发新话题
打印

国内二代防火墙标准发布 引领安全大潮

国内二代防火墙标准发布 引领安全大潮

随着网络应用的爆炸式发展和业务与互联网发生紧密联系,主要工作在网络层和传输层的传统防火墙,已无法对应用层进行很好地安全管控。在此背景下,国际著名IT咨询机构Gartner于2009年提出“下一代防火墙”的概念,以应对当前与未来新一代的网络安全威胁。
下一代防火墙的普及将成为必然
经过5年的发展,下一代防火墙渐渐为人们所熟知,面向应用层控制、智能、高性能等特点使得下一代防火墙陆续被应用于网络中,守护用户的业务安全。Gartner在相关报告中指出,下一代防火墙未来必然会成为安全防护市场的领军产品,并认为2014年底将有超过60%的企业用户会重新采购下一代防火墙,它的普及将成为不可逆转的趋势。
国内缺少相关的适用标准
面对巨大的潜在市场,国内各大安全厂商纷纷推出自己的下一代防火墙产品。尽管Gartner对下一代防火墙进行了定义,但由于我国的网络安全环境具备自己的特点,目前国内尚且缺乏适用于本土环境的下一代防火墙标准。另外,各家厂商推出的下一代防火墙功能也不尽相同,有的厂家甚至向消费者宣称UTM、IPS也可以划归为下一代防火墙,这令消费者难以对产品进行甄别和选择,增加了采购难度。
第二代防火墙标准出台
公安部第三研究所是公安部直属科研单位,主要负责信息网络安全、社会公共安全防范技术等领域的相关研究,拥有国家反计算机入侵和防病毒研究中心、信息网络安全公安部重点实验室等国家级专业技术实验室,是国内权威的网络安全研究机构,同时也是《计算机信息系统安全专用产品销售许可证》的测试机构,防火墙产品通过该所的相关测试后,才允许在市场上进行出售。
为规范国内防火墙产品市场,同时响应习总书记提出的网络安全和信息化战略,在公安部科技信息化局的授权下,公安部第三研究所秉承着公平、公正、公开的原则,向社会广泛征集意见,并邀请了深信服、网御星云等4家国内优秀的安全厂商参与讨论,历时6个月,制定出了适用于国内网络环境的第二代防火墙标准,该标准已于2014 年7月24日正式发布,9月1日已开始实施。


解读第二代防火墙标准
此次的GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》(简称“新标准”)将国际通用说法“下一代防火墙”更名为“第二代防火墙”,用于与“防火墙”进行区分。标准从安全功能、安全保证、环境适应性和性能四个方面,对第二代防火墙提出了新的要求,应用层控制、Web攻击防护、信息泄漏防护、恶意代码防护和入侵防御是此次定义的第二代防火墙的几大功能看点。
(一)新增应用层控制功能
笔者从参与此次标准制定的专家处了解到,新标准依据安全功能强弱和安全保证要求将安全等级划分为基本级和增强级,保留了GB/T20281-2006《信息安全技术 防火墙技术要求和测试评价方法》(简称“旧标准”)中关于传统防火墙在网络层的控制要求,如包过滤、状态检测、NAT等功能,增加了基于应用层控制的功能要求,主要考察被测产品在应用层面对于细分应用类型和协议的识别控制能力,以及数据包深度内容检测方面的能力。
(二)入侵防御、恶意代码防护与国际接轨
经过和编写委员会的专家进行沟通,笔者得知在应用识别的基础上,新标准在应用层控制中加入了入侵防御和恶意代码防护功能,要求第二代防火墙能够检测并抵御操作系统类、文件类、服务器类等漏洞攻击,支持蠕虫病毒、后门木马等恶意代码的检测。这和Gartner提出的下一代防火墙所需具备的功能一致,标志着我国的第二代防火墙标准是与国际接轨的。
(三)Web攻击防护、信息泄露防护符合用户业务安全需求
在采访中,笔者还发现新标准对Web攻击防护、信息泄漏防护同样做出了要求,“第二代防火墙应具备WEB攻击防护的能力,支持SQL注入攻击检测与防护,支持XSS攻击检测与防护;第二代防火墙应具备对流出的信息流进行检测,防止敏感信息泄露”。
随着Web2.0时代的到来,用户的许多业务均为Web应用。近年来针对Web应用的安全事件层出不穷,黑客不再是为炫耀个人技能而进行互联网攻击,更是为窃取和破坏敏感信息获取灰色产业收益。标准对于Web攻击防护和信息泄露防护功能要求的添加,充分考虑了国内用户的业务安全需求和我国的网络安全形势。
标准发布对用户的指导性意义
编写委员会的专家还向我们透露,GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》是我国首部关于第二代防火墙的标准,由于其内容与国际接轨,并全面考虑了国内用户对第二代防火墙的安全防护需求,它能够为用户提供指导性的选购建议,帮助国内各行业用户选择满足自身业务安全需求的第二代防火墙,未来将有可能成为各行业的共同标准,这对于规范我国的网络安全防护无疑具有重大意义。

