生的日期、时间、IP地址、所请求的URL、成功或失败标识、匹配规则；

b）管理员成功和失败鉴别日志，审计日志中应包括：每个事件发生的日期、时间、IP地址、用户

名、成功或失败标识；

O管理员操作U志，包括:过滤规则和防护策略的增加、删除和修改；管理员的增加、删除和修改。

.2审计日志管理功能

应提供对审计数据的备份、查询等管理功能。

.3可理解的格式

所有审计记录能被理解。

9

GB/T32917—2016

.4防止审计数据丢失

日志信息应存储在永久性存储介质中，当存储空间被耗尽时,采取相应措施，保证审计数据不丢失。

统计功能

应具有以下统计功能：

a）对WEB资源的访问总次数以及单个IP访问的总次数按照不同的时间段（如：天、小时等）进

行统计；

b）能生成统计分析报表，并以图形化方式展现，能以常见格式导出。

远程管理加密

当需耍通过远程进行管理时，应能对远程管理通信进行加密保护。

状态监测

在启动和正常工作时，应周期性地、或者按照授权管理员的要求执行自检，包括硬件工作状态监测、

软件模块状态监测等，以产品丁作状态正常。当检测到T作状态异常时，向管理员进行报警。

双机热备

应具备双机热备功能，当主WEB应用防火墙出现故障时，备WEB应用防火墙应及时发现并接管

主WEB应用防火墙进行丁作。

负载均衡

应支持负载均衡功能•能够将WEB访问请求均衡到多台WEB服务器匕.

4.2.3安全保障要求

开发

.1安全架构

开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：

a）与产品设计文档中对安全功能实施抽象描述的级别一致；

b）描述与安全功能要求一致的产品安全功能的安全域；

c）描述产品安全功能初始化过程为何是安全的；

d）证实产品安全功能能够防止被破坏；

e）证实产品安全功能能够防止安全特性被旁路。

.2功能规范

开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：

a）完全描述产品的安全功能；

b）描述所有安全功能接口的目的与使用方法；

c）标识和描述每个安全功能接口相关的所有参数；

d）描述安全功能接口相关的安全功能实施行为；

e）描述由安全功能实施行为处理而引起的直接错误消息；

f）证实安全功能要求到安全功能接口的追溯；

10

GB/T32917—2016

g）描述安全功能实施过程中，与安全功能接口相关的所有行为；

h）描述可能山安全功能接口的调用而引起的所有直接错误消息。

.3实现表示

开发者应提供全部安全功能的实现表示,实现表示应满足以下耍求：

a）提供产品设计描述与实现表示实例之间的映射，并证明其-•致性；

b）按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；

c）以开发人员使用的形式提供。

.4产品设计

开发者应提供产品设计文档，产品设计文档应满足以下要求：

a）根据子系统描述产品结构；

b）标识和描述产品安全功能的所有子系统；

c）描述安全功能所有子系统间的相互作用；

d）提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；

e）根据模块描述安全功能；

f）提供安全功能子系统到模块间的映射关系；

g）描述所有安全功能实现模块，包括其目的及与其他模块间的相呈作用；

h）描述所有实现模块的安全功能耍求相关接口、其他接口的返回值、与其他模块间的相互作用及

调用的接口；

1）描述所有安全功能的支撑或相关模块，包括其目的及与其他模块间的相呈作用。

指导性文档

.1操作用户指南

开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一

致，对每一种用户角色的描述应满足以下要求：

a）描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；

b）描述如何以安全的方式使用产品提供的可用接口；

c）描述可用功能和接口，尤其是受用户控制的所有安全参数,适当时指明安全值；

d）明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控

制实体的安全特性；

e）标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全

运行之间的因果关系和联系；

f）充分实现安全目的所必须执行的安全策略。

.2准备程序

开发者应提供产品及其准备程序，准备程序描述应满足以下要求：

a）描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；

b）描述安全安装产品及其运行环境必需的所有步骤。

生命周期支持

.1配置管理能力

开发者的配置管理能力应满足以下要求:

11

GB/T32917—2016

a）为产品的不同版本提供唯一的标识；

b）使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项；

c）提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；

d）提供口动化的措施使得只能对配置项进行授权变更；

e）配置管理系统提供」种口动方式来支持产品的生产；

f）配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。

实施的配置管理与配置管理计划相一致；

g）配置管理计划描述用来接受修改过的或新建的作为产品纽成部分的配置项的程序。

.2配置管理范围

开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：

a）产品、安全保障要求的评估证据和产品的组成部分和实现表示、安全缺陷报告及其解决状态；

b）配置项列表应唯一标识配置项；

c）对于每一个安全功能相关的配置项，配置项列表应简要说明该配置项的开发者。

.3交付程序

开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时,

交付文档应描述为维护安全所必需的所有程序。

.4开发安全

开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现

的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。

.5生命周期定义

开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档

描述用于开发和维护产品的模型。

.6工具和技术

开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义所有语句和实现用到

的所有协定与命令的含义，无歧义地定义所有实现依赖选项的含义。

测试

.1覆盖

开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求：

a）测试覆盖分析应证实测试文档中的测试与功能规范中安全功能接口之间的对应性；

b）测试覆盖分析应证实已经对功能规范中的所有安全功能接口都进行了测试，

.2深度

开发者应提供测试深度的分析。测试深度分析描述应满足以下要求：

a）证实测试文档中的测试与产品设计中的安全功能子系统和安全功能需求执行模块之间的一

致性；

b）证实产品设计中的所有安全功能子系统和安全功能需求执行模块都已经进行过测试。

12

GB/T32917—2016

.3功能测试

开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：

a）测试计划：标识要执行的测试,并描述执行每个测试的方案，这些方案包括对于其他测试结果

的任何顺序依赖性；

b）预期的测试结果：表明测试成功后的预期输出；

c）实际测试结果：和预期的测试结果一致。

.4独立测试

开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。

脆弱性评定

基于已标识的潜在脆弱性，产品能够抵抗以下攻击行为：

a）具有增强型基本攻击潜力的攻击者的攻击。

注：抵抗增强型基本攻击潜力的攻击者的攻击，需要综合考虑根据以下5个具体因索：攻击时间、攻击者能力、对产

品的了解程度、访问产品时间或攻击样品数量、使用的攻击设备,详见参考文献［10］中的附录B。

4.3性能要求

4.3.1HTTP呑吐量

WEB应用防火墙的HTTP吞吐量应不小于线速的90%。

4.3.2HTTP最大请求速率

WEB应用防火