首先说明一下我不是专家,我说的发展史只能从一个很小的角度来谈谈我的看法。
大家经常听到产品介绍,某某三代防火墙,今天我就来说说从一代到三代防火墙是如何划分的。
一代防火墙,目前大家已经看不到了,反正自从我07年开始从事这行就没见过。一代防火墙其实就是一台能做包过滤的路由器,我猜想也许是以前设备的性能不高,包过滤这样的事情都需要专门用一台设备来做。
一代防火墙最大的问题就是包过滤一阻断就是双向的,由于不记录会话状态,无法做到单向控制。二代防火墙就是针对这个问题开发出来的,可以记录会话状态,实现安全策略,单向访问控制。
二代防火墙在市面上现在还能看到不少,都是老家伙了,老而弥坚。但是二代防火墙在当今复杂的网络环境下,又存在两个问题:
1.只能检测网络层攻击,无法识别应用层,所以也就无法防御应用层攻击和病毒、木马。
2.无法识别用户,不能针对用户进行精确控制。
其实从我个人角度来看,这2个问题根本就不是问题,不过是厂家为了宣传和竞争造出来的产品。
问题1,这个事情已经有专门的设备IPS来处理,根本和防火墙就没啥关系
问题2,这个也有专门的上网行为管理设备来处理
但是最后的结果就是把这2个功能也加到防火墙里去,生生造出了第三代防火墙。反正对于中小企业,设备性能本身就过剩,加进去这2个功能还可以少买设备,使用更多功能,所以还是很多用户喜欢的。
在大型网络里,功能就会分的很清楚,防火墙就只会做防火墙自己的事,其他这些功能就算有也是不会开的。
本文出自 “实用主义工程师” 博客,谢绝转载!
原文地址:http://648909.blog.51cto.com/638909/1940752
