Môi giới chuyên nghiệp
Đăng xuất
AN NINH MẠNG - TƯỜNG LỬA - YÊU CẦU KỸ THUẬT CHUNG
Cyber security - Firewall - General requirements
Lời nói đầu
TCVN 14620:2026 An ninh mạng - Tường lửa - Yêu cầu kỹ thuật chung do Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao biên soạn, Bộ Công an đề nghị, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ Khoa học và Công nghệ công bố.
Lời giới thiệu
Tiêu chuẩn này quy định các yêu cầu chức năng đối với tường lửa nhằm đảm bảo chất lượng của thiết bị, phần mềm, phù hợp với mục tiêu bảo vệ mạng máy tính và hệ thống thông tin trước các mối đe dọa trên không gian mạng.
...
...
...
AN NINH MẠNG - TƯỜNG LỬA - YÊU CẦU KỸ THUẬT CHUNG
Cyber security - Firewall - General requirements
Tiêu chuẩn này quy định các yêu cầu kỹ thuật chung về an ninh mạng đối với tường lửa, bao gồm nhưng không giới hạn các chức năng như phát hiện và phòng ngừa xâm nhập, quản lý ứng dụng, khả năng kết nổi, chia sẻ thông tin tình báo mối đe doạ mạng.
Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).
TCVN 9801-1:2022 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng quan và khái niệm.
3 Thuật ngữ, định nghĩa và chữ viết tắt
...
...
...
3.1.1
Hệ thống phát hiện và phòng ngừa xâm nhập (Intrusion Detection and Prevention System)
Các thiết bị được sử dụng để giám sát, phân tích kết nối mạng nhằm phát hiện cảnh báo và ngăn chặn tấn công mạng theo thời gian thực.
3.1.2
Chỉ dấu tấn công (Indicator of Compromise)
Bằng chứng kỹ thuật hoặc dấu hiệu cho thấy một cuộc tấn công mạng sắp xảy ra, đang diễn ra hoặc có thể đã xảy ra.
3.1.3
Mẫu nhận dạng (Signature)
...
...
...
3.1.4
Đường cơ sở hành vi (Behavior Baseline)
Mẫu lưu lượng hoặc hành vi chuẩn trong mạng dùng để so sánh và phát hiện bất thường.
3.1.5
Phân tích sâu gói tin (Deep Packet Inspection)
Kỹ thuật kiểm tra và phân tích gói tin mạng, bao gồm tiêu đề và nội dung để phát hiện tấn công hoặc ứng dụng.
3.1.6
Thông lượng (Throughput)
Chỉ số đo lường lượng dữ liệu thực tế được truyền thành công giữa điểm gửi và nhận trong một khoảng thời gian.
...
...
...
Chế độ mở khi lỗi (Fail-Open)
Cơ chế cho phép lưu lượng đi qua khi xảy ra sự cố để duy trì dịch vụ.
3.1.8
Chế độ đóng khi lỗi (Fail-close)
Cơ chế không cho phép lưu lượng đi qua khi xảy ra sự cố.
3.1.9
Danh sách đen (Blacklist)
Danh sách các thực thể riêng biệt đã được xác định có liên quan đến hoạt động độc hại.
3.1.10
...
...
...
Danh sách các thực thể riêng biệt đã được xác định, chấp thuận sử dụng trong hệ thống thông tin.
3.1.11
Chế độ active-active (Active-Active)
Chế độ dự phòng độ sẵn sàng cao, trong đó các thiết bị đều ở trạng thái hoạt động, cùng tham gia xử lý lưu lượng và duy trì dịch vụ.
3.1.12
Chế độ actvie-standby (Active-Standby)
Chế độ dự phòng sẵn sàng cao, trong đó một thiết bị hoạt động chính và một hoặc nhiều thiết bị ở trạng thái dự phòng, thiết bị dự phòng tự động chuyển sang hoạt động khi thiết bị chính gặp sự cố.
3.1.13
Tường lửa (Firewall)
...
...
...
