隨著網(wǎng)絡(luò)應(yīng)用的爆炸式發(fā)展和業(yè)務(wù)與互聯(lián)網(wǎng)發(fā)生緊密聯(lián)系，主要工作在網(wǎng)絡(luò)層和傳輸層的傳統(tǒng)防火墻，已無法對(duì)應(yīng)用層進(jìn)行很好地安全管控。在此背景下，國(guó)際著名IT咨詢機(jī)構(gòu)Gartner于2009年提出“下一代防火墻”的概念，以應(yīng)對(duì)當(dāng)前與未來新一代的網(wǎng)絡(luò)安全威脅。

下一代防火墻的普及將成為必然

經(jīng)過5年的發(fā)展，下一代防火墻漸漸為人們所熟知，面向應(yīng)用層控制、智能、高性能等特點(diǎn)使得下一代防火墻陸續(xù)被應(yīng)用于網(wǎng)絡(luò)中，守護(hù)用戶的業(yè)務(wù)安全。Gartner在相關(guān)報(bào)告中指出，下一代防火墻未來必然會(huì)成為安全防護(hù)市場(chǎng)的領(lǐng)軍產(chǎn)品，并認(rèn)為2014年底將有超過60%的企業(yè)用戶會(huì)重新采購(gòu)下一代防火墻，它的普及將成為不可逆轉(zhuǎn)的趨勢(shì)。

國(guó)內(nèi)缺少相關(guān)的適用標(biāo)準(zhǔn)

面對(duì)巨大的潛在市場(chǎng)，國(guó)內(nèi)各大安全廠商紛紛推出自己的下一代防火墻產(chǎn)品。盡管Gartner對(duì)下一代防火墻進(jìn)行了定義，但由于我國(guó)的網(wǎng)絡(luò)安全環(huán)境具備自己的特點(diǎn)，目前國(guó)內(nèi)尚且缺乏適用于本土環(huán)境的下一代防火墻標(biāo)準(zhǔn)。另外，各家廠商推出的下一代防火墻功能也不盡相同，有的廠家甚至向消費(fèi)者宣稱UTM、IPS也可以劃歸為下一代防火墻，這令消費(fèi)者難以對(duì)產(chǎn)品進(jìn)行甄別和選擇，增加了采購(gòu)難度。

第二代防火墻標(biāo)準(zhǔn)出臺(tái)

公安部第三研究所是公安部直屬科研單位，主要負(fù)責(zé)信息網(wǎng)絡(luò)安全、社會(huì)公共安全防范技術(shù)等領(lǐng)域的相關(guān)研究，擁有國(guó)家反計(jì)算機(jī)入侵和防病毒研究中心、信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室等國(guó)家級(jí)專業(yè)技術(shù)實(shí)驗(yàn)室，是國(guó)內(nèi)權(quán)威的網(wǎng)絡(luò)安全研究機(jī)構(gòu)，同時(shí)也是《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》的測(cè)試機(jī)構(gòu)，防火墻產(chǎn)品通過該所的相關(guān)測(cè)試后，才允許在市場(chǎng)上進(jìn)行出售。

為規(guī)范國(guó)內(nèi)防火墻產(chǎn)品市場(chǎng)，同時(shí)響應(yīng)習(xí)總書記提出的網(wǎng)絡(luò)安全和信息化戰(zhàn)略，在公安部科技信息化局的授權(quán)下，公安部第三研究所秉承著公平、公正、公開的原則，向社會(huì)廣泛征集意見，并邀請(qǐng)了深信服、網(wǎng)御星云等4家國(guó)內(nèi)優(yōu)秀的安全廠商參與討論，歷時(shí)6個(gè)月，制定出了適用于國(guó)內(nèi)網(wǎng)絡(luò)環(huán)境的第二代防火墻標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)已于2014 年7月24日正式發(fā)布，9月1日已開始實(shí)施。

　　解讀第二代防火墻標(biāo)準(zhǔn)

此次的GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》(簡(jiǎn)稱“新標(biāo)準(zhǔn)”)將國(guó)際通用說法“下一代防火墻”更名為“第二代防火墻”，用于與“防火墻”進(jìn)行區(qū)分。標(biāo)準(zhǔn)從安全功能、安全保證、環(huán)境適應(yīng)性和性能四個(gè)方面，對(duì)第二代防火墻提出了新的要求，應(yīng)用層控制、Web攻擊防護(hù)、信息泄漏防護(hù)、惡意代碼防護(hù)和入侵防御是此次定義的第二代防火墻的幾大功能看點(diǎn)。

