2014年7月24日,中华人民共和国公安部发布了我国第二代防火墙标准ga/t1177-2014《信息安全技术 第二代防火墙安全技术要求》,并将国际通用说法“下一代防火墙”正式更名为“第二代防火墙”,这是我国首部公共安全行业的第二代防火墙标准,主要用于指导国内各行业进行等保建设和信息安全建设。
下一代防火墙的普及将成为必然
为应对当前与未来新一代的网络安全威胁,国际著名it咨询机构gartner于2009年提出“下一代防火墙”的概念。经过5年的发展,下一代防火墙渐渐为人们所熟知,面向应用层控制、智能、高性能等特点使得下一代防火墙陆续被应用于网络中,守护用户的业务安全。gartner在相关报告中指出,下一代防火墙未来必然会成为安全防护市场的领军产品,并认为2014年底将有超过60%的企业用户会重新采购下一代防火墙,它的普及将成为不可逆转的趋势。
国内缺少相关的适用标准
面对巨大的潜在市场,国内各大安全厂商纷纷推出自己的下一代防火墙产品。尽管gartner对下一代防火墙进行了定义,但由于我国的网络安全环境具备自己的特点,目前国内尚且缺乏适用于本土环境的下一代防火墙标准。另外,各家厂商推出的下一代防火墙功能也不尽相同,有的厂家甚至向消费者宣称utm、ips也可以划归为下一代防火墙,这令消费者难以对产品进行甄别和选择,增加了采购难度。
第二代防火墙标准出台
为规范国内防火墙产品市场,同时响应习总书记提出的网络安全和信息化战略,公安部授权其直属科研单位公安部第三研究所制定第二代防火墙标准(即下一代防火墙标准)。公安部第三研究所是国内权威的网络安全研究机构,负责我国信息安全行业规范编制和信息安全等级保护测评工作,拥有国家反计算机入侵和防病毒研究中心、信息网络安全公安部重点实验室等国家级专业技术实验室。
为更好地指导我国行业用户采购第二代防火墙,公安部第三研究所深入调查各组织单位的网络安全状况和网络安全防护需求,并邀请了深信服在内的国内一流安全厂商参与标准的讨论,历时17个月终于出台适用于国内网络环境的第二代防火墙标准,该标准得到了国家标准委员会专家、部委专家、行业专家们的共同认可。
2014年7月24日,第二代防火墙标准ga/t1177-2014《信息安全技术 第二代防火墙安全技术要求》正式发布,标准将国际通用说法“下一代防火墙”更名为“第二代防火墙”,并指出:第二代防火墙需要对应用进行识别和控制,并具备web攻击防护、信息泄露防护、入侵检测和恶意代码防护等功能。
第二代防火墙标准的出台,主要用于指导国内用户采购第二代防火墙,帮助国内各组织单位选择满足自身业务安全需求的第二代防火墙产品,未来将可能成为各行业共同遵守的标准,这对于规范我国的网络安全防护具有重大意义。
深信服下一代防火墙具备专业的安全防护能力
作为第二代防火墙标准的主要起草单位,深信服在安全防护领域的专业性得到了众多权威机构的认可。除受到公安部邀请,深信服下一代防火墙(即第二代防火墙)于2014年9月还获得了国际权威安全评测机构nss labs最高级别“推荐”认证,成为我国首台获得nss labs的web应用防护“推荐”级别的下一代防火墙。
nss labs是全球最知名的独立安全研究和评测机构,总部位于美国。模拟用户真实场景、严格的评测过程以及公正无私的数据分析等特点,使得nss labs的测试报告广受世界范围内的ceo、cio、ciso和信息安全专家们的欢迎。
web应用防护测试认证共分为三个等级,分别是recommended(推荐)、neutral(中立)和caution(警惕),“recommended”标签意味着产品具备优异的功能表现和高性价比,值得广大用户进行采购和使用。在本次测试中,深信服下一代防火墙m5900(af-8020)通过了所有的攻击逃逸测试,在稳定性和可靠性测试中也有不俗的表现。
此外,设备在http协议处理性能方面表现强劲,最高http新建连接数超过150,000cps,平均http新建连接数达到了76,616cps。每秒新建连接数是衡量设备性能的关键指标之一,数值越大则表明设备的应用层协议处理性能越好,可以更有效地处理突发访问流量,有效抵御ddos攻击。m5900的每秒新建连接数为6家送测厂商中的最高数值,充分表明产品具备高效的应用层处理能力。