近日發布的“第二代防火墻標準”引起了網絡安全市場上的一些爭議。相比市場上通常提及的下一代防火墻，第二代防火墻究竟是什么?第二代防火墻標準又是一個什么樣的標準?

一個標準在信息安全市場上引起了爭議。這個標準就是“第二代防火墻標準”。

“一個客戶問我們，現在已經有了第二代防火墻，你們的產品怎么還是下一代防火墻?”一家國內網絡安全廠商的下一代防火墻產品經理告訴記者。

究竟什么是第二代防火墻?它和下一代防火墻有什么關系?“第二代防火墻”這樣的名稱是否真的給用戶造成了困擾呢?

名稱之困

眾所周知，無論國內外，如今很多安全廠商都在進行下一代防火墻產品的研發和推廣，發布了很多下一代防火墻產品。

在這些廠商看來，由于安全威脅的復雜化，以及向應用層轉移，傳統的僅對網絡層進行過濾和控制的防火墻已經不能滿足當前企業的網絡安全防護需求，所以引入了下一代防火墻概念。

最早提出下一代防火墻概念的是Gartner。早在2009年，Gartner就提出了下一代防火墻(Next Generation Firewall，NGFW)的概念，它指出下一代防火墻必須有標準的防火墻功能，如網絡地址轉換、狀態檢測、VPN等，以及企業所需要的IPS、防病毒、行為管理等功能。

也就是說，Gartner認為，下一代防火墻是防火墻(Firewall，FW)的延伸。它首先要具備防火墻的功能，同時又在防火墻的基礎上，加入了IPS、行為管理等高級功能，來滿足企業新的安全防護需要。

那么，在“第二代防火墻標準”中的第二代防火墻又是什么呢?事實上，在該標準中明確指出了，其所指“第二代防火墻”就是市場上的下一代防火墻。

然而，根據網絡安全領域公認的說法，防火墻(FW)的發展早已不止兩代。被公認的第一代防火墻幾乎與路由器同期出現，采用了包過濾技術。而早在1989年，貝爾實驗室就推出了第二代防火墻，即電路層防火墻。基于動態包過濾技術的防火墻被稱為第四代防火墻，1994年，CheckPoint根據該技術率先開發出商業化產品，成為當時防火墻領域的領跑者。歷經演進，有人認為，當前的防火墻應該算作第七代防火墻。

所以，將當前的下一代防火墻改稱為“第二代防火墻”，確實存在爭議。這樣的做法，有可能對某些不明就里的用戶產生誤導。

有業內人士認為，命名上的失誤其實是個嚴重的問題，一個標準的命名猶如大樹的根基。如果根基存在問題，那么這棵樹的樹干、樹枝等細節就沒有討論的必要了。

當然，標準應該科學嚴謹，使人信服。記者猜想，標準制定者之所以用“第二代防火墻”來指代下一代防火墻，可能出于“下一代”這樣的名詞不夠嚴謹的考慮。

然而，一些業內人士認為，一方面，下一代防火墻歷經多年的發展，已經成為了市場上的一個成熟的產品概念，得到了廠商和用戶的認可;另一方面，之所以稱為“下一代”，是源自國外的直譯，國外的防火墻(FW)和下一代防火墻(NGFW)是兩種概念和產品形態，根本就不是所謂第一代與第二代的對應關系。

樂觀地看，命名之爭似乎也無傷大雅。既然標準已經出臺，業內人士和用戶只要在心中默默將這個“第二代防火墻”與市場上的下一代防火墻劃上等號即可。然而，從一個標準的命名上就折射出問題，也可能說明這個標準的制定過程存在或多或少的問題。

多少人參與其中?

2月份該標準發布會給人的感覺是，參與標準制定的只有少數幾個單位。通常，這種技術類標準的制定有業內廠商參與很正常。問題在于，當前下一代防火墻市場頗為火爆，參與其中的廠商眾多，幾家廠商是否能夠代表主流的行業情況?在標準的制定過程中，是否還有其他廠商參與?參與的情況如何?

