早在 1993 年，Check Point 首席執(zhí)行官 Gil Shwed 就推出了第一個狀態(tài)檢查防火墻 FireWall-1?？爝M 27 年，防火墻仍然是組織抵御網(wǎng)絡攻擊的第一道防線。當今的防火墻，包括下一代防火墻和網(wǎng)絡防火墻，通過內(nèi)置特性支持多種功能和能力，包括：

• 網(wǎng)絡威脅防護
• 基于應用程序和身份的控制
• 混合云支持
• 可擴展的性能

防火墻有什么作用？

防火墻是任何安全架構(gòu)的必要組成部分，它消除了主機級別保護的猜測，并將它們委托給您的網(wǎng)絡安全設備。防火墻，尤其是下一代防火墻，專注于阻止惡意軟件和應用層攻擊，加上集成的入侵防御系統(tǒng) (IPS)，這些下一代防火墻可以快速無縫地做出反應，以檢測和應對整個網(wǎng)絡中的外部攻擊。他們可以設置策略以更好地保護您的網(wǎng)絡并執(zhí)行快速評估以檢測侵入性或可疑活動（如惡意軟件）并將其關(guān)閉。

為什么我們需要防火墻？

防火墻，尤其是下一代防火墻，專注于阻止惡意軟件和應用層攻擊。連同集成的入侵防御系統(tǒng) (IPS)，這些下一代防火墻能夠快速無縫地做出反應，以檢測和打擊整個網(wǎng)絡的攻擊。防火墻可以根據(jù)先前設置的策略采取行動以更好地保護您的網(wǎng)絡，并且可以執(zhí)行快速評估以檢測侵入性或可疑活動（例如惡意軟件）并將其關(guān)閉。通過為您的安全基礎設施使用防火墻，您可以使用特定策略設置網(wǎng)絡以允許或阻止傳入和傳出流量。

網(wǎng)絡層與應用層檢查

網(wǎng)絡層或數(shù)據(jù)包過濾器在 TCP/IP 協(xié)議棧的相對較低級別檢查數(shù)據(jù)包，不允許數(shù)據(jù)包通過防火墻，除非它們匹配已建立的規(guī)則集，其中規(guī)則集的源和目標基于 Internet 協(xié)議（ IP）地址和端口。進行網(wǎng)絡層檢查的防火墻的性能優(yōu)于進行應用層檢查的類似設備。不利的一面是，不需要的應用程序或惡意軟件可以通過允許的端口，例如分別通過 Web 協(xié)議 HTTP 和 HTTPS、端口 80 和 443 的出站互聯(lián)網(wǎng)流量。

NAT 和虛擬專用網(wǎng)絡的重要性

防火墻還執(zhí)行基本的網(wǎng)絡級功能，例如網(wǎng)絡地址轉(zhuǎn)換 (NAT) 和虛擬專用網(wǎng)絡。網(wǎng)絡地址轉(zhuǎn)換隱藏或轉(zhuǎn)換可能在“私有地址范圍”中的內(nèi)部客戶端或服務器 IP 地址，如 RFC 1918 中定義的公共 IP 地址。隱藏受保護設備的地址可以保留有限數(shù)量的 IPv4 地址，并且可以防御網(wǎng)絡偵察，因為 IP 地址對 Internet 是隱藏的。

類似地，虛擬專用網(wǎng)絡將專用網(wǎng)絡擴展到隧道內(nèi)的公共網(wǎng)絡上，該隧道通常是加密的，其中數(shù)據(jù)包的內(nèi)容在穿越 Internet 時受到保護。這使用戶能夠安全地跨共享或公共網(wǎng)絡發(fā)送和接收數(shù)據(jù)。

下一代防火墻及以后

下一代防火墻在 TCP/IP 堆棧的應用程序級別檢查數(shù)據(jù)包，能夠識別 Skype 或 Facebook 等應用程序，并根據(jù)應用程序類型實施安全策略。如今，UTM（統(tǒng)一威脅管理）設備和下一代防火墻還包括入侵防御系統(tǒng) (IPS)或防病毒等威脅防御技術(shù)，以檢測和防止惡意軟件和威脅。這些設備還可能包括沙盒技術(shù)以檢測文件中的威脅。