2014年7月24日，中華人民共和國公安部發布了GA/T1177-2014《信息安全技術第二代防火墻安全技術要求》，并將國際通用說法“下一代防火墻”正式更名為“第二代防火墻”，這是國內首部公共安全行業的下一代防火墻標準。信息安全行業規范編制單位——公安部第三研究所在公安部科技信息化局的授權下，通過對國內網絡安全現狀展開深入調查，公開征集社會各方意見，并邀請深信服等5家國內優秀安全廠商參與討論，制定出了適用于國內網絡環境的下一代防火墻標準。該標準得到了國家標準委員會專家、部委專家和行業專家等的一致認可，已于2014年9月1日開始實施。

為深入了解第二代防火墻標準內容，以及探究標準發布對公共安全行業的影響，記者采訪了編寫委員會專家李煥波先生，并走訪了多家行業用戶，從不同角度對第二代防火墻標準進行解讀，以便為讀者及時呈現標準對下一代防火墻提出的要求，并為組織單位采購下一代防火墻提供參考。

專訪編寫委員會專家李煥波

據標準起草人之一李煥波專家透露，第二代防火墻標準是我國于2006年發布GB/T20281-2006 《信息安全技術 防火墻技術要求和測試評價方法》(以下簡稱“舊標準”)后，第一部關于下一代防火墻的標準。由于標準內容的制定充分考慮了我國具體的網絡安全環境，所以用戶可以根據標準對下一代防火墻提出的功能要求進行產品選購，該標準未來將有可能上升為國家標準，指導我國的信息化安全建設。

標準出臺的背景

“盡管國際著名IT咨詢機構Gartner早在2009年就對下一代防火墻進行了定義，但隨著我國的網絡安全形勢變得日益嚴峻，Gartner定義的下一代防火墻產品在國內的網絡環境下并不能產生很好的防護效果，目前尚且缺乏適用于本土環境的下一代防火墻定義。另一方面，國內各大安全廠商的下一代防火墻功能各不相同，令用戶產生諸多困擾。為加強我國信息化安全建設，規范防火墻產品市場，公安部于2013年3月授權公安部直屬科研單位——公安第三研究所牽頭制定第二代防火墻標準。”李煥波告訴記者。

公安部第三研究所主要負責信息網絡安全、社會公共安全防范技術等領域的相關研究，是信息安全行業規范編制單位，也是信息安全產品認證檢測單位和信息安全等級保護測評單位。新標準的制定從2013年3月8日開始啟動，經過6輪行業用戶、國內權威安全廠商意見公開征集，2014年7月24日正式對外發布，前后歷時17個月。#p#

標準對下一代防火墻提出新的要求

通過對李煥波進行采訪，記者得知新標準保留了原有標準中關于傳統防火墻在網絡層的控制要求，增加了基于應用層控制的功能要求。此外，新標準主要依據安全功能強弱和安全保證要求對等級進行劃分，將安全等級分為基本級和增強級。而舊標準則主要根據功能強弱、安全強度和保證要求高低將安全等級劃分為三級。

李煥波說“Web攻擊防護、信息泄露防護、惡意代碼防護和入侵防御是第二代防火墻的主要功能看點，這是當今的網絡環境對防火墻提出的基本要求。另外，相比傳統防火墻，第二代防火墻對安全功能進行了融合。”他還告知了新標準對這四項功能提出的具體要求。

Web攻擊防護

第二代防火墻應具備WEB攻擊防護的能力，支持：

◆SQL注入攻擊檢測與防護，并支持base64編碼的SQL注入攻擊與防護;

◆XSS攻擊檢測與防護;

◆對常見的Web服務器環境Web入侵的腳本攻擊工具(webshell)的攔截，包含ASPX、ASP、PHP、JSP等。

信息泄露防護

第二代防火墻應具備對流出的信息流進行檢測，防止敏感信息泄露，應支持基于：

◆關鍵詞對流出防火墻的數據流進行過濾，如http上傳、外發郵件主題及正文等;

◆文件類型對流出防火墻的數據流進行過濾，如http上傳、ftp上傳、外發郵件的附件等。

惡意代碼防護

第二代防火墻應具有惡意代碼檢測功能，具體技術要求如下：

◆支持惡意代碼檢測，如蠕蟲病毒、后門木馬、間諜軟件等;

◆支持檢測并攔截HTTP、FTP、電子郵件等協議所攜帶的惡意代碼。

入侵防御

第二代防火墻應具備入侵防御功能，能夠檢測并抵御的攻擊類型包括但不限于：

◆操作系統類、Web瀏覽器、ActiveX控件、Web服務器、文件類、FTP服務器、虛擬化平臺軟件等漏洞攻擊;

◆IP地址及端口掃描行為;

◆網絡漏洞掃描行為;

◆惡意軟件攻擊，如冰河、僵尸網絡等;

◆能夠抵御通用服務的口令暴力破解，如FTP、TELNET、數據庫等口令破解。#p#

走訪行業用戶

第二代防火墻標準出臺后，記者走訪了政府、教育、企業等行業的多家用戶，并就用戶單位安全現狀、下一代防火墻使用情況、如何看待第二代防火墻標準出臺等問題與各組織單位進行了深入交流。

以下是部分行業用戶對第二代防火墻標準出臺的看法：

中華人民共和國文化部

國家政府機關對于信息安全建設都會有一些統一的要求，第二代防火墻標準的制定結合了國家相關的政策法規，這樣我們在落實政策時能夠更好地明確哪些產品符合我們的需求。下一代防火墻的標準需要與時俱進，這有利于規范網絡安全建設。

廣東省電化教育館

現有的防火墻標準(GB/T20281-2006《信息安全技術 防火墻技術要求和測試評價方法》)推行了8年，已經無法適用于當今的網絡環境?；ヂ摼W的快速發展和變化，對下一代防火墻提出了新的安全防護要求，可以說第二代防火墻標準的出臺順應了時代的發展，我們希望新標準能夠給我們提供產品選型的參考建議。

通過對用戶進行采訪，記者得知不少用戶已經開始使用下一代防火墻守護單位網絡的安全。2009年Gartner提出“下一代防火墻”的概念，經過5年的發展，下一代防火墻已漸漸被廣大用戶接受并使用。采訪過程中，不少用戶表示面向應用層進行安全防護、高性能、智能防護等特點使下一代防火墻能夠更好地滿足單位的網絡安全需求，但不同行業對下一代防火墻會有一些特殊的行業需求。“國家政府機關對信息安全建設會有一些統一的要求，我們希望下一代防火墻能夠針對電子政務內網、政務外網的網絡環境，開發更有針對性的數據防護、內網木馬病毒檢測和防范、網站防入侵等功能”文化部的IT負責人表示。

記者從李煥波專家處了解到，為制定適用于我國的下一代防火墻標準，公安部第三研究所對政府、教育、醫療、企業等行業進行了深入調查，了解不同行業對下一代防火墻的安全防護需求，通過公開征集社會各方意見，邀請國內權威廠商參與討論，用時17個月，終于在2014年7月24日發布了適合我國網絡環境的公共安全行業的下一代防火墻標準。

由于標準的內容貼合廣大用戶的安全防護需求，它能夠為用戶提供下一代防火墻的采購建議，幫助用戶選擇滿足自身業務安全需求的產品，未來將可能成為各行各業共同遵守的標準，這對于規范我國的信息化安全建設無疑具有重大意義。