防火墙发展和特性的基本概述

形态

1U/2U 机箱， 至少2个端口。现代防火墙有8~24个端口，对于应于所需要支撑的内部网段的数据。

端口一般为 RJ-45 或 SPF/SPF+。 SPF：小封装可插拨收发器。这是一个光模块。

部署模式

内联模式（串行 / 串联）： on-a-strick 我们有时称为在线模式

TAP模式： on-arm or on-armed 我们有时称为旁路模式

根据防火墙内部的协议处理能力，内联模式可以分为L1, L2, L3。

L1: 虚拟线缆模式。可以理解了电路连通。不支持桥接

L2: 透传/透明模式。与交换机一样，端口拥有MAC地址。可以桥接。CE可以看成是这个模式。

L3: NAT模式，具有虚拟路由。

历史发展

防火墙的最基本功能就是基于网络通信中的某个要素进行访问控制（AC）。这个要素的演化就是防火墙的发展历程。

五元组过滤（基于分组报文）基于会话的AC （对TCP/UDP协议有一定的支持能力）四层协议的AC（SOCKS/ALG电脑防火墙，对传输层协议有识别理解能力）SPI状态检测（会话中进行检查，不仅理解协议，也维护了会话的状态信息）NGFW （自2007年开始，基于应用的，可以看成为L7。相当于要理解应用层协议）

具备的功能

防火墙内部的实现也是一个分层的结构。底层是由驱动，协议栈，控制层组成。这部分的功能是用户不可见。在这里列出上层用户可见的功能。底层需要支持这些可见的功能。

性能的衡量

由于防火墙也会具备交换和路由功能，所以，交换机和路由的性能指标也适用和用于防火墙的评估测量。

相关的标准

ISCA 国际计算机安全协会

FIPS 联邦信息处理标准

ISO/IEC 15408

EAL

下一代防火墙必备的十大功能

1. 强有力的中心化管理

要具备网管功能。

2. 用户和应用程序控制

不仅仅是在网络层，传输层建立过滤规则，也应该能够把流量的用户维度，应用维度加入到规则中来。也就是说，一个流量的维度不仅仅有：基本的五元组，还应该包括用户，上层应用。

3. 高效的实用性

4. 即插即用的部署

支持多部部署模式。用户需要FW承载越来越多的角色。包括不限于网关，路由，流量控制，甚至是 MTA 。

5. 深度数据包检测

DPI，最基本的。

6. 高级逃避技术防范

7. 多租式（Multitenancy）架构

8. 可适性架构

9. 企业级的VPN

做为企业内网的边界，需要支持VPN接入，提供客户远程工作的场境。SSL集中器，为内网流量进入公网提供加密保护。

10. 虚拟化

FW 软件也可以直接部署到云中，去适应越来越多的企业 IT 环境上云。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!