等保2.0时代下一代防火墙选型指南
近年来,网络空间内的恶意威胁越来越多,各种网络攻击事件层出不穷,恶意攻击呈现产业化、智能化趋势。网络安全等级保护制度2.0(简称等保2.0)国家标准相比旧标准更适应当前网络安全形势的发展,其对《网络安全法》中提到的持续检测、威胁情报、快速响应等要求提出了具体的落地要求。
因此以等保 2.0 的要求进行网络安全建设时,将更加重视网络安全综合防御能力,相应的安全设备也必须适应等保 2.0 及网络安全形势的变化。
为帮助用户在等保2.0时代选择更适合的下一代防火墙产品,我们联合全国27家机构发布《等保2.0时代 下一代防火墙选型指南》(以下简称选型指南),汇总归纳下一代防火墙需具备的能力,旨在为各企事业单位在等保建设过程中进行下一代防火墙选型提供参考。
1.符合公安部第二代防火墙标准
GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》在制定时参考了等级保护要求,将第二代防火墙的功能分级与等级保护的级别进行了关系对应,明确了第二代防火墙功能基本级对应等级保护一、二级,第二代防火墙功能增强级对应等级保护三、四级。
第二代防火墙除了具备传统防火墙包过滤、状态检测等基本功能之外,还具备应用层访问控制、Web 攻击防护、恶意代码防护和入侵防御等功能,与等级保护中提出的入侵防范和恶意代码防范等安全要求相呼应。
▲功能与等级保护的对应关系
2. 具备风险可视与风险预警能力
等保2.0在多个控制点对风险可视与风险预警能力提出相关要求,风险的发现和预警可以有多种方式实现,在下一代防火墙上实现是其中之一。在防火墙上实现的最大好处是,防火墙距离攻击最近,当业务数据经过防火墙时,防火墙具备对业务数据的风险分析条件,相比独立的风险探测和扫描设备来说,更容易在攻击路径上发现威胁、对风险的分析也更为实时。
具备风险预警能力的下一代防火墙能够快速针对全网风险进行预测,生成对应的防御策略,提供更加有效的安全防护效果。
3. 具备双向攻击防护能力
近年来,攻击从内部发起的占比非常高,僵尸网络、C&C连接等内部攻击行为几乎出现在每一个安全事件中。因此,等保2.0中提出了应对由内到外的攻击行为进行检测的相关要求,区别于以往的安全防御仅关注外部攻击。因此,选择具备应用层双向攻击防护能力的防火墙,才能够满足等保2.0 的安全要求,同时在当前安全形势下获得更好的防护效果。
4.具备新型网络攻击行为发现及防御能力
近些年新型网络攻击行为频繁发生,2017年勒索病毒WannaCry利用“永恒之蓝”漏洞大肆传播,实际就是利用了安全防御能力对该漏洞的未知性,类似案例不胜枚举。“等保2.0”作为网络和信息安全建设的重要指导,在对关键基础设施的安全保护中,针对入侵防范增加了针对新型网络攻击行为的分析要求。
对防火墙来说,如何利用设备本地的防御能力,联动云端,通过智能分析算法模型的应用、快速高频更新的安全能力和云端的全网威胁情报提升设备对新型网络攻击行为的检测和快速响应能力,是防火墙设备能否适应“等保2.0”安全建设的重要因素。
5. 具备更精准的应用层攻击防御能力
相比之前的等级保护要求,等保2.0 更关注安全防护的颗粒度,对安全技术措施的有效性更为关注。例如,原来只在边界保护要求的端口级防护,现在扩展到了对关键网络节点进行应用层协议及内容的访问控制。当前网络环境中,攻击威胁超过75%是来源于应用层攻击,因此,在等保2.0建设中,选择防火墙设备应当考虑产品的实际防护效果,要更加关注设备的应用层攻击检测和防御能力。
整体而言,下一代防火墙的选型上,首先需要选择符合公安部相关检测标准的产品。在此基础上,还需选择具备风险可视与预警能力、双向攻击防护能力、新型网络攻击行为发现及防护能力、精准的应用层防护能力的产品,以满足等保2.0要求,应对当前网络环境中的各类威胁和攻击行为。