第二代防火墻標(biāo)準(zhǔn)，適用于國內(nèi)政府、企業(yè)、金融、運(yùn)營商等各行業(yè)的信息安全建設(shè)，包括等級保護(hù)建設(shè)、分級保護(hù)建設(shè)和行業(yè)安全建設(shè)。

       其發(fā)布對于信息安全建設(shè)向融合的安全轉(zhuǎn)型具有指導(dǎo)意義，同時(shí)有效減輕了部署多款安全產(chǎn)品給管理員帶來的管理負(fù)擔(dān)。此外，還解決了網(wǎng)絡(luò)中多產(chǎn)品部署造成的性能壓力問題。

       但是，當(dāng)前廣大用戶需要在魚龍混雜的安全產(chǎn)品市場中選擇出真正符合標(biāo)準(zhǔn)要求和滿足自身需求的第二代防火墻，這并不容易。

       對此，我們將從第二代防火墻三個(gè)方向，針對用戶的網(wǎng)絡(luò)安全需求進(jìn)行了詳細(xì)解析。

特征一：融合的安全

       UTM產(chǎn)品對安全功能進(jìn)行了一次“融合”，但依然存在一些短板，除了安全防護(hù)性能比較低，且針對信息泄露防護(hù)達(dá)不到安全要求。而第二代防火墻的出現(xiàn)，是對UTM產(chǎn)品的安全短板進(jìn)行了延長，對安全進(jìn)行了全面的融合。

       與第一代防火墻測評標(biāo)準(zhǔn)相比，第二代防火墻標(biāo)準(zhǔn)在網(wǎng)絡(luò)層控制上，針對策略路由、帶寬管理、流量統(tǒng)計(jì)方面進(jìn)行了增強(qiáng)；新增連接數(shù)控制、會話管理。

       兩代標(biāo)準(zhǔn)區(qū)別點(diǎn)之一是新增了應(yīng)用層控制，分為應(yīng)用協(xié)議與內(nèi)容控制、用戶管控、入侵防御、惡意代碼防護(hù)、Web攻擊防護(hù)、信息泄露防護(hù)。

       在安全運(yùn)維管理方面，新標(biāo)準(zhǔn)使用安全性更高的SNMP V3協(xié)議；對規(guī)則進(jìn)行檢查，并且根據(jù)安全風(fēng)險(xiǎn)等級自動(dòng)生成推薦策略；對系統(tǒng)的運(yùn)行狀態(tài)異常進(jìn)行報(bào)警。
 

特征二：深度內(nèi)容檢測

       當(dāng)前ICT業(yè)務(wù)已經(jīng)發(fā)生變化：網(wǎng)絡(luò)應(yīng)用多樣化、物理邊界模糊化、安全威脅復(fù)雜化。如此一來，傳統(tǒng)防火墻L3~4層的解析已無法抵御安全威脅。為有效應(yīng)對較為流行的信息泄露威脅，第二代防火墻要求具備內(nèi)容級的威脅檢測能力。

       新標(biāo)準(zhǔn)定義了“深度內(nèi)容檢測”概念：對應(yīng)用協(xié)議深入解析，識別出協(xié)議中的各種要素及協(xié)議所承載的業(yè)務(wù)內(nèi)容，并對這些數(shù)據(jù)進(jìn)行快速解析，以還原其原始通信信息。根據(jù)解析后的原始信息，檢測其中是否包含威脅以及敏感內(nèi)容。

特征三：提升混合包性能

       防火墻的選擇需要客戶從業(yè)務(wù)功能和安全功能需求、當(dāng)前與未來的網(wǎng)絡(luò)環(huán)境發(fā)展、攻與防的價(jià)值三個(gè)維度加以考量。

       第二代防火墻需要實(shí)現(xiàn)數(shù)據(jù)的單路徑匹配，數(shù)據(jù)包僅需一次解碼即可滿足各項(xiàng)應(yīng)用層防護(hù)模塊的需要，有助于設(shè)備性能的大幅提升，讓所有安全功能模塊能夠真正開啟并發(fā)揮作用。

       同時(shí)，第二代防火墻要實(shí)現(xiàn)多安全模塊的融合，對數(shù)據(jù)檢測過程中產(chǎn)生的信息能夠充分關(guān)聯(lián)，用戶無需進(jìn)行人工發(fā)掘和分析即可全面掌握威脅全貌。

       因此，第二代防火墻在應(yīng)用層吞吐、網(wǎng)絡(luò)層吞吐、延遲、最大新建連接數(shù)、最大并發(fā)連接數(shù)等參數(shù)方面都提出了性能要求。如在應(yīng)用層吞吐方面，第二代防火墻在不阻斷正常連接的情況下，應(yīng)達(dá)到的單向應(yīng)用層吞吐量指標(biāo)。