防火牆的發明

① 防火牆的基本定義

防火牆（Firewall），也稱防護牆，是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網（US5606668（A）1993-12-15）。

② 防火牆的的發展概況

防火牆的概念
當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆的功能

防火牆是網路安全的屏障：

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

防火牆可以強化網路安全策略：

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

對網路存取和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。
除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

③ 防火牆的起源

第一代防火牆——包過濾防火牆
包過濾指在網路層對每一個數據包進行檢查，根據配置的安全策略來轉發或拒絕數據包。

包過濾防火牆的基本原理是：通過配置ACL（Access Control List，訪問控制列表）實施數據包的過濾。實施過濾主要是基於數據包中的源/目的IP地址、源/目的埠號、IP標識和報文傳遞的方向等信息。

第一代防火牆的設計簡單，非常易於實現，而且價格便宜，但其缺點不容忽視，主要表現在：

l 隨著ACL復雜度和長度的增加，其過濾性能成指數下降趨勢；

l 靜態的ACL規則難以適應動態的安全要求；

l 包過濾不檢查會話狀態也不分析數據，即不能對用戶級別進行過濾，這容易讓黑客矇混過關。例如，攻擊者可以使用假冒地址進行欺騙，通過把自己主機IP地址設成一個合法主機IP地址，就能很輕易地通過報文過濾器。

2. 第二代防火牆——代理防火牆
代理服務作用於網路的應用層，其實質是把內部網路和外部網路用戶之間直接進行的業務由代理接管。代理檢查來自用戶的請求，認證通過後，該防火牆將代表客戶與真正的伺服器建立連接，轉發客戶請求，並將真正伺服器返回的響應回送給客戶。

代理防火牆能夠完全控制網路信息的交換，控制會話過程，具有較高的安全性，但其缺點同樣突出，主要表現在：

l 軟體實現限制了處理速度，易於遭受拒絕服務攻擊；

l 需要針對每一種協議開發應用層代理，升級很困難。

3. 第三代防火牆——狀態防火牆
狀態分析技術是包過濾技術的擴展（非正式的也可稱為「動態包過濾」）。基於連接狀態的包過濾在進行數據包的檢查時，將每個數據包看成是獨立單元的同時，還要考慮前後報文的歷史關聯性。

基本原理簡述如下：

l 狀態防火牆使用各種狀態表來追蹤激活的TCP（Transmission Control Protocol）會話和UDP（User Datagram Protocol）偽會話（在處理基於UDP協議包時為UDP建立虛擬連接，以對UDP連接過程進行狀態監控的會話過程），由ACL表來決定哪些會話允許建立，只有與被允許會話相關聯的數據包才被轉發。

l 狀態防火牆在網路層截獲數據包，然後從各應用層提取出安全策略所需要的狀態信息，並保存到動態狀態表中，通過分析這些狀態表和與該數據包有關的後續連接請求來做出恰當決定。

從外部網路向內看，狀態防火牆更像一個代理系統（任何外部服務請求都來自於同一主機），而由內部網路向外看，狀態防火牆則像一個包過濾系統（內部用戶認為他們直接與外部網交互）。

狀態防火牆具有以下優點：

l 速度快。狀態防火牆對數據包進行ACL檢查的同時，可以將包連接狀態記錄下來，後續包則無需再通過ACL檢查，只需根據狀態表對新收到的報文進行連接記錄檢查即可。檢查通過後，該連接狀態記錄將被刷新，從而避免重復檢查具有相同連接狀態的包。連接狀態表裡的記錄可以隨意排列，這點與記錄固定排列的ACL不同，於是狀態防火牆可採用諸如二叉樹或哈希（hash）等演算法進行快速搜索，提高了系統的傳輸效率。

l 安全性較高。連接狀態清單是動態管理的，會話完成時防火牆上所創建的臨時返回報文入口隨即關閉，這保障了內部網路的實時安全。同時，狀態防火牆採用實時連接狀態監控技術，通過在狀態表中識別諸如應答響應等連接狀態因素，增強了系統的安全性。

④ linux防火牆發展歷史

http://ke..com/view/2512230.htm 這里有對linux防火牆的詳細介紹

⑤ 個人防火牆的發展背景

Internet的出現及其迅速發展給現代人的生產和生活都帶來了前所未有的飛躍，它促進了信息的廣泛交流，大大提高了工作效率，豐富了人們的精神生活。然而，隨著計算機網路技術的突飛猛進，網路安全的問題已經日益突出地擺在各類用戶的面前，網路的安全性成為Internet上最為熱門的焦點之一，它關系著Internet的進一步發展和普及，甚至關系著Internet的生存。隨著網路安全問題日益嚴重，網路安全產品逐漸被人們重視起來。
防火牆作為最早出現的和使用量最大的網路安全產品，受到了用戶和許多研發機構的青睞。防火牆對網路系統具有很好的保護作用。它通過對流經它的網路信息進行監控以實現安全防護。比如用禁止特定埠的方法設置對外通信來防止木馬；或者禁止來自特殊站點的訪問，從而防止來自入侵者的所有通信。從應用角度來看防火牆基本上可以分為網路級的防火牆和個人防火牆兩種。個人用戶對網路安全的需要在不斷增加，而Windows操作系統是使用最為廣泛的PC操作系統，因此如何在Windows操作系統下開發個人防火牆變的越來越重要了。個人防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機與網路的所有通信均要經過此防火牆。在Windows操作系統下比較著名的防火牆有國外的ZoneAlarm，NortonPersonalFirewall以及SygatePersonalFirewall等，國內的有天網防火牆等產品。個人防火牆有很多優點：它能對公共網路中的單個系統提供保護；它不需要額外的硬體資源就能增加對系統的保護；它在抵擋外來攻擊的同時，還可以抵擋來自內部的攻擊；另外，它的價格相對來說十分的便宜。尤其是對一個使用Modem或ISDN/ADSL上網的家庭用戶來說，一個硬體防火牆實在是太昂貴或者太麻煩（需要煩瑣的配置），而使用個人防火牆足以能夠隱蔽用戶暴露在網路上的信息，對其提供足夠的安全保護。

