第一代防火墻是基于包過濾的防火墻，時至今日這類防火墻仍在網(wǎng)絡交換機和路由器中以訪問控制列表(ACL)的形式發(fā)揮著作用。基于包過濾的防火墻檢查每個報文，并簡單的根據(jù)Ethernet和IP頭中的字段匹配進行過濾，但不維護協(xié)議或應用的狀態(tài)信息。目前，基于包過濾的防火墻僅存在于資源有限但要求高吞吐量的網(wǎng)絡設備中。

防火墻,傳統(tǒng)防火墻

上世紀90年代出現(xiàn)了狀態(tài)檢測防火墻。大多數(shù)狀態(tài)檢測防火墻運行于OSI的三層和四層。這種防火墻引入了被稱為“會話”的流量狀態(tài)用于追蹤開放連接。會話是基于五元組(源/目的IP和端口，IP協(xié)議號)進行識別的。即使使用的是單向策略，建立起的會話也允許雙向流量。會話還可以用于維護其他三層和四層信息，如TCP狀態(tài)和NAT轉(zhuǎn)換信息。除了維護會話外，狀態(tài)檢測防火墻還需要了解一些應用協(xié)議。有些應用(如FTP)在動態(tài)選擇的TCP/UDP端口上打開臨時會話，還有些應用(如VOIP協(xié)議)可能需要打開到第三方的會話。為了在上述環(huán)境中保持應用的可用性，狀態(tài)檢測防火墻支持應用層網(wǎng)關(guān)(ALG)。ALG檢查應用協(xié)議的內(nèi)容并動態(tài)生成臨時規(guī)則允許創(chuàng)建這些會話。

智能時代的防火墻，又需要哪些技術(shù)來滿足網(wǎng)絡安全發(fā)展的需要呢?智能防火墻的特性可以概括為：對于網(wǎng)絡狀態(tài)，要有學習能力;對于網(wǎng)絡產(chǎn)生的數(shù)據(jù)，要有挖掘能力;對于網(wǎng)絡的安全威脅，要能做到預警;對于安全事件，要能做到可視化管理。

下一代智能防火墻(iNGFW)以全網(wǎng)健康指數(shù)(NHI)對網(wǎng)絡健康狀態(tài)打分，以行為信譽指數(shù)(BRI)對用戶及服務器狀態(tài)打分，然后對“高危”人員或者“高危”服務器實行相應的預警或有效的控制。有了這樣的信譽評分制，管理員就可以根據(jù)用戶的信譽分數(shù)來動態(tài)調(diào)整策略，決定是否讓其進入網(wǎng)絡。這個思路的重要意義在于：將“信譽”作為第八元組引入防火墻的控制，使防火墻在原有的防護基礎上增加了對于網(wǎng)絡風險的控制。將大數(shù)據(jù)關(guān)聯(lián)分析的手段用在防火墻平臺上，可以充分發(fā)揮防火墻兼具檢測、監(jiān)控和控制能力于一體的優(yōu)勢，更好地實現(xiàn)聯(lián)動并實時控制風險，在一臺設備上就可實現(xiàn)有效的控制閉環(huán)，管理員可以基于感知到的風險進行安全管控，在事發(fā)之前防范安全問題或系統(tǒng)網(wǎng)絡中斷，節(jié)省客戶投資。