近年來，網(wǎng)絡空間內(nèi)的惡意威脅越來越多，各種網(wǎng)絡攻擊事件層出不窮，惡意攻擊呈現(xiàn)產(chǎn)業(yè)化、智能化趨勢。網(wǎng)絡安全等級保護制度2.0（簡稱等保2.0）國家標準相比舊標準更適應當前網(wǎng)絡安全形勢的發(fā)展，其對《網(wǎng)絡安全法》中提到的持續(xù)檢測、威脅情報、快速響應等要求提出了具體的落地要求。

因此以等保 2.0 的要求進行網(wǎng)絡安全建設時，將更加重視網(wǎng)絡安全綜合防御能力，相應的安全設備也必須適應等保 2.0 及網(wǎng)絡安全形勢的變化。

為幫助用戶在等保2.0時代選擇更適合的下一代防火墻產(chǎn)品，我們聯(lián)合全國27家機構發(fā)布《等保2.0時代 下一代防火墻選型指南》（以下簡稱選型指南），匯總歸納下一代防火墻需具備的能力，旨在為各企事業(yè)單位在等保建設過程中進行下一代防火墻選型提供參考。

1.符合公安部第二代防火墻標準

GA/T1177-2014《信息安全技術 第二代防火墻安全技術要求》在制定時參考了等級保護要求，將第二代防火墻的功能分級與等級保護的級別進行了關系對應，明確了第二代防火墻功能基本級對應等級保護一、二級，第二代防火墻功能增強級對應等級保護三、四級。

第二代防火墻除了具備傳統(tǒng)防火墻包過濾、狀態(tài)檢測等基本功能之外，還具備應用層訪問控制、Web 攻擊防護、惡意代碼防護和入侵防御等功能，與等級保護中提出的入侵防范和惡意代碼防范等安全要求相呼應。

▲功能與等級保護的對應關系

2. 具備風險可視與風險預警能力

等保2.0在多個控制點對風險可視與風險預警能力提出相關要求，風險的發(fā)現(xiàn)和預警可以有多種方式實現(xiàn)，在下一代防火墻上實現(xiàn)是其中之一。在防火墻上實現(xiàn)的最大好處是，防火墻距離攻擊最近，當業(yè)務數(shù)據(jù)經(jīng)過防火墻時，防火墻具備對業(yè)務數(shù)據(jù)的風險分析條件，相比獨立的風險探測和掃描設備來說，更容易在攻擊路徑上發(fā)現(xiàn)威脅、對風險的分析也更為實時。

具備風險預警能力的下一代防火墻能夠快速針對全網(wǎng)風險進行預測，生成對應的防御策略，提供更加有效的安全防護效果。

3. 具備雙向攻擊防護能力

近年來，攻擊從內(nèi)部發(fā)起的占比非常高，僵尸網(wǎng)絡、C&C連接等內(nèi)部攻擊行為幾乎出現(xiàn)在每一個安全事件中。因此，等保2.0中提出了應對由內(nèi)到外的攻擊行為進行檢測的相關要求，區(qū)別于以往的安全防御僅關注外部攻擊。因此，選擇具備應用層雙向攻擊防護能力的防火墻，才能夠滿足等保2.0 的安全要求，同時在當前安全形勢下獲得更好的防護效果。

4.具備新型網(wǎng)絡攻擊行為發(fā)現(xiàn)及防御能力

近些年新型網(wǎng)絡攻擊行為頻繁發(fā)生,2017年勒索病毒W(wǎng)annaCry利用“永恒之藍”漏洞大肆傳播,實際就是利用了安全防御能力對該漏洞的未知性，類似案例不勝枚舉?！暗缺?.0”作為網(wǎng)絡和信息安全建設的重要指導，在對關鍵基礎設施的安全保護中，針對入侵防范增加了針對新型網(wǎng)絡攻擊行為的分析要求。

對防火墻來說，如何利用設備本地的防御能力，聯(lián)動云端，通過智能分析算法模型的應用、快速高頻更新的安全能力和云端的全網(wǎng)威脅情報提升設備對新型網(wǎng)絡攻擊行為的檢測和快速響應能力，是防火墻設備能否適應“等保2.0”安全建設的重要因素。

5. 具備更精準的應用層攻擊防御能力

相比之前的等級保護要求，等保2.0 更關注安全防護的顆粒度，對安全技術措施的有效性更為關注。例如，原來只在邊界保護要求的端口級防護，現(xiàn)在擴展到了對關鍵網(wǎng)絡節(jié)點進行應用層協(xié)議及內(nèi)容的訪問控制。當前網(wǎng)絡環(huán)境中，攻擊威脅超過75%是來源于應用層攻擊，因此，在等保2.0建設中,選擇防火墻設備應當考慮產(chǎn)品的實際防護效果，要更加關注設備的應用層攻擊檢測和防御能力。

整體而言，下一代防火墻的選型上，首先需要選擇符合公安部相關檢測標準的產(chǎn)品。在此基礎上，還需選擇具備風險可視與預警能力、雙向攻擊防護能力、新型網(wǎng)絡攻擊行為發(fā)現(xiàn)及防護能力、精準的應用層防護能力的產(chǎn)品，以滿足等保2.0要求，應對當前網(wǎng)絡環(huán)境中的各類威脅和攻擊行為。