第二代防火墻標準自2014年9月1日實施以來備受業內關注，該標準是信息安全行業規范編制單位暨信息安全等級保護測評單位——公安部第三研究所，在公安部科技信息化局的授權下，經過深入的社會調研，并通過向國內優秀安全廠商征集意見，歷時17個月制定出的適用于我國網絡環境的第二代防火墻（又稱下一代防火墻）標準。

標準的推出意味著下一代防火墻在國內已經正式標準化，用戶可以參照該標準采購真正意義上的下一代防火墻。而標準的實施是安全產品走向功能融合的重要里程碑。但是，許多用戶并未深入地了解第二代防火墻標準及其內容的指導意義，對于第二代防火墻能否取代傳統安全產品、能否真正防御新的安全威脅以及能否適用于等級保護建設存在疑惑。

防火墻標準亟待改善

第二代防火墻標準推出的一個重要原因是原有標準（GB/T20281-2006《信息安全技術 防火墻技術要求和測試評價方法》，以下簡稱“舊標準”）對于其發布后6~8年時間內出現的新的安全威脅，并沒有給出明確的定義，用戶按照舊標準進行安全建設并不能很好地滿足其安全防護需求。

在2月4日舉行的第二代防火墻標準發布會上，公安部第三研究所專家鄒春明表示，基于2~4層進行安全防護的傳統防火墻，并無法有效防護來自應用層的網絡威脅；而集成了防火墻、入侵防御和殺毒軟件的UTM，在開啟多個應用層處理功能后，性能急劇下降，無法滿足用戶的業務需求。

為此，國外如Palo Alto、梭子魚、CheckPoint、Fortinet、F5、Cisco等，國內如深信服、綠盟、網神、山石等廠商，紛紛投入第二代防火墻的研究并推出相關產品。

“目前，各個安全廠商都推出了自己的下一代防火墻產品，但是沒有統一的標準。因此，需要一個統一的標準，為各個廠商起到指導作用。”鄒春明指出，第二代防火墻產品處于快速發展階段，有必要盡快制定相應的行業標準，以規范第二代防火墻產品在我國的發展。在此背景下，第二代防火墻及其標準應運而生。

業內普遍認為，第二代防火墻定義是部署于不同的安全域之間，除具備傳統防火墻的基本訪問控制功能之外，還具備應用層訪問控制、用戶控制、深度內容檢測、高性能等特征的防火墻。

第二代防火墻的主要特點是實現架構上應一次解包完成全部檢查，功能上應具備傳統防火墻的各項能力、完全集成IPS、網絡行為的識別與控制、用戶及用戶組的控制、能添加外部智能模塊，另外具有高性能。

新標準已經成熟

從2012年開始，公安部第三研究所為制定出更符合我國行業用戶網絡安全需求的下一代防火墻標準，邀請了包括深信服科技、綠盟科技、網神等在內的國內一流安全廠商參與標準的討論，結合網絡安全環境和用戶的業務安全需求，制定出“第二代防火墻”必須具備應用控制、Web攻擊防護、信息泄露防護和入侵防御等功能。

鄒春明指出，第二代防火墻標準參考了眾多的國家標準、行業標準，調研了國內眾多行業用戶的網絡安全建設需求，并對標準進行了6輪討論和修改，它是一部能夠指導用戶進行信息安全建設和等級保護建設的成熟標準。

該標準對第二代防火墻的性能要求主要針對應用層處理性能方面。而傳統防火墻主要是3-4層的性能要求。在分級方面，根據安全功能強弱和安全保證要求高低分為基本級和增強級，而環境適應性要求和性能要求不作為等級劃分依據。

從國家網絡安全頂層設計層面而言，公安部非常鼓勵國內優秀信息安全企業參與安全標準的研發和制定，應當將第二代防火墻標準等創新的標準上升為國家標準。”對該標準，郭啟全總工表示，國家重要行業部門應當積極響應號召，將標準應用到實際的網絡安全建設中去。

Link：第二代防火墻編制過程

2012年12月，以現有國標為基礎編制了標準草稿（第一稿）：主要包括功能要求、性能要求、安全要求和保證要求4部分。

2013年1月，標準編制組檢測中心成員對標準草稿進行了內部討論，并提出了修改意見：規范標準格式、術語定義主要引用原國標，增加“第二代防火墻”定義等，修改完成后形成草稿（第二稿）。

2013年2月，再次對第二稿進行討論修訂，主要包括：標準格式參考CC思路、增加對IPV6的支持要求、分級由原來三級改為兩級，完成草稿（第三稿）。

2013年3月，檢測中心和深信服編制人員對具體條目進行了逐項討論，對技術要求部分的結構做出了大的調整，完成草稿（第四稿）。

2013年6月，完成了該標準在公共安全信安標委會的申報、立項等工作。

2013年6月，在北京組織深信服、綠盟、網神、網御、天行網安等信息安全產品廠商，國土資源部、農業部、國家統計局、國家質檢總局等用戶單位，公安部科信局、網絡安全保衛局等主管單位參與討論，對標準內容及標準格式提出了較多修改建議；形成征求意見稿。

2013年9月，以電子郵件方式向20家防火墻廠商征求意見，其中8家廠商進行了反饋，提出了較為詳細的修改建議，編制組對所接收到的反饋意見逐條進行了討論，并完成征求意見匯總處理表。

2013年10月，征求了IXIA、BPS等性能測試儀表廠商意見，對產品性能要求做出部分修訂。

2013年11月，組織專家在上海對該標準的征求意見稿進行了評審，并提出了修改建議，編制組根據專家建議，對征求意見稿進行了相應修訂，形成送審稿。

2014年3月，公安部信息系統安全標準化委員會在北京對該標準送審稿進行了評審，并提出了修改建議，編制組根據專家建議，對送審稿進行了相應修訂，完成報批稿。

2014年7月，正式發布，標準號為GA/T 1177-2014。

2014年9月，標準正式實施。