API
Giao diện lập trình ứng dụng
Application Programming Interface
CLI
Giao diện dòng lệnh
Command Line Interface
CPU
Bộ xử lý trung tâm
...
...
...
CTI
Tình báo mối đe dọa mạng
Cyber Threat Intelligence
DDoS
Từ chối dịch vụ phân tán
Distributed Denial of Service
DoS
Từ chối dịch vụ
Denial of Service
...
...
...
Tính sẵn sàng cao
High Availability
ICMP
Giao thức bản tin điều khiển Internet
Internet Control Message Protocol
IDPS
Hệ thống phát hiện và phòng ngựa xâm nhập
Intrusion Detection and Prevention System
IOC
...
...
...
Indicator of Compromise
IP
Giao thức Internet
Internet Protocol
IPS
Hệ thống phòng ngừa xâm nhập
Intrusion Prevention System
MTBF
Thời gian trung bình giữa các lần hỏng
...
...
...
NAT
Biến đổi địa chỉ mạng
Network Address Translation
NTP
Giao thức thời gian mạng
Network Time Protocol
PAT
Biến đổi địa chỉ theo cổng
Port Address Translation
...
...
...
Bộ nhớ truy cập ngẫu nhiên
Random Access Memory
SIEM
Hệ thống quản lý thông tin và sự kiện bảo mật
Security Information and Event Management
SOC
Trung tâm điều hành an ninh mạng
Security Operation Center
SSH
...
...
...
Secure Shell
STDƠTAXII
Chuẩn chia sẻ thông tin tình báo mối đe dọa
Structured Threat Information expression / Trusted Automated exchange of Intelligence Information
Syslog
Giao thức ghi nhật ký hệ thống
System Logging Protocol
TCP
Giao thức điều khiển truyền dẫn
...
...
...
TLS
Bảo mật tầng truyền tải
Transport Layer Security
UDP
Giao thức gói dữ liệu người dùng
User Datagram Protocol
URL
Bộ định vị tài nguyên thống nhất
Uniform Resource Locator
...
...
...
Giao diện người dùng web
Web User Interface
4.1.1 Khái quát
Tập hợp các điều kiện cơ bản nhằm đảm bảo tường lửa vận hành ổn định, liên tục và có khả năng hỗ trợ quản trị an toàn. Các yêu cầu này là nền tảng trước khi áp dụng các chức năng bảo vệ hệ thống.
4.1.2 Yêu cầu cụ thể
4.1.2.1 Vận hành ổn định
a) Duy trì hoạt động liên tục mà không cần khởi động lại.
...
...
...
c) Có cơ chế tự giám sát để phát hiện sớm lỗi phần cứng hoặc phần mềm gây mất ổn định.
d) Hỗ trợ khởi động lại có kiểm soát, đảm bảo không làm mất dữ liệu cấu hình và nhật ký.
e) Tự động khởi động lại an toàn sau khi mất điện, đảm bảo không mất cấu hình hoặc nhật ký.
4.1.2.2 Đồng bộ thời gian
a) Hỗ trợ đồng bộ thời gian chuẩn thông qua giao thức NTP.
b) Ghi nhận sự kiện đồng bộ và cảnh báo khi mất kết nối với máy chủ NTP.
4.1.2.3 Sao lưu và khôi phục cấu hình
a) Hỗ trợ sao lưu toàn bộ cấu hình ra tệp theo định dạng mà thiết bị hỗ trợ.
b) Cho phép khôi phục toàn bộ cấu hình từ tệp sao lưu đã lưu trữ.
...
...
...
4.1.2.4 Chế độ hoạt động
a) Hỗ trợ hoạt động ở chế độ trong suốt.
b) Hỗ trợ hoạt động ở chế độ định tuyến.
c) Cho phép chuyển đổi chế độ hoạt động mà không làm mất dữ liệu cấu hình bảo mật của thiết bị.
d) Duy trì chính sách bảo mật khi thay đổi chế độ hoạt động.
