什么是防火墙?摘要:防火墙(Firewall)是一种网络安全设备,根据预定的安全策略监视、过滤和控制传入和传出网络的流量,保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。这里的防火墙不是指建筑领域用来隔离火源的那一堵墙,也不是指Windows等操作系统里内置的Wi
防火墙(Firewall)是一种网络安全设备,根据预定的安全策略监视、过滤和控制传入和传出网络的流量,保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。
这里的防火墙不是指建筑领域用来隔离火源的那一堵墙,也不是指Windows等操作系统里内置的Windows防火墙,更不是“翻墙”中的墙,而是指网络防火墙,可以是硬件、软件、软件即服务(SaaS)等形式。
防火墙作为网络部署中安全防护的第一道防线,可灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
与人类的进化史相似,防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程。在这一过程中,网络技术的不断发展,新需求的不断提出,推动着防火墙向前发展演进。
最早的防火墙可以追溯到上世纪80年代末期,距今已有三十多年的历史。在这三十多年间,防火墙的发展过程大致可以划分为下面三个时期:
1989年至1994年
1989年产生了包过滤防火墙,实现简单的访问控制,我们称之为第一代防火墙。随后出现了代理防火墙,在应用层代理内部网络和外部网络之间的通信,属于第二代防火墙。代理防火墙安全性较高,但处理速度慢,而且对每一种应用开发一个对应的代理服务是很难做到的,因此只能对少量的应用提供代理支持。1994年CheckPoint公司发布了第一台基于状态检测技术的防火墙,通过动态分析报文的状态来决定对报文采取的动作,不需要为每个应用程序都进行代理,处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。1995年至2004年
在这一时期,状态检测防火墙已经成为趋势。除了访问控制功能之外,防火墙上也开始增加一些其他功能,如VPN。同时,一些专用设备也在这一时期出现了雏形。例如,专门保护Web服务器安全的WAF(Web Application Firewall,Web应用防火墙)设备。2004年业界提出了UTM(United Threat Management,统一威胁管理)的概念,将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。2005年至今
2004年后,UTM市场得到了快速的发展,UTM产品如雨后春笋般涌现,但面临新的问题。首先是对应用层信息的检测程度受到限制,举个例子,假设防火墙允许“男人”通过,拒绝“女人”通过,那是否允许来自星星的都教授(外星人)通过呢?此时就需要更高级的检测手段,这使得业务感知技术得到广泛应用。其次是性能问题,多个功能同时运行,UTM设备的处理性能将会严重下降。2008年Palo Alto Networks公司发布了下一代防火墙,解决了多个功能同时运行时性能下降的问题。同时,还可以基于用户、应用和内容来进行管控。2009年Gartner对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。随后各个安全厂商也推出了各自的下一代防火墙产品,防火墙进入了一个新的时代。2014年左右,随着云计算和虚拟化技术的发展,防火墙开始云化,并以软件形式部署在云环境中,为用户提供弹性伸缩、灵活部署的安全服务。2018年华为采用机器学习和深度学习构建威胁检测模型,首次发布了运用智能检测技术的AI防火墙,解决了传统威胁检测技术颗粒粗、威胁检测周期长等问题,以应对APT为代表的高级威胁不断演进,如勒索软件、M2M攻击。有哪些不同类型的防火墙?从防火墙的发展历史可以看出,基于防火墙的实现技术手段划分,防火墙主要可以分为如下几种类型。
根据设备形态划分,防火墙又可分为硬件防火墙、软件防火墙和云防火墙:
硬件防火墙:最常见的防火墙形态,是一个单独的硬件,这些独立设备有自己的资源。硬件防火墙再按照形态来细化,还可以分为框式防火墙、盒式防火墙和桌面式防火墙、插板形态的防火墙等。软件防火墙:以软件形式安装在计算机或服务器上的防火墙,它既可以作为基于主机的防火墙来保护单个设备,也可以作为虚拟化环境中的网络防火墙来保护整个虚拟网络。把防火墙的处理放到虚拟机的环境下,让一台虚拟机变为防火墙,这类防火墙也就虚拟机防火墙,有时候也叫VM防火墙、虚拟防火墙。云防火墙:部署在云服务提供商环境中的防火墙服务,然后通过服务订阅的方式提供给客户。这些服务也称为防火墙即服务(FWaaS),以基础设施即服务(IaaS)或平台即服务(PaaS)的形式运行。尽管虚拟防火墙和云防火墙与硬件防火墙在形态上有差异,但它们的核心功能是一样的。
