目前，國(guó)內(nèi)防火墻市場(chǎng)由于缺乏規(guī)范管理，用戶難以在眾多產(chǎn)品中挑選出滿足自身需求的下一代防火墻。為規(guī)范國(guó)內(nèi)安全產(chǎn)品市場(chǎng)，中華人民共和國(guó)公安部于2014年7月24日正式出臺(tái)適用于國(guó)內(nèi)網(wǎng)絡(luò)環(huán)境的《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》，并將國(guó)際通用說(shuō)法"下一代防火墻"正式更名為"第二代防火墻"。該標(biāo)準(zhǔn)對(duì)防火墻提出了新的安全防護(hù)要求，適用于國(guó)內(nèi)各行業(yè)及等保建設(shè)，對(duì)我國(guó)未來(lái)的信息安全建設(shè)將產(chǎn)生重要影響。我們有幸采訪了編寫(xiě)委員會(huì)的專家，了解到新標(biāo)準(zhǔn)對(duì)下一代防火墻提出的新功能要求。

[[121864]]

安全功能要求：

1 應(yīng)用協(xié)議訪問(wèn)控制

第二代防火墻應(yīng)能夠基于應(yīng)用層協(xié)議分析識(shí)別各種應(yīng)用協(xié)議并進(jìn)行控制，應(yīng)用協(xié)議識(shí)別庫(kù)不低于2000種，包括但不限于：

a) HTTP、FTP、TFLNET、SSH、SMTP、POP3等常見(jiàn)應(yīng)用，如HTTP文件下載/內(nèi)容提交，F(xiàn)TP上傳/下載等;

b) 即時(shí)消息、P2P應(yīng)用、網(wǎng)絡(luò)流媒體、網(wǎng)絡(luò)游戲、股票軟件;

c) 動(dòng)態(tài)開(kāi)放端口的應(yīng)用識(shí)別;

d) 采用隧道加密技術(shù)的應(yīng)用，如翻墻軟件或加密代理等;

e) 自定義應(yīng)用類型的識(shí)別。

2 應(yīng)用內(nèi)容訪問(wèn)控制

第二代防火墻應(yīng)能夠支持基于應(yīng)用內(nèi)容的訪問(wèn)控制策略，具體技術(shù)要求如下：

a) 安全策略包含基于URL的訪問(wèn)控制，并可針對(duì)網(wǎng)站類型進(jìn)行分類過(guò)濾，如成人類，賭博類，娛樂(lè)類等;

b) 具備惡意網(wǎng)站過(guò)濾的功能，并支持自定義惡意網(wǎng)站;

c) 安全策略包含基于文件類型的訪問(wèn)控制，并可基于文件類型進(jìn)行下載過(guò)濾。包括HTTP、FTP、郵件附件等;

d) 能夠?qū)M(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP、TELNET 、SMTP和POP3等協(xié)議命令級(jí)的控制。

3 用戶管控

第二代防火墻應(yīng)具備內(nèi)網(wǎng)用戶管理與識(shí)別的功能，應(yīng)支持：

a) 基于用戶名/密碼的本地認(rèn)證方式;

b) LDAP、Radius等第三方認(rèn)證服務(wù)器對(duì)用戶身份進(jìn)行鑒別;

c) 基于用戶/用戶組進(jìn)行訪問(wèn)控制。#p#

4 入侵防御

[[121865]]

第二代防火墻應(yīng)具備入侵防御功能，能夠檢測(cè)并抵御的攻擊類型包括但不限于：

a) 操作系統(tǒng)類、Web瀏覽器、ActiveX控件、Web服務(wù)器、文件類、FTP服務(wù)器、虛擬化平臺(tái)軟件等漏洞攻擊;

b) IP地址及端口掃描行為;

c) 網(wǎng)絡(luò)漏洞掃描行為;

d) 惡意軟件攻擊，如冰河、僵尸網(wǎng)絡(luò)等;

e) 能夠抵御通用服務(wù)的口令暴力破解，如FTP、TELNET、數(shù)據(jù)庫(kù)等口令破解。#p#

5 惡意代碼防護(hù)

第二代防火墻應(yīng)具有惡意代碼檢測(cè)功能，具體技術(shù)要求如下：

a) 支持惡意代碼檢測(cè)，如蠕蟲(chóng)病毒、后門(mén)木馬、間諜軟件等;

b) 支持檢測(cè)并攔截HTTP、FTP、電子郵件等協(xié)議所攜帶的惡意代碼。#p#

6 WEB攻擊防護(hù)

[[121866]]

第二代防火墻應(yīng)具備WEB攻擊防護(hù)的能力，支持：

a) SQL注入攻擊檢測(cè)與防護(hù)，并支持base64編碼的SQL注入攻擊檢測(cè)與防護(hù);

b) XSS攻擊檢測(cè)與防護(hù);

c) 對(duì)常見(jiàn)的Web服務(wù)器環(huán)境Web入侵的腳本攻擊工具(webshell)的攔截，包含ASPX、ASP、PHP、JSP等。#p#

7 信息泄露防護(hù)

[[121867]]

第二代防火墻應(yīng)具備對(duì)流出的信息流進(jìn)行檢測(cè)，防止敏感信息泄露，應(yīng)支持基于：

a) 關(guān)鍵詞對(duì)流出防火墻的數(shù)據(jù)流進(jìn)行過(guò)濾，如http上傳、外發(fā)郵件主題及正文等;

b) 文件類型對(duì)流出防火墻的數(shù)據(jù)流進(jìn)行過(guò)濾，如http上傳、ftp上傳、外發(fā)郵件的附件等。

——節(jié)選自GA/T1177—2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》