第二代防火墙标准编制说明

第二代防火墙标准编制背景

防火墙自诞生以来，在提高网络安全性方面发挥了非常重要的作用。作为边界网络安全的第一道关卡，防火墙经历了包过滤技术、代理技术和状态监视技术的技术变迁，通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略，有效地阻断了未被明确允许的包通过，保护了网络的安全。通过对进出防火墙的一切数据包进行检查，可保证合法人员能够进入网络访问相应的资源，同时防止非法人员通过非法手段进入网络或干扰网络的正常运行，防火墙技术在当时被堪称完美。然而，时代的变迁令防火墙的防御效果大打折扣，网络的高速发展、应用的不断增多，也令其失去了它不可替代的地位。

传统防火墙存在的问题

防火墙作为一款历史悠久的经典产品，在IP/端口的网络时代发挥了巨大的作用：合理地分隔了安全域、有效地阻止了外部的网络攻击。防火墙在设计时的针对性，在当时显然是网络安全的最佳选择。但在网络应用高速发展、网络规划复杂化的今天，防火墙的不适应性越发明显，从用户对网络安全建设的需求来看，传统防火墙存在以下问题：

1、应用安全防护问题

传统防火墙基于IP/端口进行工作，并无法对应用层进行识别和控制，无法对各类应用层威胁进行有效防御。因此，防火墙并不能检测或拦截嵌入到普通流量中的恶意攻击代码，如病毒、蠕虫、木马等。

2、安全管理问题

对于大型网络而言，为确保网络的安全，IT管理员常常需要配置大量的访问控制策略。而安全日志中存在海量的源地址、目的地址等信息，使得基于IP/端口的策略可读性非常差，导致经常发生错配、漏配的情况。由错配、漏配留下的安全隐患往往会给黑客提供可乘之机，因此传统防火墙一直存在管理困难的问题。

防火墙标准不再适用第二代防火墙

随着Web2.0时代的到来，用户的许多业务均以Web形式开展，传统防火墙已无法应对应用层威胁。尽管Gartner对下一代防火墙进行了定义，但由于我国的网络安全环境具备自身特点，目前国内尚且缺乏适用于本土环境的功能统一的下一代防火墙。另一方面，国内各家安全厂商推出的下一代防火墙功能各不相同，令用户难以对产品进行甄别和选择。为指导用户进行信息安全建设，并规范国内的防火墙产品市场，信息安全行业规范编制单位暨信息安全等级保护测评单位——公安部第三研究所在公安部科技信息化局的授权下，经过深入的社会调研，并通过向国内优秀安全厂商征集意见，历时17个月研究出适用于我国网络环境的下一代防火墙功能，且出台了下一代防火墙标准GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》(简称“标准”)，将国际通用说法“下一代防火墙”更名为“第二代防火墙”。标准指出第二代防火墙必须具备应用层控制、Web攻击防护、信息泄露防护、恶意代码防护和入侵防御等功能。

我国当前现有的防火墙标准GB/T 20281-2006《信息安全技术防火墙技术要求和测试评价方法》(简称“旧标准”)，主要从功能、性能、安全性及保证要求等方面对防火墙产品提出具体的要求，并根据功能的广度及深度、安全性强度、保证要求的深度几个方面对产品进行分级。

从功能而言，旧标准主要要求防火墙需包含基于2-4层的数据包过滤、NAT、路由策略、安全审计、安全管理等方面的功能;在高等级的功能要求中，旧标准对防火墙提出了部分深层包过滤、防病毒、抗渗透等要求，但该部分要求较为粗略，并非作为防火墙的核心功能。

对比第二代防火墙的功能特征可以很明确地发现，现行的防火墙标准(旧标准)并不适用于第二代防火墙。旧标准对诸如入侵防御、上网行为控制、基于用户的控制、Web攻击防护、信息泄露防护等功能均未提出明确的要求，

因此有必要为第二代防火墙制定相应的标准。#p#

第二代防火墙标准编制原则与依据

1)全局性、系统性原则

标准遵从等级保护体系的整体思路与方法，以《计算机信息系统安全保护等级划分准则》(GB 17859-1999)为指导、以《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2006)和《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)为基础和蓝本，根据第二代防火墙的技术特点和其在整个信息系统中的角色定位，建立第二代防火墙等级保护安全技术模型，并由此确立各等级的安全技术要求。

2)适用性原则

标准在清晰分析我国各行业信息系统中第二代防火墙的安全技术现状和实际需求的基础上，充分考虑了我国相关厂商的产业化能力，提出合适的安全技术指标体系与内容，使第二代防火墙厂商和第二代防火墙用户可直接根据标准实施相关操作、实现相关目标，令标准真正发挥出实效。

