近日,公安部網(wǎng)絡(luò)安全保衛(wèi)局、公安部科技信息化局和公安部第三研究所聯(lián)合深信服科技、綠盟科技和網(wǎng)神共同發(fā)布了第二代防火墻標(biāo)準(zhǔn)。
那么問題來了,為什么要編制第二代防火墻標(biāo)準(zhǔn)?相比現(xiàn)行的防火墻標(biāo)準(zhǔn)(舊標(biāo)準(zhǔn)),第二代防火墻標(biāo)準(zhǔn)又有著哪些變化呢?且聽小編為你一一道來。
為什么要編制第二代防火墻標(biāo)準(zhǔn)?
防火墻自誕生以來,在提高網(wǎng)絡(luò)安全性方面發(fā)揮了非常重要的作用。
作為邊界網(wǎng)絡(luò)安全的第一道關(guān)卡,防火墻經(jīng)理了包過濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)的技術(shù)變遷,通過ACL訪問控制策略、NAT地址轉(zhuǎn)換策略以及抗網(wǎng)絡(luò)攻擊策略,有效地阻斷了未被明確允許的包通過,保護(hù)了網(wǎng)絡(luò)的安全。
通過對進(jìn)出防火墻的一切數(shù)據(jù)包進(jìn)行檢查,可保證合法人員能夠進(jìn)入網(wǎng)絡(luò)訪問相應(yīng)的資源,同時防止非法人員通過非法手段進(jìn)入網(wǎng)絡(luò)或干擾網(wǎng)絡(luò)的正常運(yùn)行,防火墻技術(shù)在當(dāng)時被堪稱完美。然而,時代的變遷令防火墻的防御效果大打折扣,網(wǎng)絡(luò)的高速發(fā)展、應(yīng)用的不斷增多,也令其失去了它不可替代的地位。
隨著Web2.0時代的到來,用戶的許多業(yè)務(wù)均以Web形式開展,傳統(tǒng)防火墻已無法應(yīng)對應(yīng)用層威脅。
盡管Gartner對下一代防火墻進(jìn)行了定義,但由于我國的網(wǎng)絡(luò)安全環(huán)境具備自身特點(diǎn),目前國內(nèi)尚且缺乏適用于本土環(huán)境的功能統(tǒng)一的下一代防火墻。另一方面,國內(nèi)各家安全廠商推出的下一代防火墻功能各不相同,令用戶難以對產(chǎn)品進(jìn)行甄別和選擇。
為指導(dǎo)用戶進(jìn)行信息安全建設(shè),并規(guī)范國內(nèi)的防火墻產(chǎn)品市場,信息安全行業(yè)規(guī)范編制單位暨信息安全等級保護(hù)測評單位——公安部第三研究所在公安部科技信息化局的授權(quán)下,經(jīng)過深入的社會調(diào)研,并通過向國內(nèi)優(yōu)秀安全廠商征集意見,研究出適用于我國網(wǎng)絡(luò)環(huán)境的下一代防火墻功能,且出臺了下一代防火墻標(biāo)準(zhǔn)GA/T 1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》(“標(biāo)準(zhǔn)”),將國際通用說法“下一代防火墻”更名為“第二代防火墻”。
第二代防火墻標(biāo)準(zhǔn)有哪些變化?
從功能而言,舊標(biāo)準(zhǔn)主要要求防火墻需包含基于2-4層的數(shù)據(jù)包過濾、NAT、路由策略、安全審計、安全管理等方面的功能;在高等級的功能要求中,舊標(biāo)準(zhǔn)對防火墻提出了部分深層包過濾、防病毒、抗?jié)B透等要求,但該部分要求較為粗略,并非作為防火墻的核心功能。
《第二代防火墻安全技術(shù)標(biāo)準(zhǔn)》要求第二代防火墻除具備防火墻的基本功能外,還應(yīng)當(dāng)具備應(yīng)用流量識別、應(yīng)用層訪問控制、應(yīng)用層安全防護(hù)、用戶控制、深度內(nèi)容檢測、高性能等功能特征,以及較高的抗攻擊能力。
《第二代防火墻安全技術(shù)標(biāo)準(zhǔn)》還要求第二代防火墻要對防火墻功能和入侵防御能力進(jìn)行融合,整合Web攻擊防護(hù),具備內(nèi)容級的威脅檢測能力,且應(yīng)當(dāng)滿足支持Gbit級的串聯(lián)部署。
對比第二代防火墻的功能特征可以很明確地發(fā)現(xiàn),現(xiàn)行的防火墻標(biāo)準(zhǔn)并不適用于第二代防火墻。舊標(biāo)準(zhǔn)對諸如入侵防御、上網(wǎng)行為控制、基于用戶的控制、Web攻擊防護(hù)、信息泄露等功能均未提出明確的要求。
此外,第二代防火墻標(biāo)準(zhǔn)的制定參考并遵循了國內(nèi)主要的安全技術(shù)要求文件提出的技術(shù)框架和相關(guān)要求,適用于國內(nèi)政府、企業(yè)、金融、運(yùn)營商等各行業(yè)的信息安全建設(shè),包括等級保護(hù)建設(shè)、分級保護(hù)建設(shè)和行業(yè)安全建設(shè)。
專家說
公安部網(wǎng)絡(luò)安全保衛(wèi)局總工郭啟全:國家網(wǎng)絡(luò)安全頂層設(shè)計好之后,重要行業(yè)部門和信息安全企業(yè)都要肩負(fù)各自的責(zé)任,信息安全企業(yè)應(yīng)當(dāng)發(fā)揮創(chuàng)新精神不斷研發(fā)新的產(chǎn)品技術(shù),重要行業(yè)部門應(yīng)當(dāng)加大信息安全建設(shè)的投入,使得我國自主可靠的安全產(chǎn)品得到更多的應(yīng)用和推廣,構(gòu)建出我們國家真正的安全。
公安部第三研究所專家鄒春明:第二代防火墻標(biāo)準(zhǔn)參考了眾多的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),調(diào)研了國內(nèi)眾多行業(yè)用戶的網(wǎng)絡(luò)安全建設(shè)需求,并對標(biāo)準(zhǔn)進(jìn)行了6輪的討論和修改,它是一部能夠指導(dǎo)用戶進(jìn)行信息安全建設(shè)和等級保護(hù)建設(shè)的成熟標(biāo)準(zhǔn)。