本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

搜索
首页 信息速查 IP知识百科 在线课堂 智能辅助

什么是防火墙?

防火墙(Firewall)是一种网络安全设备,根据预定的安全策略监视、过滤和控制传入和传出网络的流量,保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。
这里的防火墙不是指建筑领域用来隔离火源的那一堵墙,也不是指Windows等操作系统里内置的Windows防火墙,更不是“翻墙”中的墙,而是指网络防火墙,可以是硬件、软件、软件即服务(SaaS)等形式。
防火墙作为网络部署中安全防护的第一道防线,可灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

防火墙的发展历史

与人类的进化史相似,防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程。在这一过程中,网络技术的不断发展,新需求的不断提出,推动着防火墙向前发展演进。

防火墙的发展历程
防火墙的发展历程

最早的防火墙可以追溯到上世纪80年代末期,距今已有三十多年的历史。在这三十多年间,防火墙的发展过程大致可以划分为下面三个时期:

1989年至1994年

  • 1989年产生了包过滤防火墙,实现简单的访问控制,我们称之为第一代防火墙
  • 随后出现了代理防火墙,在应用层代理内部网络和外部网络之间的通信,属于第二代防火墙。代理防火墙安全性较高,但处理速度慢,而且对每一种应用开发一个对应的代理服务是很难做到的,因此只能对少量的应用提供代理支持。
  • 1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙,通过动态分析报文的状态来决定对报文采取的动作,不需要为每个应用程序都进行代理,处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙

1995年至2004年

  • 在这一时期,状态检测防火墙已经成为趋势。除了访问控制功能之外,防火墙上也开始增加一些其他功能,如VPN
  • 同时,一些专用设备也在这一时期出现了雏形。例如,专门保护Web服务器安全的WAF(Web Application Firewall,Web应用防火墙)设备。
  • 2004年业界提出了UTM(United Threat Management,统一威胁管理)的概念,将传统防火墙、入侵检测、防病毒URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。

2005年至今

  • 2004年后,UTM市场得到了快速的发展,UTM产品如雨后春笋般涌现,但面临新的问题。首先是对应用层信息的检测程度受到限制,举个例子,假设防火墙允许“男人”通过,拒绝“女人”通过,那是否允许来自星星的都教授(外星人)通过呢?此时就需要更高级的检测手段,这使得业务感知技术得到广泛应用。其次是性能问题,多个功能同时运行,UTM设备的处理性能将会严重下降。
  • 2008年Palo Alto Networks公司发布了下一代防火墙,解决了多个功能同时运行时性能下降的问题。同时,还可以基于用户、应用和内容来进行管控。
  • 2009年Gartner对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。随后各个安全厂商也推出了各自的下一代防火墙产品,防火墙进入了一个新的时代。
  • 2014年左右,随着云计算和虚拟化技术的发展,防火墙开始云化,并以软件形式部署在云环境中,为用户提供弹性伸缩、灵活部署的安全服务。
  • 2018年华为采用机器学习和深度学习构建威胁检测模型,首次发布了运用智能检测技术AI防火墙,解决了传统威胁检测技术颗粒粗、威胁检测周期长等问题,以应对APT为代表的高级威胁不断演进,如勒索软件、M2M攻击。

有哪些不同类型的防火墙?

从防火墙的发展历史可以看出,基于防火墙的实现技术手段划分,防火墙主要可以分为如下几种类型。

表1-1 防火墙的分类

防火墙类型

工作原理

优点

缺点

包过滤防火墙

基于网络层和传输层,通过分析经过防火墙的每个IP数据包的源地址、目标地址、协议类型以及端口号等信息,与事先设定好的安全策略进行匹配,决定这些数据包是被允许通过,还是被拒绝或丢弃。

  • 简单高效:包过滤防火墙处理速度快,资源消耗相对较低。
  • 兼容性好:几乎可以在任何网络层上进行配置和使用。
  • 安全性有限:仅能基于数据包的表面层面进行审查,无法深入到应用层,因此无法识别复杂的攻击手段。
  • 功能单一:缺乏更高级的网络安全功能,如状态检查、内容审查等。

应用代理防火墙

基于应用层的防火墙技术,它通过代理服务器来处理进出网络的数据包。应用代理防火墙可以对数据包的内容进行过滤和检查,可以识别应用层协议(如HTTP、FTP),并可以对数据包进行加密和解密。

  • 安全性高:可以对数据包的内容进行深度检查
  • 精确控制:可以根据应用需求设置详尽的访问控制规则,实行更为精细化的流量管理。
  • 资源消耗大:由于需要深入分析数据包内容,会大幅增加CPU等资源的消耗。
  • 处理速度慢:复杂的分析过程延长了处理时间,对于高速网络可能产生瓶颈。