4.1.2.5 Quản trị cơ bản
a) Hỗ trợ nhiều hình thức quản trị, tối thiểu bao gồm CLI, WebUI và quản lý tập trung.
b) Yêu cầu xác thực người quản trị trước khi cho phép truy cập.
c) Hỗ trợ phân quyền quản trị cơ bản theo vai trò.
...
...
...
4.1.2.6 Khả năng giám sát hệ thống
a) Hỗ trợ giám sát tài nguyên cơ bản, bao gồm nhưng không giới hạn các chỉ số hoạt động của CPU, RAM, bộ nhớ lưu trữ.
b) Hỗ trợ cấu hình ngưỡng cảnh báo khi tài nguyên vượt mức cho phép.
c) Hỗ trợ trích xuất dữ liệu giám sát ra hệ thống tập trung.
4.1.2.7 Cập nhật hệ thống cơ bản
a) Hỗ trợ cập nhật phần mềm thủ công.
b) Hỗ trợ kiểm tra phiên bản và thông báo phiên bản mới.
c) Cảnh báo khi bản cập nhật không thành công.
4.2 Yêu cầu kiểm soát truy cập
...
...
...
Các yêu cầu về khả năng kiểm soát luồng dữ liệu dựa trên trạng thái kết nối. Tường lửa phải theo dõi, duy trì bảng trạng thái phiên kết nối và thực hiện chính sách bảo mật phù hợp để ngăn chặn gói tin bất hợp pháp.
4.2.2 Yêu cầu cụ thể
4.2.2.1 Quản lý bảng trạng thái kết nối
a) Duy trì bảng trạng thái cho tất cả phiên TCP, UDP, ICMP và các giao thức khác.
b) Cập nhật trạng thái phiên theo từng giai đoạn: khởi tạo, duy trì, kết thúc.
c) Loại bỏ các gói tin không khớp trạng thái hoặc không thuộc phiên đã được phép.
d) Cho phép cấu hình thời gian chờ cho từng loại phiên.
e) Có giới hạn kích cỡ bảng trạng thái để chống tấn công từ chối dịch vụ.
4.2.2.2 Kiểm soát truy cập theo thông số mạng
...
...
...
b) Hỗ trợ định nghĩa chính sách lọc dựa trên cổng nguồn và đích.
c) Hỗ trợ định nghĩa chính sách lọc dựa trên giao thức vận chuyển.
d) Hỗ trợ lọc gói tin phân mảnh và ghép nối để kiểm tra chính xác.
4.2.2.3 Kiểm soát truy cập theo người dùng
a) Hỗ trợ liên kết thông tin người dùng từ hệ thống xác thực.
b) Cho phép định nghĩa chính sách lọc dựa trên người dùng cụ thể.
c) Cho phép định nghĩa chính sách lọc dựa trên nhóm người dùng.
4.2.2.4 Hỗ trợ NAT
a) Hỗ trợ NAT tĩnh và NAT động.
...
...
...
c) Hỗ trợ NAT hai chiều giữa nhiều vùng mạng.
4.2.2.5 Chính sách theo vùng mạng
a) Hỗ trợ phân chia các vùng mạng logic.
b) Cho phép định nghĩa chính sách lọc giữa các vùng mạng.
c) Hỗ trợ nhiều vùng mạng trên một giao diện.
d) Hỗ trợ ưu tiên chính sách giữa các vùng mạng.
4.2.2.6 Dự phòng và tính sẵn sàng cao
a) Hỗ trợ triển khai HA ở chế độ active-active.
b) Hỗ trợ triển khai HA ở chế độ active-standby.
...
...
...
d) Hỗ trợ đồng bộ cấu hình và nhật ký giữa các thiết bị trong cụm HA.
4.2.2.7 Quản lý chính sách lọc
a) Cho phép tạo nhiều bảng chính sách độc lập.
b) Hỗ trợ ưu tiên chính sách theo thứ tự xác định.
c) Hỗ trợ áp dụng chính sách lọc theo thời gian biểu.
d) Hỗ trợ sao lưu và khôi phục bảng chính sách lọc.
