1.2 防火墙的发展历史

上一节为大家介绍了防火墙的基本概念，本节强叔要和大家聊一聊防火墙的昨天、今天和明天，请大家跟着强叔来回顾防火墙的发展历史，展望防火墙的美好未来。

与人类的进化史相似，防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程，如图1-3所示。在这一过程中，网络技术的快速发展、新需求的不断提出，推动着防火墙向前发展演进。

最早的防火墙可以追溯到20世纪80年代末期，距今已有二十多年的历史。在这二十多年间，防火墙的发展过程大致可以划分为如下3个时期。

1.2.1 1989年至1994年

防火墙在这一个时期的大事件主要包括以下几个。

· 1989年产生了包过滤防火墙，能实现简单的访问控制，我们称之为第一代防火墙。

· 随后出现了代理防火墙，在应用层代理内部网络和外部网络之间的通信，属于第二代防火墙。代理防火墙的安全性较高，但处理速度慢，而且对于每一种应用都要开发一个对应的代理服务是很难做到的，因此只能对少量的应用提供代理支持。

· 1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙，通过动态分析报文的状态来决定对报文采取的动作，不需要为每个应用程序都进行代理，处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。

1.2.2 1995年至2004年

防火墙在这一个时期的大事件主要包括以下几个。

· 状态检测防火墙已经成为趋势，除了访问控制功能之外，防火墙上也开始增加一些其他功能，如VPN（Virtual Private Network，虚拟专用网）。

· 同时，一些专用设备在这一时期出现了雏形。例如，专门保护Web服务器安全的WAF（Web Application Firewall, Web应用防火墙）设备。

· 2004年业界提出了UTM（United Threat Management，统一威胁管理）的概念，将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上，实现全面的安全防护。

1.2.3 2005年至今

防火墙在这一个时期的大事件主要包括以下几个。

· 2004年后，UTM市场得到了快速的发展，UTM产品如雨后春笋般涌现，但面临新的问题。首先是针对应用层信息的检测程度受到限制。举个例子，假设防火墙允许“男人”通过，拒绝“女人”通过，那是否允许来自星星的都教授（外星人）通过呢？此时就需要更高级的检测手段，这使得DPI（Deep Packet Inspection，深度报文检测）技术得到广泛应用。其次是性能问题，多个安全功能同时运行，UTM设备的处理性能将会严重下降。

· 2008年Palo Alto Networks公司发布了下一代防火墙（Next-Generation Firewall），解决了多个功能同时运行时性能下降的问题。同时，下一代防火墙还可以基于用户、应用和内容来进行管控。

· 2009年Gartner对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特性。随后各个安全厂商都推出了各自的下一代防火墙产品，防火墙进入了一个新的时代。

1.2.4 总结

从防火墙的发展历史中我们可以看到以下3个最主要的特点。

· 第一点是防火墙的访问控制越来越精确。从最初的简单访问控制，到基于会话的访问控制，再到下一代防火墙上基于用户、应用和内容来进行访问控制，都是为了实现更有效更精确的管控。

· 第二点是防火墙的防护能力越来越强。从早期的隔离功能，到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能，防护手段越来越多，防护的范围也越来越广。

· 第三点是防火墙的处理性能越来越高。随着网络中业务流量爆炸式增长，对防火墙性能的需求也越来越高。各个厂商不断地对防火墙的硬件和软件架构进行改进和完善，使防火墙的处理性能不断提高。

下一代防火墙并不是终结，网络发展日新月异，新技术、新需求不断涌现，也许用不了几年，防火墙会变得更加高级和智能，也更容易管理和配置，让我们拭目以待。