状态检测防火墙

在包过滤防火墙基础上发展而来,除了具有包过滤防火墙的基础功能外,它还能够跟踪和分析数据流的状态信息,如会话过程中的数据包顺序、连接状态等。

  • 安全性提升:通过跟踪连接状态,能够更准确地判断数据流的合法性,有效抵御一些简单攻击。
  • 智能化:可以根据通信状态和历史记录作出更为精准的判断。
  • 资源消耗大:相比包过滤防火墙,状态检测防火墙在跟踪连接状态时需要消耗更多资源。
  • 处理速度慢:处理速度相对较慢,面对极高速度的网络流量时可能会成为瓶颈。

统一威胁管理UTM

将传统防火墙、入侵检测、反病毒URL过滤应用识别和控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。

  • 综合防护:UTM集成了多种安全功能,提供从网络层到应用层的全面防护。
  • 简化管理:UTM将多种安全功能集成到一台设备中,简化了网络安全管理,减少了部署和维护多个独立安全设备的复杂性。
  • 安全性有限:尽然UTM提供了比包过滤等防火墙更深入的安全检查,但它的安全性仍然受到限制,例如,可能无法完全防御零日攻击高级持续性威胁等。
  • 性能瓶颈:多个功能同时运行,可能会遇到性能瓶颈。

下一代防火墙NGFW

NGFW解决了UTM多个功能同时运行时性能下降的问题,通过深入分析网络流量中的用户、应用和内容,基于高性能并行处理引擎,为用户提供应用层一体化安全防护,全面应对应用层威胁。

  • 深度检测:提供基于应用粒度的安全策略访问控制,实行更为精细化的上网行为管理
  • 性能更高:一体化引擎处理,大大提升了设备处理性能。
  • 管理复杂:无法基于意图进行智能管控,威胁处置人工程度高、花费时间长。
  • 未知威胁难预测:高级威胁日益增多,而且衍生出很多变种,NGFW的静态规则库检测方式难以为继

AI防火墙

利用人工智能技术,如机器学习和深度学习,来识别和预测网络威胁。它能够自动学习和适应新的威胁模式,实时调整安全策略,并能够处理大量的数据来识别异常行为。

  • 自适应性:能够自动学习和适应新的威胁,减少了对人工干预的依赖。
  • 预测能力:能够预测潜在的安全威胁,提前采取防御措施。
  • 计算算力依赖:引入智能检测技术后,对算力的要求更高否则智能检测实力难以发挥。
  • 管理运维复杂机器学习和深度学习构建的威胁检测模型依赖海量的数据,运维和管理复杂,需要专业的运维技术人员投入。

根据设备形态划分,防火墙又可分为硬件防火墙、软件防火墙和云防火墙

  • 硬件防火墙:最常见的防火墙形态,是一个单独的硬件,这些独立设备有自己的资源。硬件防火墙再按照形态来细化,还可以分为框式防火墙、盒式防火墙和桌面式防火墙、插板形态的防火墙等。
  • 软件防火墙:以软件形式安装在计算机或服务器上的防火墙,它既可以作为基于主机的防火墙来保护单个设备,也可以作为虚拟化环境中的网络防火墙来保护整个虚拟网络。把防火墙的处理放到虚拟机的环境下,让一台虚拟机变为防火墙,这类防火墙也就虚拟机防火墙,有时候也叫VM防火墙、虚拟防火墙。
  • 云防火墙:部署在云服务提供商环境中的防火墙服务,然后通过服务订阅的方式提供给客户。这些服务也称为防火墙即服务FWaaS),以基础设施即服务(IaaS)或平台即服务(PaaS)的形式运行。

尽管虚拟防火墙和云防火墙与硬件防火墙在形态上有差异,但它们的核心功能是一样的。

防火墙是如何工作的?

防火墙已经发展了几十年,功能非常多,如安全策略、网络攻击防范、用于安全接入的IPsec VPNSSL VPNNAT地址转换、入侵防御反病毒等。但是,防火墙之所以被称为防火墙,最基本最核心的功能是安全策略。

安全策略其实就是网络的门禁系统:

  1. 首先,它有最基本的“防暴”的能力,能够抵御一些最基本的网络攻击和DDoS泛洪流量的攻击。
  2. 然后,就是门禁系统的核心——预设的安全策略。通过预先设定好的规则,允许什么样的流量通过,或者不允许什么样的流量通过。条件包括传统的IP地址和端口,也可以包括流量所属的应用程序、流量发起的用户、所在的地理位置、甚至当前的时间是工作时间还是周末等等,对于满足这些条件的流量,防火墙就可以指定是允许它通过还是不允许它通过。
  3. 如果门禁系统允许流量通过,防火墙的功能并没有完结,还可以进一步对流量做进一步的“搜身检查”,比如入侵检测、反病毒、网页过滤、数据防泄漏等等,这些都是进一步的内容安全检查。如果发现了风险,防火墙可以按照既定设置拦截流量,或者发出告警事件。
防火墙的门禁系统
防火墙的门禁系统

