1我国第二代防火墙标准发布
作为网络部署中安全防护的第一道防线,防火墙的重要性不言而喻。最早的防火墙可以追溯到上世纪80年代末期,距今已有二十多年的历史——1989年包过滤防火墙诞生,随后又相继出现了代理防火墙,以及被广泛认知的基于状态检测技术的防火墙等,即使是2004年才开始出现的UTM(统一威胁管理)产品,也被视为是传统防火墙产品。然而随着Web 2.0时代的到来,传统防火墙(或称之为第一代防火墙)基于端口和IP的处理机制已经难以保证应用层的安全,为此,由Gartner于2009年所提出的下一代防火墙应运而生。
说起下一代防火墙,可是近两年网络安全领域最火热的“明星”,国内外的安全厂商纷纷推出了基于Gartner基本定义+自身“创新理念”的下一代防火墙产品。但考虑到我国网络安全环境具备的自身特点,Gartner的定义难以成为适应本土环境的下一代防火墙标准,为此,真正适用于我国国内用户需求的“第二代防火墙”标准于2014年问世,并于当年的9月1日开始正式实施。
我国第二代防火墙标准发布
而为了更好地推动国内各行业的信息安全建设,深入解读第二代防火墙标准。近日,由公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所指导,深信服科技、绿盟科技和网神主办的第二代防火墙标准发布会在京召开。
公安部网络安全保卫局总工郭启全
大会伊始,公安部网络安全保卫局总工郭启全做了重要讲话。郭总工指出,标准对于产品推出、产业发展的重要性不言而喻。特别是在近几年,国家已经将网络安全提升到战略高度,国家的《网络安全法》也正在制定之中;同时2015年还是国家网络安全的“十三五”规划之年,因此国家将高度重视网络安全产品的标准、网络安全产品的研发和应用,并将通过中央综合治理办公室下发文件对政府部门及地方政府的网络安全建设进行考核。
为了加速“十三五”期间的网络安全工作,郭总工还指出,需要全面推进国家网络安全顶层设计、关键基础设施保护、等级保护、通报预警、以及法律法规和标准体系等方面的工作。其中就国家网络安全顶层设计层面而言,公安部非常鼓励如深信服科技、绿盟科技和网神等国内优秀信息安全企业参与安全标准的研发和制定,并提出如第二代防火墙标准等创新的标准应当上升为国家标准。
当然,我国当前的网络安全工作还面临着一些突出的问题,比如我们的安全技术和产品仍“受制于人”等。对此,郭总工表示,解决这一突出问题,需要行业部门和信息安全企业肩负各自的责任,其中信息安全企业应当发挥创新精神,从安全策略、技术到产品,都要向世界领先水平看齐;同时重要行业部门应当加大信息安全建设的投入,使我国自主可靠的安全产品得到更多的应用,并及时反馈应用中发现的问题,以进一步完善产品和标准。
“揭秘”第二代防火墙标准
为何取名为“第二代防火墙”?对此,公安部第三研究所资深安全专家邹春明介绍到,首先“下一代”是一个相对概念;其次“下一代”还有“尚未到来”的潜在意思。因此,“标准”将其取名为“第二代防火墙”。
公安部的第三研究所资深安全专家邹春明
那么第二代防火墙能否取代传统安全产品呢?邹春明表示,传统防火墙的主要功能包括数据包过滤、NAT、IP/MAC地址绑定、策略路由、带宽管理、双机热备、负载均衡、协同联动、VPN、安全审计、安全管理、抗渗透等;其主要基于2-4层对数据包头进行访问控制的网络边界设备,这使其无法防护来自应用层的网络威胁,如恶意代码、僵尸网络等。与此同时,防火墙+入侵防御+防病毒网关+…的组合方案,不仅成本高、管理复杂,而且效率低下;而适用于中小企业的UTM(统一威胁管理)产品又有性能低下的缺点。
相比之下,第二代防火墙可部署于不同的安全域之间,除具备传统防火墙的基本访问控制功能之外,还具备应用层访问控制、用户控制、Web攻击防护、信息泄露防护、深度内容检测、高性能等特征。而值得一提的是,其实现了架构上一次解包完成全部检查,突破了性能瓶颈;再结合其高效、可视化、易管理等特性,取代传统安全产品已是大势所趋。
据邹春明介绍,2012年12月开始组建第二代防火墙标准编制组,由公安部检测中心牵头,联合深信服科技、绿盟科技、网神等国内优秀的网络厂商共同编制。该标准参考了众多的国家标准、行业标准,调研了国内众多行业用户的网络安全建设需求,历经17个月,并对标准进行了6轮讨论和修改,可以说,它是一部能够指导用户进行信息安全建设和等级保护建设的成熟标准。
2“解读”第二代防火墙标准
“解读”第二代防火墙标准
在了解了第二代防火墙标准的成长历程之后,来自深信服科技、绿盟科技和网神三家主办单位的资深安全专家围绕第二代防火墙融合的安全、深度内容检测和混合包性能三大特性进行了详细解读。其中,来自绿盟的专家解读了第二代防火墙是如何保护应用层安全,以及其与第一代防火墙测评标准的区别,同时重点介绍了第二代防火墙功能与等级保护的对应关系。
第二代防火墙功能与等级保护的对应关系
随后,深信服科技安全产品部总监王帆带来了关于第二代防火墙深度内容检测的解读。他谈到,随着网络应用多样化、物理边界模糊化、以及安全威胁复杂化,传统的L3-4层的解析已经无法抵御应用层的威胁,为此,第二代防火墙标准中专门定义了深度内容检测。
第二代防火墙标准中专门定义了深度内容检测
王帆指出,深度内容检测DCI技术的应用价值包括,提升应用识别的精确度、提升威胁检测的精确度、以及检测正常协议交互中的非法内容。而据了解,深度内容检测技术,正是深信服下一代防火墙(NGAF)的优势核心技术,其区别于传统DPI技术的特征检测,可现实应用协议中各要素的解析;并可还原原始信息,以检测威胁及合规性;此外,NGAF还具备双向内容检测技术,可检测服务器外发流量是否满足业务合规性与逻辑性。
标准中关于第二代防火墙的性能要求
最后,来自网神的安全专家解读了标准中关于第二代防火墙性能的要求,包括网络层、应用层吞吐性能,以及延迟、新建会话数、并发会话数等要求。而这一切,都对一体化引擎的性能及背后的支撑技术提出了更高的要求。据了解,深信服NGAF凭借单次解析架构,以及多核并行处理技术,真正提升了应用层的处理能力,再结合先进的扫描技术,真正满足了应用层万兆处理要求。