資料顯示，該標準的編制早在2012年12月就已經開始，編制過程歷經近兩年，經過了6輪修改和討論。然而當記者希望就該標準編制過程詢問國內其他下一代防火墻廠商時，有的避而不談，有的只是簡單表示標準制定的前期也參與其中，并且其產品完全符合該標準。還有一家企業在要求隱去名字的情況下，向記者吐露了心聲：“我們感覺，自己在這個標準制定的過程中的參與感不強。”

該企業相關負責人向記者坦言，在該標準發布之前，他們也參與其中，但是感覺能夠參與的不多。“很多東西都是已經定好的，沒有商量的余地。針對標準中的一些問題，我們也進行了正式的書面反饋，提出了修改意見。雖然有些地方也進行了修改，但是我們感覺并沒有達到我們的預期，和目前市場上的真實情況還存在距離。”這位負責人說。

“例如標準中對于Web攻擊防護方面的表述就值得商榷。無論是國外還是國內市場，絕大多數安全廠商都把下一代防火墻和Web應用防火墻(Web Application Firewall，WAF)視為兩款不同的產品，只有極少數廠商將這兩者整合在一起。而在這個關于下一代防火墻的標準中，提及了很多Web攻擊防護方面的內容。在我們看到的草稿中，有七條關于Web攻擊防護的指標，在最終版中縮減成了三條。”這位負責人補充說，“如果是七條的話，可能國內只有極少數產品能夠符合標準，而且它根本不符合當前國內外市場上主流產品的情況。”

標準制定的學問

通常情況下，一個技術標準的制定存在兩方面的價值。一方面，標準可以作為先進的行業標桿，引導行業內的企業向標準的方向前進;另一方面，標準可以作為準入門檻，將落后的、被市場邊緣化的產品擋在門外，幫助用戶選擇合適的產品。無論體現哪方面的價值，標準都應該對產業發展起到促進作用，帶動這個行業更快、更健康地發展。當然，“第二代防火墻標準”的制定同樣出于這樣的初衷。

放眼如今的網絡安全市場，幾乎所有的防火墻(FW)廠商都推出了自己的下一代防火墻產品，而其他一些非傳統的網絡安全廠商，也紛紛推出下一代防火墻產品。同時，各個廠商對下一代防火墻產品的認知也有所不同，并且按照自己的認知和理解去研發產品，并推向市場。當前市場上甚至存在同樣叫做下一代防火墻產品，但不同廠商之間的產品功能差異巨大的問題。

不可否認的是，在這樣的背景下，“第二代防火墻標準”對行業的規范產生了積極作用。該標準指出了“第二代防火墻”除應具備傳統防火墻的功能外，還應具備應用層訪問控制、融合多項安全功能、深度內容檢測、高性能等特征，并且強調了一體化引擎、多功能開啟后性能不能大幅下降等指標，對下一代防火墻產品的規范具有一定的意義。

然而，標準制定確實是一門學問。如何引導行業的發展，如何將門檻設置得既不太高(把大部分產品排斥在外，不能兼顧各方的共同利益)，也不太低(門檻形同虛設，起不到鼓勵創新、淘汰落后的作用)，讓標準發揮最大的價值和作用，本身就需要標準制定者具備相當的智慧和能力。

當然，標準起草單位只有進行更加廣泛的調研，充分了解市場的真實情況，并將這種情況反映在標準中，讓標準符合大多數相關方的利益，才能不顧此失彼，讓標準真正起到其應該具有的作用。回到下一代防火墻標準的問題上，在當前國家對網絡安全高度重視的背景下，也有業內人士認為，應該制定包括下一代防火墻在內的一系列國家標準，為國家和企業的信息化保駕護航，也為進一步促進和規范網絡安全市場的發展。