流量一般都是有两个方向,比如用户上网的时候,向网站发出的访问请求,在网站看来,是“入方向”,网站返回给用户的流量则是“出方向”。所以,流经防火墙的流量,也都是有两个方向。

网络里的数据流量,它并不是像水流一样连续的,所有的数据都被分成一个一个的报文,有点像快递包裹,所以防火墙看到的是大量的报文在两个方向上快速流淌、经过。

那安全策略是不是需要对经过的每一个报文进行检查和决策呢?答案是否定的,因为防火墙还是比较聪明的。尽管流过防火墙设备的流量是一个一个的报文,但是防火墙是能够看到它们之间的联系的,也就是防火墙看到的并不是一个一个孤立和随机的报文。例如,用户去访问一个网站,访问请求可能比较小,是两个报文组成的,返回的网页可能比较大,是几十个报文组成的,那么这些报文其实是共同完成了用户上网获取网页这样一个使命,它们都具有相同的访问目的,这些报文就像是旅行团,过门禁的时候,就可以按照团体游客来处理。防火墙就是这么做的,防火墙看到的是一个个不同的“旅行团”,在防火墙的术语里,把它们叫做流。防火墙对每个“旅行团”也就是流,只需要做一次判断和决策就可以。

防火墙的基本性能指标是什么?

防火墙在网络安全中扮演着至关重要的角色,防火墙的性能直接关系到整个网络的安全性和稳定性。评估防火墙的性能是否满足网络需求的三个最基本的性能指标是:

  • 最大并发连接数:表示同一时刻能够最大能够维持的流的数量。

    如果防火墙的并发连接数耗尽,新的流就无法创建,也无法通过防火墙。一般网络中存在大量终端、大量API服务器、或者提供即时通信和在线游戏等服务时,需要防火墙较大的并发连接数。这个性能主要是由防火墙内部的内存大小来决定的。

  • 最大新建连接速率:表示每秒钟防火墙可以建立的新连接的数量。

    当防火墙新建连接速率满负荷的时候,用户上网就会卡顿,体验下降。一般提供云服务、实时性比较高的应用、或者碰到节假日促销等业务突增的场景,这个指标就会变得很重要。 这个性能主要取决于防火墙内的中央处理器和软件的处理性能。

  • 最大吞吐量:表示每秒最大可以通过防火墙的数据量,一般用每秒通过的比特数或者每秒通过的报文数来衡量。

    值得注意的是,这个指标有很多细分项,比如小包吞吐量、大包吞吐量、开启内容安全以后的吞吐量等,它们都是在不同的前提条件下的吞吐量,要注意区分。 关注吞吐量的场景主要包括流媒体服务器、大量下载活动、或者云存储等等。这个性能主要是由处理器和接口的性能决定的。有些防火墙产品内会有专门的硬件加速芯片来提升这个性能。

防火墙与路由器和交换机有什么区别?

防火墙、路由器交换机都是网络设备,但它们的功能和作用有所不同。路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。

防火墙与交换机、路由器对比
防火墙与交换机、路由器对比

华为有哪些防火墙产品?

经过三十多年的发展演变,防火墙的功能越来越强,性能越来越高。同样,华为的防火墙产品也经历了从无到有、逐步壮大的过程。在三十多年的时间中,华为防火墙始终坚韧前行,勇于创新,不断突破,取得了一个又一个辉煌。

华为防火墙发展历程
华为防火墙发展历程

已谢幕或即将谢幕的华为防火墙产品主要包括USG2000、USG5000、USG6000和USG9000四大系列,涵盖高、中、低端设备。其中,USG2000和USG5000系列定位于UTM产品,USG6000系列属于中低端下一代防火墙产品,USG9000系列属于高端下一代防火墙产品。

华为UTM产品和下一代防火墙产品
华为UTM产品和下一代防火墙产品

自2018年华为首次发布中低端AI防火墙USG6000E系列随后又发布了高端AI防火墙USG12000系列、新一代中低端AI防火墙USG6000F系列。2024年又陆续推出USG6000E-S和USG6000F-S等面向分销市场的AI防火墙。

华为AI防火墙产品
华为AI防火墙产品

更多产品介绍请参见:华为防火墙,产品配置维护请参见:华为防火墙产品文档

分享链接到: