第二代防火墻標準編制說明
第二代防火墻標準編制背景
防火墻自誕生以來,在提高網(wǎng)絡安全性方面發(fā)揮了非常重要的作用。作為邊界網(wǎng)絡安全的第一道關(guān)卡,防火墻經(jīng)歷了包過濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)的技術(shù)變遷,通過ACL訪問控制策略、NAT地址轉(zhuǎn)換策略以及抗網(wǎng)絡攻擊策略,有效地阻斷了未被明確允許的包通過,保護了網(wǎng)絡的安全。通過對進出防火墻的一切數(shù)據(jù)包進行檢查,可保證合法人員能夠進入網(wǎng)絡訪問相應的資源,同時防止非法人員通過非法手段進入網(wǎng)絡或干擾網(wǎng)絡的正常運行,防火墻技術(shù)在當時被堪稱完美。然而,時代的變遷令防火墻的防御效果大打折扣,網(wǎng)絡的高速發(fā)展、應用的不斷增多,也令其失去了它不可替代的地位。
傳統(tǒng)防火墻存在的問題
防火墻作為一款歷史悠久的經(jīng)典產(chǎn)品,在IP/端口的網(wǎng)絡時代發(fā)揮了巨大的作用:合理地分隔了安全域、有效地阻止了外部的網(wǎng)絡攻擊。防火墻在設計時的針對性,在當時顯然是網(wǎng)絡安全的最佳選擇。但在網(wǎng)絡應用高速發(fā)展、網(wǎng)絡規(guī)劃復雜化的今天,防火墻的不適應性越發(fā)明顯,從用戶對網(wǎng)絡安全建設的需求來看,傳統(tǒng)防火墻存在以下問題:
1、應用安全防護問題
傳統(tǒng)防火墻基于IP/端口進行工作,并無法對應用層進行識別和控制,無法對各類應用層威脅進行有效防御。因此,防火墻并不能檢測或攔截嵌入到普通流量中的惡意攻擊代碼,如病毒、蠕蟲、木馬等。
2、安全管理問題
對于大型網(wǎng)絡而言,為確保網(wǎng)絡的安全,IT管理員常常需要配置大量的訪問控制策略。而安全日志中存在海量的源地址、目的地址等信息,使得基于IP/端口的策略可讀性非常差,導致經(jīng)常發(fā)生錯配、漏配的情況。由錯配、漏配留下的安全隱患往往會給黑客提供可乘之機,因此傳統(tǒng)防火墻一直存在管理困難的問題。
防火墻標準不再適用第二代防火墻
隨著Web2.0時代的到來,用戶的許多業(yè)務均以Web形式開展,傳統(tǒng)防火墻已無法應對應用層威脅。盡管Gartner對下一代防火墻進行了定義,但由于我國的網(wǎng)絡安全環(huán)境具備自身特點,目前國內(nèi)尚且缺乏適用于本土環(huán)境的功能統(tǒng)一的下一代防火墻。另一方面,國內(nèi)各家安全廠商推出的下一代防火墻功能各不相同,令用戶難以對產(chǎn)品進行甄別和選擇。為指導用戶進行信息安全建設,并規(guī)范國內(nèi)的防火墻產(chǎn)品市場,信息安全行業(yè)規(guī)范編制單位暨信息安全等級保護測評單位——公安部第三研究所在公安部科技信息化局的授權(quán)下,經(jīng)過深入的社會調(diào)研,并通過向國內(nèi)優(yōu)秀安全廠商征集意見,歷時17個月研究出適用于我國網(wǎng)絡環(huán)境的下一代防火墻功能,且出臺了下一代防火墻標準GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》(簡稱“標準”),將國際通用說法“下一代防火墻”更名為“第二代防火墻”。標準指出第二代防火墻必須具備應用層控制、Web攻擊防護、信息泄露防護、惡意代碼防護和入侵防御等功能。
我國當前現(xiàn)有的防火墻標準GB/T 20281-2006《信息安全技術(shù)防火墻技術(shù)要求和測試評價方法》(簡稱“舊標準”),主要從功能、性能、安全性及保證要求等方面對防火墻產(chǎn)品提出具體的要求,并根據(jù)功能的廣度及深度、安全性強度、保證要求的深度幾個方面對產(chǎn)品進行分級。
