隨著網絡應用的爆炸式發(fā)展和業(yè)務與互聯(lián)網發(fā)生緊密聯(lián)系�����,主要工作在網絡層和傳輸層的傳統(tǒng)防火墻����,已無法對應用層進行很好地安全管控。在此背景下����,國際著名IT咨詢機構Gartner于2009年提出“下一代防火墻”的概念,以應對當前與未來新一代的網絡安全威脅。
下一代防火墻的普及將成為必然
經過5年的發(fā)展�����,下一代防火墻漸漸為人們所熟知�,面向應用層控制、智能��、高性能等特點使得下一代防火墻陸續(xù)被應用于網絡中�,守護用戶的業(yè)務安全。Gartner在相關報告中指出���,下一代防火墻未來必然會成為安全防護市場的領軍產品����,并認為2014年底將有超過60%的企業(yè)用戶會重新采購下一代防火墻���,它的普及將成為不可逆轉的趨勢���。
國內缺少相關的適用標準
面對巨大的潛在市場,國內各大安全廠商紛紛推出自己的下一代防火墻產品���。盡管Gartner對下一代防火墻進行了定義����,但由于我國的網絡安全環(huán)境具備自己的特點,目前國內尚且缺乏適用于本土環(huán)境的下一代防火墻標準�����。另外����,各家廠商推出的下一代防火墻功能也不盡相同,有的廠家甚至向消費者宣稱UTM����、IPS也可以劃歸為下一代防火墻,這令消費者難以對產品進行甄別和選擇�����,增加了采購難度���。
第二代防火墻標準出臺
公安部第三研究所是公安部直屬科研單位,主要負責信息網絡安全���、社會公共安全防范技術等領域的相關研究����,擁有國家反計算機入侵和防病毒研究中心、信息網絡安全公安部重點實驗室等國家級專業(yè)技術實驗室���,是國內權威的網絡安全研究機構����,同時也是《計算機信息系統(tǒng)安全專用產品銷售許可證》的測試機構�,防火墻產品通過該所的相關測試后,才允許在市場上進行出售�。
為規(guī)范國內防火墻產品市場,同時響應習總書記提出的網絡安全和信息化戰(zhàn)略�����,在公安部科技信息化局的授權下�,公安部第三研究所秉承著公平、公正�����、公開的原則���,向社會廣泛征集意見�����,并邀請了深信服����、網御星云等4家國內優(yōu)秀的安全廠商參與討論,歷時6個月��,制定出了適用于國內網絡環(huán)境的第二代防火墻標準�,該標準已于2014 年7月24日正式發(fā)布,9月1日已開始實施����。
解讀第二代防火墻標準
此次的GA/T1177-2014《信息安全技術 第二代防火墻安全技術要求》(簡稱“新標準”)將國際通用說法“下一代防火墻”更名為“第二代防火墻”,用于與“防火墻”進行區(qū)分����。標準從安全功能、安全保證����、環(huán)境適應性和性能四個方面����,對第二代防火墻提出了新的要求��,應用層控制�、Web攻擊防護�����、信息泄漏防護����、惡意代碼防護和入侵防御是此次定義的第二代防火墻的幾大功能看點。
(一)新增應用層控制功能
筆者從參與此次標準制定的專家處了解到�����,新標準依據安全功能強弱和安全保證要求將安全等級劃分為基本級和增強級�,保留了GB/T20281-2006《信息安全技術 防火墻技術要求和測試評價方法》(簡稱“舊標準”)中關于傳統(tǒng)防火墻在網絡層的控制要求,如包過濾��、狀態(tài)檢測��、NAT等功能�,增加了基于應用層控制的功能要求,主要考察被測產品在應用層面對于細分應用類型和協(xié)議的識別控制能力�,以及數(shù)據包深度內容檢測方面的能力。
(二)入侵防御��、惡意代碼防護與國際接軌
經過和編寫委員會的專家進行溝通,筆者得知在應用識別的基礎上�,新標準在應用層控制中加入了入侵防御和惡意代碼防護功能,要求第二代防火墻能夠檢測并抵御操作系統(tǒng)類����、文件類、服務器類等漏洞攻擊�,支持蠕蟲病毒、后門木馬等惡意代碼的檢測����。這和Gartner提出的下一代防火墻所需具備的功能一致,標志著我國的第二代防火墻標準是與國際接軌的���。
(三)Web攻擊防護�����、信息泄露防護符合用戶業(yè)務安全需求
在采訪中��,筆者還發(fā)現(xiàn)新標準對Web攻擊防護�����、信息泄漏防護同樣做出了要求��,“第二代防火墻應具備WEB攻擊防護的能力���,支持SQL注入攻擊檢測與防護,支持XSS攻擊檢測與防護;第二代防火墻應具備對流出的信息流進行檢測�,防止敏感信息泄露”。
隨著Web2.0時代的到來�,用戶的許多業(yè)務均為Web應用。近年來針對Web應用的安全事件層出不窮�,黑客不再是為炫耀個人技能而進行互聯(lián)網攻擊,更是為竊取和破壞敏感信息獲取灰色產業(yè)收益����。標準對于Web攻擊防護和信息泄露防護功能要求的添加,充分考慮了國內用戶的業(yè)務安全需求和我國的網絡安全形勢�����。
標準發(fā)布對用戶的指導性意義
編寫委員會的專家還向我們透露��,GA/T1177-2014《信息安全技術 第二代防火墻安全技術要求》是我國首部關于第二代防火墻的標準����,由于其內容與國際接軌,并全面考慮了國內用戶對第二代防火墻的安全防護需求,它能夠為用戶提供指導性的選購建議���,幫助國內各行業(yè)用戶選擇滿足自身業(yè)務安全需求的第二代防火墻��,未來將有可能成為各行業(yè)的共同標準���,這對于規(guī)范我國的網絡安全防護無疑具有重大意義。
