什么是防火墙?

更新于 2026-01-27

防火墙是一种网络安全设备,用于根据组织预先制定的安全策略监控和过滤进出网络的数据流量。从最基本的角度来看,防火墙本质上是位于私有内部网络与公共互联网之间的屏障。防火墙的主要目的是允许无害流量进入,同时阻止危险流量。

防火墙的历史

防火墙自20世纪80年代末就已存在,最初以包过滤器的形式出现,即设置网络来检查计算机之间传输的数据包(或字节)。尽管包过滤防火墙至今仍在使用,但随着几十年来技术的发展,防火墙已经取得了长足的进步。

  • 第一代:病毒(Gen 1 Virus)
    20世纪80年代末,针对独立PC的病毒攻击影响了所有企业,推动了反病毒产品的诞生。

  • 第二代:网络(Gen 2 Networks)
    20世纪90年代中期,来自互联网的攻击波及所有企业,催生了防火墙的创建。

  • 第三代:应用程序(Gen 3 Applications)
    21世纪初,攻击者利用应用程序中的漏洞,影响了大多数企业,推动了入侵防御系统(IPS)产品的出现。

  • 第四代:有效载荷(Gen 4 Payload)
    约2010年,出现了有针对性、未知、规避性强且具有多态性的攻击,影响了大多数企业,推动了反机器人(anti-bot)和沙箱(sandboxing)产品的发展。

  • 第五代:大规模攻击(Gen 5 Mega)
    约2017年,出现了大规模、多向量、使用高级攻击工具的“巨型攻击”(mega attacks),推动了高级威胁防御解决方案的发展。

1993年,Check Point公司首席执行官Gil Shwed推出了首个状态检测防火墙——FireWall-1。快进27年,防火墙仍然是组织抵御网络攻击的第一道防线。如今的防火墙,包括下一代防火墙(NGFW)和网络防火墙,支持多种功能和能力,并内置以下特性:

  • 网络威胁防御
  • 基于应用和身份的控制
  • 混合云支持
  • 可扩展性能

防火墙的演进

正如其所保护的网络一样,防火墙在过去十年中经历了显著的变化。即使最早的防火墙工具对网络安全至关重要,因为它们在20世纪80年代最初只是作为包过滤工具而存在。

早期发展:包过滤防火墙

第一代防火墙于20世纪80年代末推出,采用简单的包过滤技术。这些工具在网络层(OSI第3层)检查数据包,并通过IP地址、端口和协议等参数过滤网络响应的数据包。然而,由于缺乏上下文感知能力,且过度关注单个数据包,使其容易受到IP分片等复杂攻击的影响。

状态检测的出现

20世纪90年代,Check Point率先推出了状态检测防火墙(stateful inspection firewalls)。这种第二代防火墙持续监控连接状态,确保数据包属于已建立的会话。这一改进显著增强了安全性。

应用层防火墙与代理防火墙

应用层防火墙和代理防火墙大约在同一时期出现。前者运行在OSI第7层,能够分析并应用特定于应用程序的数据和规则集。它们安全性极高——能够将流量请求与底层网络架构完全隔离——但早期模型受限于处理能力不足和高延迟问题。

统一威胁管理(UTM)与下一代防火墙(NGFW)

2010年代见证了统一威胁管理(UTM)系统的兴起,它试图将防火墙的响应能力与来自防病毒、入侵检测等企业安全系统的额外数据点结合起来。下一代防火墙(NGFW)进一步提升了这种集成能力,增加了深度包检测(DPI)、高级威胁防护和应用层过滤等功能。

现代适应:云与人工智能

如今,防火墙已适应云环境和容器化应用,催生了防火墙即服务(FWaaS)。基于跨环境数据的基础,人工智能(AI)和机器学习(ML)越来越多地被部署,用于其卓越的异常检测、预测性威胁分析和自适应策略执行能力。

从静态过滤器到智能、上下文感知系统,防火墙不断演进,以应对不断变化的威胁格局。接下来,我们将深入探讨当今防火墙所具备的所有关键特性。

防火墙的不同类型

包过滤(Packet filtering)

包过滤是一种在防火墙中使用的网络安全技术,用于控制网络间的数据流。它根据一组预定义规则评估进出流量的数据包头部信息,然后决定是否允许或阻止该流量。

防火墙规则是构成防火墙配置的关键指令。它们根据源IP地址、目标IP地址、端口和通信协议等参数,定义允许或阻止流量的条件。在企业环境中,这些单独的规则通常嵌套在一起形成访问控制列表(ACL)。处理流量时,防火墙按顺序逐条评估每个数据包是否匹配ACL中的规则。一旦数据包匹配某条规则,防火墙就会执行相应的操作(如允许、拒绝或拒绝并通知),不再继续评估后续规则。这种结构化、系统化的方法确保了网络访问的严格控制和一致性。

代理服务(Proxy service)

