如何看待防火墙的发展历程？

防火墙发展经历七个重要阶段。

从第一代防火墙出现至今已有 33 年历史，在发展 过程中，不断改进的网络技术对防火墙也提出各种新需求，并推动防火墙技术不 断进化迭代。第一代防火墙至第五代防火墙依附于 OSI 不同层次，采用逐一匹配 方式对流量进行检查，计算量太大导致检测效率较低。因此，第六代防火墙（统 一威胁管理）采用了多功能和一体化等综合检测手段，对网络流量进行立体式检 测，提高了检测灵活性。

防火墙的每一次进化，都伴随流量及客户需求的变化。防火墙本质上是部署在网 络边界出口，对流量进行检测和放行。防火墙产品形态及技术的发展，背后的主 要驱动力在于用户边界流量及需求的演进。在网络应用有限时期，网络流量不大 且用户较少，防火墙过滤规则简单且有效，利用包过滤防火墙对进出的每一个报 文，按照提前设置好的双向规则（ACL）进行检测并放行即可。在互联网应用兴 起时期，网络应用类型和数量大幅增加，由于流量目的端口随机，无法采用人工 静态配置“进和出”策略来放行每一个访问行为，因此采用动态策略进行放行。 在移动互联网爆发时期，网络带宽再次革命，新一轮应用爆炸，根据端口和访问 地址禁止掉所有的不同类型应用的检测机制过于粗放，因此增加 APP ID 和 UserID 等机制，构建新的过滤规则，形成下一代防火墙核心工作原理。

下一代防火墙具有更高级安全能力和更健全防御体系。传统防火墙产品的主要原 理是在计算机网络的不同层级针对数据包头信息或 IP 报文内容进行安全性检测， 通常只对端口及 TCP/IP 协议进行限制和封堵，在诸多新场景下存在不足，无法满 足用户对业务流量可视可控的要求、无法识别应用层攻击威胁，并且在开启较多 安全功能后性能衰减严重。下一代防火墙不仅包含传统防火墙全部功能（基础包 过滤、状态检测、NAT 和 VPN 等），还集成应用和用户识别与控制、Web 攻击防 护、入侵防御系统（Intrusion Prevention System，IPS）等更高级安全能力，因此 拥有更快处理效率和更强外部拓展联动能力。

下一代防火墙需求保持高速增长。根据 Research and Markets 预测，到 2023 年， 全球市场针对下一代防火墙解决方案的需求将以 13.6%年均复合增长率，达 47 亿 美元。由于网络安全威胁趋势的变化，市场对下一代防火墙将会有更高的要求。 从安全发展趋势看，下一代防火墙将会在应用识别技术、整合威胁情报应对未知 威胁等方面做出进一步技术创新，推动相关领域规模化放量。