從功能而言,舊標準主要要求防火墻需包含基于2-4層的數(shù)據(jù)包過濾、NAT、路由策略、安全審計、安全管理等方面的功能;在高等級的功能要求中,舊標準對防火墻提出了部分深層包過濾、防病毒、抗?jié)B透等要求,但該部分要求較為粗略,并非作為防火墻的核心功能。
對比第二代防火墻的功能特征可以很明確地發(fā)現(xiàn),現(xiàn)行的防火墻標準(舊標準)并不適用于第二代防火墻。舊標準對諸如入侵防御、上網(wǎng)行為控制、基于用戶的控制、Web攻擊防護、信息泄露防護等功能均未提出明確的要求,
因此有必要為第二代防火墻制定相應的標準。#p#
第二代防火墻標準編制原則與依據(jù)
1)全局性、系統(tǒng)性原則
標準遵從等級保護體系的整體思路與方法,以《計算機信息系統(tǒng)安全保護等級劃分準則》(GB 17859-1999)為指導、以《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T 20271-2006)和《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)為基礎和藍本,根據(jù)第二代防火墻的技術(shù)特點和其在整個信息系統(tǒng)中的角色定位,建立第二代防火墻等級保護安全技術(shù)模型,并由此確立各等級的安全技術(shù)要求。
2)適用性原則
標準在清晰分析我國各行業(yè)信息系統(tǒng)中第二代防火墻的安全技術(shù)現(xiàn)狀和實際需求的基礎上,充分考慮了我國相關(guān)廠商的產(chǎn)業(yè)化能力,提出合適的安全技術(shù)指標體系與內(nèi)容,使第二代防火墻廠商和第二代防火墻用戶可直接根據(jù)標準實施相關(guān)操作、實現(xiàn)相關(guān)目標,令標準真正發(fā)揮出實效。
3)先進性原則
標準根據(jù)當前計算機安全技術(shù)與產(chǎn)業(yè)發(fā)展趨勢,構(gòu)建出第二代防火墻的安全功能框架,進而形成相應的安全功能技術(shù)要求與分等級安全技術(shù)要求。
公安部第三研究所編制《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》期間,充分參考了我國多個現(xiàn)行的國家標準、行業(yè)標準,同時結(jié)合了我國的信息安全等級保護技術(shù)需求、計算機安全技術(shù)開發(fā)成果以及產(chǎn)業(yè)狀況完成標準的撰寫。
◆ 參考資料
1) GB/T 5271.8-2001信息技術(shù) 詞匯 第8部分:安全
2) GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則
3) GB/T 18336.1-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則 第1部分:簡介和一般模型
4) GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求
5) GB/T 20281-2006 信息安全技術(shù) 防火墻技術(shù)要求和測試評價方法
6) GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求
7) 2011年-2013年送檢公安部第三研究所的相關(guān)防火墻產(chǎn)品及其技術(shù)資料
8) 2009年-2013年互聯(lián)網(wǎng)上發(fā)布的下一代防火墻相關(guān)資料
