2022：下一代防火墙演进思考

1.0 综述

在网络安全硬件子市场中，防火墙是体量最大的单品，具有最广泛的应用场景。即便是今日在云化大潮下，防火墙依然占有体量第一的首要位置。

防火墙历史较久，这些年几个重要的演进阶段，包括：包过滤防火墙、代理防火墙、状态监测防火墙、统一威胁管理（简称UTM）、下一代防火墙（简称NGFW）。时至今日，如果按照Palo Alto在2007年第一次推出NGFW来算，下一代防火墙迄今已经15年历史了。那么2022年了，下下一代防火墙是不是该来了？

关于防火墙的未来走向，有不少文章讨论。不过大部分是就某个技术趋势讨论，没有讲清楚根因是为什么。安全产品，演进的本质上是以客户需求的变化为主线，这是一条稳定的脉络，决定了产品形态的演进路线。

防火墙是部署在网络边界出口位置的，负责流量的检测和放行。这几十年来防火墙演进的主要线索，是随着用户边界流量的变化，而带来的防护要求的变化而演进的。

那么，这些年网络边界流量发生了什么变化？

30年前，网络应用有限，流量不大，用户较少，只有简单的如Email，BBS，文件服务器等。举个例子，那时候的防火墙就像农家小院的铁门，客人来敲门，主人就会去开门；客人走了，主人就送客关门，（过滤规则）简单且有效。所以，包过滤防火墙，原理就是对进出的每一个报文，按照提前设置好的双向规则（ACL）进行检测并放行即可。

后来，互联网开始繁荣，网络应用的类型和数量大大增加，上网人数急剧增多，带宽也大大增加；与此同时，网络应用也变得日益复杂起来，往往有自身的交互逻辑和运行状态，如PC从内部网络访问外部网站，出流量需要进行ACL检测放行，而入流量的目的端口是随机的。

在这种情况下如果采用人工静态配置“进和出”策略这样来放行每一个访问行为，是不可能做到的。所以，可行的办法是防火墙智能记住这条流量的出入端口，采用动态策略进行放行：只要首包ok，就建立状态表，记住这条流的来回端口，这样后续这条访问相关的持续的报文就不再逐包检测，而是根据状态表进行放行。

一些防火墙技术如nat，alg，sip支持等都是在这个历史时期产生的。这就好比农家小院里的人口增加了，主人来来回的开门关门觉得很烦，这个时候在门口绑了一条狗，凡来过的客人，狗就认识了（有了状态），下次再来就根据记忆（状态表）默认放行，这让主人觉得“既方便也安全”，即“状态防火墙”。

再后来，网络带宽再次革命，加上3G的落地催生了移动互联网，带来了新一轮的应用爆炸。有代表性的应用就是Web2.0，在这种环境下，以往的检测机制过于粗旷且不够准确：举例来说，一个80端口可以是访问一个网页，也可以是一个网盘，或者一个页游。

因此，传统的基于五元组过滤的策略模式，根据端口和访问地址禁止掉所有的不同类型的应用，过于粗放，无法满足应用发展的实际情况了。所以在这个时候，PaloAlto这个公司，重新定义了防火墙，核心原理就是在五元组的基础上，增加了APP ID和User ID，通过深度识别用户和应用，并结合传统五元组，共同组成了新的过滤规则，能够更为精准的检测和识别流量内涵应用，从而满足应用爆炸带来的新的流量管控问题。

此处，还是得再接着举个例子：农家小院人口爆炸，院子住不下了，所以大家都搬进了大型小区。狗的记性再好，也记不住这么多人（应用）了。张家的人，李家的人，王家的人，车库的车，小区对外营业的麻将馆，还有保洁、外卖、装修·····各色人等。所以，得设立专业的物业保安队伍，对人员进行深度识别（登记），各色人等按照安全规则放行，比如有门禁卡的业主，默认放行；没有门禁的，门岗登记并问询业主确认后放行，这就是新一代防火墙（NGFW）的核心工作原理。

防火墙的每一次演进，都是随着流量的变化而变化。而流量变化的根因，是随着网络基础设施的演进而带来的应用爆炸。现实中“应用类型、网络架构、攻击方式、企业信息管理机制、算力基础设施”等多个因素会综合影响防火墙的形态，需要要把这些因素关联起来分析，