等级保护需要防火墙吗

　　导读：防护墙，这种网络安全防护设备，大家应该不会陌生。但是，在等级保护建设中，它起到了什么作用，能够满足哪些要求呢?今天小编特意转载了一篇文章-等保2.0变化之防火墙篇，希望这一篇文章对大家有所帮助。

　　原标题：等保2.0变化之防火墙篇

　　本文将从安全防护产品的角度出发，解读等保2.0对产品技术的需求。工业防火墙是网络安全防护产品中最常见的一种设备，那么，等保2.0提出之后，防火墙将面临哪些新增的技术需求呢?

　　1、白名单策略

　　以上是等保2.0中访问控制部分的说明，在等保1.0中，关于网络安全访问控制部分，只是提出了要设置访问控制设备，并能提供状态检测能力，和部分应用检测能力。而在等保2.0里面，非常明确的提出，“默认情况下除允许通信外受控接口拒绝所有通信。”这个变化意味着防火墙的访问控制策略由“黑名单”向“白名单”的转变。

　　目前大部分防火墙产品的访问控制策略是基于黑名单的机制设计的，当然也存在一些号称支持“白名单”的产品，由于网络安全管理者对业务的理解有限，且不同的场景业务需求各不相同，无法设计出一份很完善的白名单规则。因此，若启用了白名单规则，会存在将“正常业务”当作“不安全的威胁”，而拒绝正常通信，从而影响用户的业务。

　　随着黑客攻击技术的飞速发展，黑名单的访问控制策略已经难以应付日新月异的网络攻击。当某些新的攻击不在列表之内时，将会越过防火墙这道防线，在网络内畅行无阻。因此，为了满足2.0版本的等保测评，防火墙的访问策略需要面临从“黑名单”向“白名单”的技术转变。

　　2、东西向防御

　　以上是等保2.0中关于入侵防范的要求，明确提出要防止或限制从内部发起的网络攻击行为，也就是我们常说的东西向防御。而在等保1.0要求是在边界处对指定类型的攻击进行防御。根据传统的理解，指的是边界以外的入侵防御。

　　通常情况下，客户端和服务器之间的流量被称为南北流量，即 server-client流量;不同服务器之间的流量与数据中心或不同数据中心之间的网络流被称为东西流量，即是server-server流量;如下图所示。

　　在等保2.0之前，防火墙的设计主要针对的是南北向的防御，即将防火墙部署在数据中心的出口处，来做南北向流量的安全防护，而缺乏对企业内部东西向流量的安全防御，所以一旦攻击者绕过防御进入网络内部或者从网络内部直接发起攻击，将变得畅通无阻、为所欲为。

　　等保2.0明确提出需要进行东西向流量的防御，其防御手段之一是在企业网络内部的不同区域间部署防火墙进行内部网络的入侵防御。但是东西向流量一般涉及到企业内部各个部门的不同业务交互，其业务关系错综复杂，很难梳理清楚，如下图所示。

　　总结

　　综上所述，面对更加复杂、多变的入侵防御手段，传统的防火墙已经无法满足等保2.0的防护需求，白名单策略和东西向防御势必会成为未来防火墙的安全技术手段之一。除此之外，随着等保2.0的不断发展，越来越多的安全防御新技术与安全理念将如雨后春笋般涌现。

　　声明：本文来自星河工业安全微信公众号，版权归作者所有。文章内容仅代表作者独立观点，不代表万方安全立场，转载目的在于传递更多信息。如有侵权，请联系删除。

　　PS：小编在此提醒一下，等级保护合规建设，就目前的市场提供的合规方案来说，网络安全防护设备在其中起到很重要的作用，因此如何从整体等级保护建设的要求，合理应用好网络安全设备，非常关键。但是，如果你以为只要购买了相关产品就完成等级保护建设了，这个是非常大误解哦。因为这些网络安全设备只是工具，如何能够让这些工具发挥作用，才是等级保护建设的关键。因此，网络安全人才、网络安全管理制度和专业的网络安全培训，也是非常关键的。