第二代防火墻標(biāo)準(zhǔn)編制背景

防火墻自誕生以來(lái)，在提高網(wǎng)絡(luò)安全性方面發(fā)揮了非常重要的作用。作為邊界網(wǎng)絡(luò)安全的第一道關(guān)卡，防火墻經(jīng)歷了包過(guò)濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)的技術(shù)變遷，通過(guò)ACL訪問控制策略、NAT地址轉(zhuǎn)換策略以及抗網(wǎng)絡(luò)攻擊策略，有效地阻斷了未被明確允許的包通過(guò)，保護(hù)了網(wǎng)絡(luò)的安全。通過(guò)對(duì)進(jìn)出防火墻的一切數(shù)據(jù)包進(jìn)行檢查，可保證合法人員能夠進(jìn)入網(wǎng)絡(luò)訪問相應(yīng)的資源，同時(shí)防止非法人員通過(guò)非法手段進(jìn)入網(wǎng)絡(luò)或干擾網(wǎng)絡(luò)的正常運(yùn)行，防火墻技術(shù)在當(dāng)時(shí)被堪稱完美。然而，時(shí)代的變遷令防火墻的防御效果大打折扣，網(wǎng)絡(luò)的高速發(fā)展、應(yīng)用的不斷增多，也令其失去了它不可替代的地位。

傳統(tǒng)防火墻存在的問題

防火墻作為一款歷史悠久的經(jīng)典產(chǎn)品，在IP/端口的網(wǎng)絡(luò)時(shí)代發(fā)揮了巨大的作用：合理地分隔了安全域、有效地阻止了外部的網(wǎng)絡(luò)攻擊。防火墻在設(shè)計(jì)時(shí)的針對(duì)性，在當(dāng)時(shí)顯然是網(wǎng)絡(luò)安全的最佳選擇。但在網(wǎng)絡(luò)應(yīng)用高速發(fā)展、網(wǎng)絡(luò)規(guī)劃復(fù)雜化的今天，防火墻的不適應(yīng)性越發(fā)明顯，從用戶對(duì)網(wǎng)絡(luò)安全建設(shè)的需求來(lái)看，傳統(tǒng)防火墻存在以下問題：

1、應(yīng)用安全防護(hù)問題

傳統(tǒng)防火墻基于IP/端口進(jìn)行工作，并無(wú)法對(duì)應(yīng)用層進(jìn)行識(shí)別和控制，無(wú)法對(duì)各類應(yīng)用層威脅進(jìn)行有效防御。因此，防火墻并不能檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼，如病毒、蠕蟲、木馬等。

2、安全管理問題

對(duì)于大型網(wǎng)絡(luò)而言，為確保網(wǎng)絡(luò)的安全，IT管理員常常需要配置大量的訪問控制策略。而安全日志中存在海量的源地址、目的地址等信息，使得基于IP/端口的策略可讀性非常差，導(dǎo)致經(jīng)常發(fā)生錯(cuò)配、漏配的情況。由錯(cuò)配、漏配留下的安全隱患往往會(huì)給黑客提供可乘之機(jī)，因此傳統(tǒng)防火墻一直存在管理困難的問題。

防火墻標(biāo)準(zhǔn)不再適用第二代防火墻

隨著Web2.0時(shí)代的到來(lái)，用戶的許多業(yè)務(wù)均以Web形式開展，傳統(tǒng)防火墻已無(wú)法應(yīng)對(duì)應(yīng)用層威脅。盡管Gartner對(duì)下一代防火墻進(jìn)行了定義，但由于我國(guó)的網(wǎng)絡(luò)安全環(huán)境具備自身特點(diǎn)，目前國(guó)內(nèi)尚且缺乏適用于本土環(huán)境的功能統(tǒng)一的下一代防火墻。另一方面，國(guó)內(nèi)各家安全廠商推出的下一代防火墻功能各不相同，令用戶難以對(duì)產(chǎn)品進(jìn)行甄別和選擇。為指導(dǎo)用戶進(jìn)行信息安全建設(shè)，并規(guī)范國(guó)內(nèi)的防火墻產(chǎn)品市場(chǎng)，信息安全行業(yè)規(guī)范編制單位暨信息安全等級(jí)保護(hù)測(cè)評(píng)單位——公安部第三研究所在公安部科技信息化局的授權(quán)下，經(jīng)過(guò)深入的社會(huì)調(diào)研，并通過(guò)向國(guó)內(nèi)優(yōu)秀安全廠商征集意見，歷時(shí)17個(gè)月研究出適用于我國(guó)網(wǎng)絡(luò)環(huán)境的下一代防火墻功能，且出臺(tái)了下一代防火墻標(biāo)準(zhǔn)GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》(簡(jiǎn)稱“標(biāo)準(zhǔn)”)，將國(guó)際通用說(shuō)法“下一代防火墻”更名為“第二代防火墻”。標(biāo)準(zhǔn)指出第二代防火墻必須具備應(yīng)用層控制、Web攻擊防護(hù)、信息泄露防護(hù)、惡意代碼防護(hù)和入侵防御等功能。

