防火墙的历史始于20世纪80年代末，最初作为硬件设备，通过检查数据包的源和目标IP地址及端口来决定是否放行。随后，防火墙增加了状态检测和应用层流量检查功能。随着云计算的发展，防火墙的部署方式也从物理硬件转变为软件或云中的虚拟部署。

防火墙是监控和控制网络流量的安全系统，位于信任和非信任网络之间，如互联网，决定是否放行流量。它可以是硬件、软件或两者结合，用于防范网络威胁。防火墙还用于内容过滤，如学校阻止访问不适宜内容，或国家阻止访问某些互联网部分。华纳云在本文将探讨不同类型的安全配置防火墙。

基于代理的防火墙位于客户端和服务器之间，检查数据包并建立连接。它们阻止客户端和服务器的直接连接，类似于酒吧保镖检查进出人员以保障安全。这种防火墙的主要缺点是可能引起延迟，尤其在高流量时。代理作为本地网络和互联网之间的网关。基于代理的防火墙的一个主要缺点是它会导致延迟，尤其是在流量大的时候。代理是一种充当本地网络和较大网络（例如互联网）之间的网关的计算机。

状态防火墙通过保存连接信息来分析网络流量，而非逐个检查数据包，因此比基于代理的防火墙更高效。它们利用背景信息来决定是否允许特定流量，例如仅允许与请求相匹配的响应数据包进入。此外，状态防火墙通过关闭非请求端口来防御端口扫描攻击。

然而，状态防火墙可能被攻击者利用，通过诱导客户端发出请求，然后发送符合条件的恶意数据包。状态防火墙的一个已知漏洞是，攻击者可以通过诱骗客户端请求某种信息来操纵它们。一旦客户端请求该响应，攻击者就可以通过防火墙发送符合该条件的恶意数据包。不安全的网站可能利用JavaScript在浏览器中制造此类伪造请求。

下一代防火墙（NGFW）不仅具备传统防火墙功能，还增加了针对OSI模型其他层的威胁防护。NGFW的特点包括：深度数据包检测（DPI）：NGFW能深入检查数据包内容和访问的应用程序，实现精细的流量过滤；应用程序感知：能够识别运行中的应用程序及其使用的端口，防御恶意软件攻击；身份感知：根据设备和用户身份执行安全规则；沙盒技术：在隔离环境中测试代码片段，确保安全无害后放行。

Web应用程序防火墙（WAF）保护Web应用不受恶意用户攻击。WAF监控和过滤Web应用与互联网间的HTTP流量，防御跨站脚本、SQL注入等攻击。

WAF作为反向代理，位于Web应用和互联网之间，确保客户端请求先通过WAF再到达服务器，从而保护服务器。WAF根据策略规则运行，过滤恶意流量，保护应用免受漏洞攻击。它能够迅速调整策略，如在DDoS攻击时快速实施速率限制。

防火墙即服务（FWaaS）是一种云服务，提供传统防火墙功能，保护云和多云环境中的平台、基础设施和应用程序。它也被称作云防火墙。

网络防火墙指任何保护网络的防火墙，几乎所有安全防火墙都属于网络防火墙。防火墙可以是基于软件或硬件的，现代防火墙多为软件型，能在多种硬件上运行，而FWaaS则是云端托管的解决方案。