防火墙概念（Firewall术语）

发展历程

纵观防火墙的发展历史，防火墙经历了从低级到高级、从功能简单到功能复杂的过程。网络技术的不断发展和新需求的不断提出，推动着防火墙的发展；

防火墙从包过滤防火墙发展起经历了状态检测、统一威胁管理、NGFW等到AI防火墙，有以下特点：访问控制越来越精细、防护能力越来越强、性能越来越高；

设备形态

防火墙根据设备形态分为，框式防火墙、盒式防火墙、软件防火墙，支持在云上云下灵活部署。

严格意义上，防火墙还有更多的部署形态，例如桌面型防火墙（盒式防火墙的一种）。桌面型防火墙适用于小型企业、行业分支、连锁商业机构等场景。

华为盒式防火墙同时支持传统模式和云管理模式。云管理模式由云端统一管理分支机构的安全接入，支持设备即插即用、业务配置自动化、运维可视化和网络大数据分析。

我们以学习 桌面型防火墙、软件防火墙 为主，后续内容聚焦的框式/盒式硬件防火墙（我们这辈子可能都不会域间框式防火墙）。

设备对比

以园区网为例：
1）交换机作用是接入终端和汇聚内部路由，组建内部互联互通的局域网。
2）路由器作用是路由的分发、寻址和转发，构建外部连接网络。
3）防火墙作用是流量控制和安全防护，区分和隔离不同安全区域。

防火墙与路由器转发流程对比

防火墙的转发流程比路由器复杂。

以框式设备为例，硬件上除了接口、LPU（Line Processing Unit）、交换网板等外，防火墙还特有 SPU（Service Processing Unit），用于实现防火墙的安全功能。

设备类别

包过滤防火墙

原理：包过滤防火墙的基本原理是通过 匹配数据包（比如 ACL 匹配）并执行控制策略 来实施数据包的过滤。包过滤是指基于五元组对每个数据包进行检测，根据配置的安全策略转发或丢弃数据包。包过滤防火墙主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。

优势：包过滤防火墙的设计简单，非常易于实现，而且价格便宜。

缺点，包过滤防火墙主要表现以下几点：
1）逐包检测，性能较低。
2）ACL规则难以适应动态需求。随着ACL复杂度和长度的增加，其过滤性能呈指数下降；静态的ACL规则难以适应动态的安全要求；
3）通常不检查应用层数据。
4）无报文关联分析，容易被欺骗。包过滤不检查会话状态也不分析数据，这很容易让黑客蒙混过关。例如，攻击者可以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址，就能很轻易地通过报文过滤器。

本例中通过配置防火墙安全策略，实现仅允许办公区IP访问互联网：

状态检测防火墙

状态检测防火墙就是支持状态检测功能的防火墙。状态检测是包过滤技术的发展，它考虑报文前后的关联性，检测的是连接状态而非单个报文。

原理：状态检测防火墙通过对连接的首个数据包（后续简称首包）检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制（转发或阻塞）。

本例中，状态检测防火墙检测到10.0.0.1与20.0.0.1建立TCP连接，并产生会话信息。第三次握手报文不符合TCP连接状态，报文被丢弃。

NGFW 也是状态检测防火墙的一种，其在内容安全和处理性能有极大的提升。

人工智能防火墙

AI防火墙是结合AI技术的新一代防火墙。它通过结合AI算法或AI芯片等多种方式，进一步提高了防火墙的安全防护能力和性能。

华为AI防火墙，内置的恶意文件检测引擎CDE、诱捕Sensor、APT检测引擎和探针，支持与沙箱和华为大数据分析平台CIS联动检测，打造智能防御体系。

华为HiSecEngine USG6000E系列是业界首批推出的AI防火墙。AI防火墙没有统一的标准，例如通过用大量数据和算法“训练”防火墙，让其学会自主识别威胁；通过内置AI芯片，提高应用识别和转发性能，都可以被称为AI防火墙。

APT（Advanced Persistent Threat，高级持续性威胁）是指用先进的攻击手段对特定目标进行长期持续性攻击的攻击形式。

沙箱（Sandbox）是一个用于检测病毒的安全设备，它为疑似病毒构建虚拟环境，通过观察其后续行为检测病毒。沙箱是APT检测的重要设备。华为的沙箱产品为Firehunter。

CIS（Cybersecurity Intelligence System）能够对网络中的流量及各类设备的网络、安全日志等海量网络基础数据执行有效采集，通过大数据实时及离线分析，结合机器学习技术、专家信誉、情报驱动，有效的发现网络中的潜在威胁和高级威胁，实现企业内部的全网安全态势感知，同时可以结合华为HiSec解决方案高效地完成威胁的处置闭环，防患未然。

自研恶意文件检测引擎（CDE）引入PE Class 2.0 AI算法，对全文件进行还原，对文件内容进行深度检测。（业界主流基于流检测。流检测的检测速度快，但只还原文件头，不对文件内容进行检查。

华为独创的AIE APT检测引擎，引入AI算法，持续防御最新威胁。

更多AI防火墙相关内容请参考：
1）https://e.huawei.com/cn/products/enterprise-networking/security
2）https://e.huawei.com/cn/material/networking/e1869bfff9ca42c1b4f6a83f69118215