4.2.2.8 Ghi nhật ký và giám sát
a) Ghi nhật ký cho tất cả các phiên kết nối được phép và bị chặn.
b) Nhật ký bao gồm nhưng không giới hạn các thông tin: địa chỉ IP, cổng, giao thức, hành động xử lý, thời gian.
...
...
...
d) Xuất dữ liệu nhật ký ra hệ thống giám sát tập trung.
4.2.2.9 Lọc theo danh sách
a) Hỗ trợ danh sách đen để chặn địa chỉ IP, tên miền không mong muốn.
b) Hỗ trợ danh sách trắng để chỉ cho phép truy cập các địa chỉ được định nghĩa.
c) Cho phép quản trị viên thêm, sửa, xóa địa chỉ trong danh sách trắng, danh sách đen.
d) Ghi nhật ký đầy đủ các sự kiện truy cập bị chặn hoặc cho phép theo danh sách.
4.3 Yêu cầu chức năng hệ thống phát hiện và phòng ngừa xâm nhập
4.3.1 Khái quát
Chức năng IDPS quy định yêu cầu phát hiện, ngăn chặn, xử lý các cuộc tấn công mạng theo thời gian thực. Hệ thống phải kết hợp nhiều phương pháp như: dựa trên mẫu nhận dạng, dựa trên hành vi, phân tích bất thường và phân tích sâu gói tin. Ngoài ra, IDPS phải hỗ trợ phòng chống tấn công DoS/DDoS, cho phép tùy chỉnh chính sách, cập nhật cơ sở dữ liệu và phản ứng tự động.
...
...
...
4.3.2.1 Phát hiện dựa trên chữ ký
a) Hỗ trợ cơ sở dữ liệu mẫu nhận dạng tấn công toàn diện.
b) Phân loại chữ ký theo loại tấn công và mức độ nguy hiểm.
c) Cho phép bật/ tắt từng chữ ký hoặc nhóm chữ ký.
d) Hỗ trợ bổ sung chữ ký tùy chỉnh.
4.3.2.2 Phát hiện dựa trên hành vi
a) Giám sát lưu lượng để phát hiện hành vi bất thường.
b) Xác định ngưỡng kết nối bất thường.
c) Phát hiện hành vi quét cổng, quét dịch vụ.
...
...
...
4.3.2.3 Phân tích bất thường
a) Hỗ trợ xây dựng đường cơ sở hành vi mạng.
b) Hỗ trợ so sánh lưu lượng hiện tại với đường cơ sở.
c) Hỗ trợ phát hiện sai lệch về tần suất, kích thước gói, chu kỳ kết nối.
d) Hỗ trợ phát hiện mẫu lưu lượng không mong muốn hoặc chưa biết.
4.3.2.4 Phòng chống tấn công DoS/ DDoS
a) Phát hiện tấn công DoS/ DDoS.
b) Giới hạn số lượng kết nối mới trong một khoảng thời gian.
c) Hỗ trợ chính sách giảm tải lưu lượng tấn công.
...
...
...
a) Phân tích tiêu đề gói tin ở nhiều tầng.
b) Phân tích dữ liệu nội dung gói tin.
c) Phát hiện chuỗi dữ liệu độc hại trong nội dung.
d) Kiểm tra toàn bộ phiên giao dịch thay vì từng gói riêng lẻ.
4.3.2.6 Quản lý chính sách IPS
a) Hỗ trợ định nghĩa nhiều chính sách IPS khác nhau.
b) Cho phép gán chính sách cho từng vùng mạng.
c) Hỗ trợ ưu tiên áp dụng chính sách.
d) Hỗ trợ sao lưu vả khôi phục chính sách IPS.
...
...
...
a) Hỗ trợ cập nhật cơ sở dữ liệu chữ ký theo thời gian thực.
b) Cho phép cập nhật tự động định kỳ.
c) Cho phép cập nhật thủ công khi cần thiết.
d) Kiểm tra tính toàn vẹn trước khi áp dụng bản cập nhật.
