第二代防火墻的安全功能要求
目前,國內防火墻市場由于缺乏規范管理,用戶難以在眾多產品中挑選出滿足自身需求的下一代防火墻。為規范國內安全產品市場,中華人民共和國公安部于2014年7月24日正式出臺適用于國內網絡環境的《信息安全技術 第二代防火墻安全技術要求》,并將國際通用說法"下一代防火墻"正式更名為"第二代防火墻"。該標準對防火墻提出了新的安全防護要求,適用于國內各行業及等保建設,對我國未來的信息安全建設將產生重要影響。我們有幸采訪了編寫委員會的專家,了解到新標準對下一代防火墻提出的新功能要求。
安全功能要求:
1 應用協議訪問控制
第二代防火墻應能夠基于應用層協議分析識別各種應用協議并進行控制,應用協議識別庫不低于2000種,包括但不限于:
a) HTTP、FTP、TFLNET、SSH、SMTP、POP3等常見應用,如HTTP文件下載/內容提交,FTP上傳/下載等;
b) 即時消息、P2P應用、網絡流媒體、網絡游戲、股票軟件;
c) 動態開放端口的應用識別;
d) 采用隧道加密技術的應用,如翻墻軟件或加密代理等;
e) 自定義應用類型的識別。
2 應用內容訪問控制
第二代防火墻應能夠支持基于應用內容的訪問控制策略,具體技術要求如下:
a) 安全策略包含基于URL的訪問控制,并可針對網站類型進行分類過濾,如成人類,賭博類,娛樂類等;
b) 具備惡意網站過濾的功能,并支持自定義惡意網站;
c) 安全策略包含基于文件類型的訪問控制,并可基于文件類型進行下載過濾。包括HTTP、FTP、郵件附件等;
d) 能夠對進出網絡的信息內容進行過濾,實現對應用層HTTP、FTP、TELNET 、SMTP和POP3等協議命令級的控制。
3 用戶管控
第二代防火墻應具備內網用戶管理與識別的功能,應支持:
a) 基于用戶名/密碼的本地認證方式;
b) LDAP、Radius等第三方認證服務器對用戶身份進行鑒別;
c) 基于用戶/用戶組進行訪問控制。#p#
4 入侵防御
第二代防火墻應具備入侵防御功能,能夠檢測并抵御的攻擊類型包括但不限于:
a) 操作系統類、Web瀏覽器、ActiveX控件、Web服務器、文件類、FTP服務器、虛擬化平臺軟件等漏洞攻擊;
b) IP地址及端口掃描行為;
c) 網絡漏洞掃描行為;
d) 惡意軟件攻擊,如冰河、僵尸網絡等;
e) 能夠抵御通用服務的口令暴力破解,如FTP、TELNET、數據庫等口令破解。#p#
5 惡意代碼防護
第二代防火墻應具有惡意代碼檢測功能,具體技術要求如下:
a) 支持惡意代碼檢測,如蠕蟲病毒、后門木馬、間諜軟件等;
b) 支持檢測并攔截HTTP、FTP、電子郵件等協議所攜帶的惡意代碼。#p#
6 WEB攻擊防護
第二代防火墻應具備WEB攻擊防護的能力,支持:
a) SQL注入攻擊檢測與防護,并支持base64編碼的SQL注入攻擊檢測與防護;
b) XSS攻擊檢測與防護;
c) 對常見的Web服務器環境Web入侵的腳本攻擊工具(webshell)的攔截,包含ASPX、ASP、PHP、JSP等。#p#
7 信息泄露防護
第二代防火墻應具備對流出的信息流進行檢測,防止敏感信息泄露,應支持基于:
a) 關鍵詞對流出防火墻的數據流進行過濾,如http上傳、外發郵件主題及正文等;
b) 文件類型對流出防火墻的數據流進行過濾,如http上傳、ftp上傳、外發郵件的附件等。
——節選自GA/T1177—2014《信息安全技術 第二代防火墻安全技術要求》
