网路安全之防火墙的发展历程随着中国网民“队伍”迅速壮大,跑步进入移动互联时代,互联网的安全变得尤其重要。今天网康网络安全小讲堂为您介绍一下防火墙的发展历程。20世纪80年代,最早的防火墙几乎与路由器同时出现,第一代防火墙主要基于包过滤(Packetfilter)技术,是依附于路由器的包过滤功能实现的防火墙;随着网络安全重要性和性能要求的提高,防火墙渐渐发展为一个独立结构的、有专门功能的设备。1989年,贝尔实验室的DavePresotto和HowardTrickey最早推出了第二代防火墙,即电路层防火墙;到20世纪90年代初,开始推出第三代防火墙,即应用层防火墙(或者叫做代理防火墙);到1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,市面上出现了第四代防火墙,即以色列的CheckPoint公司推出的基于这种技术的商业化产品;1998年,NAI公司推出了一种自适应代理(Adaptiveproxy)技术,并在其产品GauntletFirewallforNT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。2004年,IDC首度提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(UnifiedThreatManagement,简称UTM)新类别。从这个定义上来看,IDC既提出了UTM产品的具体形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴;而从后半部分来看,UTM的概念还体现出在信息产业经过多年发展之后,对安全体系的整体认识和深刻理解。2009年,著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”。第一代防火墙已基本无法探测到利用僵尸网络作为传输方法的威胁。由于采用的是基于服务的架构与Web2.0使用的普及,更多的通讯量都只是通过少数几个端口及采用有限的几个协议进行,这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统(IPS)可根据已知攻击对操作系统与漏失部署补丁的软件进行检查,但却不能有效的识别与阻止应用程序的滥用,更不用说对于应用程序中的具体特性的保护了。随着网络技术的飞速发展,防火墙的短板也被逐渐暴露。根据“中国互联网站发展状况及其安全报告”显示,2014年总体网民中遭遇过网络安全问题的有46.3%,包括电脑或手机中病毒或木马攻击26.7%,账号或密码被盗25.9%,在网络遭遇到消费诈骗有12.6%。49%的网民表示互联网不太安全或非常不安全。事实上,无论是个体还是企业单位,对严峻的网络安全现状都有了一定认识,重视程度也与日俱增。然而,现有硬件防火墙作为一个独立的个体,无论从性能还是功能上都局限在一个硬件环境中,其扩展性也比较差,往往会出现当安全事件发生之后才开始升级,亡羊补牢的做法实在难以令人满意。另外,大多数现有防火墙产品还停留在网络层至应用层的防护,只能识别非法应用,对于应用可以拦截禁止,但内容防护的能力比较薄弱。然而正是由于对内容防护的缺乏,无法识别通过正常途径和网站发送的大量诈骗信息或非法视频等文件,为网民和企业单位带来了许多网络安全隐患和危害。可见,对于内容的防护需求是未来的重要趋势之一。下一代防火墙伴随企业的发展应运而生面对如此庞大的网络规模以及安全挑战,像国内最早一批企业安全供应商,如网康科技等先后推出了下一代防火墙产品。下一代防火墙除了传统防火墙功能外,同时具备可与之联动的IPS、应用管控、可视化和智能化联动等。下一代的防火墙产品可以对各种安全功能进行重新组合和排列,并从配置上把这些功能进行很好的集成。随着互联网和云计算技术的发展,单一的硬件防火墙防护越来越力不从心,依托强大的云空间及云计算技术,让防火墙从一个简单的区域防护变为全方位、立体式的交叉防护网络是大势所趋。套用一流行句:它不是一个人在战斗。通过强大的云信息库来存储安全特征,利用防火墙识别的内容来与云进行匹配,然后让防火墙采取正确的防护应对措施,并根据安全事件的危险性,通知其他防火墙提前做出防护准备,从而达到立体防护的效果。在视频防护上,下一代防火墙不仅能够拦截应用,而且能够分析视频内容加以控制。在云端建立强大的视频分析库,通过捕获视频中的信息,对其进行检测,适时切断视频流并发送警告信息。研究并搭建安全信息库,通过安全管理中心统一分析,集中调度,策略智能下发,让防火墙之间形成全方位的防护,网康公司的红盾下一代防火墙就能给您带来更好的安全防护,另外网康公司的慧眼云能帮助您感知存在的威胁。