4.3.2.8 Phản ứng tự động
a) Hỗ trợ chặn lưu lượng tấn công theo thời gian thực.
b) Hỗ trợ đặt lại/ kết thúc kết nối tấn công.
c) Hỗ trợ cách ly máy chủ hoặc vùng mạng bị ảnh hưởng.
d) Hỗ trợ gửi cảnh báo ngay khi phát hiện tấn công.
...
...
...
a) Ghi nhật ký chi tiết sự kiện IPS.
b) Nhật ký bao gồm tối thiểu các thông tin: thời gian, địa chỉ nguồn, địa chỉ đích, giao thức, chữ ký khớp, hành động xử lý.
c) Hỗ trợ thống kê sự kiện IPS theo thời gian.
d) Xuất dữ liệu IPS sang hệ thống quản trị tập trung.
4.3.2.10 Tối ưu hóa hiệu năng IPS
a) Đảm bảo không làm gián đoạn lưu lượng hợp lệ khi bật IPS.
b) Công bố độ trễ xử lý khi bật IPS.
c) Công bố thông lượng IPS trong điều kiện thực tế.
d) Hỗ trợ giám sát hiệu năng IPS theo thời gian thực.
...
...
...
4.4.1 Khái quát
Chức năng quản lý ứng dụng cho phép tường lửa nhận diện, phân loại và kiểm soát lưu lượng dựa trên ứng dụng thay vì chỉ dựa vào địa chỉ IP hay cổng. Hệ thống phải cung cấp khả năng áp dụng chính sách chi tiết cho từng ứng dụng hoặc nhóm ứng dụng, đảm bảo loại bỏ các ứng dụng không mong muốn, quản lý quyền sử dụng hợp lệ và duy trì nhật ký, báo cáo đầy đủ.
4.4.2 Yêu cầu cụ thể
4.4.2.1 Nhận diện ứng dụng
a) Nhận diện ứng dụng dựa trên chữ ký đặc trưng.
b) Nhận diện ứng dụng dựa trên hành vi giao tiếp.
c) Nhận diện ứng dụng dựa trên giao thức riêng, giao thức biến thể do ứng dụng tự định nghĩa.
d) Duy trì cơ sở dữ liệu mẫu nhận dạng ứng dụng được cập nhật thường xuyên.
...
...
...
a) Phân loại ứng dụng theo nhóm dịch vụ (vi dụ: mạng xã hội, chia sẻ file, nhắn tin).
b) Phân loại ứng dụng theo mức độ rủi ro bảo mật.
c) Phân loại ứng dụng theo yêu cầu băng thông.
d) Phân loại ứng dụng theo đối tượng người dùng được phép.
4.4.2.3 Kiểm soát truy cập ứng dụng
a) Hỗ trợ áp dụng chính sách cho từng ứng dụng.
b) Hỗ trợ áp dụng chính sách cho từng nhóm ứng dụng.
c) Hỗ trợ áp dụng chính sách cho từng người dùng.
d) Hỗ trợ áp dụng chính sách cho từng nhóm người dùng.
...
...
...
a) Phát hiện ứng dụng bị cấm sử dụng.
b) Chặn ứng dụng không mong muốn theo chính sách.
c) Ngăn chặn dịch vụ ẩn giấu trong lưu lượng khác.
d) Cảnh báo khi phát hiện ứng dụng vi phạm chính sách.
4.4.2.5 Nhật ký và báo cáo ứng dụng
a) Ghi nhật ký tất cả hoạt động ứng dụng.
b) Nhật ký bao gồm tối thiểu các thông tin: tên ứng dụng, địa chỉ nguồn, địa chỉ đích, thời gian, hành động áp dụng.
c) Cung cấp báo cáo theo từng ứng dụng.
d) Cung cấp báo cáo tổng hợp theo nhóm ứng dụng, người dùng, khoảng thời gian.
...
...
...
4.5.1 Khái quát
Yêu cầu an toàn tổng thể quy định các cơ chế đảm bảo tính toàn vẹn, bảo mật và tin cậy của tường lửa. Các cơ chế này bao gồm khởi động an toàn, bảo vệ cập nhật, bảo mật kênh quản trị, xác thực mạnh, lưu trữ nhật ký an toàn và kiểm tra hệ thống định kỳ.
