近年来，随着我国互联网产业的不断发展，信息安全技术已经成为一个备受关注的热点。从新一届中央政府领导成立中央网络安全和信息化领导小组，并由国家主席习近平亲自担任组长一职，就可看出当前互联网安全的严峻形势和国家对互联网信息安全建设的重视程度。许多用户也开始检视自身的安全建设，并陆续采购最近几年较为流行的下一代防火墙进行安全防护。但由于目前的下一代防火墙市场缺乏相关的规范和管理，各家安全厂商推出的下一代防火墙功能各不相同，令消费者难以在众多品牌中购买到适合自身需求的产品。 因此，在信息安全备受高度关注但相关安全产品市场还相对混乱的背景下，公安部顺应时势于2014年7月24日推出了《信息安全技术 第二代防火墙安全技术要求》，用于整顿安全产品市场。为此我们走访了编写委员会的专家，了解国内首部关于下一代防火墙的标准究竟对防火墙提出了哪些新的防护要求。

　　小修改大作用——解读第二代防火墙的不同之处

　　据标准起草人李焕波专家透露：“GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》(以下简称“新标准”)主要依据安全功能强弱和安全保证要求对等级进行划分，将安全等级分为基本级和增强级。而GB/T20281-2006 《信息安全技术 防火墙技术要求和测试评价方法》(以下简称“旧标准”)主要根据功能强弱、安全强度和保证要求高低将安全等级划分为三级。”

　　在安全功能方面，新标准较之旧标准也存在着较大的差异。新标准保留了原有标准中关于传统防火墙在网络层的控制要求，如包过滤、状态检测、NAT、路由功能以及带宽和会话管理等功能，并对旧的分级要求做了一定的整合。

　　此外，新标准增加了基于应用层控制的功能要求，主要考察被测产品在应用层面对于细分应用类型和协议的识别控制能力，以及数据包深度内容检测方面的能力。我们都知道当前的互联网应用丰富多样，即时通讯软件、社交应用、P2P流媒体、P2P下载、语音视频软件等层出不穷，常用知名端口也不再像以往那般承载单一的应用，如何从混杂的数据流量中将各种不同类型的应用一层一层地进行剥离识别，这是第二代防火墙区别于传统防火墙的根本。

　　第二代防火墙已与国际接轨 承担终端安全保护责任

　　在采访中，通过和编写委员会的专家们进行深入沟通，记者了解到在应用识别的基础之上，新标准在应用层控制功能要求当中还加入了入侵防御和恶意代码防护功能。这点和国际著名IT咨询机构Gartner在2009年发布的下一代防火墙标准的定义是一致的，标志着我国第二代防火墙标准已与国际接轨。

　　李焕波在采访中表示：入侵防御做为一类安全产品已经在市场上存在很多年了，但随着互联网的发展、应用的丰富和带宽的不断提升，传统入侵防护产品受限于其功能的单一、应用性能处理能力的不足，将会增加用户网络的单点故障以及投资成本，所以该产品渐渐以模块化的形式融合到下一代防火墙产品当中，也是顺应了互联网的发展趋势。

　　我们发现，新标准增加的恶意代码防护功能要求，强调了第二代防火墙的对由终端恶意程序所形成的僵尸网络的检测和防护能力。面对木马后门、蠕虫病毒，广告间谍软件等伴随着互联网高速发展而滋生的一大批恶意软件，黑客往往利用终端用户这一短板作为跳板进行可持续性的攻击，因此防火墙作为互联网出口建设的重要一环，需要承担起保护终端安全的责任。

　　面对日趋严重的Web攻击防护 第二代防火墙全面应对

　　互联网的发展也代表了Web技术的发展，从Web1.0到Web2.0，从B2C再到现在流行的O2O，Web技术和我们的生活息息相关。以Web应用为突破口的安全事件层出不穷，黑客们不再仅仅是为了炫耀个人技能而进行互联网破坏行为，更是为窃取和破坏敏感信息获得灰色产业收益。Web应用作为互联网时代的一个重要交互窗口，自然也容易成为众矢之的。

　　记者在采访中惊喜地发现，此次发布的新标准对Web攻击防护、信息泄漏防护方面的内容做出了功能要求。我们知道，在OWASP所发布的互联网安全威胁TOP10当中，首当其冲的就是以SQL注入和XSS攻击为代表的来自Web应用层的攻击和敏感信息泄漏威胁。虽然目前的市场上存在着Web应用防火墙产品，但我们认为安全防护应该是整体的、至下而上的，能够从L2链路层覆盖到L7应用层，而不是割裂式的安全设备叠加，叠加部署将使设备在攻击检测的一致性和联动性方面大打折扣。

　　经过编写委员会专家们的共同努力，GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》已于2014年7月24日正式发布，9月1日开始实施。标准的制定是在公安部科技信息化局的授权下，由负责编制行业信息安全规范的公安第三研究所牵头，向广大用户公开征集意见，并邀请深信服在内的5家国内优秀的安全厂商参与讨论完成的，共历时17个月。我们看到新标准中涵盖的关于Web攻击防护和信息泄漏防护的要求，这些功能要求的增加充分适应了我国的互联网发展环境，能够满足用户的实际需求。

　　再次对编写委员会的专家们为此付出的努力表示深深的敬意，我们坚信，从用户实际需求出发的第二代防火墙标准未来并将成为行业的共同标准，推动我国的信息化安全建设向更好的方向发展。

　　以下是编写委员会专家成员的名单：邹春明、俞优、宋好好、陆臻、顾健、李焕波、王帆、王刚、段继平、冯涛、黄涛。