專家解讀第二代防火墻三大特征

第二代防火墻標準，適用于國內政府、企業(yè)、金融、運營商等各行業(yè)的信息安全建設，包括等級保護建設、分級保護建設和行業(yè)安全建設。

其發(fā)布對于信息安全建設向融合的安全轉型具有指導意義，同時有效減輕了部署多款安全產品給管理員帶來的管理負擔。此外，還解決了網絡中多產品部署造成的性能壓力問題。

但是，當前廣大用戶需要在魚龍混雜的安全產品市場中選擇出真正符合標準要求和滿足自身需求的第二代防火墻，這并不容易。

對此，綠盟科技、深信服和網神三家廠商的資深安全專家圍繞第二代防火墻的三大特性（融合的安全、深度內容檢測和混合包性能），針對用戶的網絡安全需求進行了詳細解析。

綠盟科技：融合的安全

作為第二代防火墻標準主要起草單位之一，綠盟科技安全專家王猛表示，通過木桶原理可以看出，安全防護的強弱是由最薄弱的那個環(huán)節(jié)決定。

UTM產品對安全功能進行了一次“融合”，但依然存在一些短板，除了安全防護性能比較低，且針對信息泄露防護達不到安全要求。而第二代防火墻的出現(xiàn)，是對UTM產品的安全短板進行了延長，對安全進行了全面的融合。

與第一代防火墻測評標準相比，第二代防火墻標準在網絡層控制上，針對策略路由、帶寬管理、流量統(tǒng)計方面進行了增強；新增連接數(shù)控制、會話管理。

兩代標準區(qū)別點之一是新增了應用層控制，分為應用協(xié)議與內容控制、用戶管控、入侵防御、惡意代碼防護、Web攻擊防護、信息泄露防護。

在安全運維管理方面，新標準使用安全性更高的SNMP V3協(xié)議；對規(guī)則進行檢查，并且根據(jù)安全風險等級自動生成推薦策略；對系統(tǒng)的運行狀態(tài)異常進行報警；要求主備墻的切換時間不可超過5秒，并且能夠支持主模式。

深信服：深度內容檢測

深信服網絡安全專家介紹，當前ICT業(yè)務已經發(fā)生變化：網絡應用多樣化、物理邊界模糊化、安全威脅復雜化。如此一來，傳統(tǒng)防火墻L3~4層的解析已無法抵御安全威脅。為有效應對較為流行的信息泄露威脅，第二代防火墻要求具備內容級的威脅檢測能力。

新標準定義了“深度內容檢測”概念：對應用協(xié)議深入解析，識別出協(xié)議中的各種要素及協(xié)議所承載的業(yè)務內容，并對這些數(shù)據(jù)進行快速解析，以還原其原始通信信息。根據(jù)解析后的原始信息，檢測其中是否包含威脅以及敏感內容。

據(jù)悉，2011年深信服科技推出國內首款下一代防火墻NGAF(即第二代防火墻)，產品面世后銷量獲得了快速增長，深信服在該領域的實力得到認可。2013年3月，深信服受到中華人民共和國公安部的邀請，以主要起草單位的身份參與制定我國第二代防火墻標準。

網神：提升混合包性能

網神安全專家王剛談到，防火墻的選擇需要客戶從業(yè)務功能和安全功能需求、當前與未來的網絡環(huán)境發(fā)展、攻與防的價值三個維度加以考量。

第二代防火墻需要實現(xiàn)數(shù)據(jù)的單路徑匹配，數(shù)據(jù)包僅需一次解碼即可滿足各項應用層防護模塊的需要，有助于設備性能的大幅提升，讓所有安全功能模塊能夠真正開啟并發(fā)揮作用。

同時，第二代防火墻要實現(xiàn)多安全模塊的融合，對數(shù)據(jù)檢測過程中產生的信息能夠充分關聯(lián)，用戶無需進行人工發(fā)掘和分析即可全面掌握威脅全貌。

因此，第二代防火墻在應用層吞吐、網絡層吞吐、延遲、最大新建連接數(shù)、最大并發(fā)連接數(shù)等參數(shù)方面都提出了性能要求。如在應用層吞吐方面，第二代防火墻在不阻斷正常連接的情況下，應達到的單向應用層吞吐量指標：千兆產品應不小于900Mbit/ s；萬兆第二代及萬兆以上防火墻應用層吞吐量應不小于8Gbit/s。