導讀：防護墻，這種網(wǎng)絡安全防護設備，大家應該不會陌生。但是，在等級保護建設中，它起到了什么作用，能夠滿足哪些要求呢?今天小編特意轉載了一篇文章-等保2.0變化之防火墻篇，希望這一篇文章對大家有所幫助。

　　原標題：等保2.0變化之防火墻篇

　　本文將從安全防護產(chǎn)品的角度出發(fā)，解讀等保2.0對產(chǎn)品技術的需求。工業(yè)防火墻是網(wǎng)絡安全防護產(chǎn)品中最常見的一種設備，那么，等保2.0提出之后，防火墻將面臨哪些新增的技術需求呢?

　　1、白名單策略

　　以上是等保2.0中訪問控制部分的說明，在等保1.0中，關于網(wǎng)絡安全訪問控制部分，只是提出了要設置訪問控制設備，并能提供狀態(tài)檢測能力，和部分應用檢測能力。而在等保2.0里面，非常明確的提出，“默認情況下除允許通信外受控接口拒絕所有通信?！边@個變化意味著防火墻的訪問控制策略由“黑名單”向“白名單”的轉變。

　　目前大部分防火墻產(chǎn)品的訪問控制策略是基于黑名單的機制設計的，當然也存在一些號稱支持“白名單”的產(chǎn)品，由于網(wǎng)絡安全管理者對業(yè)務的理解有限，且不同的場景業(yè)務需求各不相同，無法設計出一份很完善的白名單規(guī)則。因此，若啟用了白名單規(guī)則，會存在將“正常業(yè)務”當作“不安全的威脅”，而拒絕正常通信，從而影響用戶的業(yè)務。

　　隨著黑客攻擊技術的飛速發(fā)展，黑名單的訪問控制策略已經(jīng)難以應付日新月異的網(wǎng)絡攻擊。當某些新的攻擊不在列表之內(nèi)時，將會越過防火墻這道防線，在網(wǎng)絡內(nèi)暢行無阻。因此，為了滿足2.0版本的等保測評，防火墻的訪問策略需要面臨從“黑名單”向“白名單”的技術轉變。

　　2、東西向防御

　　以上是等保2.0中關于入侵防范的要求，明確提出要防止或限制從內(nèi)部發(fā)起的網(wǎng)絡攻擊行為，也就是我們常說的東西向防御。而在等保1.0要求是在邊界處對指定類型的攻擊進行防御。根據(jù)傳統(tǒng)的理解，指的是邊界以外的入侵防御。

　　通常情況下，客戶端和服務器之間的流量被稱為南北流量，即 server-client流量;不同服務器之間的流量與數(shù)據(jù)中心或不同數(shù)據(jù)中心之間的網(wǎng)絡流被稱為東西流量，即是server-server流量;如下圖所示。

　　在等保2.0之前，防火墻的設計主要針對的是南北向的防御，即將防火墻部署在數(shù)據(jù)中心的出口處，來做南北向流量的安全防護，而缺乏對企業(yè)內(nèi)部東西向流量的安全防御，所以一旦攻擊者繞過防御進入網(wǎng)絡內(nèi)部或者從網(wǎng)絡內(nèi)部直接發(fā)起攻擊，將變得暢通無阻、為所欲為。

　　等保2.0明確提出需要進行東西向流量的防御，其防御手段之一是在企業(yè)網(wǎng)絡內(nèi)部的不同區(qū)域間部署防火墻進行內(nèi)部網(wǎng)絡的入侵防御。但是東西向流量一般涉及到企業(yè)內(nèi)部各個部門的不同業(yè)務交互，其業(yè)務關系錯綜復雜，很難梳理清楚，如下圖所示。

　　總結

　　綜上所述，面對更加復雜、多變的入侵防御手段，傳統(tǒng)的防火墻已經(jīng)無法滿足等保2.0的防護需求，白名單策略和東西向防御勢必會成為未來防火墻的安全技術手段之一。除此之外，隨著等保2.0的不斷發(fā)展，越來越多的安全防御新技術與安全理念將如雨后春筍般涌現(xiàn)。

　　聲明：本文來自星河工業(yè)安全微信公眾號，版權歸作者所有。文章內(nèi)容僅代表作者獨立觀點，不代表本站（網(wǎng)絡安全等級保護資訊網(wǎng)）立場，轉載目的在于傳遞更多信息。如有侵權，請聯(lián)系刪除。

　　PS：小編在此提醒一下，等級保護合規(guī)建設，就目前的市場提供的合規(guī)方案來說，網(wǎng)絡安全防護設備在其中起到很重要的作用，因此如何從整體等級保護建設的要求，合理應用好網(wǎng)絡安全設備，非常關鍵。但是，如果你以為只要購買了相關產(chǎn)品就完成等級保護建設了，這個是非常大誤解哦。因為這些網(wǎng)絡安全設備只是工具，如何能夠讓這些工具發(fā)揮作用，才是等級保護建設的關鍵。因此，網(wǎng)絡安全人才、網(wǎng)絡安全管理制度和專業(yè)的網(wǎng)絡安全培訓，也是非常關鍵的。