理论篇

第1章 基础知识

1.1 什么是防火墙

2013年9月，华为在首届企业网络大会上发布了下一代防火墙USG6600，标志着华为防火墙进入一个新的历史发展阶段。

2013年12月，在Forrester Research最新发布的网络隔离网关报告中，华为下一代防火墙作为唯一被提及的中国厂商，以全面的特性支持和可靠的质量保证，达到了95%以上的超高满足度，获得了优秀的评价。

时光倒回至2001年，华为发布了第一款防火墙插卡。白驹过隙，至今已经13年。13年来，互联网经历着不可预测的高速发展，而华为防火墙正是在这个发展的浪潮中乘风破浪，逐步成长和壮大，今天仍然在不断超越。

与交换机、路由器相比，熟悉防火墙的读者可能相对较少。作为网络中安全防护的第一道防线，防火墙扮演着重要的角色，是时候来认识一下这位网络安全的忠诚守护者了。

本人来自华为防火墙研发团队，人称“强叔”，曾经的小伙，如今的大叔。在这里结合华为的防火墙及安全系列产品，跟大家东侃侃防火墙的发展历史和关键技术，西扯扯防火墙上安全特性的实现原理和配置方法。希望通过强叔的讲解，能让防火墙深深地存在各位网络工程师的脑海里。

下面，强叔就从“防火墙”一词讲起。墙，始于防，忠于守。自古至今，墙予人以安全之意。防火墙，顾名思义，阻挡的是火，这一名词起源于建筑领域，其作用是隔离火灾，阻止火势从一个区域蔓延到另一个区域。

引入到通信领域，防火墙也形象化地体现了这一特点：防火墙这一具体的网络设备，通常用于两个网络之间的隔离。当然，这种隔离是高明的，隔离的是“火”的蔓延，而又保证“人”能穿墙而过。这里的“火”是指网络中的各种攻击，而“人”是指正常的通信报文。

那么，用通信语言来定义，防火墙主要用于保护一个网络免受来自另一个网络的攻击和入侵行为。因其隔离、防守的属性，防火墙灵活应用于网络边界、子网隔离等位置，如企业网络出口、大型网络内部子网隔离、数据中心边界等，如图1-1所示。

图1-1 防火墙部署场景示意图

通过上文的介绍我们可以看到，防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；交换机通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制，如图1-2所示。

图1-2 防火墙与交换机、路由器对比

现阶段中低端路由器与防火墙有合一趋势，主要是因为二者形态相似，功能相近，华为发布了一系列这样的中低端设备，如USG2000/5000系列防火墙，兼具路由和安全功能，真正做到了“all in one”。

了解防火墙的基本概念后，接下来强叔为大家介绍防火墙的发展历史。