早在 1993 年，Check Point 首席執行官 Gil Shwed 就推出了第一個狀態檢查防火墻 FireWall-1。快進 27 年，防火墻仍然是組織抵御網絡攻擊的第一道防線。當今的防火墻，包括下一代防火墻和網絡防火墻，通過內置特性支持多種功能和能力，包括：

• 網絡威脅防護
• 基于應用程序和身份的控制
• 混合云支持
• 可擴展的性能

防火墻有什么作用？

防火墻是任何安全架構的必要組成部分，它消除了主機級別保護的猜測，并將它們委托給您的網絡安全設備。防火墻，尤其是下一代防火墻，專注于阻止惡意軟件和應用層攻擊，加上集成的入侵防御系統 (IPS)，這些下一代防火墻可以快速無縫地做出反應，以檢測和應對整個網絡中的外部攻擊。他們可以設置策略以更好地保護您的網絡并執行快速評估以檢測侵入性或可疑活動（如惡意軟件）并將其關閉。

為什么我們需要防火墻？

防火墻，尤其是下一代防火墻，專注于阻止惡意軟件和應用層攻擊。連同集成的入侵防御系統 (IPS)，這些下一代防火墻能夠快速無縫地做出反應，以檢測和打擊整個網絡的攻擊。防火墻可以根據先前設置的策略采取行動以更好地保護您的網絡，并且可以執行快速評估以檢測侵入性或可疑活動（例如惡意軟件）并將其關閉。通過為您的安全基礎設施使用防火墻，您可以使用特定策略設置網絡以允許或阻止傳入和傳出流量。

網絡層與應用層檢查

網絡層或數據包過濾器在 TCP/IP 協議棧的相對較低級別檢查數據包，不允許數據包通過防火墻，除非它們匹配已建立的規則集，其中規則集的源和目標基于 Internet 協議（ IP）地址和端口。進行網絡層檢查的防火墻的性能優于進行應用層檢查的類似設備。不利的一面是，不需要的應用程序或惡意軟件可以通過允許的端口，例如分別通過 Web 協議 HTTP 和 HTTPS、端口 80 和 443 的出站互聯網流量。

NAT 和虛擬專用網絡的重要性

防火墻還執行基本的網絡級功能，例如網絡地址轉換 (NAT) 和虛擬專用網絡。網絡地址轉換隱藏或轉換可能在“私有地址范圍”中的內部客戶端或服務器 IP 地址，如 RFC 1918 中定義的公共 IP 地址。隱藏受保護設備的地址可以保留有限數量的 IPv4 地址，并且可以防御網絡偵察，因為 IP 地址對 Internet 是隱藏的。

類似地，虛擬專用網絡將專用網絡擴展到隧道內的公共網絡上，該隧道通常是加密的，其中數據包的內容在穿越 Internet 時受到保護。這使用戶能夠安全地跨共享或公共網絡發送和接收數據。

下一代防火墻及以后

下一代防火墻在 TCP/IP 堆棧的應用程序級別檢查數據包，能夠識別 Skype 或 Facebook 等應用程序，并根據應用程序類型實施安全策略。如今，UTM（統一威脅管理）設備和下一代防火墻還包括入侵防御系統 (IPS)或防病毒等威脅防御技術，以檢測和防止惡意軟件和威脅。這些設備還可能包括沙盒技術以檢測文件中的威脅。