随着网络应用的爆炸式发展和业务与互联网发生紧密联系,主要工作在网络层和传输层的传统防火墙,已无法对应用层进行很好地安全管控。在此背景下,国际著名IT咨询机构Gartner于2009年提出“下一代防火墙[注]”的概念,以应对当前与未来新一代的网络安全威胁。
下一代防火墙的普及将成为必然
经过5年的发展,下一代防火墙渐渐为人们所熟知,面向应用层控制、智能、高性能等特点使得下一代防火墙陆续被应用于网络中,守护用户的业务安全。Gartner在相关报告中指出,下一代防火墙未来必然会成为安全防护市场的领军产品,并认为2014年底将有超过60%的企业用户会重新采购下一代防火墙,它的普及将成为不可逆转的趋势。
国内缺少相关的适用标准
面对巨大的潜在市场,国内各大安全厂商纷纷推出自己的下一代防火墙产品。尽管Gartner对下一代防火墙进行了定义,但由于我国的网络安全环境具备自己的特点,目前国内尚且缺乏适用于本土环境的下一代防火墙标准。另外,各家厂商推出的下一代防火墙功能也不尽相同,有的厂家甚至向消费者宣称UTM、IPS也可以划归为下一代防火墙,这令消费者难以对产品进行甄别和选择,增加了采购难度。
第二代防火墙标准出台
公安部第三研究所是公安部直属科研单位,主要负责信息网络安全、社会公共安全防范技术等领域的相关研究,拥有国家反计算机入侵和防病毒研究中心、信息网络安全公安部重点实验室等国家级专业技术实验室,是国内权威的网络安全研究机构,同时也是《计算机信息系统安全专用产品销售许可证》的测试机构,防火墙产品通过该所的相关测试后,才允许在市场上进行出售。
为规范国内防火墙产品市场,同时响应习总书记提出的网络安全和信息化战略,在公安部科技信息化局的授权下,公安部第三研究所秉承着公平、公正、公开的原则,向社会广泛征集意见,并邀请了深信服、网御星云等4家国内优秀的安全厂商参与讨论,历时6个月,制定出了适用于国内网络环境的第二代防火墙标准,该标准已于2014 年7月24日正式发布,9月1日已开始实施。
解读第二代防火墙标准
此次的GA/T1177-2014《信息安全技术第二代防火墙安全技术要求》(简称“新标准”)将国际通用说法“下一代防火墙”更名为“第二代防火墙”,用于与“防火墙”进行区分。标准从安全功能、安全保证、环境适应性和性能四个方面,对第二代防火墙提出了新的要求,应用层控制、Web攻击防护、信息泄漏防护、恶意代码防护和入侵防御是此次定义的第二代防火墙的几大功能看点。
(一)新增应用层控制功能
笔者从参与此次标准制定的专家处了解到,新标准依据安全功能强弱和安全保证要求将安全等级划分为基本级和增强级,保留了GB/T20281-2006《信息安全技术防火墙技术要求和测试评价方法》(简称“旧标准”)中关于传统防火墙在网络层的控制要求,如包过滤、状态检测、NAT等功能,增加了基于应用层控制的功能要求,主要考察被测产品在应用层面对于细分应用类型和协议的识别控制能力,以及数据包深度内容检测方面的能力。
(二)入侵防御、恶意代码防护与国际接轨
经过和编写委员会的专家进行沟通(+本站微信networkworldweixin),笔者得知在应用识别的基础上,新标准在应用层控制中加入了入侵防御和恶意代码防护功能,要求第二代防火墙能够检测并抵御操作系统类、文件类、服务器类等漏洞攻击,支持蠕虫病毒、后门木马等恶意代码的检测。这和Gartner提出的下一代防火墙所需具备的功能一致,标志着我国的第二代防火墙标准是与国际接轨的。
(三)Web攻击防护、信息泄露防护符合用户业务安全需求
在采访中,笔者还发现新标准对Web攻击防护、信息泄漏防护同样做出了要求,“第二代防火墙应具备WEB攻击防护的能力,支持SQL注入攻击检测与防护,支持XSS攻击检测与防护;第二代防火墙应具备对流出的信息流进行检测,防止敏感信息泄露”。
随着Web2.0时代的到来,用户的许多业务均为Web应用。近年来针对Web应用的安全事件层出不穷,黑客不再是为炫耀个人技能而进行互联网攻击,更是为窃取和破坏敏感信息获取灰色产业收益。标准对于Web攻击防护和信息泄露防护功能要求的添加,充分考虑了国内用户的业务安全需求和我国的网络安全形势。
标准发布对用户的指导性意义
编写委员会的专家还向我们透露,GA/T1177-2014《信息安全技术第二代防火墙安全技术要求》是我国首部关于第二代防火墙的标准,由于其内容与国际接轨,并全面考虑了国内用户对第二代防火墙的安全防护需求,它能够为用户提供指导性的选购建议,帮助国内各行业用户选择满足自身业务安全需求的第二代防火墙,未来将有可能成为各行业的共同标准,这对于规范我国的网络安全防护无疑具有重大意义。