4.5.2 Yêu cầu cụ thể
4.5.2.1 Bảo mật kênh quản trị
a) Hỗ trợ giao thức TLS cho kết nối quản trị web.
b) Hỗ trợ giao thức SSH hoặc SSH phiên bản 2 cho quản trị dòng lệnh.
c) Ngăn chặn kết nổi quản trị qua các giao thức không an toàn.
d) Cho phép quản trị viên bắt buộc sử dụng chứng chỉ số cho quản trị.
4.5.2.2 Xác thực và kiểm soát truy cập quản trị
...
...
...
b) Hỗ trợ phân quyền quản trị theo vai trò.
c) Ghi nhận toàn bộ sự kiện đăng nhập và đăng xuất quản trị.
4.5.2.3 Bảo vệ cập nhật
a) Xác minh chữ ký số của gói cập nhật.
b) Mã hóa kênh truyền khi tải bản cập nhật.
c) Lưu lại lịch sử cập nhật và trạng thái cập nhật.
d) Cho phép cập nhật cơ sở dữ liệu mẫu nhận dạng, chữ ký bảo mật qua cơ chế tự động và thủ công.
e) Cho phép lựa chọn máy chủ cập nhật đặt trong nước theo quy định của Pháp luật Việt Nam.
4.5.2.4 Lưu trữ và bảo vệ nhật ký
...
...
...
b) Lưu giữ nhật ký ngay cả khi mất nguồn đột ngột.
c) Hỗ trợ xuất nhật ký ra hệ thống lưu trữ tập trung.
4.6 Yêu cầu chức năng nâng cao
4.6.1 Khái quát
Chức năng nâng cao quy định các yêu cầu giúp tường lửa vượt ra ngoài khả năng lọc truyền thống, bao gồm kiểm soát ứng dụng mở rộng, lọc web, phân tích TLS, tích hợp thông tin tình báo mối đe doạ mạng và quản lý chính sách theo mức độ rủi ro.
4.6.2 Yêu cầu cụ thể
4.6.2.1 Lọc web
a) Hỗ trợ chặn truy cập dựa trên danh sách URL.
b) Hỗ trợ cơ chế ngăn truy cập theo danh sách đen tên miền độc hại.
...
...
...
d) Hỗ trợ cập nhật danh sách đen theo thời gian thực.
4.6.2.2 Phân tích lưu lượng TLS
a) Hỗ trợ giải mã lưu lượng TLS để kiểm tra nội dung.
b) Cho phép bật hoặc tắt phân tích lưu lượng TLS theo chính sách.
c) Hỗ trợ quản lý chứng chỉ phục vụ phân tích lưu lượng TLS.
d) Hỗ trợ ghi nhật ký hoạt động giải mã và tái mã hóa lưu lượng TLS.
4.6.2.3 Chính sách dựa trên mức độ rủi ro
a) Hỗ trợ gán mức độ rủi ro cho ứng dụng, người dùng, địa chỉ IP.
b) Cho phép áp dụng chính sách kiểm soát dựa trên mức độ rủi ro.
...
...
...
d) Hỗ trợ báo cáo tổng, hợp mức độ rủi ro theo thời gian.
4.7 Yêu cầu quản trị và giám sát
4.7.1 Khái quát
Chức năng quản trị và giám sát quy định các yêu cầu đảm bảo khả năng quản lý tường lửa một cách tập trung, an toàn, linh hoạt, đồng thời cung cấp khả năng giám sát thời gian thực, phân quyền quản trị và cảnh báo kịp thời các sự kiện quan trọng.
4.7.2 Yêu cầu cụ thể
4.7.2.1 Hình thức quản trị
a) Hỗ trợ giao diện quản trị web trực quan.
b) Hỗ trợ giao diện dòng lệnh (CLI) qua kênh an toàn.
c) Hỗ trợ tích hợp vào nền tảng quản trị tập trung.
