作为网络部署中安全防护的第一道防线,防火墙的重要性不言而喻。最早的防火墙可以追溯到上世纪80年代末期,距今已有二十多年的历史——1989年包过滤防火墙诞生,随后又相继出现了代理防火墙,以及被广泛认知的基于状态检测技术的防火墙等,即使是2004年才开始出现的UTM(统一威胁管理)产品,也被视为是传统防火墙产品。然而随着Web 2.0时代的到来,传统防火墙(或称之为第一代防火墙)基于端口和IP的处理机制已经难以保证应用层的安全,为此,由Gartner于2009年所提出的下一代防火墙应运而生。
说起下一代防火墙,可是近两年网络安全领域最火热的“明星”,国内外的安全厂商纷纷推出了基于Gartner基本定义+自身“创新理念”的下一代防火墙产品。但考虑到我国网络安全环境具备的自身特点,Gartner的定义难以成为适应本土环境的下一代防火墙标准,为此,真正适用于我国国内用户需求的“第二代防火墙”标准于2014年问世,并于当年的9月1日开始正式实施。
我国第二代防火墙标准发布
而为了更好地推动国内各行业的信息安全建设,深入解读第二代防火墙标准。近日,由公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所指导,深信服科技、绿盟科技和网神主办的第二代防火墙标准发布会在京召开。
公安部网络安全保卫局总工郭启全
大会伊始,公安部网络安全保卫局总工郭启全做了重要讲话。郭总工指出,标准对于产品推出、产业发展的重要性不言而喻。特别是在近几年,国家已经将网络安全提升到战略高度,国家的《网络安全法》也正在制定之中;同时2015年还是国家网络安全的“十三五”规划之年,因此国家将高度重视网络安全产品的标准、网络安全产品的研发和应用,并将通过中央综合治理办公室下发文件对政府部门及地方政府的网络安全建设进行考核。
为了加速“十三五”期间的网络安全工作,郭总工还指出,需要全面推进国家网络安全顶层设计、关键基础设施保护、等级保护、通报预警、以及法律法规和标准体系等方面的工作。其中就国家网络安全顶层设计层面而言,公安部非常鼓励如深信服科技、绿盟科技和网神等国内优秀信息安全企业参与安全标准的研发和制定,并提出如第二代防火墙标准等创新的标准应当上升为国家标准。
当然,我国当前的网络安全工作还面临着一些突出的问题,比如我们的安全技术和产品仍“受制于人”等。对此,郭总工表示,解决这一突出问题,需要行业部门和信息安全企业肩负各自的责任,其中信息安全企业应当发挥创新精神,从安全策略、技术到产品,都要向世界领先水平看齐;同时重要行业部门应当加大信息安全建设的投入,使我国自主可靠的安全产品得到更多的应用,并及时反馈应用中发现的问题,以进一步完善产品和标准。
“揭秘”第二代防火墙标准
为何取名为“第二代防火墙”?对此,公安部第三研究所资深安全专家邹春明介绍到,首先“下一代”是一个相对概念;其次“下一代”还有“尚未到来”的潜在意思。因此,“标准”将其取名为“第二代防火墙”。
公安部的第三研究所资深安全专家邹春明
那么第二代防火墙能否取代传统安全产品呢?邹春明表示,传统防火墙的主要功能包括数据包过滤、NAT、IP/MAC地址绑定、策略路由、带宽管理、双机热备、负载均衡、协同联动、VPN、安全审计、安全管理、抗渗透等;其主要基于2-4层对数据包头进行访问控制的网络边界设备,这使其无法防护来自应用层的网络威胁,如恶意代码、僵尸网络等。与此同时,防火墙+入侵防御+防病毒网关+…的组合方案,不仅成本高、管理复杂,而且效率低下;而适用于中小企业的UTM(统一威胁管理)产品又有性能低下的缺点。
相比之下,第二代防火墙可部署于不同的安全域之间,除具备传统防火墙的基本访问控制功能之外,还具备应用层访问控制、用户控制、Web攻击防护、信息泄露防护、深度内容检测、高性能等特征。而值得一提的是,其实现了架构上一次解包完成全部检查,突破了性能瓶颈;再结合其高效、可视化、易管理等特性,取代传统安全产品已是大势所趋。
据邹春明介绍,2012年12月开始组建第二代防火墙标准编制组,由公安部检测中心牵头,联合深信服科技、绿盟科技、网神等国内优秀的网络厂商共同编制。该标准参考了众多的国家标准、行业标准,调研了国内众多行业用户的网络安全建设需求,历经17个月,并对标准进行了6轮讨论和修改,可以说,它是一部能够指导用户进行信息安全建设和等级保护建设的成熟标准。
