防火墙技术连载——强叔侃墙

引言

2013年9月，华为在首届企业网络大会上发布下一代防火墙USG6600，标志着华为防火墙又进入一个新的历史发展阶段。

2013年12月，在Forrester Research发布的最新关于网络隔离网关报告中，华为下一代防火墙作为唯一的中国厂商，在安全隔离网关特性上的全面性和质量方面，以95%以上的超高满足度获得了优秀的评价。

时光倒回至2001年，华为发布第一款防火墙插卡，白驹过隙，转眼已经十二年。十二年来，互联网经历着不可预测的高速发展阶段，而华为防火墙以及安全系列产品正在这发展的浪潮中乘风破浪，逐步成长和壮大，以至今天仍然在不断超越。

 

---

1、什么是防火墙？

俺来自华为防火墙研发团队，人称强叔，曾经的小伙，如今的大叔。今天想在这里，结合华为的防火墙及安全系列产品，与大家东侃侃防火墙的发展历史、关键技术与困惑，西扯扯安全技术发展趋势。与交换机、路由器相比，对防火墙熟悉的同学可能相对较少，强叔希望，防火墙作为网络部署中安全防护的第一道防线，深深地存在各位网络工程师们的脑海里~~

 

为表诚意，下面，啰嗦的强叔就从防火墙一词讲起。

墙，始于防，忠于守。自古至今，墙予人以安全之意。

防火墙，顾名思义，阻挡的是火，此词起源于建筑领域，正是用来隔离火灾，阻止火势从一个区域蔓延到另一个区域。

 

引入到通信领域，防火墙也正是形象化地体现了这一特点：防火墙这一具体设备，通常用于两个网络之间的隔离。当然，这种隔离是高明的，隔离的是“火”的蔓延，而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击，而“人”是指正常的通信报文。

那么，用通信语言来定义，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

 

 

从上文可以看到，防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；交换机则通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；而防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。

 

现阶段中低端路由器与防火墙有合一趋势，主要也是因为二者互相功能兼具，变成all in one的目标，后文也会讲到华为也发布了一系列此中低端设备。同时，后文也会对防火墙进行隔离与管控、安全防护的基础和关键技术进行介绍，敬请各位关注。

 

各位小伙伴，你们是怎么与防火墙结缘的呢，你们眼中的防火墙是什么样子，欢迎大家多多捧场回贴~~  

2、防火墙的昨天、今天和明天

各位好，强叔又和大家面见了。上一期为大家介绍了防火墙的基本概念，今天强叔要和大家聊一聊防火墙的昨天、今天和明天，欢迎大家跟着强叔来回顾防火墙的历史，展望防火墙的未来。

与人类的进化史相似，防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程。在这一过程中，网络技术的不断发展，新需求的不断提出，推动着防火墙向前发展演进。

 

最早的防火墙可以追溯到上世纪80年代末期，距今已有二十多年的历史。在这二十多年间，防火墙的发展过程大致可以划分为下面三个时期：

1989年至1994年

• 1989年产生了包过滤防火墙，实现简单的访问控制，我们称之为第一代防火墙。
• 随后出现了代理防火墙，在应用层代理内部网络和外部网络之间的通信，属于第二代防火墙。代理防火墙安全性较高，但处理速度慢，而且对每一种应用开发一个对应的代理服务是很难做到的，因此只能对少量的应用提供代理支持。
• 1994年CheckPoint公司¹发布了第一台基于状态检测技术的防火墙，通过动态分析报文的状态来决定对报文采取的动作，不需要为每个应用程序都进行代理，处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。

1995年至2004年

• 在这一时期，状态检测防火墙已经成为趋势。除了访问控制功能之外，防火墙上也开始增加一些其他功能，如VPN。
• 同时，一些专用设备也在这一时期出现了雏形。例如，专门保护Web服务器安全的WAF（Web Application Firewall，Web应用防火墙）设备。
• 2004年业界提出了UTM（United Threat Management，统一威胁管理）的概念，将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上，实现全面的安全防护。

2005年至今

• 2004年后，UTM市场得到了快速的发展，UTM产品如雨后春笋般涌现，但面临新的问题。首先是对应用层信息的检测程度受到限制，举个例子，假设防火墙允许“男人”通过，拒绝“女人”通过，那么是否允许来自星星的都教授（外星人）通过呢？此时就需要更高级的检测手段，这使得DPI（Deep Packet Inspection，深度报文检测）技术得到广泛应用。其次是性能问题，多个功能同时运行，UTM设备的处理性能将会严重下降。
• 2008年Palo Alto Networks公司²发布了下一代防火墙，解决了多个功能同时运行时性能下降的问题。同时，还可以基于用户、应用和内容来进行管控。
• 2009年Gartner³对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特性。随后各个安全厂商也推出了各自的下一代防火墙产品，防火墙进入了一个新的时代。

1：CheckPoint是以色列的一家安全厂商，发布了第一台基于状态检测技术的商业化防火墙。
2：Palo Alto Networks是美国的一家安全厂商，率先推出了下一代防火墙，称得上是下一代防火墙的开山鼻祖。

3：Gartner是著名的IT研究与顾问咨询公司，其研究范围覆盖全部IT产业，众所周知的魔力象限就出自Gartner。在2013年华为成为首家进入Gartner防火墙和UTM魔力象限的中国厂商，充分证明了华为安全产品的质量和实力。

 

从防火墙的发展历史中我们可以看到以下三个最主要的特点：

• 第一点是访问控制越来越精确。从最初的简单访问控制，到基于会话的访问控制，再到下一代防火墙上基于应用、用户和内容来做访问控制，都是为了实现更有效更精确地访问控制。
• 第二点是防护能力越来越强。从早期的隔离功能，到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能，防护手段越来越多，防护的范围也越来越广。
• 第三点是性能越来越高。随着网络中业务流量爆炸式增长，对性能的需求也越来越高，各个防火墙厂商通过对硬件和软件架构的不断改进，使防火墙的处理性能与业务流量相匹配。

下一代防火墙并不是终结，网络发展日新月异，新技术、新需求不断涌现。也许用不了几年，防火墙会变得更加高级和智能，也更容易管理和配置，让我们拭目以待。
通过上面的内容，大家应该对防火墙发展历史有了初步的认识，接下来强叔会为大家带来华为防火墙产品真容大揭秘，希望大家持续关注“强叔侃墙”系列帖子。

 

强叔提问：

各位小伙伴，未来的防火墙会发展成什么样子呢，或者，还会有防火墙这种设备形态吗，请大家畅所欲言~~