如何劃分一代到三代防火牆

  首先說明一下我不是專家，我說的發展史只能從一個很小的角度來談談個人見解。

  你們常常聽到產品介紹，某某三代防火牆，今天我就來講說從一代到三代防火牆是如何劃分的。

  一代防火牆，目前你們已經看不到了，反正自從我07年開始從事這行就沒見過。一代防火牆其實就是一臺能作包過濾的路由器，我猜測也許是之前設備的性能不高，包過濾這樣的事情都須要專門用一臺設備來作。

  一代防火牆最大的問題就是包過濾一阻斷就是雙向的，因爲不記錄會話狀態，沒法作到單向控制。二代防火牆就是針對這個問題開發出來的，能夠記錄會話狀態，實現安全策略，單向訪問控制。

  二代防火牆在市面上如今還能看到很多，都是老傢伙了，老而彌堅。可是二代防火牆在當今複雜的網絡環境下，又存在兩個問題：

  1.只能檢測網絡層***，沒法識別應用層，因此也就沒法防護應用層***和病毒、***。

  2.沒法識別用戶，不能針對用戶進行精確控制。

  其實從我我的角度來看，這2個問題根本就不是問題，不過是廠家爲了宣傳和競爭造出來的產品。

  問題1，這個事情已經有專門的設備IPS來處理，根本和防火牆就沒啥關係

  問題2，這個也有專門的上網行爲管理設備來處理

  可是最後的結果就是把這2個功能也加到防火牆裏去，生生造出了第三代防火牆。反正對於中小企業，設備性能自己就過剩，加進去這2個功能還能夠少買設備，使用更多功能，因此仍是不少用戶喜歡的。

  在大型網絡裏，功能就會分的很清楚，防火牆就只會作防火牆本身的事，其餘這些功能就算有也是不會開的。