近年來，網(wǎng)絡(luò)空間內(nèi)的惡意威脅越來越多，各種網(wǎng)絡(luò)攻擊事件層出不窮，惡意攻擊呈現(xiàn)產(chǎn)業(yè)化、智能化趨勢(shì)。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0（簡稱等保2.0）國家標(biāo)準(zhǔn)相比舊標(biāo)準(zhǔn)更適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)的發(fā)展，其對(duì)《網(wǎng)絡(luò)安全法》中提到的持續(xù)檢測(cè)、威脅情報(bào)、快速響應(yīng)等要求提出了具體的落地要求。

因此以等保 2.0 的要求進(jìn)行網(wǎng)絡(luò)安全建設(shè)時(shí)，將更加重視網(wǎng)絡(luò)安全綜合防御能力，相應(yīng)的安全設(shè)備也必須適應(yīng)等保 2.0 及網(wǎng)絡(luò)安全形勢(shì)的變化。

為幫助用戶在等保2.0時(shí)代選擇更適合的下一代防火墻產(chǎn)品，我們聯(lián)合全國27家機(jī)構(gòu)發(fā)布《等保2.0時(shí)代 下一代防火墻選型指南》（以下簡稱選型指南），匯總歸納下一代防火墻需具備的能力，旨在為各企事業(yè)單位在等保建設(shè)過程中進(jìn)行下一代防火墻選型提供參考。

1.符合公安部第二代防火墻標(biāo)準(zhǔn)

GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》在制定時(shí)參考了等級(jí)保護(hù)要求，將第二代防火墻的功能分級(jí)與等級(jí)保護(hù)的級(jí)別進(jìn)行了關(guān)系對(duì)應(yīng)，明確了第二代防火墻功能基本級(jí)對(duì)應(yīng)等級(jí)保護(hù)一、二級(jí)，第二代防火墻功能增強(qiáng)級(jí)對(duì)應(yīng)等級(jí)保護(hù)三、四級(jí)。

第二代防火墻除了具備傳統(tǒng)防火墻包過濾、狀態(tài)檢測(cè)等基本功能之外，還具備應(yīng)用層訪問控制、Web 攻擊防護(hù)、惡意代碼防護(hù)和入侵防御等功能，與等級(jí)保護(hù)中提出的入侵防范和惡意代碼防范等安全要求相呼應(yīng)。

▲功能與等級(jí)保護(hù)的對(duì)應(yīng)關(guān)系

2. 具備風(fēng)險(xiǎn)可視與風(fēng)險(xiǎn)預(yù)警能力

等保2.0在多個(gè)控制點(diǎn)對(duì)風(fēng)險(xiǎn)可視與風(fēng)險(xiǎn)預(yù)警能力提出相關(guān)要求，風(fēng)險(xiǎn)的發(fā)現(xiàn)和預(yù)警可以有多種方式實(shí)現(xiàn)，在下一代防火墻上實(shí)現(xiàn)是其中之一。在防火墻上實(shí)現(xiàn)的最大好處是，防火墻距離攻擊最近，當(dāng)業(yè)務(wù)數(shù)據(jù)經(jīng)過防火墻時(shí)，防火墻具備對(duì)業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)分析條件，相比獨(dú)立的風(fēng)險(xiǎn)探測(cè)和掃描設(shè)備來說，更容易在攻擊路徑上發(fā)現(xiàn)威脅、對(duì)風(fēng)險(xiǎn)的分析也更為實(shí)時(shí)。

具備風(fēng)險(xiǎn)預(yù)警能力的下一代防火墻能夠快速針對(duì)全網(wǎng)風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)，生成對(duì)應(yīng)的防御策略，提供更加有效的安全防護(hù)效果。

3. 具備雙向攻擊防護(hù)能力

近年來，攻擊從內(nèi)部發(fā)起的占比非常高，僵尸網(wǎng)絡(luò)、C&C連接等內(nèi)部攻擊行為幾乎出現(xiàn)在每一個(gè)安全事件中。因此，等保2.0中提出了應(yīng)對(duì)由內(nèi)到外的攻擊行為進(jìn)行檢測(cè)的相關(guān)要求，區(qū)別于以往的安全防御僅關(guān)注外部攻擊。因此，選擇具備應(yīng)用層雙向攻擊防護(hù)能力的防火墻，才能夠滿足等保2.0 的安全要求，同時(shí)在當(dāng)前安全形勢(shì)下獲得更好的防護(hù)效果。

4.具備新型網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)及防御能力

近些年新型網(wǎng)絡(luò)攻擊行為頻繁發(fā)生,2017年勒索病毒W(wǎng)annaCry利用“永恒之藍(lán)”漏洞大肆傳播,實(shí)際就是利用了安全防御能力對(duì)該漏洞的未知性，類似案例不勝枚舉。“等保2.0”作為網(wǎng)絡(luò)和信息安全建設(shè)的重要指導(dǎo)，在對(duì)關(guān)鍵基礎(chǔ)設(shè)施的安全保護(hù)中，針對(duì)入侵防范增加了針對(duì)新型網(wǎng)絡(luò)攻擊行為的分析要求。

對(duì)防火墻來說，如何利用設(shè)備本地的防御能力，聯(lián)動(dòng)云端，通過智能分析算法模型的應(yīng)用、快速高頻更新的安全能力和云端的全網(wǎng)威脅情報(bào)提升設(shè)備對(duì)新型網(wǎng)絡(luò)攻擊行為的檢測(cè)和快速響應(yīng)能力，是防火墻設(shè)備能否適應(yīng)“等保2.0”安全建設(shè)的重要因素。

5. 具備更精準(zhǔn)的應(yīng)用層攻擊防御能力

相比之前的等級(jí)保護(hù)要求，等保2.0 更關(guān)注安全防護(hù)的顆粒度，對(duì)安全技術(shù)措施的有效性更為關(guān)注。例如，原來只在邊界保護(hù)要求的端口級(jí)防護(hù)，現(xiàn)在擴(kuò)展到了對(duì)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行應(yīng)用層協(xié)議及內(nèi)容的訪問控制。當(dāng)前網(wǎng)絡(luò)環(huán)境中，攻擊威脅超過75%是來源于應(yīng)用層攻擊，因此，在等保2.0建設(shè)中,選擇防火墻設(shè)備應(yīng)當(dāng)考慮產(chǎn)品的實(shí)際防護(hù)效果，要更加關(guān)注設(shè)備的應(yīng)用層攻擊檢測(cè)和防御能力。

整體而言，下一代防火墻的選型上，首先需要選擇符合公安部相關(guān)檢測(cè)標(biāo)準(zhǔn)的產(chǎn)品。在此基礎(chǔ)上，還需選擇具備風(fēng)險(xiǎn)可視與預(yù)警能力、雙向攻擊防護(hù)能力、新型網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)及防護(hù)能力、精準(zhǔn)的應(yīng)用層防護(hù)能力的產(chǎn)品，以滿足等保2.0要求，應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)環(huán)境中的各類威脅和攻擊行為。