第二代防火墻的標(biāo)準(zhǔn)是規(guī)范我國新型防火墻的重要參考指標(biāo)，在科技信息局的授權(quán)下，該標(biāo)準(zhǔn)由公安部第三研究所經(jīng)過長期的的社會(huì)調(diào)研，并向國內(nèi)優(yōu)秀安全廠商征集意見，歷時(shí)一年半時(shí)間，制定出的適用于我國網(wǎng)絡(luò)環(huán)境的第二代防火墻標(biāo)準(zhǔn)。

        該標(biāo)準(zhǔn)讓第二代防火墻得以名正言順，防止那些所謂的下一代防火墻，利用噱頭大肆宣揚(yáng)，從而進(jìn)行炒作。標(biāo)準(zhǔn)化的條例，是安全產(chǎn)品在市場上生存和發(fā)展的有效保障。雖然在行業(yè)內(nèi)，第二代防火墻早已被很多人熟知，但是仍有很多用戶對于第二代防火墻能否取代傳統(tǒng)安全產(chǎn)品、能否真正防御新的安全威脅以及能否適用于等級保護(hù)建設(shè)存在疑惑。

        防火墻標(biāo)準(zhǔn)迫切需要改善

        第二代防火墻標(biāo)準(zhǔn)推出的一個(gè)重要原因是原有標(biāo)準(zhǔn)——《信息安全技術(shù) 防火墻技術(shù)要求和測試評價(jià)方法》，對于其發(fā)布后6~8年時(shí)間內(nèi)出現(xiàn)的新的安全威脅，并沒有給出明確的定義，用戶按照舊標(biāo)準(zhǔn)進(jìn)行安全建設(shè)并不能很好地滿足其安全防護(hù)需求。

        在2月4日舉行的第二代防火墻標(biāo)準(zhǔn)發(fā)布會(huì)上，公安部第三研究所專家鄒春明表示，基于2~4層進(jìn)行安全防護(hù)的傳統(tǒng)防火墻，并無法有效防護(hù)來自應(yīng)用層的網(wǎng)絡(luò)威脅；而集成了防火墻、入侵防御和殺毒軟件的UTM，在開啟多個(gè)應(yīng)用層處理功能后，性能急劇下降，無法滿足用戶的業(yè)務(wù)需求。

        為此，國外如Palo Alto、梭子魚、CheckPoint、Fortinet、F5、Cisco等，國內(nèi)如網(wǎng)域數(shù)據(jù)安全、綠盟、網(wǎng)神、山石等廠商，紛紛投入第二代防火墻的研究并推出相關(guān)產(chǎn)品。

        “目前，各個(gè)安全廠商都推出了自己的下一代防火墻產(chǎn)品，但是沒有統(tǒng)一的標(biāo)準(zhǔn)。因此，需要一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，為各個(gè)廠商起到指導(dǎo)作用。”鄒春明指出，第二代防火墻產(chǎn)品處于快速發(fā)展階段，有必要盡快制定相應(yīng)的行業(yè)標(biāo)準(zhǔn)，以規(guī)范第二代防火墻產(chǎn)品在我國的發(fā)展。在此背景下，第二代防火墻及其標(biāo)準(zhǔn)應(yīng)運(yùn)而生。

        業(yè)內(nèi)普遍認(rèn)為，第二代防火墻定義是部署于不同的安全域之間，除具備傳統(tǒng)防火墻的基本訪問控制功能之外，還具備應(yīng)用層訪問控制、用戶控制、深度內(nèi)容檢測、高性能等特征的防火墻。

        第二代防火墻的主要特點(diǎn)是實(shí)現(xiàn)架構(gòu)上應(yīng)一次解包完成全部檢查，功能上應(yīng)具備傳統(tǒng)防火墻的各項(xiàng)能力、完全集成IPS、網(wǎng)絡(luò)行為的識(shí)別與控制、用戶及用戶組的控制、能添加外部智能模塊，另外具有高性能。

        第二代防火墻新標(biāo)準(zhǔn)已經(jīng)成熟

        從2012年開始，公安部第三研究所為制定出更符合我國行業(yè)用戶網(wǎng)絡(luò)安全需求的下一代防火墻標(biāo)準(zhǔn)，邀請了包括各大國內(nèi)一流安全廠商參與標(biāo)準(zhǔn)的討論，結(jié)合網(wǎng)絡(luò)安全環(huán)境和用戶的業(yè)務(wù)安全需求，制定出“第二代防火墻”必須具備應(yīng)用控制、Web攻擊防護(hù)、信息泄露防護(hù)和入侵防御等功能。

        鄒春明指出，第二代防火墻標(biāo)準(zhǔn)參考了眾多的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，調(diào)研了國內(nèi)眾多行業(yè)用戶的網(wǎng)絡(luò)安全建設(shè)需求，并對標(biāo)準(zhǔn)進(jìn)行了6輪討論和修改，它是一部能夠指導(dǎo)用戶進(jìn)行信息安全建設(shè)和等級保護(hù)建設(shè)的成熟標(biāo)準(zhǔn)。

        該標(biāo)準(zhǔn)對第二代防火墻的性能要求主要針對應(yīng)用層處理性能方面。而傳統(tǒng)防火墻主要是3-4層的性能要求。在分級方面，根據(jù)安全功能強(qiáng)弱和安全保證要求高低分為基本級和增強(qiáng)級，而環(huán)境適應(yīng)性要求和性能要求不作為等級劃分依據(jù)。

        從國家網(wǎng)絡(luò)安全頂層設(shè)計(jì)層面而言，公安部非常鼓勵(lì)國內(nèi)優(yōu)秀信息安全企業(yè)參與安全標(biāo)準(zhǔn)的研發(fā)和制定，應(yīng)當(dāng)將第二代防火墻標(biāo)準(zhǔn)等創(chuàng)新的標(biāo)準(zhǔn)上升為國家標(biāo)準(zhǔn)?！睂υ摌?biāo)準(zhǔn)，郭啟全總工表示，國家重要行業(yè)部門應(yīng)當(dāng)積極響應(yīng)號召，將標(biāo)準(zhǔn)應(yīng)用到實(shí)際的網(wǎng)絡(luò)安全建設(shè)中去。

閱讀本文的讀者有80%還閱讀了：企業(yè)為什么需要第二代防火墻