作为网络部署中安全防护的第一道防线，防火墙的重要性不言而喻。最早的防火墙可以追溯到上世纪80年代末期，距今已有二十多年的历史——1989年包过滤防火墙诞生，随后又相继出现了代理防火墙，以及被广泛认知的基于状态检测技术的防火墙等，即使是2004年才开始出现的UTM（统一威胁管理）产品，也被视为是传统防火墙产品。然而随着Web 2.0时代的到来，传统防火墙（或称之为第一代防火墙）基于端口和IP的处理机制已经难以保证应用层的安全，为此，由Gartner于2009年所提出的下一代防火墙应运而生。

       说起下一代防火墙，可是近两年网络安全领域最火热的“明星”，国内外的安全厂商纷纷推出了基于Gartner基本定义+自身“创新理念”的下一代防火墙产品。但考虑到我国网络安全环境具备的自身特点，Gartner的定义难以成为适应本土环境的下一代防火墙标准，为此，真正适用于我国国内用户需求的“第二代防火墙”标准于2014年问世，并于当年的9月1日开始正式实施。

而为了更好地推动国内各行业的信息安全建设，深入解读第二代防火墙标准。近日，由公安部网络安全保卫局、公安部科技信息化局和公安部第三研究所指导，中科网威、绿盟科技和网神主办的第二代防火墙标准发布会在京召开。

       公安部网络安全保卫局总工郭启全

       大会伊始，公安部网络安全保卫局总工郭启全做了重要讲话。郭总工指出，标准对于产品推出、产业发展的重要性不言而喻。特别是在近几年，国家已经将网络安全提升到战略高度，国家的《网络安全法》也正在制定之中；同时2015年还是国家网络安全的“十三五”规划之年，因此国家将高度重视网络安全产品的标准、网络安全产品的研发和应用，并将通过中央综合治理办公室下发文件对政府部门及地方政府的网络安全建设进行考核。

     “揭秘”第二代防火墙标准

        为何取名为“第二代防火墙”？对此，公安部第三研究所资深安全专家邹春明介绍到，首先“下一代”是一个相对概念；其次“下一代”还有“尚未到来”的潜在意思。因此，“标准”将其取名为“第二代防火墙”。

       公安部的第三研究所资深安全专家邹春明

       那么第二代防火墙能否取代传统安全产品呢？邹春明表示，传统防火墙的主要功能包括数据包过滤、NAT、IP/MAC地址绑定、策略路由、带宽管理、双机热备、负载均衡、协同联动、VPN、安全审计、安全管理、抗渗透等；其主要基于2-4层对数据包头进行访问控制的网络边界设备，这使其无法防护来自应用层的网络威胁，如恶意代码、僵尸网络等。与此同时，防火墙+入侵防御+防病毒网关+…的组合方案，不仅成本高、管理复杂，而且效率低下；而适用于中小企业的UTM（统一威胁管理）产品又有性能低下的缺点。

        相比之下，第二代防火墙可部署于不同的安全域之间，除具备传统防火墙的基本访问控制功能之外，还具备应用层访问控制、用户控制、Web攻击防护、信息泄露防护、深度内容检测、高性能等特征。而值得一提的是，其实现了架构上一次解包完成全部检查，突破了性能瓶颈；再结合其高效、可视化、易管理等特性，取代传统安全产品已是大势所趋。

    “解读”第二代防火墙标准

       在了解了第二代防火墙标准的成长历程之后，来自中科网威科技、绿盟科技和网神三家主办单位的资深安全专家围绕第二代防火墙融合的安全、深度内容检测和混合包性能三大特性进行了详细解读。其中，来自绿盟的专家解读了第二代防火墙是如何保护应用层安全，以及其与第一代防火墙测评标准的区别，同时重点介绍了第二代防火墙功能与等级保护的对应关系。

       第二代防火墙功能与等级保护的对应关系

       第二代防火墙标准中专门定义了深度内容检测

       深度内容检测DCI技术的应用价值包括，提升应用识别的精确度、提升威胁检测的精确度、以及检测正常协议交互中的非法内容。而据了解，深度内容检测技术，正是深信服下一代防火墙（NGAF）的优势核心技术，其区别于传统DPI技术的特征检测，可现实应用协议中各要素的解析；并可还原原始信息，以检测威胁及合规性；此外，NGAF还具备双向内容检测技术，可检测服务器外发流量是否满足业务合规性与逻辑性。

标准中关于第二代防火墙的性能要求

       中科网威第二代防火墙产品，基于L2-7层访问应用控制,集成了防火墙、IPS入侵检测、DDoS/DOS防护、AV病毒防护；实现对内网全面安全防护，如应用扫描、病毒检测防护、Web应用防护、木马黑客防护、流控带宽管理、多线路负载均衡等。可为企业、运营商、高端行业用户提供卓越性能的安全防火墙方案。