近年(nián)來，網絡空間內(nèi)的(de)惡意威脅越來越多，各種網絡攻擊事件層出不窮，惡意攻擊呈現産業化、智能化趨勢。網絡安全等級保護制度2.0（簡稱等保2.0，文末提供詳細）國家标準相比舊(jiù)标準更适應當前網絡安全形勢的(de)發展，其對《網絡安全法》中提到的(de)持續檢測、威脅情報、快速響應等要求提出了具體的(de)落地(dì)要求。

因此以等保 2.0 的(de)要求進行網絡安全建設時，将更加重視(shì)網絡安全綜合防禦能力，相應的(de)安全設備也必須适應等保 2.0 及網絡安全形勢的(de)變化。

為(wèi)幫助用戶在等保2.0時代選擇更适合的(de)下一(yī)代防火牆産品，深信服聯合全國27家機構發布《等保2.0時代 下一(yī)代防火牆選型指南》（以下簡稱選型指南），彙總歸納下一(yī)代防火牆需具備的(de)能力，旨在為(wèi)各企事業單位在等保建設過程中進行下一(yī)代防火牆選型提供參考。

▲下一(yī)代防火牆應具備的(de)能力

GA/T1177-2014《信息安全技術 第二代防火牆安全技術要求》在制定時參考了等級保護要求，将第二代防火牆的(de)功能分級與等級保護的(de)級别進行了關系對應，明确了第二代防火牆功能基本級對應等級保護一(yī)、二級，第二代防火牆功能增強級對應等級保護三、四級。

第二代防火牆除了具備傳統防火牆包過濾、狀态檢測等基本功能之外，還具備應用層訪問控制、Web 攻擊防護、惡意代碼防護和(hé)入侵防禦等功能并逐漸融合到一(yī)體化引擎中，與等級保護中提出的(de)入侵防範和(hé)惡意代碼防範等安全要求相呼應。再結合其高(gāo)效、可(kě)視(shì)化、易管理(lǐ)等特性，逐漸得到了國內(nèi)用戶的(de)認可(kě)。據《2017年(nián)度中國防火牆市場ZDC報告》顯示，2017年(nián)度企業對下一(yī)代防火牆的(de)期望值高(gāo)達89.60%，而傳統防火牆僅有10.40%。

目前下一(yī)代防火牆承載了企業級用戶大幅提升IT邊界安全防護效果的(de)殷切期望，得到廣泛的(de)應用和(hé)快速的(de)發展。

▲目前國內(nèi)的(de)下一(yī)代防火牆基本上具備以上特征

▲功能與等級保護的(de)對應關系

⒉ 具備風險可(kě)視(shì)與風險預警能力

等保2.0在多個控制點對風險可(kě)視(shì)與風險預警能力提出相關要求，風險的(de)發現和(hé)預警可(kě)以有多種方式實現，在下一(yī)代防火牆上實現是其中之一(yī)。在防火牆上實現的(de)最大好處是，防火牆距離(lí)攻擊最近，當業務數據經過防火牆時，防火牆具備對業務數據的(de)風險分析條件，相比獨立的(de)風險探測和(hé)掃描設備來說，更容易在攻擊路徑上發現威脅、對風險的(de)分析也更為(wèi)實時。

具備風險預警能力的(de)下一(yī)代防火牆能夠快速針對全網風險進行預測，生成對應的(de)防禦策略，提供更加有效的(de)安全防護效果。

⒊具備雙向攻擊防護能力

近年(nián)來，攻擊從內(nèi)部發起的(de)占比非常高(gāo)，僵屍網絡、C&C連接等內(nèi)部攻擊行為(wèi)幾乎出現在每一(yī)個安全事件中。因此，等保2.0中提出了應對由內(nèi)到外的(de)攻擊行為(wèi)進行檢測的(de)相關要求，區别于以往的(de)安全防禦僅關注外部攻擊。因此，選擇具備應用層雙向攻擊防護能力的(de)防火牆，才能夠滿足等保2.0 的(de)安全要求，同時在當前安全形勢下獲得更好的(de)防護效果。

⒋具備新型網絡攻擊行為(wèi)發現及防禦能力

近些年(nián)新型網絡攻擊行為(wèi)頻繁發生,2017年(nián)勒索病毒WannaCry利用“永恒之藍”漏洞大肆傳播,實際就是利用了安全防禦能力對該漏洞的(de)未知性，類似案例不勝枚舉。“等保2.0”作為(wèi)網絡和(hé)信息安全建設的(de)重要指導，在對關鍵基礎設施的(de)安全保護中，針對入侵防範增加了針對新型網絡攻擊行為(wèi)的(de)分析要求。

對防火牆來說，如(rú)何利用設備本地(dì)的(de)防禦能力，聯動雲端，通過智能分析算法模型的(de)應用、快速高(gāo)頻更新的(de)安全能力和(hé)雲端的(de)全網威脅情報提升設備對新型網絡攻擊行為(wèi)的(de)檢測和(hé)快速響應能力，是防火牆設備能否适應“等保2.0”安全建設的(de)重要因素。

⒌具備更精準的(de)應用層攻擊防禦能力

相比之前的(de)等級保護要求，等保2.0 更關注安全防護的(de)顆粒度，對安全技術措施的(de)有效性更為(wèi)關注。例如(rú)，原來隻在邊界保護要求的(de)端口級防護，現在擴展到了對關鍵網絡節點進行應用層協議及內(nèi)容的(de)訪問控制。當前網絡環境中，攻擊威脅超過75%是來源于應用層攻擊，因此，在等保2.0建設中,選擇防火牆設備應當考慮産品的(de)實際防護效果，要更加關注設備的(de)應用層攻擊檢測和(hé)防禦能力。

整體而言，下一(yī)代防火牆的(de)選型上，首先需要選擇符合公安部相關檢測标準的(de)産品。在此基礎上，還需選擇具備風險可(kě)視(shì)與預警能力、雙向攻擊防護能力、新型網絡攻擊行為(wèi)發現及防護能力、精準的(de)應用層防護能力的(de)産品，以滿足等保2.0要求，應對當前網絡環境中的(de)各類威脅和(hé)攻擊行為(wèi)。

▼可(kě)浏覽下方的(de)公司信息，進行咨詢選購

佛山市順德區雲浮市華翼信息科技技術開發有限公司（簡稱：齊思達科技 /）成立于2011年(nián)，是一(yī)家專為(wèi)各企事業單位提供專業級、一(yī)站式、快捷的(de)智能IT系統集成服務商。公司核心系統集成能力：多年(nián)深信服金牌代理(lǐ)、信銳金牌代理(lǐ)以及IP-guard金牌代理(lǐ)經驗、超過10年(nián)以上H3C/華為(wèi)/思科産品與解決方案合作關系; 在企業級VPN、上網行為(wèi)管理(lǐ)、上網優化設備、防火牆等系列産品，以及防洩密、電話系統、安防監控、一(yī)卡通、IT機房建設、終端安全等弱電與信息安全領域，服務了近300家企事業單位。

同時公司在智造系統研發與集成上發展迅速，無線PDA WMS系統已成功實施到湖北省物流企業，在MES(-制造執行系統)/WMS與ERP的(de)無縫整合上均有豐富的(de)實施經驗，我司與嘉騰機器人公司已建立合作,可(kě)為(wèi)企業提供量身定制的(de)智能制造方案規劃和(hé)工業4.0升級實施服務。