近日，公安部網絡安全保衛局、公安部科技信息化局和公安部第三研究所聯合深信服科技、綠盟科技和網神共同發布了第二代防火墻標準。

那么問題來了，為什么要編制第二代防火墻標準？相比現行的防火墻標準（舊標準），第二代防火墻標準又有著哪些變化呢？且聽小編為你一一道來。

為什么要編制第二代防火墻標準？

防火墻自誕生以來，在提高網絡安全性方面發揮了非常重要的作用。

作為邊界網絡安全的第一道關卡，防火墻經理了包過濾技術、代理技術和狀態監視技術的技術變遷，通過ACL訪問控制策略、NAT地址轉換策略以及抗網絡攻擊策略，有效地阻斷了未被明確允許的包通過，保護了網絡的安全。

通過對進出防火墻的一切數據包進行檢查，可保證合法人員能夠進入網絡訪問相應的資源，同時防止非法人員通過非法手段進入網絡或干擾網絡的正常運行，防火墻技術在當時被堪稱完美。然而，時代的變遷令防火墻的防御效果大打折扣，網絡的高速發展、應用的不斷增多，也令其失去了它不可替代的地位。

隨著Web2.0時代的到來，用戶的許多業務均以Web形式開展，傳統防火墻已無法應對應用層威脅。

盡管Gartner對下一代防火墻進行了定義，但由于我國的網絡安全環境具備自身特點，目前國內尚且缺乏適用于本土環境的功能統一的下一代防火墻。另一方面，國內各家安全廠商推出的下一代防火墻功能各不相同，令用戶難以對產品進行甄別和選擇。

為指導用戶進行信息安全建設，并規范國內的防火墻產品市場，信息安全行業規范編制單位暨信息安全等級保護測評單位——公安部第三研究所在公安部科技信息化局的授權下，經過深入的社會調研，并通過向國內優秀安全廠商征集意見，研究出適用于我國網絡環境的下一代防火墻功能，且出臺了下一代防火墻標準GA/T 1177-2014《信息安全技術 第二代防火墻安全技術要求》（“標準”），將國際通用說法“下一代防火墻”更名為“第二代防火墻”。

第二代防火墻標準有哪些變化？

從功能而言，舊標準主要要求防火墻需包含基于2-4層的數據包過濾、NAT、路由策略、安全審計、安全管理等方面的功能；在高等級的功能要求中，舊標準對防火墻提出了部分深層包過濾、防病毒、抗滲透等要求，但該部分要求較為粗略，并非作為防火墻的核心功能。

《第二代防火墻安全技術標準》要求第二代防火墻除具備防火墻的基本功能外，還應當具備應用流量識別、應用層訪問控制、應用層安全防護、用戶控制、深度內容檢測、高性能等功能特征，以及較高的抗攻擊能力。

《第二代防火墻安全技術標準》還要求第二代防火墻要對防火墻功能和入侵防御能力進行融合，整合Web攻擊防護，具備內容級的威脅檢測能力，且應當滿足支持Gbit級的串聯部署。

對比第二代防火墻的功能特征可以很明確地發現，現行的防火墻標準并不適用于第二代防火墻。舊標準對諸如入侵防御、上網行為控制、基于用戶的控制、Web攻擊防護、信息泄露等功能均未提出明確的要求。

此外，第二代防火墻標準的制定參考并遵循了國內主要的安全技術要求文件提出的技術框架和相關要求，適用于國內政府、企業、金融、運營商等各行業的信息安全建設，包括等級保護建設、分級保護建設和行業安全建設。

專家說

公安部網絡安全保衛局總工郭啟全：國家網絡安全頂層設計好之后，重要行業部門和信息安全企業都要肩負各自的責任，信息安全企業應當發揮創新精神不斷研發新的產品技術，重要行業部門應當加大信息安全建設的投入，使得我國自主可靠的安全產品得到更多的應用和推廣，構建出我們國家真正的安全。

公安部第三研究所專家鄒春明：第二代防火墻標準參考了眾多的國家標準、行業標準，調研了國內眾多行業用戶的網絡安全建設需求，并對標準進行了6輪的討論和修改，它是一部能夠指導用戶進行信息安全建設和等級保護建設的成熟標準。