近年來，隨著我國互聯(lián)網(wǎng)產(chǎn)業(yè)的不斷發(fā)展，信息安全技術(shù)已經(jīng)成為一個備受關(guān)注的熱點。許多用戶也開始檢視自身的安全建設(shè)，并陸續(xù)采購最近幾年較為流行的下一代防火墻進行安全防護。但由于目前的下一代防火墻市場缺乏相關(guān)的規(guī)范和管理，各家安全廠商推出的下一代防火墻功能各不相同，令消費者難以在眾多品牌中購買到適合自身需求的產(chǎn)品。 因此，在信息安全備受高度關(guān)注但相關(guān)安全產(chǎn)品市場還相對混亂的背景下，公安部順應(yīng)時勢于2014年7月24日推出了《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》，用于整頓安全產(chǎn)品市場。為此我們走訪了編寫委員會的專家，了解國內(nèi)首部關(guān)于下一代防火墻的標(biāo)準究竟對防火墻提出了哪些新的防護要求。

小修改大作用——解讀第二代防火墻的不同之處

據(jù)標(biāo)準起草人李煥波專家透露：“GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》(以下簡稱“新標(biāo)準”)主要依據(jù)安全功能強弱和安全保證要求對等級進行劃分，將安全等級分為基本級和增強級。而GB/T20281-2006 《信息安全技術(shù) 防火墻技術(shù)要求和測試評價方法》(以下簡稱“舊標(biāo)準”)主要根據(jù)功能強弱、安全強度和保證要求高低將安全等級劃分為三級?！?/p>

在安全功能方面，新標(biāo)準較之舊標(biāo)準也存在著較大的差異。新標(biāo)準保留了原有標(biāo)準中關(guān)于傳統(tǒng)防火墻在網(wǎng)絡(luò)層的控制要求，如包過濾、狀態(tài)檢測、NAT、路由功能以及帶寬和會話管理等功能，并對舊的分級要求做了一定的整合。

此外，新標(biāo)準增加了基于應(yīng)用層控制的功能要求，主要考察被測產(chǎn)品在應(yīng)用層面對于細分應(yīng)用類型和協(xié)議的識別控制能力，以及數(shù)據(jù)包深度內(nèi)容檢測方面的能力。我們都知道當(dāng)前的互聯(lián)網(wǎng)應(yīng)用豐富多樣，即時通訊軟件、社交應(yīng)用、P2P流媒體、P2P下載、語音視頻軟件等層出不窮，常用知名端口也不再像以往那般承載單一的應(yīng)用，如何從混雜的數(shù)據(jù)流量中將各種不同類型的應(yīng)用一層一層地進行剝離識別，這是第二代防火墻區(qū)別于傳統(tǒng)防火墻的根本。

第二代防火墻已與國際接軌 承擔(dān)終端安全保護責(zé)任

在采訪中，通過和編寫委員會的專家們進行深入溝通，記者了解到在應(yīng)用識別的基礎(chǔ)之上，新標(biāo)準在應(yīng)用層控制功能要求當(dāng)中還加入了入侵防御和惡意代碼防護功能。這點和國際著名IT咨詢機構(gòu)Gartner在2009年發(fā)布的下一代防火墻標(biāo)準的定義是一致的，標(biāo)志著我國第二代防火墻標(biāo)準已與國際接軌。

李煥波在采訪中表示：入侵防御做為一類安全產(chǎn)品已經(jīng)在市場上存在很多年了，但隨著互聯(lián)網(wǎng)的發(fā)展、應(yīng)用的豐富和帶寬的不斷提升，傳統(tǒng)入侵防護產(chǎn)品受限于其功能的單一、應(yīng)用性能處理能力的不足，將會增加用戶網(wǎng)絡(luò)的單點故障以及投資成本，所以該產(chǎn)品漸漸以模塊化的形式融合到下一代防火墻產(chǎn)品當(dāng)中，也是順應(yīng)了互聯(lián)網(wǎng)的發(fā)展趨勢。

我們發(fā)現(xiàn)，新標(biāo)準增加的惡意代碼防護功能要求，強調(diào)了第二代防火墻的對由終端惡意程序所形成的僵尸網(wǎng)絡(luò)的檢測和防護能力。面對木馬后門、蠕蟲病毒，廣告間諜軟件等伴隨著互聯(lián)網(wǎng)高速發(fā)展而滋生的一大批惡意軟件，黑客往往利用終端用戶這一短板作為跳板進行可持續(xù)性的攻擊，因此防火墻作為互聯(lián)網(wǎng)出口建設(shè)的重要一環(huán)，需要承擔(dān)起保護終端安全的責(zé)任。

面對日趨嚴重的Web攻擊防護 第二代防火墻全面應(yīng)對

互聯(lián)網(wǎng)的發(fā)展也代表了Web技術(shù)的發(fā)展，從Web1.0到Web2.0，從B2C再到現(xiàn)在流行的O2O，Web技術(shù)和我們的生活息息相關(guān)。以Web應(yīng)用為突破口的安全事件層出不窮，黑客們不再僅僅是為了炫耀個人技能而進行互聯(lián)網(wǎng)破壞行為，更是為竊取和破壞敏感信息獲得灰色產(chǎn)業(yè)收益。Web應(yīng)用作為互聯(lián)網(wǎng)時代的一個重要交互窗口，自然也容易成為眾矢之的。

記者在采訪中驚喜地發(fā)現(xiàn)，此次發(fā)布的新標(biāo)準對Web攻擊防護、信息泄漏防護方面的內(nèi)容做出了功能要求。我們知道，在OWASP所發(fā)布的互聯(lián)網(wǎng)安全威脅TOP10當(dāng)中，首當(dāng)其沖的就是以SQL注入和XSS攻擊為代表的來自Web應(yīng)用層的攻擊和敏感信息泄漏威脅。雖然目前的市場上存在著Web應(yīng)用防火墻產(chǎn)品，但我們認為安全防護應(yīng)該是整體的、至下而上的，能夠從L2鏈路層覆蓋到L7應(yīng)用層，而不是割裂式的安全設(shè)備疊加，疊加部署將使設(shè)備在攻擊檢測的一致性和聯(lián)動性方面大打折扣。

經(jīng)過編寫委員會專家們的共同努力，GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》已于2014年7月24日正式發(fā)布，9月1日開始實施。標(biāo)準的制定是在公安部科技信息化局的授權(quán)下，由負責(zé)編制行業(yè)信息安全規(guī)范的公安第三研究所牽頭，向廣大用戶公開征集意見，并邀請深信服在內(nèi)的5家國內(nèi)優(yōu)秀的安全廠商參與討論完成的，共歷時17個月。我們看到新標(biāo)準中涵蓋的關(guān)于Web攻擊防護和信息泄漏防護的要求，這些功能要求的增加充分適應(yīng)了我國的互聯(lián)網(wǎng)發(fā)展環(huán)境，能夠滿足用戶的實際需求。

再次對編寫委員會的專家們?yōu)榇烁冻龅呐Ρ硎旧钌畹木匆?，我們堅信，從用戶實際需求出發(fā)的第二代防火墻標(biāo)準未來并將成為行業(yè)的共同標(biāo)準，推動我國的信息化安全建設(shè)向更好的方向發(fā)展。

以下是編寫委員會專家成員的名單：鄒春明、俞優(yōu)、宋好好、陸臻、顧健、李煥波、王帆、王剛、段繼平、馮濤、黃濤。(排名不分先后)