标准对下一代防火墙提出新的要求

　　通过对李焕波进行采访，记者得知新标准保留了原有标准中关于传统防火墙在网络层的控制要求，增加了基于应用层控制的功能要求。此外，新标准主要依据安全功能强弱和安全保证要求对等级进行划分，将安全等级分为基本级和增强级。而旧标准则主要根据功能强弱、安全强度和保证要求高低将安全等级划分为三级。

　　李焕波说“Web攻击防护、信息泄露防护、恶意代码防护和入侵防御是第二代防火墙的主要功能看点，这是当今的网络环境对防火墙提出的基本要求。另外，相比传统防火墙，第二代防火墙对安全功能进行了融合。”他还告知了新标准对这四项功能提出的具体要求。

　　Web攻击防护

　　第二代防火墙应具备WEB攻击防护的能力，支持：

　　l SQL注入攻击检测与防护，并支持base64编码的SQL注入攻击与防护;

　　l XSS攻击检测与防护;

　　l 对常见的Web服务器环境Web入侵的脚本攻击工具(webshell)的拦截，包含ASPX、ASP、PHP、JSP等。

　　信息泄露防护

　　第二代防火墙应具备对流出的信息流进行检测，防止敏感信息泄露，应支持基于：

　　l 关键词对流出防火墙的数据流进行过滤，如http上传、外发邮件主题及正文等;

　　l 文件类型对流出防火墙的数据流进行过滤，如http上传、ftp上传、外发邮件的附件等。

　　恶意代码防护

　　第二代防火墙应具有恶意代码检测功能，具体技术要求如下：

　　l 支持恶意代码检测，如蠕虫病毒、后门木马、间谍软件等;

　　l 支持检测并拦截HTTP、FTP、电子邮件等协议所携带的恶意代码。

　　入侵防御

　　第二代防火墙应具备入侵防御功能，能够检测并抵御的攻击类型包括但不限于：

　　l 操作系统类、Web浏览器、ActiveX控件、Web服务器、文件类、FTP服务器、虚拟化平台软件等漏洞攻击;

　　l IP地址及端口扫描行为;

　　l 网络漏洞扫描行为;

　　l 恶意软件攻击，如冰河、僵尸网络等;

　　l 能够抵御通用服务的口令暴力破解，如FTP、TELNET、数据库等口令破解。

　　走访行业用户

　　第二代防火墙标准出台后，记者走访了政府、教育、企业等行业的多家用户，并就用户单位安全现状、下一代防火墙使用情况、如何看待第二代防火墙标准出台等问题与各组织单位进行了深入交流。

　　以下是部分行业用户对第二代防火墙标准出台的看法：

　　中华人民共和国文化部

　　国家政府机关对于信息安全建设都会有一些统一的要求，第二代防火墙标准的制定结合了国家相关的政策法规，这样我们在落实政策时能够更好地明确哪些产品符合我们的需求。下一代防火墙的标准需要与时俱进，这有利于规范网络安全建设。

　　广东省电化教育馆

　　现有的防火墙标准(GB/T20281-2006《信息安全技术 防火墙技术要求和测试评价方法》)推行了8年，已经无法适用于当今的网络环境。互联网的快速发展和变化，对下一代防火墙提出了新的安全防护要求，可以说第二代防火墙标准的出台顺应了时代的发展，我们希望新标准能够给我们提供产品选型的参考建议。

　　通过对用户进行采访，记者得知不少用户已经开始使用下一代防火墙守护单位网络的安全。2009年Gartner提出“下一代防火墙”的概念，经过5年的发展，下一代防火墙已渐渐被广大用户接受并使用。采访过程中，不少用户表示面向应用层进行安全防护、高性能、智能防护等特点使下一代防火墙能够更好地满足单位的网络安全需求，但不同行业对下一代防火墙会有一些特殊的行业需求。“国家政府机关对信息安全建设会有一些统一的要求，我们希望下一代防火墙能够针对电子政务内网、政务外网的网络环境，开发更有针对性的数据防护、内网木马病毒检测和防范、网站防入侵等功能”文化部的IT负责人表示。

　　记者从李焕波专家处了解到，为制定适用于我国的下一代防火墙标准，公安部第三研究所对政府、教育、医疗、企业等行业进行了深入调查，了解不同行业对下一代防火墙的安全防护需求，通过公开征集社会各方意见，邀请国内权威厂商参与讨论，用时17个月，终于在2014年7月24日发布了适合我国网络环境的公共安全行业的下一代防火墙标准。

　　由于标准的内容贴合广大用户的安全防护需求，它能够为用户提供下一代防火墙的采购建议，帮助用户选择满足自身业务安全需求的产品，未来将可能成为各行各业共同遵守的标准，这对于规范我国的信息化安全建设无疑具有重大意义。