(一)新增應(yīng)用層控制功能

筆者從參與此次標(biāo)準(zhǔn)制定的專家處了解到，新標(biāo)準(zhǔn)依據(jù)安全功能強(qiáng)弱和安全保證要求將安全等級(jí)劃分為基本級(jí)和增強(qiáng)級(jí)，保留了GB/T20281-2006《信息安全技術(shù) 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》(簡(jiǎn)稱“舊標(biāo)準(zhǔn)”)中關(guān)于傳統(tǒng)防火墻在網(wǎng)絡(luò)層的控制要求，如包過濾、狀態(tài)檢測(cè)、NAT等功能，增加了基于應(yīng)用層控制的功能要求，主要考察被測(cè)產(chǎn)品在應(yīng)用層面對(duì)于細(xì)分應(yīng)用類型和協(xié)議的識(shí)別控制能力，以及數(shù)據(jù)包深度內(nèi)容檢測(cè)方面的能力。

(二)入侵防御、惡意代碼防護(hù)與國(guó)際接軌

經(jīng)過和編寫委員會(huì)的專家進(jìn)行溝通，筆者得知在應(yīng)用識(shí)別的基礎(chǔ)上，新標(biāo)準(zhǔn)在應(yīng)用層控制中加入了入侵防御和惡意代碼防護(hù)功能，要求第二代防火墻能夠檢測(cè)并抵御操作系統(tǒng)類、文件類、服務(wù)器類等漏洞攻擊，支持蠕蟲病毒、后門木馬等惡意代碼的檢測(cè)。這和Gartner提出的下一代防火墻所需具備的功能一致，標(biāo)志著我國(guó)的第二代防火墻標(biāo)準(zhǔn)是與國(guó)際接軌的。

(三)Web攻擊防護(hù)、信息泄露防護(hù)符合用戶業(yè)務(wù)安全需求

在采訪中，筆者還發(fā)現(xiàn)新標(biāo)準(zhǔn)對(duì)Web攻擊防護(hù)、信息泄漏防護(hù)同樣做出了要求，“第二代防火墻應(yīng)具備WEB攻擊防護(hù)的能力，支持SQL注入攻擊檢測(cè)與防護(hù)，支持XSS攻擊檢測(cè)與防護(hù);第二代防火墻應(yīng)具備對(duì)流出的信息流進(jìn)行檢測(cè)，防止敏感信息泄露”。

隨著Web2.0時(shí)代的到來，用戶的許多業(yè)務(wù)均為Web應(yīng)用。近年來針對(duì)Web應(yīng)用的安全事件層出不窮，黑客不再是為炫耀個(gè)人技能而進(jìn)行互聯(lián)網(wǎng)攻擊，更是為竊取和破壞敏感信息獲取灰色產(chǎn)業(yè)收益。標(biāo)準(zhǔn)對(duì)于Web攻擊防護(hù)和信息泄露防護(hù)功能要求的添加，充分考慮了國(guó)內(nèi)用戶的業(yè)務(wù)安全需求和我國(guó)的網(wǎng)絡(luò)安全形勢(shì)。

標(biāo)準(zhǔn)發(fā)布對(duì)用戶的指導(dǎo)性意義

編寫委員會(huì)的專家還向我們透露，GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》是我國(guó)首部關(guān)于第二代防火墻的標(biāo)準(zhǔn)，由于其內(nèi)容與國(guó)際接軌，并全面考慮了國(guó)內(nèi)用戶對(duì)第二代防火墻的安全防護(hù)需求，它能夠?yàn)橛脩籼峁┲笇?dǎo)性的選購(gòu)建議，幫助國(guó)內(nèi)各行業(yè)用戶選擇滿足自身業(yè)務(wù)安全需求的第二代防火墻，未來將有可能成為各行業(yè)的共同標(biāo)準(zhǔn)，這對(duì)于規(guī)范我國(guó)的網(wǎng)絡(luò)安全防護(hù)無疑具有重大意義。