下一代防火墙演进思考

在网络安全硬件子市场中，防火墙是体量最大的单品，具有最广泛的应用场景。即便是今日在云化大潮下，防火墙依然占有体量第一的首要位置。

防火墙历史较久，这些年几个重要的演进阶段，包括：包过滤防火墙、代理防火墙、状态监测防火墙、统一威胁管理（简称UTM）、下一代防火墙（简称NGFW）。时至今日，如果按照Palo Alto在2007年第一次推出NGFW来算，下一代防火墙迄今已经15年历史了。那么2022年了，下下一代防火墙是不是该来了？

关于防火墙的未来走向，有不少文章讨论。不过大部分是就某个技术趋势讨论，没有讲清楚根因是为什么。安全产品，演进的本质上是以客户需求的变化为主线，这是一条稳定的脉络，决定了产品形态的演进路线。

防火墙是部署在网络边界出口位置的，负责流量的检测和放行。这几十年来防火墙演进的主要线索，是随着用户边界流量的变化，而带来的防护要求的变化而演进的。

那么，这些年网络边界流量发生了什么变化？

30年前，网络应用有限，流量不大，用户较少，只有简单的如Email，BBS，文件服务器等。举个例子，那时候的防火墙就像农家小院的铁门，客人来敲门，主人就会去开门；客人走了，主人就送客关门，（过滤规则）简单且有效。所以，包过滤防火墙，原理就是对进出的每一个报文，按照提前设置好的双向规则（ACL）进行检测并放行即可。

后来，互联网开始繁荣，网络应用的类型和数量大大增加，上网人数急剧增多，带宽也大大增加；与此同时&#