◆ 現(xiàn)狀研究
1) 第二代防火墻的定義
2) 第二代防火墻主要實現(xiàn)技術(shù)及功能特點
3) 第二代防火墻與傳統(tǒng)防火墻、UTM等設備的區(qū)別
4) 現(xiàn)行防火墻標準要求與第二代防火墻所要實現(xiàn)目標的差距
5) 國內(nèi)外第二代防火墻的相關(guān)標準
6) 國內(nèi)外第二代防火墻的產(chǎn)品現(xiàn)狀#p#
第二代防火墻技術(shù)特點說明
第二代防火墻除具備防火墻的基本功能外,還應當具備應用流量識別、應用層訪問控制、應用層安全防護、用戶控制、深度內(nèi)容檢測、高性能等功能特征,以及較高的抗攻擊能力。
基于應用層的控制策略
第二代防火墻不僅保留了舊標準中關(guān)于防火墻的訪問控制能力,如包過濾、狀態(tài)檢測、NAT、路由功能以及帶寬和會話管理等功能,還增加了基于應用層控制的功能要求。標準要求第二代防火墻可以識別應用層的協(xié)議,并進行訪問控制策略的制定。
全面融合IPS功能
第二代防火墻對防火墻功能和入侵防御功能進行了融合,而不僅僅是簡單的功能合并。從而可以有效地防御漏洞攻擊、端口掃描、惡意軟件攻擊等新型的威脅攻擊,全面提升第二代防火墻的攻擊防護能力。
Web攻擊防護的整合
Web攻擊作為當今網(wǎng)絡中的主流攻擊之一,第二代防火墻應當能夠?qū)ζ溥M行檢測和防護,實現(xiàn)整體安全防護的要求。第二代防火墻融合Web攻擊防護功能,很好地體現(xiàn)了第二代防火墻標準的先進性原則。
內(nèi)容級的威脅檢測能力
為有效應對較為流行的信息泄露威脅,第二代防火墻應具備內(nèi)容級的威脅檢測能力。
支持Gbit級的串聯(lián)部署
安全產(chǎn)品在對應用協(xié)議進行識別及防護時,不應過多地影響系統(tǒng)性能。為解決多產(chǎn)品部署所導致的性能下降問題,第二代防火墻應當滿足支持萬兆網(wǎng)絡串聯(lián)部署的要求。#p#
第二代防火墻技術(shù)要求一覽
1) 網(wǎng)絡層安全功能
主要針對2-4層實現(xiàn)的及一些傳統(tǒng)防火墻所實現(xiàn)的功能。
◆ 包過濾
◆ 狀態(tài)檢測
◆ NAT
◆ IP/MAC綁定
◆ 策略路由
◆ 流量會話管理(包括帶寬管理、流量統(tǒng)計、連接數(shù)控制、會話超時管理)
◆ 抗拒絕服務攻擊
2) 應用層安全功能
第二代防火墻所具備的特有的安全功能。
◆ 應用協(xié)議訪問控制
◆ 應用內(nèi)容訪問控制
◆ 用戶識別
◆ 入侵防御
◆ 惡意代碼防護
◆ Web攻擊防護
◆ 信息泄露防護
3) 運維管理功能
主要包括管理、審計、自身安全等方面的功能要求。
◆ 運維管理
◆ 安全審計
◆ 報警
◆ 安全管理
◆ 高可靠性
◆ 升級
第二代防火墻標準的意義及適用性說明
第二代防火墻標準的發(fā)布旨在解決防火墻、入侵防御系統(tǒng)等傳統(tǒng)網(wǎng)絡安全產(chǎn)品在新安全威脅上防護不足的問題,標準規(guī)范了新的安全威脅防護功能,并要求其需體現(xiàn)先進性的特點。
第二代防火墻標準的發(fā)布,對于信息安全建設向融合的安全轉(zhuǎn)型具有指導意義,同時有效減輕了部署多款安全產(chǎn)品給管理員所帶來的管理負擔,此外,還解決了網(wǎng)絡中多產(chǎn)品部署造成的性能壓力問題。
第二代防火墻標準的制定參考并遵循了國內(nèi)主要的安全技術(shù)要求文件提出的技術(shù)框架和相關(guān)要求,適用于國內(nèi)政府、企業(yè)、金融、運營商等各行業(yè)的信息安全建設,包括等級保護建設、分級保護建設和行業(yè)安全建設。
