与人类的进化史相似,防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程。在这一过程中,网络技术的不断发展,新需求的不断提出,推动着防火墙向前发展演进。
最早的防火墙可以追溯到上世纪80年代末期,距今已有二十多年的历史。在这二十多年间,防火墙的发展过程大致可以划分为下面三个时期:
1989年至1994年
1989年产生了包过滤防火墙,实现简单的访问控制,我们称之为第一代防火墙。
随后出现了代理防火墙,在应用层代理内部网络和外部网络之间的通信,属于第二代防火墙。代理防火墙安全性较高,但处理速度慢,而且对每一种应用开发一个对应的代理服务是很难做到的,因此只能对少量的应用提供代理支持。
1994年CheckPoint公司1发布了第一台基于状态检测技术的防火墙,通过动态分析报文的状态来决定对报文采取的动作,不需要为每个应用程序都进行代理,处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。
1995年至2004年
在这一时期,状态检测防火墙已经成为趋势。除了访问控制功能之外,防火墙上也开始增加一些其他功能,如VPN。
同时,一些专用设备也在这一时期出现了雏形。例如,专门保护Web服务器安全的WAF(Web Application Firewall,Web应用防火墙)设备。
2004年业界提出了UTM(United Threat Management,统一威胁管理)的概念,将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。
2005年至今
2004年后,UTM市场得到了快速的发展,UTM产品如雨后春笋般涌现,但面临新的问题。首先是对应用层信息的检测程度受到限制,举个例子,假设防火墙允许“男人”通过,拒绝“女人”通过,那么是否允许来自星星的都教授(外星人)通过呢?此时就需要更高级的检测手段,这使得DPI(Deep Packet Inspection,深度报文检测)技术得到广泛应用。其次是性能问题,多个功能同时运行,UTM设备的处理性能将会严重下降。
2008年Palo Alto Networks公司2发布了下一代防火墙,解决了多个功能同时运行时性能下降的问题。同时,还可以基于用户、应用和内容来进行管控。
2009年Gartner3对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。随后各个安全厂商也推出了各自的下一代防火墙产品,防火墙进入了一个新的时代。
1:CheckPoint是以色列的一家安全厂商,发布了第一台基于状态检测技术的商业化防火墙。
2:Palo Alto Networks是美国的一家安全厂商,率先推出了下一代防火墙,称得上是下一代防火墙的开山鼻祖。
3:Gartner是著名的IT研究与顾问咨询公司,其研究范围覆盖全部IT产业,众所周知的魔力象限就出自Gartner。在2013年华为成为首家进入Gartner防火墙和UTM魔力象限的中国厂商,充分证明了华为安全产品的质量和实力。
从防火墙的发展历史中我们可以看到以下三个最主要的特点:
第一点是访问控制越来越精确。从最初的简单访问控制,到基于会话的访问控制,再到下一代防火墙上基于应用、用户和内容来做访问控制,都是为了实现更有效更精确地访问控制。
第二点是防护能力越来越强。从早期的隔离功能,到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能,防护手段越来越多,防护的范围也越来越广。
第三点是性能越来越高。随着网络中业务流量爆炸式增长,对性能的需求也越来越高,各个防火墙厂商通过对硬件和软件架构的不断改进,使防火墙的处理性能与业务流量相匹配。
下一代防火墙并不是终结,网络发展日新月异,新技术、新需求不断涌现。也许用不了几年,防火墙会变得更加高级和智能,也更容易管理和配置,让我们拭目以待。
