防火墙,顾名思义,阻挡的是火,此词起源于建筑领域,正是用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。
引入到通信领域,防火墙也正是形象化地体现了这一特点:防火墙这一具体设备,通常用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。那么,用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
最早的防火墙可以追溯到上个世纪八十年代末期。
1989年到1994年
- 1989年出现了包过滤防火墙,实现简单的访问控制,称之为第一代防火墙。
- 随后出现了代理防火墙,在应用层代理内部网络和外部网络之间的通信,属于第二代防火墙。安全性较高,但处理速度慢。
- 1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙,通过动态分析报文的状态来决定对报文采取的动作,不需要为每个应用都进行代理,处理速度快且安全性高,被称为第三代防火墙。
1995年至2004年
- 状态检测防火墙已经成为了趋势,除了访问控制功能之外,防火墙也开始增加一些其他功能
- 一些专用设备也在这一时期出现了雏形。
- 2004年业界提出UTM(统一威胁管理)的概念,将传统防火墙,入侵检测,防病毒,URL过滤,应用程序控制,邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。
2005年之后
- UTM产品大规模出现后,遇到了新的问题,首先是对应用层信息的检测程度受到限制,这使得DPI(深度报文检测)得到了广泛应用,其次是性能问题,多个功能同时运行,UTM设备的处理性能将会严重下降。
- 2008年Palo Alto Networks发布了下一代防火墙,解决了性能问题,同时还可以基于用户,应用和内容来进行管理控制。
- 2009年Gartner 对下一代防火墙进行了定义,明确了防火墙应具备的功能特性。防火墙进入了一个新的时代。
发展特点
1.访问控制越来越精确,从最初的访问控制到基于会话的访问控制,再到下一代防火墙上基于应用,用户,和内容来进行访问控制。
2.防护能力越来越强。从早起的隔离功能,到逐渐增加了入侵检测,防病毒,URL过滤,应用程序控制,邮件过滤等功能。
3.性能越来越高。