专家解读第二代防火墙三大特征

专家解读第二代防火墙三大特征

第二代防火墙标准，适用于国内政府、企业、金融、运营商等各行业的信息安全建设，包括等级保护建设、分级保护建设和行业安全建设。

其发布对于信息安全建设向融合的安全转型具有指导意义，同时有效减轻了部署多款安全产品给管理员带来的管理负担。此外，还解决了网络中多产品部署造成的性能压力问题。

但是，当前广大用户需要在鱼龙混杂的安全产品市场中选择出真正符合标准要求和满足自身需求的第二代防火墙，这并不容易。

对此，绿盟科技、深信服和网神三家厂商的资深安全专家围绕第二代防火墙的三大特性（融合的安全、深度内容检测和混合包性能），针对用户的网络安全需求进行了详细解析。

绿盟科技：融合的安全

作为第二代防火墙标准主要起草单位之一，绿盟科技安全专家王猛表示，通过木桶原理可以看出，安全防护的强弱是由最薄弱的那个环节决定。

UTM产品对安全功能进行了一次“融合”，但依然存在一些短板，除了安全防护性能比较低，且针对信息泄露防护达不到安全要求。而第二代防火墙的出现，是对UTM产品的安全短板进行了延长，对安全进行了全面的融合。

与第一代防火墙测评标准相比，第二代防火墙标准在网络层控制上，针对策略路由、带宽管理、流量统计方面进行了增强；新增连接数控制、会话管理。

两代标准区别点之一是新增了应用层控制，分为应用协议与内容控制、用户管控、入侵防御、恶意代码防护、Web攻击防护、信息泄露防护。

在安全运维管理方面，新标准使用安全性更高的SNMP V3协议；对规则进行检查，并且根据安全风险等级自动生成推荐策略；对系统的运行状态异常进行报警；要求主备墙的切换时间不可超过5秒，并且能够支持主模式。

深信服：深度内容检测

深信服网络安全专家介绍，当前ICT业务已经发生变化：网络应用多样化、物理边界模糊化、安全威胁复杂化。如此一来，传统防火墙L3~4层的解析已无法抵御安全威胁。为有效应对较为流行的信息泄露威胁，第二代防火墙要求具备内容级的威胁检测能力。

新标准定义了“深度内容检测”概念：对应用协议深入解析，识别出协议中的各种要素及协议所承载的业务内容，并对这些数据进行快速解析，以还原其原始通信信息。根据解析后的原始信息，检测其中是否包含威胁以及敏感内容。

据悉，2011年深信服科技推出国内首款下一代防火墙NGAF(即第二代防火墙)，产品面世后销量获得了快速增长，深信服在该领域的实力得到认可。2013年3月，深信服受到中华人民共和国公安部的邀请，以主要起草单位的身份参与制定我国第二代防火墙标准。

网神：提升混合包性能

网神安全专家王刚谈到，防火墙的选择需要客户从业务功能和安全功能需求、当前与未来的网络环境发展、攻与防的价值三个维度加以考量。

第二代防火墙需要实现数据的单路径匹配，数据包仅需一次解码即可满足各项应用层防护模块的需要，有助于设备性能的大幅提升，让所有安全功能模块能够真正开启并发挥作用。

同时，第二代防火墙要实现多安全模块的融合，对数据检测过程中产生的信息能够充分关联，用户无需进行人工发掘和分析即可全面掌握威胁全貌。

因此，第二代防火墙在应用层吞吐、网络层吞吐、延迟、最大新建连接数、最大并发连接数等参数方面都提出了性能要求。如在应用层吞吐方面，第二代防火墙在不阻断正常连接的情况下，应达到的单向应用层吞吐量指标：千兆产品应不小于900Mbit/ s；万兆第二代及万兆以上防火墙应用层吞吐量应不小于8Gbit/s。