通信人家园

标题: 【转贴】【防火墙技术连载2】强叔侃墙基础知识篇防火墙的昨天、今天和明天 [查看完整版帖子] [打印本页]

时间: 2014-9-16 20:36

作者: sunshine1997 标题: 【转贴】【防火墙技术连载2】强叔侃墙基础知识篇防火墙的昨天、今天和明天

各位好，强叔又和大家面见了。上一期为大家介绍了防火墙的基本概念，今天强叔要和大家聊一聊防火墙的昨天、今天和明天，欢迎大家跟着强叔来回顾防火墙的历史，展望防火墙的未来。

与人类的进化史相似，防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程。在这一过程中，网络技术的不断发展，新需求的不断提出，推动着防火墙向前发展演进。

最早的防火墙可以追溯到上世纪80年代末期，距今已有二十多年的历史。在这二十多年间，防火墙的发展过程大致可以划分为下面三个时期：

1989年至1994年

1989年产生了包过滤防火墙，实现简单的访问控制，我们称之为第一代防火墙。
随后出现了代理防火墙，在应用层代理内部网络和外部网络之间的通信，属于第二代防火墙。代理防火墙安全性较高，但处理速度慢，而且对每一种应用开发一个对应的代理服务是很难做到的，因此只能对少量的应用提供代理支持。
1994年CheckPoint公司1发布了第一台基于状态检测技术的防火墙，通过动态分析报文的状态来决定对报文采取的动作，不需要为每个应用程序都进行代理，处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。

1995年至2004年

在这一时期，状态检测防火墙已经成为趋势。除了访问控制功能之外，防火墙上也开始增加一些其他功能，如VPN。
同时，一些专用设备也在这一时期出现了雏形。例如，专门保护Web服务器安全的WAF（Web Application Firewall，Web应用防火墙）设备。
2004年业界提出了UTM（United Threat Management，统一威胁管理）的概念，将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上，实现全面的安全防护。

2005年至今

2004年后，UTM市场得到了快速的发展，UTM产品如雨后春笋般涌现，但面临新的问题。首先是对应用层信息的检测程度受到限制，举个例子，假设防火墙允许“男人”通过，拒绝“女人”通过，那么是否允许来自星星的都教授（外星人）通过呢？此时就需要更高级的检测手段，这使得DPI（Deep Packet Inspection，深度报文检测）技术得到广泛应用。其次是性能问题，多个功能同时运行，UTM设备的处理性能将会严重下降。
2008年Palo Alto Networks公司2发布了下一代防火墙，解决了多个功能同时运行时性能下降的问题。同时，还可以基于用户、应用和内容来进行管控。
2009年Gartner3对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特性。随后各个安全厂商也推出了各自的下一代防火墙产品，防火墙进入了一个新的时代。

1：CheckPoint是以色列的一家安全厂商，发布了第一台基于状态检测技术的商业化防火墙。
2：Palo Alto Networks是美国的一家安全厂商，率先推出了下一代防火墙，称得上是下一代防火墙的开山鼻祖。

3：Gartner是著名的IT研究与顾问咨询公司，其研究范围覆盖全部IT产业，众所周知的魔力象限就出自Gartner。在2013年华为成为首家进入Gartner防火墙和UTM魔力象限的中国厂商，充分证明了华为安全产品的质量和实力。

从防火墙的发展历史中我们可以看到以下三个最主要的特点：

第一点是访问控制越来越精确。从最初的简单访问控制，到基于会话的访问控制，再到下一代防火墙上基于应用、用户和内容来做访问控制，都是为了实现更有效更精确地访问控制。
第二点是防护能力越来越强。从早期的隔离功能，到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能，防护手段越来越多，防护的范围也越来越广。
第三点是性能越来越高。随着网络中业务流量爆炸式增长，对性能的需求也越来越高，各个防火墙厂商通过对硬件和软件架构的不断改进，使防火墙的处理性能与业务流量相匹配。

下一代防火墙并不是终结，网络发展日新月异，新技术、新需求不断涌现。也许用不了几年，防火墙会变得更加高级和智能，也更容易管理和配置，让我们拭目以待。
通过上面的内容，大家应该对防火墙发展历史有了初步的认识，接下来强叔会为大家带来华为防火墙产品真容大揭秘，希望大家持续关注“强叔侃墙”系列帖子。

强叔提问：

各位小伙伴，未来的防火墙会发展成什么样子呢，或者，还会有防火墙这种设备形态吗，请大家畅所欲言~~

通信人家园 (https://www.txrjy.com/)