防火墙属于网络安全设备，其主要作用是通过各种配置，拒绝非授权的访问，保护网络安全。防火墙作为一个独立的硬件设备，可以通过访问控制、身份验证、数据加密、VPN技术等安全功能，形成一个信息进出的“屏障”。它不仅可以确保内部网络安全地访问互联网，同时还可以保护内部网络的安全。在企业生产环境中，防火墙可以对来自内部以及外部的安全问题、内外部相互访问等进行有效控制。防火墙是企业安全中不可或缺的门卫。

防火墙从出现到现在，主要经历了包过滤防火墙、代理防火墙和状态检测防火墙等三代，统一威胁管理和下一代防火墙。

包过滤防火墙

包过滤防火墙属于第一代防火墙。这种防火墙通过配置访问控制列表对数据报文进行过滤，并根据策略转发或丢弃数据报文，其设计简单且易于实现。但是包过滤不检查会话状态且不分析数据，攻击者可以使用假冒地址进行欺骗，然后通过防火墙。早期的软件防火墙基本都是这种类型。

代理防火墙

代理防火墙属于第二代防火墙。代理检查来自用户的请求，匹配安全策略后代表外部用户与真正的服务器建立连接，转发外部用户请求。代理防火墙安全性较高，但软件限制处理速度，同时需要为每一种应用开发对应的代理服务，开发周期长且升级困难。早期的硬件防火墙，价格昂贵的原因也在于此。

状态检测防火墙

状态检测防火墙属于第三代防火墙。1994年，网络安全厂商Check Point发布了第一台基于状态检测技术的防火墙。状态检测属于包过滤技术的延伸，对基于连接状态的数据报文进行检查时，它会考虑数据报文前后的关系，这意味着每个数据报文都不是独立存在的，而是前后有状态联系的。基于这样的状态联系，发展出了状态检测技术。状态检测防火墙通过动态分析激活的TCP会话和UDP会话状态采取动作，处理速度快且安全性高。这时候的防火墙处理速度已经相当的快了，典型的代表如当年的诺基亚防火墙，Check Point，思科的PIX，Netscreen等等。

统一威胁管理防火墙

统一威胁管理（United Threat Management，UTM）防火墙属于新一代防火墙。除了具备基本防火墙功能外，它还将入侵检测、访问控制、防病毒、URL过滤等功能集成于过滤等功能集成于一身，实现全面的安全防护功能。这个时期的防火墙已经出具上网行为管理设备的功能，当年的飞塔，Sonicwall，WatchGuard等等即做防火墙也承担起了网络行为管控的功能，不过这项功能最终被深信服发扬光大，这都是后话了。

下一代防火墙

下一代防火墙（Next Generation Firewall，NGFW）概念在2008年由网络安全厂商Palo Alto Networks提出，最初的目的是解决UTM防火墙运行多个功能后性能下降的问题。2009年Gartner对下一代防火墙重新进行了定义，明确了下一代防火墙除了具有UTM防火墙功能外，还可以基于用户、应用、内容进行管控。现在的下一代防火墙可谓是功能强大，不过最大的问题就是，很多使用下一代防火墙的用户对防火墙的配置和原理并不熟悉，往往大材小用，只当作状态检测防火墙来使用，如果要发挥下一代防火墙最大的效用，仍需要专业的安全技术人员进行调试管理运维。

如需要对下一代防火墙有更深入的了解，请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟 IT外包专家

• 上一篇: 蓝盟IT外包一站式解决方案：引入航空级SOP标准，实现网络与服务器从被动应急到主动运维的全面升级
  下一篇: 蓝盟党支部，从党史学习教育中汲取智慧力量“传承红色基因，赓续精神血脉”

• 分享到：