...
...
...
4.7.2.2 Phân quyền quản trị
a) Hỗ trợ phân quyền theo vai trò quản trị.
b) Hỗ trợ giới hạn phạm vi thao tác cho từng vai trò.
c) Hỗ trợ tạo và quản lý nhiều tài khoằn quản trị.
d) Hỗ trợ nhật ký chi tiết thao tác của từng tài khoản.
4.7.2.3 Giám sát thời gian thực
a) Hỗ trợ bảng điều khiển hiển thị trạng thái hệ thống.
b) Hỗ trợ biểu đồ theo dõi lưu lượng và phiên kết nối.
c) Hỗ trợ giám sát các sự kiện bảo mật quan trọng.
...
...
...
4.8.1 Khái quát
Yêu cầu hiệu năng quy định các thông số kỹ thuật tối thiểu đảm bảo tường lửa hoạt động ổn định, xử lý lưu lượng mạng ở tốc độ cao mà không gây ra độ trễ bất thường, đáp ứng nhu cầu triển khai trong nhiều quy mô hệ thống khác nhau.
4.8.2 Yêu cầu cụ thể
4.8.2.1 Thông lượng xử lý
a) Đạt thông lượng tường lửa tối thiểu theo công bố của nhà sản xuất.
b) Công bố tỷ lệ thông lượng IPS với thông lượng tường lửa chặn lọc theo trạng thái.
c) Hỗ trợ thông lượng tối thiểu ở điều kiện bật đầy đủ chức năng bảo mật.
d) Duy trì thông lượng ổn định khi xử lý lưu lượng hỗn hợp nhiều giao thức.
...
...
...
a) Công bố độ trễ xử lý đối với gói tin 512 byte.
b) Duy trì độ trễ tối thiểu khi bật đầy đủ các chức năng bảo mật.
c) Cung cấp thông số độ trễ tối thiểu và cực đại trong điều kiện danh định.
d) Hỗ trợ giám sát và báo cáo độ trễ trong thời gian thực.
4.8.2.3 Số lượng phiên kết nối
a) Công bố số lượng phiên kết nối đồng thời.
b) Hỗ trợ số lượng kết nối mới mỗi giây theo thông số công bố.
c) Hỗ trợ giới hạn ngưỡng phiên kết nối để ngăn quá tải.
4.8.2.4 Hiệu năng khi bật chức năng nâng cao
...
...
...
b) Công bố thông lượng khi bật đồng thời chức năng IPS và chức năng quản lý ứng dụng.
c) Công bố thông lượng khi bật đồng thời tất cả chức năng bảo mật chính.
d) Hỗ trợ giám sát hiệu năng khi bật/tắt các chức năng nâng cao.
e) Công bố cơ chế kiểm thử hiệu năng với tải đầy đủ/ tối đa.
4.9.1 Khái quát
Yêu cầu độ tin cậy quy định khả năng duy trì hoạt động liên tục, giảm thiểu nguy cơ gián đoạn dịch vụ và đảm bảo phục hồi nhanh chóng khi có sự cổ phần cứng hoặc phần mềm. Tường lửa phải đạt mức độ tin cậy cao, được thiết kế với thành phần dự phòng và cơ chế chuyển đổi phù hợp.
4.9.2 Yêu cầu cụ thể
4.9.2.1 Thời gian trung bình giữa hai lần hỏng
...
...
...
b) Duy trì hiệu năng ổn định trong suốt thời gian MTBF.
c) Hỗ trợ giám sát trạng thái để ước tính MTBF thực tế.
4.9 2.2 Cơ chế chuyển đổi khi có sự cố
a) Hỗ trợ chế độ mở khi lỗi để duy trì lưu lượng trong một số kịch bản.
b) Hỗ trợ chế độ đóng khi lỗi để ngăn lưu lượng trong một số kịch bản.
c) Cho phép cấu hình chế độ chuyển đổi phù hợp với chính sách.
d) Ghi nhận sự kiện chuyển đổi chế độ mở khi lỗi hoặc đóng khi lỗi vào nhật ký.
