目前,国内防火墙市场由于缺乏规范管理,用户难以在众多产品中挑选出满足自身需求的下一代防火墙。为规范国内安全产品市场,中华人民共和国公安部于2014年7月24日正式出台适用于国内网络环境的《信息安全技术 第二代防火墙安全技术要求》,并将国际通用说法"下一代防火墙"正式更名为"第二代防火墙"。该标准对防火墙提出了新的安全防护要求,适用于国内各行业及等保建设,对我国未来的信息安全建设将产生重要影响。我们有幸采访了编写委员会的专家,了解到新标准对下一代防火墙提出的新功能要求。
安全功能要求:
1 应用协议访问控制
第二代防火墙应能够基于应用层协议分析识别各种应用协议并进行控制,应用协议识别库不低于2000种,包括但不限于:
a) HTTP、FTP、TFLNET、SSH、SMTP、POP3等常见应用,如HTTP文件下载/内容提交,FTP上传/下载等;
b) 即时消息、P2P应用、网络流媒体、网络游戏、股票软件;
c) 动态开放端口的应用识别;
d) 采用隧道加密技术的应用,如翻墙软件或加密代理等;
e) 自定义应用类型的识别。
2 应用内容访问控制
第二代防火墙应能够支持基于应用内容的访问控制策略,具体技术要求如下:
a) 安全策略包含基于URL的访问控制,并可针对网站类型进行分类过滤,如成人类,赌博类,娱乐类等;
b) 具备恶意网站过滤的功能,并支持自定义恶意网站;
c) 安全策略包含基于文件类型的访问控制,并可基于文件类型进行下载过滤。包括HTTP、FTP、邮件附件等;
d) 能够对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET 、SMTP和POP3等协议命令级的控制。
3 用户管控
第二代防火墙应具备内网用户管理与识别的功能,应支持:
a) 基于用户名/密码的本地认证方式;
b) LDAP、Radius等第三方认证服务器对用户身份进行鉴别;
c) 基于用户/用户组进行访问控制。#p#
4 入侵防御
第二代防火墙应具备入侵防御功能,能够检测并抵御的攻击类型包括但不限于:
a) 操作系统类、Web浏览器、ActiveX控件、Web服务器、文件类、FTP服务器、虚拟化平台软件等漏洞攻击;
b) IP地址及端口扫描行为;
c) 网络漏洞扫描行为;
d) 恶意软件攻击,如冰河、僵尸网络等;
e) 能够抵御通用服务的口令暴力破解,如FTP、TELNET、数据库等口令破解。#p#
5 恶意代码防护
第二代防火墙应具有恶意代码检测功能,具体技术要求如下:
a) 支持恶意代码检测,如蠕虫病毒、后门木马、间谍软件等;
b) 支持检测并拦截HTTP、FTP、电子邮件等协议所携带的恶意代码。#p#
6 WEB攻击防护
第二代防火墙应具备WEB攻击防护的能力,支持:
a) SQL注入攻击检测与防护,并支持base64编码的SQL注入攻击检测与防护;
b) XSS攻击检测与防护;
c) 对常见的Web服务器环境Web入侵的脚本攻击工具(webshell)的拦截,包含ASPX、ASP、PHP、JSP等。#p#
7 信息泄露防护
第二代防火墙应具备对流出的信息流进行检测,防止敏感信息泄露,应支持基于:
a) 关键词对流出防火墙的数据流进行过滤,如http上传、外发邮件主题及正文等;
b) 文件类型对流出防火墙的数据流进行过滤,如http上传、ftp上传、外发邮件的附件等。
——节选自GA/T1177—2014《信息安全技术 第二代防火墙安全技术要求》