防火墙是如何工作的?防火墙已经发展了几十年,功能非常多,如安全策略、网络攻击防范、用于安全接入的IPsec VPN和SSL VPN、NAT地址转换、入侵防御、反病毒等。但是,防火墙之所以被称为防火墙,最基本最核心的功能是安全策略。
安全策略其实就是网络的门禁系统:
首先,它有最基本的“防暴”的能力,能够抵御一些最基本的网络攻击和DDoS泛洪流量的攻击。然后,就是门禁系统的核心——预设的安全策略。通过预先设定好的规则,允许什么样的流量通过,或者不允许什么样的流量通过。条件包括传统的IP地址和端口,也可以包括流量所属的应用程序、流量发起的用户、所在的地理位置、甚至当前的时间是工作时间还是周末等等,对于满足这些条件的流量,防火墙就可以指定是允许它通过还是不允许它通过。如果门禁系统允许流量通过,防火墙的功能并没有完结,还可以进一步对流量做进一步的“搜身检查”,比如入侵检测、反病毒、网页过滤、数据防泄漏等等,这些都是进一步的内容安全检查。如果发现了风险,防火墙可以按照既定设置拦截流量,或者发出告警事件。流量一般都是有两个方向,比如用户上网的时候,向网站发出的访问请求,在网站看来,是“入方向”,网站返回给用户的流量则是“出方向”。所以,流经防火墙的流量,也都是有两个方向。
网络里的数据流量,它并不是像水流一样连续的,所有的数据都被分成一个一个的报文,有点像快递包裹,所以防火墙看到的是大量的报文在两个方向上快速流淌、经过。
那安全策略是不是需要对经过的每一个报文进行检查和决策呢?答案是否定的,因为防火墙还是比较聪明的。尽管流过防火墙设备的流量是一个一个的报文,但是防火墙是能够看到它们之间的联系的,也就是防火墙看到的并不是一个一个孤立和随机的报文。例如,用户去访问一个网站,访问请求可能比较小,是两个报文组成的,返回的网页可能比较大,是几十个报文组成的,那么这些报文其实是共同完成了用户上网获取网页这样一个使命,它们都具有相同的访问目的,这些报文就像是旅行团,过门禁的时候,就可以按照团体游客来处理。防火墙就是这么做的,防火墙看到的是一个个不同的“旅行团”,在防火墙的术语里,把它们叫做流。防火墙对每个“旅行团”也就是流,只需要做一次判断和决策就可以。
防火墙的基本性能指标是什么?防火墙在网络安全中扮演着至关重要的角色,防火墙的性能直接关系到整个网络的安全性和稳定性。评估防火墙的性能是否满足网络需求的三个最基本的性能指标是:
最大并发连接数:表示同一时刻能够最大能够维持的流的数量。如果防火墙的并发连接数耗尽,新的流就无法创建,也无法通过防火墙。一般网络中存在大量终端、大量API服务器、或者提供即时通信和在线游戏等服务时,需要防火墙较大的并发连接数。这个性能主要是由防火墙内部的内存大小来决定的。
最大新建连接速率:表示每秒钟防火墙可以建立的新连接的数量。当防火墙新建连接速率满负荷的时候,用户上网就会卡顿,体验下降。一般提供云服务、实时性比较高的应用、或者碰到节假日促销等业务突增的场景,这个指标就会变得很重要。 这个性能主要取决于防火墙内的中央处理器和软件的处理性能。
最大吞吐量:表示每秒最大可以通过防火墙的数据量,一般用每秒通过的比特数或者每秒通过的报文数来衡量。值得注意的是,这个指标有很多细分项,比如小包吞吐量、大包吞吐量、开启内容安全以后的吞吐量等,它们都是在不同的前提条件下的吞吐量,要注意区分。 关注吞吐量的场景主要包括流媒体服务器、大量下载活动、或者云存储等等。这个性能主要是由处理器和接口的性能决定的。有些防火墙产品内会有专门的硬件加速芯片来提升这个性能。
防火墙与路由器和交换机有什么区别?防火墙、路由器和交换机都是网络设备,但它们的功能和作用有所不同。路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
经过三十多年的发展演变,防火墙的功能越来越强,性能越来越高。同样,华为的防火墙产品也经历了从无到有、逐步壮大的过程。在三十多年的时间中,华为防火墙始终坚韧前行,勇于创新,不断突破,取得了一个又一个辉煌。
已谢幕或即将谢幕的华为防火墙产品主要包括USG2000、USG5000、USG6000和USG9000四大系列,涵盖高、中、低端设备。其中,USG2000和USG5000系列定位于UTM产品,USG6000系列属于中低端下一代防火墙产品,USG9000系列属于高端下一代防火墙产品。
自2018年华为首次发布中低端AI防火墙USG6000E系列,随后又发布了高端AI防火墙USG12000系列、新一代中低端AI防火墙USG6000F系列。2024年又陆续推出USG6000E-S和USG6000F-S等面向分销市场的AI防火墙。
来源:世界知识库