http://www.51cto.com/art/201410/454316.htm

TOP

第二代防火墙的安全功能要求

目前,国内防火墙市场由于缺乏规范管理,用户难以在众多产品中挑选出满足自身需求的下一代防火墙。为规范国内安全产品市场,中华人民共和国公安部于2014年7月24日正式出台适用于国内网络环境的《信息安全技术 第二代防火墙安全技术要求》,并将国际通用说法"下一代防火墙"正式更名为"第二代防火墙"。该标准对防火墙提出了新的安全防护要求,适用于国内各行业及等保建设,对我国未来的信息安全建设将产生重要影响。我们有幸采访了编写委员会的专家,了解到新标准对下一代防火墙提出的新功能要求。


安全功能要求:
1 应用协议访问控制
第二代防火墙应能够基于应用层协议分析识别各种应用协议并进行控制,应用协议识别库不低于2000种,包括但不限于:
a) HTTP、FTP、TFLNET、SSH、SMTP、POP3等常见应用,如HTTP文件下载/内容提交,FTP上传/下载等;
b) 即时消息、P2P应用、网络流媒体、网络游戏、股票软件;
c) 动态开放端口的应用识别;
d) 采用隧道加密技术的应用,如翻墙软件或加密代理等;
e) 自定义应用类型的识别。
2 应用内容访问控制
第二代防火墙应能够支持基于应用内容的访问控制策略,具体技术要求如下:
a) 安全策略包含基于URL的访问控制,并可针对网站类型进行分类过滤,如成人类,赌博类,娱乐类等;
b) 具备恶意网站过滤的功能,并支持自定义恶意网站;
c) 安全策略包含基于文件类型的访问控制,并可基于文件类型进行下载过滤。包括HTTP、FTP、邮件附件等;
d) 能够对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET 、SMTP和POP3等协议命令级的控制。
3 用户管控
第二代防火墙应具备内网用户管理与识别的功能,应支持:
a) 基于用户名/密码的本地认证方式;
b) LDAP、Radius等第三方认证服务器对用户身份进行鉴别;
c) 基于用户/用户组进行访问控制。
4 入侵防御


第二代防火墙应具备入侵防御功能,能够检测并抵御的攻击类型包括但不限于:
a) 操作系统类、Web浏览器、ActiveX控件、Web服务器、文件类、FTP服务器、虚拟化平台软件等漏洞攻击;
b) IP地址及端口扫描行为;
c) 网络漏洞扫描行为;
d) 恶意软件攻击,如冰河、僵尸网络等;
e) 能够抵御通用服务的口令暴力破解,如FTP、TELNET、数据库等口令破解。
5 恶意代码防护


第二代防火墙应具有恶意代码检测功能,具体技术要求如下:
a) 支持恶意代码检测,如蠕虫病毒、后门木马、间谍软件等;
b) 支持检测并拦截HTTP、FTP、电子邮件等协议所携带的恶意代码。
6 WEB攻击防护


第二代防火墙应具备WEB攻击防护的能力,支持:
a) SQL注入攻击检测与防护,并支持base64编码的SQL注入攻击检测与防护;
b) XSS攻击检测与防护;
c) 对常见的Web服务器环境Web入侵的脚本攻击工具(webshell)的拦截,包含ASPX、ASP、PHP、JSP等。
7 信息泄露防护


第二代防火墙应具备对流出的信息流进行检测,防止敏感信息泄露,应支持基于:
a) 关键词对流出防火墙的数据流进行过滤,如http上传、外发邮件主题及正文等;
b) 文件类型对流出防火墙的数据流进行过滤,如http上传、ftp上传、外发邮件的附件等。
——节选自GA/T1177—2014《信息安全技术 第二代防火墙安全技术要求》

TOP

发新话题