防火墙进化论：五大里程碑+五大预言

关注安全领域的人对于防火墙都不陌生，他们仅仅是整个网络安全组织的一部分而已，类似于XML。但是，防火墙是 永远也不会消失的。长期以来，防火墙都是网络中的最后一道防线，然而，随着威胁类型的不断变化和增长，一些国家和组织机构也针对防火墙的安放位置进行了大 量的讨论和研究，却没有取得很好的成效。在这样一个几乎所有的安全措施都不能起到成效的时代里，防火墙还有作用吗？这里我们为大家概括了防火墙历史上的几个里程碑，主要是从早期的采用包过滤技术而作为代理服务器的防火墙到下一代防火墙这段时期，包括云防火墙。同时，我们也预测了防火墙以及防火墙管理的发展趋势。

里程碑一：作为代理服务器的防火墙

在20世纪90年代初期，防火墙仅仅是一个代理服务器，这是一项特别简单的技术。在这个阶段，防火墙通常设置在网络的边界位置，并且用于代理内部网络的流量资源，这些流量可以经过过滤形成其他资源。

里程碑二：包过滤防火墙

在20世纪90年代初期，其实也有包过滤这项技术，主要运行在服务器上，用来检测进入网络的流量。管理员可以创建安全策略以及基本的规则库，完成包过滤要基于TCP/IP的5个属性：源IP、源端口、目的IP、目的端口和目的地协议。

里程碑三：状态防火墙

每一次包过滤只针对个别的包，但是防火墙使用状态封包检测技术以后，能够保留数据包，直到有足够的信息来作出“是”或“否”的决定。状态防火墙在今天也仍在被使用，但也在开始改变着。

里程碑四：统一威胁管理成了最新的流行词

在21世纪初，统一威胁管理(简称UTM)装置出现在了市场上，它是一个一体化的设备，集成了多种安全技术于一身，包括安全套接字层(SSL)虚拟私用网络、反病毒技术、入侵防御系统(IPSes)和防火墙。

里程碑五：下一代防火墙(NGFWs)

防火墙的最新发展成果就是下一代防火墙，它依然采用了包过滤技术，但这种技术是在应用层和用户流量统计上执行细化安全策略的基础上进行实施的。此外，下 一代防火墙集成了Internet协议安全性(简称IPSes)和其他的防护功能于一身，能够有效屏蔽恶意的网站流量。

预测一：防火墙虚拟化

在未来的几年，防火墙将会朝着虚拟化方向发展。和传统防火墙一样，这种虚拟防火墙能够检测数据包，能够在虚拟机上采用一定的安全策略规则来屏蔽不可靠的数据传输。但是虚拟防火墙不会取代专用的防火墙操作，来达到或者接近线速速，因为当组织开始把工作负载和不同的安全需求结合的时候，将会对这种虚拟防火墙有更多的要求。

预测二：云防火墙

自云计算和移动设备的出现以来，分析家们就已经预测到基于云的防火墙将会更加集中运用于服务上，Web应用防火墙就是一个很好的例子。

预测三：具有更多安全功能

我们已经看到了统一威胁管理技术和下一代防火墙的集成，接下来，我们要做的就是超越把更多的功能添加在一个盒子里的这种简单技术，把数据和功能更有效地集成起来，得到更快更好的决策。比如，这将意味着会有一些安全信息和事件管理(统一称为SIEM)平台，从网关处得到相关数据，进而动态调整防火墙规则，以此来缓和一些特殊的威胁。

预测四：更深入的内容检测

随着新一代防火墙出现在市场上，内容检测也得到了很大的改善。通常情况下，每一代检测软件的问市，都会比原来运行得更精简、快速，也更加有效。

预测五：业务管理防火墙

在未来，一些大型组织会有更多的决策需要执行，而随着网络复杂性的提高，我们需要从业务应用的角度上，而不是严格地从防火墙或是安全检测方面去分析问 题。这是整个软件行业的一种趋势，就业务应用这个例子来看，对于电商组织而言，信用卡处理服务是不可或缺的。因此，如果一条防火墙规则阻止了工作的运行或 使其进程变慢了，那么该组织将会受到影响。如何管理不断发展的防火墙，这也是一个新的发展方向。