我國(guó)當(dāng)前現(xiàn)有的防火墻標(biāo)準(zhǔn)GB/T 20281-2006《信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》(簡(jiǎn)稱“舊標(biāo)準(zhǔn)”)，主要從功能、性能、安全性及保證要求等方面對(duì)防火墻產(chǎn)品提出具體的要求，并根據(jù)功能的廣度及深度、安全性強(qiáng)度、保證要求的深度幾個(gè)方面對(duì)產(chǎn)品進(jìn)行分級(jí)。

從功能而言，舊標(biāo)準(zhǔn)主要要求防火墻需包含基于2-4層的數(shù)據(jù)包過(guò)濾、NAT、路由策略、安全審計(jì)、安全管理等方面的功能;在高等級(jí)的功能要求中，舊標(biāo)準(zhǔn)對(duì)防火墻提出了部分深層包過(guò)濾、防病毒、抗?jié)B透等要求，但該部分要求較為粗略，并非作為防火墻的核心功能。

對(duì)比第二代防火墻的功能特征可以很明確地發(fā)現(xiàn)，現(xiàn)行的防火墻標(biāo)準(zhǔn)(舊標(biāo)準(zhǔn))并不適用于第二代防火墻。舊標(biāo)準(zhǔn)對(duì)諸如入侵防御、上網(wǎng)行為控制、基于用戶的控制、Web攻擊防護(hù)、信息泄露防護(hù)等功能均未提出明確的要求，

因此有必要為第二代防火墻制定相應(yīng)的標(biāo)準(zhǔn)。#p#

第二代防火墻標(biāo)準(zhǔn)編制原則與依據(jù)

1)全局性、系統(tǒng)性原則

標(biāo)準(zhǔn)遵從等級(jí)保護(hù)體系的整體思路與方法，以《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859-1999)為指導(dǎo)、以《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T 20271-2006)和《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008)為基礎(chǔ)和藍(lán)本，根據(jù)第二代防火墻的技術(shù)特點(diǎn)和其在整個(gè)信息系統(tǒng)中的角色定位，建立第二代防火墻等級(jí)保護(hù)安全技術(shù)模型，并由此確立各等級(jí)的安全技術(shù)要求。

2)適用性原則

標(biāo)準(zhǔn)在清晰分析我國(guó)各行業(yè)信息系統(tǒng)中第二代防火墻的安全技術(shù)現(xiàn)狀和實(shí)際需求的基礎(chǔ)上，充分考慮了我國(guó)相關(guān)廠商的產(chǎn)業(yè)化能力，提出合適的安全技術(shù)指標(biāo)體系與內(nèi)容，使第二代防火墻廠商和第二代防火墻用戶可直接根據(jù)標(biāo)準(zhǔn)實(shí)施相關(guān)操作、實(shí)現(xiàn)相關(guān)目標(biāo)，令標(biāo)準(zhǔn)真正發(fā)揮出實(shí)效。

3)先進(jìn)性原則

標(biāo)準(zhǔn)根據(jù)當(dāng)前計(jì)算機(jī)安全技術(shù)與產(chǎn)業(yè)發(fā)展趨勢(shì)，構(gòu)建出第二代防火墻的安全功能框架，進(jìn)而形成相應(yīng)的安全功能技術(shù)要求與分等級(jí)安全技術(shù)要求。

公安部第三研究所編制《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》期間，充分參考了我國(guó)多個(gè)現(xiàn)行的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，同時(shí)結(jié)合了我國(guó)的信息安全等級(jí)保護(hù)技術(shù)需求、計(jì)算機(jī)安全技術(shù)開發(fā)成果以及產(chǎn)業(yè)狀況完成標(biāo)準(zhǔn)的撰寫。

◆ 參考資料

1) GB/T 5271.8-2001信息技術(shù) 詞匯 第8部分：安全

2) GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

3) GB/T 18336.1-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第1部分：簡(jiǎn)介和一般模型

4) GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求

5) GB/T 20281-2006 信息安全技術(shù) 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法

6) GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求

7) 2011年-2013年送檢公安部第三研究所的相關(guān)防火墻產(chǎn)品及其技術(shù)資料

8) 2009年-2013年互聯(lián)網(wǎng)上發(fā)布的下一代防火墻相關(guān)資料

◆ 現(xiàn)狀研究

1) 第二代防火墻的定義

2) 第二代防火墻主要實(shí)現(xiàn)技術(shù)及功能特點(diǎn)

3) 第二代防火墻與傳統(tǒng)防火墻、UTM等設(shè)備的區(qū)別

4) 現(xiàn)行防火墻標(biāo)準(zhǔn)要求與第二代防火墻所要實(shí)現(xiàn)目標(biāo)的差距

5) 國(guó)內(nèi)外第二代防火墻的相關(guān)標(biāo)準(zhǔn)

