近年來，網絡空間内的惡意威脅越來越多，各種網絡攻擊事件層出不窮，惡意攻擊呈現産業(yè)化、智能化趨勢。網絡安全等級保護制度2.0（簡稱等保2.0，文(wén)末提供詳細）國家标準相比舊标準更适應當前網絡安全形勢的發展，其對《網絡安全法》中(zhōng)提到的持續檢測、威脅情報、快速響應等要求提出了具體的落地要求。

因此以等保 2.0 的要求進行網絡安全建設時，将更加重視網絡安全綜合防禦能力，相應的安全設備也必須适應等保 2.0 及網絡安全形勢的變化。

為幫助用戶在等保2.0時代選擇更适合的下(xià)一代防火牆産品，深信服聯合全國27家機構發布《等保2.0時代 下(xià)一代防火牆選型指南》（以下(xià)簡稱選型指南），彙總歸納下(xià)一代防火牆需具備的能力，旨在為各企事業(yè)單位在等保建設過程中(zhōng)進行下(xià)一代防火牆選型提供參考。

▲下(xià)一代防火牆應具備的能力

GA/T1177-2014《信息安全技術(shù) 第二代防火牆安全技術(shù)要求》在制定時參考了等級保護要求，将第二代防火牆的功能分級與等級保護的級别進行了關(guān)系對應，明确了第二代防火牆功能基本級對應等級保護一、二級，第二代防火牆功能增強級對應等級保護三、四級。

第二代防火牆除了具備傳統防火牆包過濾、狀态檢測等基本功能之外，還具備應用層訪問(wèn)控制、Web 攻擊防護、惡意代碼防護和(hé)入侵防禦等功能并逐漸融合到一體化引擎中(zhōng)，與等級保護中(zhōng)提出的入侵防範和(hé)惡意代碼防範等安全要求相呼應。再結合其高效、可(kě)視化、易管理等特性，逐漸得到了國内用戶的認可(kě)。據《2017年度中(zhōng)國防火牆市場ZDC報告》顯示，2017年度企業(yè)對下(xià)一代防火牆的期望值高達89.60%，而傳統防火牆僅有10.40%。

目前下(xià)一代防火牆承載了企業(yè)級用戶大幅提升IT邊界安全防護效果的殷切期望，得到廣泛的應用和(hé)快速的發展。

▲目前國内的下(xià)一代防火牆基本上具備以上特征

▲功能與等級保護的對應關(guān)系

⒉ 具備風險可(kě)視與風險預警能力

等保2.0在多個(gè)控制點對風險可(kě)視與風險預警能力提出相關(guān)要求，風險的發現和(hé)預警可(kě)以有多種方式實現，在下(xià)一代防火牆上實現是其中(zhōng)之一。在防火牆上實現的最大好處是，防火牆距離(lí)攻擊最近，當業(yè)務數據經過防火牆時，防火牆具備對業(yè)務數據的風險分析條件，相比獨立的風險探測和(hé)掃描設備來說，更容易在攻擊路(lù)徑上發現威脅、對風險的分析也更為實時。

具備風險預警能力的下(xià)一代防火牆能夠快速針對全網風險進行預測，生成對應的防禦策略，提供更加有效的安全防護效果。

⒊具備雙向攻擊防護能力

近年來，攻擊從内部發起的占比非常高，僵屍網絡、C&C連接等内部攻擊行為幾乎出現在每一個(gè)安全事件中(zhōng)。因此，等保2.0中(zhōng)提出了應對由内到外的攻擊行為進行檢測的相關(guān)要求，區别于以往的安全防禦僅關(guān)注外部攻擊。因此，選擇具備應用層雙向攻擊防護能力的防火牆，才能夠滿足等保2.0 的安全要求，同時在當前安全形勢下(xià)獲得更好的防護效果。

⒋具備新型網絡攻擊行為發現及防禦能力

近些年新型網絡攻擊行為頻繁發生,2017年勒索病毒WannaCry利用“永恒之藍”漏洞大肆傳播,實際就是利用了安全防禦能力對該漏洞的未知性，類似案例不勝枚舉。“等保2.0”作為網絡和(hé)信息安全建設的重要指導，在對關(guān)鍵基礎設施的安全保護中(zhōng)，針對入侵防範增加了針對新型網絡攻擊行為的分析要求。

對防火牆來說，如(rú)何利用設備本地的防禦能力，聯動(dòng)雲端，通(tōng)過智能分析算法模型的應用、快速高頻更新的安全能力和(hé)雲端的全網威脅情報提升設備對新型網絡攻擊行為的檢測和(hé)快速響應能力，是防火牆設備能否适應“等保2.0”安全建設的重要因素。

⒌具備更精準的應用層攻擊防禦能力

相比之前的等級保護要求，等保2.0 更關(guān)注安全防護的顆粒度，對安全技術(shù)措施的有效性更為關(guān)注。例如(rú)，原來隻在邊界保護要求的端口級防護，現在擴展到了對關(guān)鍵網絡節點進行應用層協議及内容的訪問(wèn)控制。當前網絡環境中(zhōng)，攻擊威脅超過75%是來源于應用層攻擊，因此，在等保2.0建設中(zhōng),選擇防火牆設備應當考慮産品的實際防護效果，要更加關(guān)注設備的應用層攻擊檢測和(hé)防禦能力。

整體而言，下(xià)一代防火牆的選型上，首先需要選擇符合公安部相關(guān)檢測标準的産品。在此基礎上，還需選擇具備風險可(kě)視與預警能力、雙向攻擊防護能力、新型網絡攻擊行為發現及防護能力、精準的應用層防護能力的産品，以滿足等保2.0要求，應對當前網絡環境中(zhōng)的各類威脅和(hé)攻擊行為。

▼可(kě)浏覽下(xià)方的公司信息，進行咨詢選購

佛山市順德區廣東到啦網信息科技有限公司（簡稱：齊思達科技 /）成立于2011年，是一家專為各企事業(yè)單位提供專業(yè)級、一站(zhàn)式、快捷的智能IT系統集成服務商(shāng)。公司核心系統集成能力：多年深信服金牌代理、信銳金牌代理以及IP-guard金牌代理經驗、超過10年以上H3C/華為/思科産品與解決方案合作關(guān)系; 在企業(yè)級VPN、上網行為管理、上網優化設備、防火牆等系列産品，以及防洩密、電話系統、安防監控、一卡通(tōng)、IT機房(fáng)建設、終端安全等弱電與信息安全領域，服務了近300家企事業(yè)單位。

同時公司在智造系統研發與集成上發展迅速，無線PDA WMS系統已成功實施到湖北省物流企業(yè)，在MES(-制造執行系統)/WMS與ERP的無縫整合上均有豐富的實施經驗，我司與嘉騰機器(qì)人公司已建立合作,可(kě)為企業(yè)提供量身定制的智能制造方案規劃和(hé)工業(yè)4.0升級實施服務。