防火墙技术的发展大致分为5个阶段，如图5-5所示。

图5-5　防火墙的发展历史

（一）包过滤防火墙

第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet Filter）技术。由于多数路由器中本身就包含有分组过滤功能，所以网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

（二）代理防火墙

第二代防火墙工作在应用层，能够根据具体的应用对数据进行过滤或者转发，也就是人们常说的代理服务器、应用网关。这样的防火墙彻底隔断内部网络与外部网络的直接通信。内部网络用户对外部网络的访问变成防火墙对外部网络的访问，然后由防火墙把访问的结果转发给内部网络用户。(www.daowen.com)

（三）状态检测防火墙

1992年，USC（University of Southern California，南加利福尼亚大学）信息科学院的Bob Braden开发出了基于动态包过滤（Dynamic Packet Filter）技术的防火墙，也就是目前所说的状态检测（State Inspection）技术。1994年，以色列的Check Point公司开发出了第一个采用这种技术的商业化产品。根据TCP，每个可靠连接的建立需要经过3次握手。这时，数据包并不是独立的，而是前后之间有着密切的状态联系。状态检测防火墙就是基于这种连接过程，根据数据包状态变化来决定访问控制的策略。

（四）复合型防火墙

1998年，美国网络联盟公司（NAI）推出了一种自适应代理（Adaptive Proxy）技术，并在其复合型防火墙产品Gauntlet Firewall for NT中得以实现。复合型防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，实现第3层～第7层自适应的数据过滤。

（五）下一代防火墙

随着网络应用的高速增长和移动业务应用的爆发式出现，发生在应用层网络安全事件越来越多，过去简单的网络攻击也完全转变成混合攻击为主，单一的安全防护措施已经无法有效解决企业面临的网络安全挑战。随着网络带宽的提升，网络流量巨大，针对大流量的进行应用层的精确识别，对防火墙的性能要求也越来越高。下一代防火墙（Next Generation Firewall，NG Firewall）就是在这种背景下出现的。2009年著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁，认为防火墙必须具备一些新的功能，例如基于用户防护和面向应用安全等功能。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能并行处理引擎，在性能上有很大的提升。一些企业把具有多种功能的防火墙称为“下一代防火墙”，现在许多企业的防火墙都称为“下一代防火墙”。