第二代防火墻標準編制背景

防火墻自誕生以來，在提高網絡安全性方面發揮了非常重要的作用。作為邊界網絡安全的第一道關卡，防火墻經歷了包過濾技術、代理技術和狀態監視技術的技術變遷，通過ACL訪問控制策略、NAT地址轉換策略以及抗網絡攻擊策略，有效地阻斷了未被明確允許的包通過，保護了網絡的安全。通過對進出防火墻的一切數據包進行檢查，可保證合法人員能夠進入網絡訪問相應的資源，同時防止非法人員通過非法手段進入網絡或干擾網絡的正常運行，防火墻技術在當時被堪稱完美。然而，時代的變遷令防火墻的防御效果大打折扣，網絡的高速發展、應用的不斷增多，也令其失去了它不可替代的地位。

傳統防火墻存在的問題

防火墻作為一款歷史悠久的經典產品，在IP/端口的網絡時代發揮了巨大的作用：合理地分隔了安全域、有效地阻止了外部的網絡攻擊。防火墻在設計時的針對性，在當時顯然是網絡安全的最佳選擇。但在網絡應用高速發展、網絡規劃復雜化的今天，防火墻的不適應性越發明顯，從用戶對網絡安全建設的需求來看，傳統防火墻存在以下問題：

1、應用安全防護問題

傳統防火墻基于IP/端口進行工作，并無法對應用層進行識別和控制，無法對各類應用層威脅進行有效防御。因此，防火墻并不能檢測或攔截嵌入到普通流量中的惡意攻擊代碼，如病毒、蠕蟲、木馬等。

2、安全管理問題

對于大型網絡而言，為確保網絡的安全，IT管理員常常需要配置大量的訪問控制策略。而安全日志中存在海量的源地址、目的地址等信息，使得基于IP/端口的策略可讀性非常差，導致經常發生錯配、漏配的情況。由錯配、漏配留下的安全隱患往往會給黑客提供可乘之機，因此傳統防火墻一直存在管理困難的問題。

防火墻標準不再適用第二代防火墻

隨著Web2.0時代的到來，用戶的許多業務均以Web形式開展，傳統防火墻已無法應對應用層威脅。盡管Gartner對下一代防火墻進行了定義，但由于我國的網絡安全環境具備自身特點，目前國內尚且缺乏適用于本土環境的功能統一的下一代防火墻。另一方面，國內各家安全廠商推出的下一代防火墻功能各不相同，令用戶難以對產品進行甄別和選擇。為指導用戶進行信息安全建設，并規范國內的防火墻產品市場，信息安全行業規范編制單位暨信息安全等級保護測評單位——公安部第三研究所在公安部科技信息化局的授權下，經過深入的社會調研，并通過向國內優秀安全廠商征集意見，歷時17個月研究出適用于我國網絡環境的下一代防火墻功能，且出臺了下一代防火墻標準GA/T1177-2014《信息安全技術 第二代防火墻安全技術要求》(簡稱“標準”)，將國際通用說法“下一代防火墻”更名為“第二代防火墻”。標準指出第二代防火墻必須具備應用層控制、Web攻擊防護、信息泄露防護、惡意代碼防護和入侵防御等功能。

我國當前現有的防火墻標準GB/T 20281-2006《信息安全技術防火墻技術要求和測試評價方法》(簡稱“舊標準”)，主要從功能、性能、安全性及保證要求等方面對防火墻產品提出具體的要求，并根據功能的廣度及深度、安全性強度、保證要求的深度幾個方面對產品進行分級。

從功能而言，舊標準主要要求防火墻需包含基于2-4層的數據包過濾、NAT、路由策略、安全審計、安全管理等方面的功能;在高等級的功能要求中，舊標準對防火墻提出了部分深層包過濾、防病毒、抗滲透等要求，但該部分要求較為粗略，并非作為防火墻的核心功能。

對比第二代防火墻的功能特征可以很明確地發現，現行的防火墻標準(舊標準)并不適用于第二代防火墻。舊標準對諸如入侵防御、上網行為控制、基于用戶的控制、Web攻擊防護、信息泄露防護等功能均未提出明確的要求，

因此有必要為第二代防火墻制定相應的標準。#p#

第二代防火墻標準編制原則與依據

1)全局性、系統性原則

標準遵從等級保護體系的整體思路與方法，以《計算機信息系統安全保護等級劃分準則》(GB 17859-1999)為指導、以《信息安全技術 信息系統通用安全技術要求》(GB/T 20271-2006)和《信息安全技術 信息系統安全等級保護基本要求》(GB/T 22239-2008)為基礎和藍本，根據第二代防火墻的技術特點和其在整個信息系統中的角色定位，建立第二代防火墻等級保護安全技術模型，并由此確立各等級的安全技術要求。