由于防火墙通常位于网络边缘,代理防火墙自然适合作为单一入口点:通过这种方式,它们可以评估每个连接的有效性。代理服务防火墙通过在防火墙处终止客户端连接、分析请求,然后与内部服务器建立新连接,从而完全隔离内部网络与外部网络。

状态检测(Stateful Inspection)

状态包检测(Stateful packet inspection)分析数据包的内容,并将其与已通过防火墙的数据包信息进行比较。

相比之下,无状态检测(stateless inspection)孤立地分析每个数据包;而状态检测则引入先前的设备和连接数据,以更全面地理解网络流量请求。这更类似于将网络数据视为连续的数据流。通过维护活跃连接列表,并从更宏观的角度评估每个连接,状态防火墙能够将网络行为分配给长期的用户和设备画像。

Web应用防火墙(Web Application Firewall, WAF)

Web应用防火墙(WAF)围绕特定应用程序部署,检查发送至该应用的HTTP请求。与其他类型的防火墙类似,它应用预定义规则来检测并阻止恶意流量。被审查的组件包括HTTP请求的头部、查询字符串和正文——这些都可能包含恶意活动的迹象。当识别到威胁时,WAF会阻止可疑请求并通知安全团队。

AI驱动的防火墙(AI-Powered Firewall)

防火墙本质上是强大的分析引擎,非常适合部署机器学习算法。由于机器学习算法能够比人工方式更快地摄入和分析大量数据,AI驱动的防火墙在应对新型(零日)威胁方面始终优于旧式防火墙。

例如,AI在防火墙中的一种常见实现是用户与终端行为分析(UEBA)。它摄入整个网络的历史数据,建立每个用户和终端的典型交互模式——例如他们使用哪些资源、何时访问等。

高可用性防火墙与超大规模弹性负载共享集群

高可用性(HA)防火墙旨在即使在防火墙发生故障时也能维持网络保护。这是通过冗余实现的,即采用HA集群:多个防火墙节点协同工作,提供不间断的保护。一旦某个设备发生故障,系统会自动切换到备用设备,从而保持无缝的网络安全。

除了传统的“高可用性”设计外,许多组织现在还需要超大规模(hyperscale)和电信级弹性防火墙系统,以确保99.99999%以上的正常运行时间,并支持高达1,000 Gbps的网络吞吐量,同时具备完整的威胁防御能力。

智能负载共享防火墙设计可将网络流量分布在防火墙集群中。它还能在意外的流量高峰或其他预定义触发条件下,自动将额外的防火墙资源重新分配给关键应用,并在条件恢复正常后将资源重新分配回原始组。这优化了性能,防止任何单一设备过载,并确保在所有条件下实现最大网络性能。

虚拟防火墙(Virtual Firewall)

传统上,防火墙仅限于硬件设备,因为它们需要强大的CPU算力来手动遍历ACL中的每一条规则。然而,如今得益于防火墙虚拟化,这种处理能力基本上可以“外包”。虚拟系统支持内部网络分段:一个工具可用于设置和监控多个分段防火墙,使子防火墙拥有各自的安全策略和配置。

虚拟防火墙具有诸多优势:例如,多租户环境可从中受益于这种分段。它还允许大型组织通过一个中央工具更高效地实施网络分段。除此之外,虚拟防火墙可提供与其硬件对应物相同的所有功能。

云防火墙(Cloud Firewall)

人们常将虚拟化防火墙与云防火墙混淆,但两者有区别:虚拟描述的是底层架构,而云防火墙指的是其所保护的企业资产。云防火墙用于保护组织的公有云和私有云网络。

防火墙即服务(Firewall as a Service, FWaaS)

由于云虚拟化现在允许远程购买和使用处理能力,虚拟防火墙成为可能。这为防火墙架构开辟了新的可能性——其中之一就是防火墙即服务(FWaaS)。

FWaaS与任何SaaS一样,是一种通过云部署的预构建防火墙解决方案。与将所有企业流量路由并通过本地服务器机房分析不同,FWaaS的独特之处在于其全球接入点(Points of Presence),可实现更本地化(且无延迟)的防火墙部署。

托管防火墙(Managed Firewall)

拥有防火墙固然重要,但正如我们即将讨论的,这种工具需要持续优化和调整。一些企业发现,这对精简的网络安全团队而言人力需求很快变得难以承受。因此,许多企业选择通过托管防火墙路由其流量——该防火墙由服务商持续监控威胁、异常或异常流量模式。这些外包防火墙还能受益于提供商的高级工具和威胁情报。

防火墙协议的重要性

即使是基础防火墙也能深入分析每个数据包的源地址、目标地址和所遵循的协议。但仅有可见性并不能防止攻击;防火墙规则决定了防火墙如何响应每个数据包——最终要么允许其进入企业网络,要么拒绝。

这些规则对于通过控制对系统的访问来维护网络安全至关重要,确保只有授权流量通过,而恶意或不需要的数据被阻止。为节省时间,大多数现成防火墙都提供预配置规则集。毕竟,许多威胁是普遍存在的,无论您的行业或员工具体情况如何——尤其是当攻击者能够扫描任何面向公众的网络以寻找常见漏洞时。通过预装规则集,现代防火墙可立即减少可能影响企业的潜在威胁;这对部署是一大助力,使管理员免去新工具通常所需的手动设置工作。这减少了错误,并确保符合行业最佳实践。

为什么我们需要防火墙?