4.10 Kết nối và chia sẻ thông tin
4.10.1 Khái quát
...
...
...
4.10.2 Yêu cầu cụ thể
4.10.2.1 Kết nối với hệ thống SIEM/SOC
a) Hỗ trợ truyền tải toàn bộ nhật ký và sự kiện bảo mật đến hệ thống SIEM.
b) Hỗ trợ chuẩn Syslog hoặc chuẩn tương thích để tích hợp SIEM.
c) Hỗ trợ kết nối và đồng bộ sự kiện với SOC tập trung.
d) Hỗ trợ lọc sự kiện theo loại, mức độ, nguồn trước khi gửi đi.
4.10.2.2 Tích hợp thông tin tình báo mối đe doạ mạng
a) Hỗ trợ tiếp nhận IOC và CTI từ nguồn trong nước được cấp phép.
b) Đồng bộ IOC/CTI theo thời gian thực.
...
...
...
4.10.2.3 Truyền tải sự kiện và cảnh báo
a) Truyền tải sự kiện đăng nhập và quản trị.
b) Truyền tải sự kiện tấn công và mối đe dọa.
c) Truyền tải sự kiện ứng dụng và lưu lượng bất thường.
d) Truyền tải sự kiện hệ thống và cảnh báo quan trọng.
e) Có cơ chế ưu tiên, phân cấp truyền tải đối với các sự kiện, cảnh báo theo mức độ của sự kiện, cảnh báo.
4.10.2.4 Bảo mật dữ liệu truyền tải
a) Mã hóa toàn bộ dữ liệu khi truyền ra ngoài.
b) Xác thực nguồn gốc dữ liệu trước khi truyền.
...
...
...
d) Hỗ trợ giám sát và đối soát dữ liệu truyền đi.
4.10.2.5 Chuẩn giao tiếp mở
a) Hỗ trợ API để tích hợp với hệ thống ngoài.
b) Hỗ trợ giao thức STIX/TAXII để trao đổi dữ liệu CTI.
c) Cho phép xác thực và phân quyền khi sử dụng API mở.
d) Ghi nhật ký toàn bộ truy cập qua API.
Thư mục tài liệu tham khảo
[1] NIST SP 800-41 Rev.1 (Guidelines on Firewalls and Firewall Policy).
...
...
...
[3] ISO/IEC 27001,27002 Quản lý an toàn thông tin.
[4] TCVN 14423:2025 An ninh mạng - Yêu cầu đối với hệ thống thông tin quan trọng.
Mục lục
Lời nói đầu
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ, định nghĩa và chữ viết tắt
3.1 Thuật ngữ và định nghĩa
...
...
...
4 Yêu cầu kỹ thuật với Tường lửa
4.1 Yêu cầu cơ bản
4.1.1 Khái quát
4.1.2 Yêu cầu cụ thể
4.2 Yêu cầu kiểm soát truy cập
4.2.1 Khái quát
4.2.2 Yêu cầu cụ thể
4.3 Yêu cầu chức năng hệ thống phát hiện và phòng ngừa xâm nhập
4.3.1 Khái quát
...
...
...
4.4 Yêu cầu quản lý ứng dụng
4.4.1 Khái quát
4.4.2 Yêu cầu cụ thể
4.5 Yêu cầu an toàn tổng thể
4.5.1 Khái quát
4.5.2 Yêu cầu cụ thể
4.6 Yêu cầu chức năng nâng cao
4.6.1 Khái quát
4.6.2 Yêu cầu cụ thể
...
...
...
4.7.1 Khái quát
4.7.2 Yêu cầu cụ thể
4.8 Yêu cầu hiệu năng
4.8.1 Khái quát
4.8.2 Yêu cầu cụ thể
4.9 Yêu cầu độ tin cậy
4.9.1 Khái quát
4.9.2 Yêu cầu cụ thể
4.10 Kết nối và chia sẻ thông tin
...
...
...
4.10.2 Yêu cầu cụ thể
