防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

　　防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

　　防火墙在网络中经常是以两种图标出现的。一种图标非常形象，真正像一堵墙一样。而另一种图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢?当火灾发生时，这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单向导通性”。我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。

　　进入云计算时代，面对如多租户混合部署，多应用混合部署，虚拟机(容器)规模体量极大，资源按需分配，逻辑架构与物理架构无关等安全需求。硬件防火墙的效果势必将捉襟见肘，甚至到无处安放的地步。

　　然而即便传统基因的防火墙在云环境中已无用武之地，但用户面对APT攻击、勒索病毒，以及多租户、多应用的混合部署，都需要云平台提供有效的隔离防护才行。因此，可以接驳威胁情报系统和云端可视化分析，支持云内虚拟化动态边界安全防护，更可借助互联网安全大数据来准确定位攻击源头的软件定义防火墙成为未来防火墙设备演进的目标。

　　这就需要颠覆传统物理隔离网络架构，在防火墙策略的保护下，使用全网逻辑隔离构建出全新网络，并对安全区域重新定义划分，甚至可通过软件定义出防火墙阵列，来把控企业网络流量。

　　随着网络的发展，威胁的来临，防火墙正在向可视化、智能化、软件化三大方向进行演进，而防火墙在演进过程中也必须集成并具备与其他系统协同工作的能力才能最终强化网络管控。

　　第一代防火墙技术几乎与路由器同时出现，采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。1992年，USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙，后来演变为目前所说的状态监视(Stateful inspection)技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。1998年，NAI公司推出了一种自适应代理(Adaptive proxy)技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。UTM统一威胁管理，在防火墙基础上发展起来的，具备防火墙、IPS、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能，因此主要用于对性能要求不高的中低端领域。在中低端领域，UTM已经出现了代替防火墙的趋势，因为在不开启附加功能的情况下，UTM本身就是一个防火墙，而附加功能又为用户的应用提供了更多选择。在高端应用领域，比如电信、金融等行业，仍然以专用的高性能防火墙、IPS为主流。

　　据杭州中经智盛市场研究有限公司发布的《2022-2026年防火墙市场现状调查及发展前景分析报告》显示：虽然下一代防火墙被定义为是一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，更增加了应用层的检测和入侵防护了。不仅具备传统防火墙的功能，还具备应对综合威胁的发现能力、阻断能力，并不是简单的功能堆砌和性能叠加，而是从全局视角，帮助用户解决网络面临的实际问题。

　　　但实际上，下一代防火墙却有下述三方面局限：

　　　以本地规则库为核心，无法全面检测已知威胁；

　　　缺乏数据智能，无法感知未知威胁；

　　　没有协同防御机制，依然在用单机的、私有的思路来解决网络的、公有的威胁。

　　　因此，面对数据及隐藏其中的各种威胁，防火墙不能再孤军作战，而是需要借助AI(人工智能)建立起协同防御的安全体系，并依托于持续更新的威胁情报的技术能力，持续提升自身提升发现和响应高级威胁的能力，从而在边界上成为一个智能化的防火墙，为企业对抗各种安全威胁提供更好的防护平台。

　　　如果把信息安全技术看做是一个整体行为的话，那么面对防火墙未来的发展趋势，管理接口和SOC整合也必须考虑在内，毕竟安全是一个整体，而不是靠单一产品所能解决的。随着安全管理和安全运营工作的推行，SOC做为一种安全管理的解决方案已经得到大力推广。安全管理是为了更有效的把安全风险控制在可控的范围内，从而进行降低和避免信息安全事件的发生。而防火墙做为一种安全访问控制机制产品，要想在安全管理中起到有效的作用，必须考虑与SOC的整合问题，这就涉及到各个厂家对防火墙技术开发过程中的通用性和合作问题。