3)先进性原则

标准根据当前计算机安全技术与产业发展趋势，构建出第二代防火墙的安全功能框架，进而形成相应的安全功能技术要求与分等级安全技术要求。

公安部第三研究所编制《信息安全技术 第二代防火墙安全技术要求》期间，充分参考了我国多个现行的国家标准、行业标准，同时结合了我国的信息安全等级保护技术需求、计算机安全技术开发成果以及产业状况完成标准的撰写。

◆ 参考资料

1) GB/T 5271.8-2001信息技术 词汇 第8部分：安全

2) GB 17859-1999 计算机信息系统安全保护等级划分准则

3) GB/T 18336.1-2008 信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一般模型

4) GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求

5) GB/T 20281-2006 信息安全技术 防火墙技术要求和测试评价方法

6) GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求

7) 2011年-2013年送检公安部第三研究所的相关防火墙产品及其技术资料

8) 2009年-2013年互联网上发布的下一代防火墙相关资料

◆ 现状研究

1) 第二代防火墙的定义

2) 第二代防火墙主要实现技术及功能特点

3) 第二代防火墙与传统防火墙、UTM等设备的区别

4) 现行防火墙标准要求与第二代防火墙所要实现目标的差距

5) 国内外第二代防火墙的相关标准

6) 国内外第二代防火墙的产品现状#p#

第二代防火墙技术特点说明

第二代防火墙除具备防火墙的基本功能外，还应当具备应用流量识别、应用层访问控制、应用层安全防护、用户控制、深度内容检测、高性能等功能特征，以及较高的抗攻击能力。

基于应用层的控制策略

第二代防火墙不仅保留了旧标准中关于防火墙的访问控制能力，如包过滤、状态检测、NAT、路由功能以及带宽和会话管理等功能，还增加了基于应用层控制的功能要求。标准要求第二代防火墙可以识别应用层的协议，并进行访问控制策略的制定。

全面融合IPS功能

第二代防火墙对防火墙功能和入侵防御功能进行了融合，而不仅仅是简单的功能合并。从而可以有效地防御漏洞攻击、端口扫描、恶意软件攻击等新型的威胁攻击，全面提升第二代防火墙的攻击防护能力。

Web攻击防护的整合

Web攻击作为当今网络中的主流攻击之一，第二代防火墙应当能够对其进行检测和防护，实现整体安全防护的要求。第二代防火墙融合Web攻击防护功能，很好地体现了第二代防火墙标准的先进性原则。

内容级的威胁检测能力

为有效应对较为流行的信息泄露威胁，第二代防火墙应具备内容级的威胁检测能力。

支持Gbit级的串联部署

安全产品在对应用协议进行识别及防护时，不应过多地影响系统性能。为解决多产品部署所导致的性能下降问题，第二代防火墙应当满足支持万兆网络串联部署的要求。#p#

第二代防火墙技术要求一览

1) 网络层安全功能

主要针对2-4层实现的及一些传统防火墙所实现的功能。

◆ 包过滤

◆ 状态检测

◆ NAT

◆ IP/MAC绑定

◆ 策略路由

◆ 流量会话管理(包括带宽管理、流量统计、连接数控制、会话超时管理)

◆ 抗拒绝服务攻击

2) 应用层安全功能

第二代防火墙所具备的特有的安全功能。

◆ 应用协议访问控制

◆ 应用内容访问控制

◆ 用户识别

◆ 入侵防御

◆ 恶意代码防护

◆ Web攻击防护

◆ 信息泄露防护

3) 运维管理功能

主要包括管理、审计、自身安全等方面的功能要求。

◆ 运维管理

◆ 安全审计

◆ 报警

◆ 安全管理

◆ 高可靠性

◆ 升级

第二代防火墙标准的意义及适用性说明

第二代防火墙标准的发布旨在解决防火墙、入侵防御系统等传统网络安全产品在新安全威胁上防护不足的问题，标准规范了新的安全威胁防护功能，并要求其需体现先进性的特点。

第二代防火墙标准的发布，对于信息安全建设向融合的安全转型具有指导意义，同时有效减轻了部署多款安全产品给管理员所带来的管理负担，此外，还解决了网络中多产品部署造成的性能压力问题。

第二代防火墙标准的制定参考并遵循了国内主要的安全技术要求文件提出的技术框架和相关要求，适用于国内政府、企业、金融、运营商等各行业的信息安全建设，包括等级保护建设、分级保护建设和行业安全建设。