什么是防火墻——防火墻基礎知識篇

引言

2013年9月，華為在首屆企業網絡大會上發布下一代防火墻USG6600，標志著華為防火墻又進入一個新的歷史發展階段。

2013年12月，在Forrester Research發布的最新關于網絡隔離網關報告中，華為下一代防火墻作為唯一的中國廠商，在安全隔離網關特性上的全面性和質量方面，以95%以上的超高滿足度獲得了優秀的評價。

時光倒回至2001年，華為發布第一款防火墻插卡，白駒過隙，轉眼已經十二年。十二年來，互聯網經歷著不可預測的高速發展階段，而華為防火墻以及安全系列產品正在這發展的浪潮中乘風破浪，逐步成長和壯大，以至今天仍然在不斷超越。

 

---

俺來自華為防火墻研發團隊，人稱強叔，曾經的小伙，如今的大叔。今天想在這里，結合華為的防火墻及安全系列產品，與大家東侃侃防火墻的發展歷史、關鍵技術與困惑，西扯扯安全技術發展趨勢。與交換機、路由器相比，對防火墻熟悉的同學可能相對較少，強叔希望，防火墻作為網絡部署中安全防護的第一道防線，深深地存在各位網絡工程師們的腦海里~~

 

為表誠意，下面，啰嗦的強叔就從防火墻一詞講起。

墻，始于防，忠于守。自古至今，墻予人以安全之意。

防火墻，顧名思義，阻擋的是火，此詞起源于建筑領域，正是用來隔離火災，阻止火勢從一個區域蔓延到另一個區域。

 

引入到通信領域，防火墻也正是形象化地體現了這一特點：防火墻這一具體設備，通常用于兩個網絡之間的隔離。當然，這種隔離是高明的，隔離的是“火”的蔓延，而又保證“人”的穿墻而過。這里的“火”是指網絡中的各種攻擊，而“人”是指正常的通信報文。

那么，用通信語言來定義，防火墻主要用于保護一個網絡區域免受來自另一個網絡區域的網絡攻擊和網絡入侵行為。因其隔離、防守的屬性，靈活應用于網絡邊界、子網隔離等位置，具體如企業網絡出口、大型網絡內部子網隔離、數據中心邊界等等。

 

 

從上文可以看到，防火墻與路由器、交換機是有區別的。路由器用來連接不同的網絡，通過路由協議保證互聯互通，確保將報文轉發到目的地；交換機則通常用來組建局域網，作為局域網通信的重要樞紐，通過二層/三層交換快速轉發報文；而防火墻主要部署在網絡邊界，對進出網絡的訪問行為進行控制，安全防護是其核心特性。路由器與交換機的本質是轉發，防火墻的本質是控制。

 

現階段中低端路由器與防火墻有合一趨勢，主要也是因為二者互相功能兼具，變成all in one的目標，后文也會講到華為也發布了一系列此中低端設備。同時，后文也會對防火墻進行隔離與管控、安全防護的基礎和關鍵技術進行介紹，敬請各位關注。