9.1 防火墙概述资料文件与下载

9.1 防火墙概述

所谓防火墙指的是一个在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合，用于保护内部网和专用网免受非法用户的侵入。

1. 传统防火墙技术类型

根据防火墙发展历程，传统防火墙形成了四种技术类型的防火墙，分别是：

² 包过滤防火墙：作用在网络层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。

² 代理防火墙：代理防火墙包括电路层防火墙和应用层防火墙，电路层防火墙，工作在传输层，在TCP协议上实现，本质上是一种代理软。

² 状态检测防火墙：状态检测防火墙工作于网络层，与包过滤防火墙相比，状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址，目的IP地址，源端口，目的端口和通讯协议等。

² 自适应代理防火墙：自适应代理技术（Adaptive proxy）是应用代理技术的一种，它结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点。

传统防火墙的关键技术有两种：包过滤技术，代理技术。其中包过滤防火墙和状态检测防火墙本质上采用的是包过滤技术。代理防火墙和自适应代理防火墙本质上是代理技术。状态检测技术是目前防火墙产品的基本功能，也是防火墙安全防护的基础技术。

2. 防火墙基本功能

防火墙应具有以下五大基本功能：

u 过滤进、出网络的数据；

u 管理进、出网络的访问行为；

u 封堵某些禁止的业务；

u 记录通过防火墙的信息内容和活动；

u 对网络攻击进行检测和报警。

3. 防火墙现状

当前，防火墙设备的主要形式是多种安全功能汇集一起的一体化安全设备形式，比如统一威胁管理TUM、下一代防火墙NGFW等。

（1）统一威胁管理UTM

2004年，IDC首度提出“统一威胁管理”的概念，即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理（Unified Threat Management，UTM）新类别。众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴。

（2）下一代防火墙NGFW

2009年，著名咨询机构Gartner提出下一代防火墙（Next Generation FireWall，NGFW）概念。NGFW必须有标准的防火墙功能，如网络地址转换，状态检测，VPN和大企业需要的功能如入侵防御系统IPS、防病毒AV、行为管理等功能。NGFW也是一种多功能一体化安全设备。

4、 华为防火墙

华为公司从2000年开始启动网络安全产品的研发，到目前，华为推出了两个系列防火墙产品，分别是Eudemon防火墙和USG防火墙。Eudemon包括传统防火墙、UTM防火墙、NGFW防火墙。USG防火墙包括UTM防火墙和NGFW防火墙。

1） Eudemon防火墙

2003年，华为推出低端防火墙Eudemon100/200，2004年推出了基于NP处理器（Network processor，网络处理器）架构的中低档Eudemon500/1000防火墙，后期又推出了Eudemon8040/8080系列高端防火墙。

2）统一安全网关防火墙（USG防火墙）

2008年，华为通过与赛门铁克成联合成立华赛公司后，加强了安全产品的研发，推出了命名为统一安全网关USG的防火墙UTM防火墙和NGFW防火墙。

2008-2011年，华为分别推出USG50、USG2100/2200、USG3000、USG5100/5300/5500、USG9300/9500（高端产品）等系列防火墙。这一系列的防火墙属于UTM安全产品。

2013年后，华为推出USG下一代防火墙NGFW,包括USG6300/6600等系列型号，分别是USG6306/6308，USG6320，USF6330/6350/6360，USG6370/6380/6390，USG6620/6630，USG6650/6660，USG6670/6680。

 3） 华为下一代防火墙选型参考表

表 华为下一代防火墙选型参考表