專家解讀第二代防火墻三大特征

第二代防火墻標(biāo)準(zhǔn)，適用于國(guó)內(nèi)政府、企業(yè)、金融、運(yùn)營(yíng)商等各行業(yè)的信息安全建設(shè)，包括等級(jí)保護(hù)建設(shè)、分級(jí)保護(hù)建設(shè)和行業(yè)安全建設(shè)。

其發(fā)布對(duì)于信息安全建設(shè)向融合的安全轉(zhuǎn)型具有指導(dǎo)意義，同時(shí)有效減輕了部署多款安全產(chǎn)品給管理員帶來(lái)的管理負(fù)擔(dān)。此外，還解決了網(wǎng)絡(luò)中多產(chǎn)品部署造成的性能壓力問(wèn)題。

但是，當(dāng)前廣大用戶需要在魚(yú)龍混雜的安全產(chǎn)品市場(chǎng)中選擇出真正符合標(biāo)準(zhǔn)要求和滿足自身需求的第二代防火墻，這并不容易。

對(duì)此，綠盟科技、深信服和網(wǎng)神三家廠商的資深安全專家圍繞第二代防火墻的三大特性（融合的安全、深度內(nèi)容檢測(cè)和混合包性能），針對(duì)用戶的網(wǎng)絡(luò)安全需求進(jìn)行了詳細(xì)解析。

綠盟科技：融合的安全

作為第二代防火墻標(biāo)準(zhǔn)主要起草單位之一，綠盟科技安全專家王猛表示，通過(guò)木桶原理可以看出，安全防護(hù)的強(qiáng)弱是由最薄弱的那個(gè)環(huán)節(jié)決定。

UTM產(chǎn)品對(duì)安全功能進(jìn)行了一次“融合”，但依然存在一些短板，除了安全防護(hù)性能比較低，且針對(duì)信息泄露防護(hù)達(dá)不到安全要求。而第二代防火墻的出現(xiàn)，是對(duì)UTM產(chǎn)品的安全短板進(jìn)行了延長(zhǎng)，對(duì)安全進(jìn)行了全面的融合。

與第一代防火墻測(cè)評(píng)標(biāo)準(zhǔn)相比，第二代防火墻標(biāo)準(zhǔn)在網(wǎng)絡(luò)層控制上，針對(duì)策略路由、帶寬管理、流量統(tǒng)計(jì)方面進(jìn)行了增強(qiáng)；新增連接數(shù)控制、會(huì)話管理。

兩代標(biāo)準(zhǔn)區(qū)別點(diǎn)之一是新增了應(yīng)用層控制，分為應(yīng)用協(xié)議與內(nèi)容控制、用戶管控、入侵防御、惡意代碼防護(hù)、Web攻擊防護(hù)、信息泄露防護(hù)。

在安全運(yùn)維管理方面，新標(biāo)準(zhǔn)使用安全性更高的SNMP V3協(xié)議；對(duì)規(guī)則進(jìn)行檢查，并且根據(jù)安全風(fēng)險(xiǎn)等級(jí)自動(dòng)生成推薦策略；對(duì)系統(tǒng)的運(yùn)行狀態(tài)異常進(jìn)行報(bào)警；要求主備墻的切換時(shí)間不可超過(guò)5秒，并且能夠支持主模式。

深信服：深度內(nèi)容檢測(cè)

深信服網(wǎng)絡(luò)安全專家介紹，當(dāng)前ICT業(yè)務(wù)已經(jīng)發(fā)生變化：網(wǎng)絡(luò)應(yīng)用多樣化、物理邊界模糊化、安全威脅復(fù)雜化。如此一來(lái)，傳統(tǒng)防火墻L3~4層的解析已無(wú)法抵御安全威脅。為有效應(yīng)對(duì)較為流行的信息泄露威脅，第二代防火墻要求具備內(nèi)容級(jí)的威脅檢測(cè)能力。

新標(biāo)準(zhǔn)定義了“深度內(nèi)容檢測(cè)”概念：對(duì)應(yīng)用協(xié)議深入解析，識(shí)別出協(xié)議中的各種要素及協(xié)議所承載的業(yè)務(wù)內(nèi)容，并對(duì)這些數(shù)據(jù)進(jìn)行快速解析，以還原其原始通信信息。根據(jù)解析后的原始信息，檢測(cè)其中是否包含威脅以及敏感內(nèi)容。

據(jù)悉，2011年深信服科技推出國(guó)內(nèi)首款下一代防火墻NGAF(即第二代防火墻)，產(chǎn)品面世后銷量獲得了快速增長(zhǎng)，深信服在該領(lǐng)域的實(shí)力得到認(rèn)可。2013年3月，深信服受到中華人民共和國(guó)公安部的邀請(qǐng)，以主要起草單位的身份參與制定我國(guó)第二代防火墻標(biāo)準(zhǔn)。

網(wǎng)神：提升混合包性能

網(wǎng)神安全專家王剛談到，防火墻的選擇需要客戶從業(yè)務(wù)功能和安全功能需求、當(dāng)前與未來(lái)的網(wǎng)絡(luò)環(huán)境發(fā)展、攻與防的價(jià)值三個(gè)維度加以考量。

第二代防火墻需要實(shí)現(xiàn)數(shù)據(jù)的單路徑匹配，數(shù)據(jù)包僅需一次解碼即可滿足各項(xiàng)應(yīng)用層防護(hù)模塊的需要，有助于設(shè)備性能的大幅提升，讓所有安全功能模塊能夠真正開(kāi)啟并發(fā)揮作用。

同時(shí)，第二代防火墻要實(shí)現(xiàn)多安全模塊的融合，對(duì)數(shù)據(jù)檢測(cè)過(guò)程中產(chǎn)生的信息能夠充分關(guān)聯(lián)，用戶無(wú)需進(jìn)行人工發(fā)掘和分析即可全面掌握威脅全貌。

因此，第二代防火墻在應(yīng)用層吞吐、網(wǎng)絡(luò)層吞吐、延遲、最大新建連接數(shù)、最大并發(fā)連接數(shù)等參數(shù)方面都提出了性能要求。如在應(yīng)用層吞吐方面，第二代防火墻在不阻斷正常連接的情況下，應(yīng)達(dá)到的單向應(yīng)用層吞吐量指標(biāo)：千兆產(chǎn)品應(yīng)不小于900Mbit/ s；萬(wàn)兆第二代及萬(wàn)兆以上防火墻應(yīng)用層吞吐量應(yīng)不小于8Gbit/s。