近年来，网络空间内的恶意威胁越来越多(duō)，各种网络攻击事件层出不穷，恶意攻击呈现产业化、智能(néng)化趋势。网络安全等级保护制度2.0（简称等保2.0，文(wén)末提供详细）國(guó)家标准相比旧标准更适应当前网络安全形势的发展，其对《网络安全法》中提到的持续检测、威胁情报、快速响应等要求提出了具體(tǐ)的落地要求。

因此以等保 2.0 的要求进行网络安全建设时，将更加重视网络安全综合防御能(néng)力，相应的安全设备也必须适应等保 2.0 及网络安全形势的变化。

為(wèi)帮助用(yòng)户在等保2.0时代选择更适合的下一代防火墙产品，深信服联合全國(guó)27家机构发布《等保2.0时代 下一代防火墙选型指南》（以下简称选型指南），汇总归纳下一代防火墙需具备的能(néng)力，旨在為(wèi)各企事业单位在等保建设过程中进行下一代防火墙选型提供参考。

▲下一代防火墙应具备的能(néng)力

GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》在制定时参考了等级保护要求，将第二代防火墙的功能(néng)分(fēn)级与等级保护的级别进行了关系对应，明确了第二代防火墙功能(néng)基本级对应等级保护一、二级，第二代防火墙功能(néng)增强级对应等级保护三、四级。

第二代防火墙除了具备传统防火墙包过滤、状态检测等基本功能(néng)之外，还具备应用(yòng)层访问控制、Web 攻击防护、恶意代码防护和入侵防御等功能(néng)并逐渐融合到一體(tǐ)化引擎中，与等级保护中提出的入侵防范和恶意代码防范等安全要求相呼应。再结合其高效、可(kě)视化、易管理(lǐ)等特性，逐渐得到了國(guó)内用(yòng)户的认可(kě)。据《2017年度中國(guó)防火墙市场ZDC报告》显示，2017年度企业对下一代防火墙的期望值高达89.60%，而传统防火墙仅有(yǒu)10.40%。

目前下一代防火墙承载了企业级用(yòng)户大幅提升IT边界安全防护效果的殷切期望，得到广泛的应用(yòng)和快速的发展。

▲目前國(guó)内的下一代防火墙基本上具备以上特征

▲功能(néng)与等级保护的对应关系

⒉ 具备风险可(kě)视与风险预警能(néng)力

等保2.0在多(duō)个控制点对风险可(kě)视与风险预警能(néng)力提出相关要求，风险的发现和预警可(kě)以有(yǒu)多(duō)种方式实现，在下一代防火墙上实现是其中之一。在防火墙上实现的最大好处是，防火墙距离攻击最近，当业務(wù)数据经过防火墙时，防火墙具备对业務(wù)数据的风险分(fēn)析条件，相比独立的风险探测和扫描设备来说，更容易在攻击路径上发现威胁、对风险的分(fēn)析也更為(wèi)实时。

具备风险预警能(néng)力的下一代防火墙能(néng)够快速针对全网风险进行预测，生成对应的防御策略，提供更加有(yǒu)效的安全防护效果。

⒊具备双向攻击防护能(néng)力

近年来，攻击从内部发起的占比非常高，僵尸网络、C&C连接等内部攻击行為(wèi)几乎出现在每一个安全事件中。因此，等保2.0中提出了应对由内到外的攻击行為(wèi)进行检测的相关要求，區(qū)别于以往的安全防御仅关注外部攻击。因此，选择具备应用(yòng)层双向攻击防护能(néng)力的防火墙，才能(néng)够满足等保2.0 的安全要求，同时在当前安全形势下获得更好的防护效果。

⒋具备新(xīn)型网络攻击行為(wèi)发现及防御能(néng)力

近些年新(xīn)型网络攻击行為(wèi)频繁发生,2017年勒索病毒WannaCry利用(yòng)“永恒之蓝”漏洞大肆传播,实际就是利用(yòng)了安全防御能(néng)力对该漏洞的未知性，类似案例不胜枚举。“等保2.0”作為(wèi)网络和信息安全建设的重要指导，在对关键基础设施的安全保护中，针对入侵防范增加了针对新(xīn)型网络攻击行為(wèi)的分(fēn)析要求。

对防火墙来说，如何利用(yòng)设备本地的防御能(néng)力，联动云端，通过智能(néng)分(fēn)析算法模型的应用(yòng)、快速高频更新(xīn)的安全能(néng)力和云端的全网威胁情报提升设备对新(xīn)型网络攻击行為(wèi)的检测和快速响应能(néng)力，是防火墙设备能(néng)否适应“等保2.0”安全建设的重要因素。

⒌具备更精准的应用(yòng)层攻击防御能(néng)力

相比之前的等级保护要求，等保2.0 更关注安全防护的颗粒度，对安全技术措施的有(yǒu)效性更為(wèi)关注。例如，原来只在边界保护要求的端口级防护，现在扩展到了对关键网络节点进行应用(yòng)层协议及内容的访问控制。当前网络环境中，攻击威胁超过75%是来源于应用(yòng)层攻击，因此，在等保2.0建设中,选择防火墙设备应当考虑产品的实际防护效果，要更加关注设备的应用(yòng)层攻击检测和防御能(néng)力。

整體(tǐ)而言，下一代防火墙的选型上，首先需要选择符合公安部相关检测标准的产品。在此基础上，还需选择具备风险可(kě)视与预警能(néng)力、双向攻击防护能(néng)力、新(xīn)型网络攻击行為(wèi)发现及防护能(néng)力、精准的应用(yòng)层防护能(néng)力的产品，以满足等保2.0要求，应对当前网络环境中的各类威胁和攻击行為(wèi)。

▼可(kě)浏览下方的公司信息，进行咨询选購(gòu)

佛山(shān)市顺德區(qū)齐思达信息科(kē)技有(yǒu)限公司（简称：齐思达科(kē)技 /）成立于2011年，是一家专為(wèi)各企事业单位提供专业级、一站式、快捷的智能(néng)IT系统集成服務(wù)商(shāng)。公司核心系统集成能(néng)力：多(duō)年深信服金牌代理(lǐ)、信锐金牌代理(lǐ)以及IP-guard金牌代理(lǐ)经验、超过10年以上H3C/华為(wèi)/思科(kē)产品与解决方案合作关系; 在企业级VPN、上网行為(wèi)管理(lǐ)、上网优化设备、防火墙等系列产品，以及防泄密、電(diàn)话系统、安防监控、一卡通、IT机房建设、终端安全等弱電(diàn)与信息安全领域，服務(wù)了近300家企事业单位。

同时公司在智造系统研发与集成上发展迅速，无線(xiàn)PDA WMS系统已成功实施到湖(hú)北省物(wù)流企业，在MES(-制造执行系统)/WMS与ERP的无缝整合上均有(yǒu)丰富的实施经验，我司与嘉腾机器人公司已建立合作,可(kě)為(wèi)企业提供量身定制的智能(néng)制造方案规划和工业4.0升级实施服務(wù)。