6) 國(guó)內(nèi)外第二代防火墻的產(chǎn)品現(xiàn)狀#p#

第二代防火墻技術(shù)特點(diǎn)說(shuō)明

第二代防火墻除具備防火墻的基本功能外，還應(yīng)當(dāng)具備應(yīng)用流量識(shí)別、應(yīng)用層訪問控制、應(yīng)用層安全防護(hù)、用戶控制、深度內(nèi)容檢測(cè)、高性能等功能特征，以及較高的抗攻擊能力。

基于應(yīng)用層的控制策略

第二代防火墻不僅保留了舊標(biāo)準(zhǔn)中關(guān)于防火墻的訪問控制能力，如包過(guò)濾、狀態(tài)檢測(cè)、NAT、路由功能以及帶寬和會(huì)話管理等功能，還增加了基于應(yīng)用層控制的功能要求。標(biāo)準(zhǔn)要求第二代防火墻可以識(shí)別應(yīng)用層的協(xié)議，并進(jìn)行訪問控制策略的制定。

全面融合IPS功能

第二代防火墻對(duì)防火墻功能和入侵防御功能進(jìn)行了融合，而不僅僅是簡(jiǎn)單的功能合并。從而可以有效地防御漏洞攻擊、端口掃描、惡意軟件攻擊等新型的威脅攻擊，全面提升第二代防火墻的攻擊防護(hù)能力。

Web攻擊防護(hù)的整合

Web攻擊作為當(dāng)今網(wǎng)絡(luò)中的主流攻擊之一，第二代防火墻應(yīng)當(dāng)能夠?qū)ζ溥M(jìn)行檢測(cè)和防護(hù)，實(shí)現(xiàn)整體安全防護(hù)的要求。第二代防火墻融合Web攻擊防護(hù)功能，很好地體現(xiàn)了第二代防火墻標(biāo)準(zhǔn)的先進(jìn)性原則。

內(nèi)容級(jí)的威脅檢測(cè)能力

為有效應(yīng)對(duì)較為流行的信息泄露威脅，第二代防火墻應(yīng)具備內(nèi)容級(jí)的威脅檢測(cè)能力。

支持Gbit級(jí)的串聯(lián)部署

安全產(chǎn)品在對(duì)應(yīng)用協(xié)議進(jìn)行識(shí)別及防護(hù)時(shí)，不應(yīng)過(guò)多地影響系統(tǒng)性能。為解決多產(chǎn)品部署所導(dǎo)致的性能下降問題，第二代防火墻應(yīng)當(dāng)滿足支持萬(wàn)兆網(wǎng)絡(luò)串聯(lián)部署的要求。#p#

第二代防火墻技術(shù)要求一覽

1) 網(wǎng)絡(luò)層安全功能

主要針對(duì)2-4層實(shí)現(xiàn)的及一些傳統(tǒng)防火墻所實(shí)現(xiàn)的功能。

◆ 包過(guò)濾

◆ 狀態(tài)檢測(cè)

◆ NAT

◆ IP/MAC綁定

◆ 策略路由

◆ 流量會(huì)話管理(包括帶寬管理、流量統(tǒng)計(jì)、連接數(shù)控制、會(huì)話超時(shí)管理)

◆ 抗拒絕服務(wù)攻擊

2) 應(yīng)用層安全功能

第二代防火墻所具備的特有的安全功能。

◆ 應(yīng)用協(xié)議訪問控制

◆ 應(yīng)用內(nèi)容訪問控制

◆ 用戶識(shí)別

◆ 入侵防御

◆ 惡意代碼防護(hù)

◆ Web攻擊防護(hù)

◆ 信息泄露防護(hù)

3) 運(yùn)維管理功能

主要包括管理、審計(jì)、自身安全等方面的功能要求。

◆ 運(yùn)維管理

◆ 安全審計(jì)

◆ 報(bào)警

◆ 安全管理

◆ 高可靠性

◆ 升級(jí)

第二代防火墻標(biāo)準(zhǔn)的意義及適用性說(shuō)明

第二代防火墻標(biāo)準(zhǔn)的發(fā)布旨在解決防火墻、入侵防御系統(tǒng)等傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品在新安全威脅上防護(hù)不足的問題，標(biāo)準(zhǔn)規(guī)范了新的安全威脅防護(hù)功能，并要求其需體現(xiàn)先進(jìn)性的特點(diǎn)。

第二代防火墻標(biāo)準(zhǔn)的發(fā)布，對(duì)于信息安全建設(shè)向融合的安全轉(zhuǎn)型具有指導(dǎo)意義，同時(shí)有效減輕了部署多款安全產(chǎn)品給管理員所帶來(lái)的管理負(fù)擔(dān)，此外，還解決了網(wǎng)絡(luò)中多產(chǎn)品部署造成的性能壓力問題。

第二代防火墻標(biāo)準(zhǔn)的制定參考并遵循了國(guó)內(nèi)主要的安全技術(shù)要求文件提出的技術(shù)框架和相關(guān)要求，適用于國(guó)內(nèi)政府、企業(yè)、金融、運(yùn)營(yíng)商等各行業(yè)的信息安全建設(shè)，包括等級(jí)保護(hù)建設(shè)、分級(jí)保護(hù)建設(shè)和行業(yè)安全建設(shè)。