第二代防火墙标准发布：融合安全、深度内容检测、应用层高性能

2015年2月4日下午，在公安部网络安全保卫局、公安部科技信息化局、公安部第三研究所等相关部门的指导下，由参与标准起草的深信服科技、绿盟科技、网神信息技术在北京国家会议中心联合举行第二代防火墙标准发布会。

公安部网络安全保卫局总工郭启全、公安部第三研究所专家邹春明，以及深信服、绿盟、网神信息的资深安全专家均在会上做了重要讲话。

第二代防火墙标准应当上升为国家标准

郭启全介绍了我国网络安全发展的现状及未来方向，他指出，国家已经将网络安全提升到战略高度，未来还将制定《网络安全法》。2015年是国家网络安全的“十三五”规划之年，“十三五”将围绕国家网络安全顶层设计、关键基础设施保护等方面开展工作。我们要加快国家网络与信息安全体制机制建设，全力维护国家网络空间安全

第二代防火墙标准对于规范防火墙产品市场，规范网络安全建设有着重要意义。国家重要行业部门应当积极响应号召，将标准应用到实际的网络安全建设中去。未来，第二代防火墙应当上升为国家标准，在指导我们信息化安全建设中发挥更大作用。

第二代防火墙标准是一部成熟的标准

防火墙自诞生以来，在提高网络安全性方面发挥了非常重要的作用。作为边界网络安全的第一道关卡，防火墙经历了包过滤技术、代理技术和状态监视技术的技术变迁，通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略，有效地阻断了未被明确允许的包通过，保护了网络的安全。但在网络应用高速发展、网络规划复杂化的今天，防火墙的不适应性越发明显。

从邹春明的演讲中我们得知，基于2-4层进行安全防护的传统防火墙，无法有效防护来自应用层的网络威胁；而集成了防火墙、入侵防御和杀毒软件的UTM，在开启多个应用层处理功能后，性能急剧下降，无法满足用户的业务需求。在此背景下，第二代防火墙及其标准应运而生。邹春明专家解释说，为了更好地满足国内用户的需求，第二代防火墙除了具备传统防火墙的功能外，还应具备应用层访问控制、融合多项安全功能、深度内容检测、高性能等特征。

同时，邹春明指出，第二代防火墙标准参考了众多的国家标准、行业标准，调研了国内众多行业用户的网络安全建设需求，并对标准进行了6轮的讨论和修改，它是一部能够指导用户进行信息安全建设和等级保护建设的成熟标准。

第二代防火墙技术特点说明

第二代防火墙除具备防火墙的基本功能外，还应具备应用流量识别、应用层访问控制、应用层安全防护、用户控制、深度内容检测、高性能等功能特性，以及较高的抗攻击能力。

• 基于应用层的控制策略

第二代防火墙不仅保留了旧标准中关于防火墙的访问控制能力里，如包过滤、状态检测、NAT、路由功能以及带宽和会话管理等功能，还增加了基于应用层控制的功能需求，标准要求第二代防火墙可以识别应用层的协议，并进行访问控制策略的制定。

• 全面融合IPS功能

第二代防火墙对防火墙功能和入侵防御功能进行了融合，而不仅仅是简单的功能合并。从而可以有效地防御漏洞攻击、端口扫描、恶意软件攻击等新型的威胁攻击，全面提升第二代防火墙的攻击防护能力。

• Web攻击防护的整合

Web攻击作为当今网络中的主流攻击之一，第二代防火墙应当能够对其进行检测和防护，实现整体安全防护的要求，第二代防火墙融合Web攻击防护功能，很好地体现了第二代防火墙标准的先进性原则。

• 内容级的威胁检测能力

为有效应对较为流行的信息泄露威胁，第二代防火墙应具备内容级的威胁检测能力。

• 支持Gbit级的串联部署

安全产品在对应用协议进行识别及防护时，不应过多的影响系统性能，为解决多产品部署所导致的性能下架问题，第二代防火墙应对满足支持万兆网络串联部署的要求。

基于业务需求谈第二代防火墙功能

深信服、绿盟、网神信息三家主办单位的资深安全专家围绕第二代防火墙融合的安全、深度内容检测和混合包性能三大特性，针对用户的网络安全需求进行了详细解析。其中，网神安全专家王刚谈到，防火墙的选择需要客户从业务功能和安全功能需求、当前与未来的网络环境发展、攻与防的价值三个维度去考量。第二代防火墙实现了数据的单路径匹配，数据包仅需一次解码即可满足各项应用层防护模块的需要，有助于设备性能的大幅提升，让所有安全功能模块能够真正的开启并发挥作用。同时，多安全模块的融合，对数据检测过程中产生的信息能够充分关联，用户无需进行人工挖掘和分析即可全面掌握威胁全貌。

第二代防火墙标准，适用于国内政府、企业、金融、运营商等各行业的信息安全建设，包括等级保护建设、分级保护建设和行业安全建设。其发布，对于信息安全建设向融合的安全转型具有指导意义，同时有效减轻了部署多款安全产品给管理员带来的管理负担。此外，还解决了网络中多产品部署造成的性能压力问题。