第二代防火墙的标准是规范我国新型防火墙的重要参考指标,在科技信息局的授权下,该标准由公安部第三研究所经过长期的的社会调研,并向国内优秀安全厂商征集意见,历时一年半时间,制定出的适用于我国网络环境的第二代防火墙标准。
该标准让第二代防火墙得以名正言顺,防止那些所谓的下一代防火墙,利用噱头大肆宣扬,从而进行炒作。标准化的条例,是安全产品在市场上生存和发展的有效保障。虽然在行业内,第二代防火墙早已被很多人熟知,但是仍有很多用户对于第二代防火墙能否取代传统安全产品、能否真正防御新的安全威胁以及能否适用于等级保护建设存在疑惑。
防火墙标准迫切需要改善
第二代防火墙标准推出的一个重要原因是原有标准——《信息安全技术 防火墙技术要求和测试评价方法》,对于其发布后6~8年时间内出现的新的安全威胁,并没有给出明确的定义,用户按照旧标准进行安全建设并不能很好地满足其安全防护需求。
在2月4日举行的第二代防火墙标准发布会上,公安部第三研究所专家邹春明表示,基于2~4层进行安全防护的传统防火墙,并无法有效防护来自应用层的网络威胁;而集成了防火墙、入侵防御和杀毒软件的UTM,在开启多个应用层处理功能后,性能急剧下降,无法满足用户的业务需求。
为此,国外如Palo Alto、梭子鱼、CheckPoint、Fortinet、F5、Cisco等,国内如网域科技、绿盟、网神、山石等厂商,纷纷投入第二代防火墙的研究并推出相关产品。
“目前,各个安全厂商都推出了自己的下一代防火墙产品,但是没有统一的标准。因此,需要一个统一的标准,为各个厂商起到指导作用。”邹春明指出,第二代防火墙产品处于快速发展阶段,有必要尽快制定相应的行业标准,以规范第二代防火墙产品在我国的发展。在此背景下,第二代防火墙及其标准应运而生。
业内普遍认为,第二代防火墙定义是部署于不同的安全域之间,除具备传统防火墙的基本访问控制功能之外,还具备应用层访问控制、用户控制、深度内容检测、高性能等特征的防火墙。
第二代防火墙的主要特点是实现架构上应一次解包完成全部检查,功能上应具备传统防火墙的各项能力、完全集成IPS、网络行为的识别与控制、用户及用户组的控制、能添加外部智能模块,另外具有高性能。
第二代防火墙新标准已经成熟
从2012年开始,公安部第三研究所为制定出更符合我国行业用户网络安全需求的下一代防火墙标准,邀请了包括各大国内一流安全厂商参与标准的讨论,结合网络安全环境和用户的业务安全需求,制定出“第二代防火墙”必须具备应用控制、Web攻击防护、信息泄露防护和入侵防御等功能。
邹春明指出,第二代防火墙标准参考了众多的国家标准、行业标准,调研了国内众多行业用户的网络安全建设需求,并对标准进行了6轮讨论和修改,它是一部能够指导用户进行信息安全建设和等级保护建设的成熟标准。
该标准对第二代防火墙的性能要求主要针对应用层处理性能方面。而传统防火墙主要是3-4层的性能要求。在分级方面,根据安全功能强弱和安全保证要求高低分为基本级和增强级,而环境适应性要求和性能要求不作为等级划分依据。
从国家网络安全顶层设计层面而言,公安部非常鼓励国内优秀信息安全企业参与安全标准的研发和制定,应当将第二代防火墙标准等创新的标准上升为国家标准。”对该标准,郭启全总工表示,国家重要行业部门应当积极响应号召,将标准应用到实际的网络安全建设中去。