防火墙的前世今生

只看该作者 · 发表于 2022-3-5 14:44

中华文明上下五千年，从盘古开天辟地之时，人们开心的生活在中华大地。可是在尧舜时期，经常会遭受少数民族的威胁，他们利用大自然的天火，经常性的对人们的相关物资进行破坏。有一天尧舜发现石头推砌起来可以防止火灾的蔓延，于是他号召人们建立起一座座城墙，防火墙就应运而生。

在快速发展的过程中防火墙在安全防御系统中就建立了不可替代的地位。防火墙就像城墙，对进出防火墙的一切数据包进行检查，保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。

前世

春秋战国时代，齐桓公率先发明了包过滤技术，成为一代霸主。

1.Established ACL利用TCP的flag字段。只接受ACK和RST包

2.封掉低端口，放开高端口

3.自反ACL

后来楚国发现这些策略基于包过滤，逐包匹配原则。所以对路由器性能占用较高，影响网络性能，且无法阻止欺骗式攻击，容易收到拒绝服务攻击，于是新发明了代理服务器，成为新一代的霸主。所有流量都需要访问代理服务器（堡垒机），不能直接访问到内网。直接保护了内网，由代理服务器访问内网服务器。主要通过SOCKS协议实现代理。

哎，看着齐国也发展了，赵国按捺不住，动用全国上下人力物力财力，发明了状态防火墙。对流量以流的方式对待，检测流的第一个包生成状态，存储在会话表，之后根据会话表做过滤。

随着各国都在努力发展着各国技术，秦国坐着闷声发大财的主，秦始皇在他祖宗的基础上，将不同的防火墙设备集成堆叠于一个设备。在流量进入后依次通过每个防火墙模块，形成UTM多功能防火墙，统一全国。

随着时代的变迁，曾经如城墙般稳固的传统防火墙已黯然失色，失去了它原有的防御能力。近代社会的时候，面对网络的高速发展、应用不断增多的时代，逐渐被新的继任者重新定义了“防火墙”。我们不禁要问：曾经在IP/端口的网络时代发挥了巨大作用的“传统防火墙”为什么会被历史所淘汰？最主要的原因有：

1、功能局限性

传统的防火墙基于包头信息，基于IP/端口等，无法分辨应用及其内容，也不能区分用户，更无法分析记录用户的行为，随着网络已经深入日常生活大量的新应用建立HTTP/HTTPS标准协议之上，无法检测或拦截嵌入到普通流量中的恶意程序，例如病毒、蠕虫等等。

2、维护管理复杂化

传统防火墙的网络访问控制需要配置大量的策略，一不小心就可能导致错误、漏配的情况，多种设备堆砌，在一定程度上能弥补防火墙功能单一的缺陷。但在这种环境中，同一数据包经过串联的各类设备，被重复拆包，重复解析，就像机场安检总排长队，使整个网络的效率变得低下，运行速度缓慢。而独立设备、维护复杂，需要培养熟悉各类设备、各厂商设备的高级管理人员。无法进行统一的安全风险分析，大大提高了维护成本。

3、性能瓶颈

传统防火墙性能上的限制，通常它不具备实时监控入侵的能力，真正的针对所有网络和应用程序流量的深度检测功能，需要空前的处理能力，来完成大量的计算任务。随着社会的发展，网络带宽流量的不断扩大，传统防火墙的性能已无法满足人们的需求。

今生

2009年10月国际标杆Gartner提出“Defining the Next-Generation Firewall(NGFW)”一文，重新定义下一代防火墙，下一代防火墙的概念在业内便得到了普遍的认可。目前仅有不到1%的Internet连接采用NGFW来保护。Gartner认为，到2014年底，这个比例将增加到占安装量的35%，60%新购买的防火墙将是NGFW。目前，有一些已经将他们的产品升级为提供应用意识和一些NGFW特性的防火墙和IPS厂商，以及一些关注NGFW能力的新兴公司。随着防火墙和IPS更新周期的自然到来，或者随着带宽需求的增加和随着成功的攻击，促使更新防火墙，大企业将用NGFW替换已有的防火墙。Gartner认为不断变化的威胁环境，以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。NGFW厂商成功的关键将是以同样或略高于第一代防火墙的价格，提供包含第一代防火墙和IPS特性的NGFW。

新一代的的安全厂商某公司秉承着让安全更有效、更简单，下一代防火墙通过提出“融合安全，简单有效”价值主张，为用户业务提供全生命周期保护，真正实现全程可视和全程保护，形成三步走战略！

1、事前----更全面的安全防护

某公司AF帮助用户在事前自动发现新增资产、评估漏洞及是否有保护策略。不但具备了传统应用层设备的防护功能（如: 防扫描、信息隐藏、弱口令保护、漏洞防护、防止网页挂马等），还可以基于应用的内容做安全检查，包括扫描所有应用内容，过滤有风险的内容，甚至让用户自定义哪些内容可以进出，哪些内容不能进出，从而有效的去除各类安全短板，实现多层次完整的安全防护，同时节约了投资成本，提高了性价比。

2、事中------更精细的应用层安全策略

某公司对每个数据包找出相对应的用户角色和应用的访问权限，构建L2-7层纵深防御体系，屏蔽防护短板且具备联动和关联分析能力。

3、事后-----更高性能的应用层处理能力

采用单次解析架构，结合多核并行处理技术，对数据包进行一次拆包、一次解析，极大提高了NGAF的应用层性能，持续检测绕过防御的威胁，并通过云端安全服务提供7*24小时快速响应的技术服务。在IT业务运维全过程内向用户提供对风险的认知、对保护过程的认知和对结果的认知，帮助您的IT系统更简单、更安全、更有价值。

随着网络安全和信息化的发展，某公司一直秉承着更有效、更简单的战略目标，期待未来有更多的安全产品与大家亲密接触！