2)適用性原則

標準在清晰分析我國各行業信息系統中第二代防火墻的安全技術現狀和實際需求的基礎上，充分考慮了我國相關廠商的產業化能力，提出合適的安全技術指標體系與內容，使第二代防火墻廠商和第二代防火墻用戶可直接根據標準實施相關操作、實現相關目標，令標準真正發揮出實效。

3)先進性原則

標準根據當前計算機安全技術與產業發展趨勢，構建出第二代防火墻的安全功能框架，進而形成相應的安全功能技術要求與分等級安全技術要求。

公安部第三研究所編制《信息安全技術 第二代防火墻安全技術要求》期間，充分參考了我國多個現行的國家標準、行業標準，同時結合了我國的信息安全等級保護技術需求、計算機安全技術開發成果以及產業狀況完成標準的撰寫。

◆ 參考資料

1) GB/T 5271.8-2001信息技術 詞匯 第8部分：安全

2) GB 17859-1999 計算機信息系統安全保護等級劃分準則

3) GB/T 18336.1-2008 信息技術 安全技術 信息技術安全性評估準則 第1部分：簡介和一般模型

4) GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求

5) GB/T 20281-2006 信息安全技術 防火墻技術要求和測試評價方法

6) GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求

7) 2011年-2013年送檢公安部第三研究所的相關防火墻產品及其技術資料

8) 2009年-2013年互聯網上發布的下一代防火墻相關資料

◆ 現狀研究

1) 第二代防火墻的定義

2) 第二代防火墻主要實現技術及功能特點

3) 第二代防火墻與傳統防火墻、UTM等設備的區別

4) 現行防火墻標準要求與第二代防火墻所要實現目標的差距

5) 國內外第二代防火墻的相關標準

6) 國內外第二代防火墻的產品現狀#p#

第二代防火墻技術特點說明

第二代防火墻除具備防火墻的基本功能外，還應當具備應用流量識別、應用層訪問控制、應用層安全防護、用戶控制、深度內容檢測、高性能等功能特征，以及較高的抗攻擊能力。

基于應用層的控制策略

第二代防火墻不僅保留了舊標準中關于防火墻的訪問控制能力，如包過濾、狀態檢測、NAT、路由功能以及帶寬和會話管理等功能，還增加了基于應用層控制的功能要求。標準要求第二代防火墻可以識別應用層的協議，并進行訪問控制策略的制定。

全面融合IPS功能

第二代防火墻對防火墻功能和入侵防御功能進行了融合，而不僅僅是簡單的功能合并。從而可以有效地防御漏洞攻擊、端口掃描、惡意軟件攻擊等新型的威脅攻擊，全面提升第二代防火墻的攻擊防護能力。

Web攻擊防護的整合

Web攻擊作為當今網絡中的主流攻擊之一，第二代防火墻應當能夠對其進行檢測和防護，實現整體安全防護的要求。第二代防火墻融合Web攻擊防護功能，很好地體現了第二代防火墻標準的先進性原則。

內容級的威脅檢測能力

為有效應對較為流行的信息泄露威脅，第二代防火墻應具備內容級的威脅檢測能力。

支持Gbit級的串聯部署

安全產品在對應用協議進行識別及防護時，不應過多地影響系統性能。為解決多產品部署所導致的性能下降問題，第二代防火墻應當滿足支持萬兆網絡串聯部署的要求。#p#

第二代防火墻技術要求一覽

1) 網絡層安全功能

主要針對2-4層實現的及一些傳統防火墻所實現的功能。

◆ 包過濾

◆ 狀態檢測

◆ NAT

◆ IP/MAC綁定

◆ 策略路由

◆ 流量會話管理(包括帶寬管理、流量統計、連接數控制、會話超時管理)

◆ 抗拒絕服務攻擊

2) 應用層安全功能

第二代防火墻所具備的特有的安全功能。

◆ 應用協議訪問控制

◆ 應用內容訪問控制

◆ 用戶識別

◆ 入侵防御

◆ 惡意代碼防護

◆ Web攻擊防護

◆ 信息泄露防護

3) 運維管理功能

主要包括管理、審計、自身安全等方面的功能要求。

◆ 運維管理

◆ 安全審計

◆ 報警

◆ 安全管理

◆ 高可靠性

◆ 升級

第二代防火墻標準的意義及適用性說明

第二代防火墻標準的發布旨在解決防火墻、入侵防御系統等傳統網絡安全產品在新安全威脅上防護不足的問題，標準規范了新的安全威脅防護功能，并要求其需體現先進性的特點。

第二代防火墻標準的發布，對于信息安全建設向融合的安全轉型具有指導意義，同時有效減輕了部署多款安全產品給管理員所帶來的管理負擔，此外，還解決了網絡中多產品部署造成的性能壓力問題。

第二代防火墻標準的制定參考并遵循了國內主要的安全技術要求文件提出的技術框架和相關要求，適用于國內政府、企業、金融、運營商等各行業的信息安全建設，包括等級保護建設、分級保護建設和行業安全建設。