近日，公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所联合深信服科技、绿盟科技和网神共同发布了第二代防火墙标准。

那么问题来了，为什么要编制第二代防火墙标准？相比现行的防火墙标准（旧标准），第二代防火墙标准又有着哪些变化呢？且听小编为你一一道来。

为什么要编制第二代防火墙标准？

防火墙自诞生以来，在提高网络安全性方面发挥了非常重要的作用。

作为边界网络安全的第一道关卡，防火墙经理了包过滤技术、代理技术和状态监视技术的技术变迁，通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略，有效地阻断了未被明确允许的包通过，保护了网络的安全。

通过对进出防火墙的一切数据包进行检查，可保证合法人员能够进入网络访问相应的资源，同时防止非法人员通过非法手段进入网络或干扰网络的正常运行，防火墙技术在当时被堪称完美。然而，时代的变迁令防火墙的防御效果大打折扣，网络的高速发展、应用的不断增多，也令其失去了它不可替代的地位。

随着Web2.0时代的到来，用户的许多业务均以Web形式开展，传统防火墙已无法应对应用层威胁。

尽管Gartner对下一代防火墙进行了定义，但由于我国的网络安全环境具备自身特点，目前国内尚且缺乏适用于本土环境的功能统一的下一代防火墙。另一方面，国内各家安全厂商推出的下一代防火墙功能各不相同，令用户难以对产品进行甄别和选择。

为指导用户进行信息安全建设，并规范国内的防火墙产品市场，信息安全行业规范编制单位暨信息安全等级保护测评单位——公安部第三研究所在公安部科技信息化局的授权下，经过深入的社会调研，并通过向国内优秀安全厂商征集意见，研究出适用于我国网络环境的下一代防火墙功能，且出台了下一代防火墙标准GA/T 1177-2014《信息安全技术 第二代防火墙安全技术要求》（“标准”），将国际通用说法“下一代防火墙”更名为“第二代防火墙”。

第二代防火墙标准有哪些变化？

从功能而言，旧标准主要要求防火墙需包含基于2-4层的数据包过滤、NAT、路由策略、安全审计、安全管理等方面的功能；在高等级的功能要求中，旧标准对防火墙提出了部分深层包过滤、防病毒、抗渗透等要求，但该部分要求较为粗略，并非作为防火墙的核心功能。

《第二代防火墙安全技术标准》要求第二代防火墙除具备防火墙的基本功能外，还应当具备应用流量识别、应用层访问控制、应用层安全防护、用户控制、深度内容检测、高性能等功能特征，以及较高的抗攻击能力。

《第二代防火墙安全技术标准》还要求第二代防火墙要对防火墙功能和入侵防御能力进行融合，整合Web攻击防护，具备内容级的威胁检测能力，且应当满足支持Gbit级的串联部署。

对比第二代防火墙的功能特征可以很明确地发现，现行的防火墙标准并不适用于第二代防火墙。旧标准对诸如入侵防御、上网行为控制、基于用户的控制、Web攻击防护、信息泄露等功能均未提出明确的要求。

此外，第二代防火墙标准的制定参考并遵循了国内主要的安全技术要求文件提出的技术框架和相关要求，适用于国内政府、企业、金融、运营商等各行业的信息安全建设，包括等级保护建设、分级保护建设和行业安全建设。

专家说

公安部网络安全保卫局总工郭启全：国家网络安全顶层设计好之后，重要行业部门和信息安全企业都要肩负各自的责任，信息安全企业应当发挥创新精神不断研发新的产品技术，重要行业部门应当加大信息安全建设的投入，使得我国自主可靠的安全产品得到更多的应用和推广，构建出我们国家真正的安全。

公安部第三研究所专家邹春明：第二代防火墙标准参考了众多的国家标准、行业标准，调研了国内众多行业用户的网络安全建设需求，并对标准进行了6轮的讨论和修改，它是一部能够指导用户进行信息安全建设和等级保护建设的成熟标准。