防火墙,尤其是下一代防火墙(NGFW),专注于阻止恶意软件和应用层攻击。结合集成的入侵防御系统(IPS),这些下一代防火墙能够快速、无缝地检测并应对整个网络中的攻击。防火墙可根据预先设定的策略更好地保护您的网络,并能快速评估以检测入侵或可疑活动(如恶意软件),并立即关闭。通过在安全基础设施中部署防火墙,您正在为网络设置特定策略,以允许或阻止进出流量。

防火墙安全最佳实践

防火墙不是“设置后即可遗忘”的解决方案。组织面临的攻击不断变化,仅依赖手动规则更新的防火墙同样需要大量时间和关注。

根据最小权限原则设置规则

有效防火墙规则管理的基础是最小权限原则。其核心含义是:只允许服务于特定、必要业务功能的流量。遵循这一原则,几乎可以保证未来的规则变更能最大限度降低风险、加强对网络流量的控制,并限制不必要的跨网络通信。应用此原则要求明确指定源IP地址(或范围)、目标IP地址(或范围)和目标端口等细节。因此,像“任意/任意”(Any/Any)这样过于宽松的规则必须被替换为针对所有入站和出站活动的明确拒绝/允许策略。

保持最新文档

随着预配置规则的更改和更新,清晰全面的文档至关重要。网络安全团队中的任何人都应能通过文档轻松理解每条规则的目的。至少应记录以下信息:规则的目的、受影响的服务、涉及的用户和设备、实施日期、临时规则的到期日期,以及创建该规则的分析师姓名。

保护防火墙本身

防火墙不仅是企业安全的关键组成部分,也是任何网络基础设施中最面向公众的部分,因此未受管理的防火墙本身就可能成为威胁。为保护防火墙,必须遵循几项关键最佳实践:应完全禁用telnet和SNMP等不安全协议;应备份配置和日志数据库;应实施隐身规则(stealth rule)以防止防火墙被网络扫描发现。最后,定期关注防火墙解决方案的可用更新。

将规则和网络按对应类别分组

将企业网络划分为对应的安全级别是网络安全的另一项基础最佳实践,而防火墙规则非常适合用于强制执行这些分段。为简化管理,应根据功能或相关特征将规则分类或分节。这种方法可帮助您以最有效的顺序组织规则,并确保更好的监督。

AI驱动的防火墙正日益能够自动化其规则和文档生成:这些效率上的巨大飞跃正是NGFW逐步取代旧型号的主要原因。

网络层 vs. 应用层检测

网络层(或包过滤器)在TCP/IP协议栈的较低层级检查数据包,除非数据包匹配基于IP地址和端口设定的规则集(规则集的源和目标基于互联网协议IP地址和端口),否则不允许其通过防火墙。执行网络层检测的防火墙性能优于执行应用层检测的类似设备。缺点是,不需要的应用程序或恶意软件可能通过允许的端口传输,例如通过Web协议HTTP和HTTPS(分别对应端口80和443)的出站互联网流量。

NAT与VPN的重要性

防火墙还执行基本的网络级功能,如网络地址转换(NAT)和虚拟专用网络(VPN)。网络地址转换(NAT)隐藏或转换内部客户端或服务器可能使用的“私有地址范围”(如RFC 1918所定义)的IP地址为公有IP地址。隐藏受保护设备的地址既节省了有限的IPv4地址数量,也是一种防御网络侦察的手段,因为IP地址对互联网是隐藏的。

同样,虚拟专用网络(VPN)通过在公共网络上建立通常加密的隧道来扩展私有网络,使数据包内容在穿越互联网时受到保护。这使用户能够安全地在共享或公共网络上传输和接收数据。

下一代防火墙及未来

下一代防火墙(NGFW)在TCP/IP协议栈的应用层检查数据包,能够识别Skype或Facebook等应用程序,并根据应用程序类型强制执行安全策略。

如今,统一威胁管理(UTM)设备和下一代防火墙还包括入侵防御系统(IPS)或防病毒等威胁防御技术,以检测和阻止恶意软件和威胁。这些设备还可能包含沙箱技术,用于检测文件中的威胁。

随着网络安全格局的不断演变以及攻击日益复杂化,下一代防火墙将继续成为任何组织安全解决方案的重要组成部分,无论您身处数据中心、网络还是云环境。