⑥ 防火牆是什麼

防火牆（Firewall），也稱防護牆，是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網（US5606668（A）1993-12-15）。它是一種位於內部網路與外部網路之間的網路安全系統。一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。 防火牆的發明者是吉爾·舍伍德。

所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。該計算機流入流出的所有網路通信和數據包均要經過此防火牆。

在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

什麼是防火牆

XP系統相比於以往的Windows系統新增了許多的網路功能（Windows 7的防火牆一樣很強大，可以很方便地定義過濾掉數據包），例如Internet連接防火牆（ICF），它就是用一段"代碼牆"把電腦和Internet分隔開，時刻檢查出入防火牆的所有數據包，決定攔截或是放行那些數據包。防火牆可以是一種硬體、固件或者軟體，例如專用防火牆設備就是硬體形式的防火牆，包過濾路由器是嵌有防火牆固件的路由器，而代理伺服器等軟體就是軟體形式的防火牆。

ICF工作原理

ICF被視為狀態防火牆，狀態防火牆可監視通過其路徑的所有通訊，並且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經請求的通信進入專用端，ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中，ICF將跟蹤源自該計算機的通信。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網路計算機的通信。所有Internet傳入通信都會針對於該表中的各項進行比較。只有當表中有匹配項時（這說明通訊交換是從計算機或專用網路內部開始的），才允許將傳入Internet通信傳送給網路中的計算機。

源自外部源ICF計算機的通訊（如Internet）將被防火牆阻止，除非在「服務」選項卡上設置允許該通訊通過。ICF不會向你發送活動通知，而是靜態地阻止未經請求的通訊，防止像埠掃描這樣的常見黑客襲擊。

防火牆的種類防火牆從誕生開始，已經歷了四個發展階段：基於路由器的防火牆、用戶化的防火牆工具套、建立在通用操作系統上的防火牆、具有安全操作系統的防火牆。常見的防火牆屬於具有安全操作系統的防火牆，例如NETEYE、NETSCREEN、TALENTIT等。

從結構上來分，防火牆有兩種：即代理主機結構和路由器+過濾器結構，後一種結構如下所示：內部網路過濾器（Filter）路由器（Router）Internet

從原理上來分，防火牆則可以分成4種類型：特殊設計的硬體防火牆、數據包過濾型、電路層網關和應用級網關。安全性能高的防火牆系統都是組合運用多種類型防火牆，構築多道防火牆「防禦工事」。

⑦ 在防火牆技術的發展歷程中,曾經經歷了以下哪些發展階段

防火牆從誕生到現在，已經歷了四個發展階段：基於路由器的防火牆、用戶化的防火牆工具套、建立在通用操作系統上的防火牆、具有安全操作系統的防火牆。目前常見的防火牆屬於具有安全操作系統的防火牆，例如NETEYE、NETSCREEN、TALENTIT等。

⑧ 防火牆技術的發展歷史是什麼

對於防火牆的發展歷史，基於功能劃分，可分為如下五個階段：

20世紀80年代，最早的防火牆幾乎與路由器同時出現，第一代防火牆主要基於包過濾（Packet filter）技術，是依附於路由器的包過濾功能實現的防火牆；隨著網路安全重要性和性能要求的提高，防火牆漸漸發展為一個獨立結構的、有專門功能的設備。

到1989年，貝爾實驗室的Dave Presotto和Howard Trickey最早推出了第二代防火牆，即電路層防火牆；到20世紀90年代初，開始推出第三代防火牆，即應用層防火牆（或者叫做代理防火牆）；到1992年，USC信息科學院的BobBraden開發出了基於動態包過濾（Dynamic packet filter）技術的，後來演變為目前所說的狀態監視（Stateful inspection）技術。

1994年，市面上出現了第四代防火牆，即以色列的CheckPoint公司推出的基於這種技術的商業化產品；到了1998年，NAI公司推出了一種自適應代理（Adaptive proxy）技術，並在其產品Gauntlet Firewall for NT中得以實現，給代理類型的防火牆賦予了全新的意義，可以稱之為第五代防火牆。

基於實現方式劃分，可分為如下四個階段：

 第一代防火牆：基於路由器的防火牆，由於多數路由器中本身就包含有分組過濾功能，故網路訪問控制可通過路由控制來實現，從而使具有分組過濾功能的路由器成為第一代防火牆產品。
 第二代防火牆：用戶化的防火牆，將過濾功能從路由器中獨立出來，並加上審計和告警功能。針對用戶需求，提供模塊化的軟體包，是純軟體產品。
 第三代防火牆：建立在通用操作系統上的防火牆，近年來在市場上廣泛使用的就是這一代產品。包括分組過濾和代理功能。第三代防火牆有以純軟體實現的，也有以硬體方式實現的。
 第四代防火牆：具有安全操作系統的防火牆：具有安全操作系統的防火牆本身就是一個操作系統，因而在安全性上得到提高。

⑨ 中國計算機防火牆技術發展簡史是什麼

這個在網路上是有一些免費的，公開課的叫做中國大學mooc，或者網易公開課都是有介紹的。