什么是防火墻——防火墻基礎(chǔ)知識(shí)篇

引言

2013年9月，華為在首屆企業(yè)網(wǎng)絡(luò)大會(huì)上發(fā)布下一代防火墻USG6600，標(biāo)志著華為防火墻又進(jìn)入一個(gè)新的歷史發(fā)展階段。

2013年12月，在Forrester Research發(fā)布的最新關(guān)于網(wǎng)絡(luò)隔離網(wǎng)關(guān)報(bào)告中，華為下一代防火墻作為唯一的中國(guó)廠商，在安全隔離網(wǎng)關(guān)特性上的全面性和質(zhì)量方面，以95%以上的超高滿足度獲得了優(yōu)秀的評(píng)價(jià)。

時(shí)光倒回至2001年，華為發(fā)布第一款防火墻插卡，白駒過隙，轉(zhuǎn)眼已經(jīng)十二年。十二年來，互聯(lián)網(wǎng)經(jīng)歷著不可預(yù)測(cè)的高速發(fā)展階段，而華為防火墻以及安全系列產(chǎn)品正在這發(fā)展的浪潮中乘風(fēng)破浪，逐步成長(zhǎng)和壯大，以至今天仍然在不斷超越。

 

---

俺來自華為防火墻研發(fā)團(tuán)隊(duì)，人稱強(qiáng)叔，曾經(jīng)的小伙，如今的大叔。今天想在這里，結(jié)合華為的防火墻及安全系列產(chǎn)品，與大家東侃侃防火墻的發(fā)展歷史、關(guān)鍵技術(shù)與困惑，西扯扯安全技術(shù)發(fā)展趨勢(shì)。與交換機(jī)、路由器相比，對(duì)防火墻熟悉的同學(xué)可能相對(duì)較少，強(qiáng)叔希望，防火墻作為網(wǎng)絡(luò)部署中安全防護(hù)的第一道防線，深深地存在各位網(wǎng)絡(luò)工程師們的腦海里~~

 

為表誠(chéng)意，下面，啰嗦的強(qiáng)叔就從防火墻一詞講起。

墻，始于防，忠于守。自古至今，墻予人以安全之意。

防火墻，顧名思義，阻擋的是火，此詞起源于建筑領(lǐng)域，正是用來隔離火災(zāi)，阻止火勢(shì)從一個(gè)區(qū)域蔓延到另一個(gè)區(qū)域。

 

引入到通信領(lǐng)域，防火墻也正是形象化地體現(xiàn)了這一特點(diǎn)：防火墻這一具體設(shè)備，通常用于兩個(gè)網(wǎng)絡(luò)之間的隔離。當(dāng)然，這種隔離是高明的，隔離的是“火”的蔓延，而又保證“人”的穿墻而過。這里的“火”是指網(wǎng)絡(luò)中的各種攻擊，而“人”是指正常的通信報(bào)文。

那么，用通信語言來定義，防火墻主要用于保護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域免受來自另一個(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。因其隔離、防守的屬性，靈活應(yīng)用于網(wǎng)絡(luò)邊界、子網(wǎng)隔離等位置，具體如企業(yè)網(wǎng)絡(luò)出口、大型網(wǎng)絡(luò)內(nèi)部子網(wǎng)隔離、數(shù)據(jù)中心邊界等等。

 

 

從上文可以看到，防火墻與路由器、交換機(jī)是有區(qū)別的。路由器用來連接不同的網(wǎng)絡(luò)，通過路由協(xié)議保證互聯(lián)互通，確保將報(bào)文轉(zhuǎn)發(fā)到目的地；交換機(jī)則通常用來組建局域網(wǎng)，作為局域網(wǎng)通信的重要樞紐，通過二層/三層交換快速轉(zhuǎn)發(fā)報(bào)文；而防火墻主要部署在網(wǎng)絡(luò)邊界，對(duì)進(jìn)出網(wǎng)絡(luò)的訪問行為進(jìn)行控制，安全防護(hù)是其核心特性。路由器與交換機(jī)的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。

 

現(xiàn)階段中低端路由器與防火墻有合一趨勢(shì)，主要也是因?yàn)槎呋ハ喙δ芗婢?，變成all in one的目標(biāo)，后文也會(huì)講到華為也發(fā)布了一系列此中低端設(shè)備。同時(shí)，后文也會(huì)對(duì)防火墻進(jìn)行隔離與管控、安全防護(hù)的基礎(chǔ)和關(guān)鍵技術(shù)進(jìn)行介紹，敬請(qǐng)各位關(guān)注。