La prima generazione di firewall era solo un semplice dispositivo di livello 3 con più interfacce e una lista di accesso applicata in / out sull'interfaccia, durante la stessa era i router supportavano anche gli elenchi di accesso stateless, quindi in quei giorni qual è il punto di utilizzo del firewall al posto del router mentre offrono quasi gli stessi vantaggi di sicurezza
The first generation of firewalls was only simple layer 3 device
Non penso che sia vero Contrariamente ai router, la prima generazione di firewall per filtri di pacchetti già funzionava al livello 4, ovvero potevano filtrare il traffico TCP e UDP in base al numero di porta e quindi consentire in modo selettivo l'accesso a servizi specifici come SMTP (porta 25) o HTTP (porta 80). / p>
La differenza più importante tra questi firewall di filtri di pacchetti stateless e le attuali versioni stateful è che stateful ha il concetto di connessioni mentre gli apolidi no. Ciò significa in particolare che con un firewall stateful è possibile accettare i pacchetti in entrata corrispondenti alle connessioni in uscita mentre con i firewall stateless questo non è possibile.
Per questo motivo un firewall stateless non offre molta protezione per gli host che funzionano come client, ovvero la fonte delle connessioni in uscita. Ma è utile per gli host che funzionano solo come server, cioè dove solo le connessioni esterne vengono accettate sulle porte selezionate. E anche oggi può avere senso non sempre tracciare lo stato di tali connessioni in entrata perché il monitoraggio dello stato ha bisogno di più risorse sia in termini di memoria che di tempo di elaborazione.
Potresti sottovalutare i limiti hardware di quei giorni. Nella prima metà degli anni '90 Ethernet utilizzava hub e coassiali. Switch e VLAN non erano in uso, quindi le reti erano suddivise in sottoreti e segmentate su hub fisici per ridurre il traffico di trasmissione. A volte venivano usati persino ponti. (Ricorda i ponti?) Se si desidera spostare i dati da un segmento all'altro, spesso da un piano all'altro, è necessario passare attraverso un router. I router dovevano essere molto veloci.
Per confronto, i collegamenti WAN erano lenti. 64 kbps, 128 kbps ISDN, a volte T1. I firewall implementavano il NAT, il port forwarding e le "correzioni" del protocollo erano le prime implementazioni dell'ispezione stateful. È stato molto difficile implementare in modo sicuro FTP o DNS senza tali correzioni. Altre funzionalità del firewall come le VPN tra siti erano uniche per le apparecchiature del Firewall.
Guarda un po 'di storia del PIX link
Sono sicuro che gli ACL estesi sono stati utilizzati come firewall quando le persone avevano un budget, ma potrebbe essere stato un periodo breve in cui ciò è stato necessario in quanto l'attrezzatura è migliorata molto, molto rapidamente a quei tempi. La mancanza dell'ispezione del protocollo applicativo avrebbe significato mettere alcuni dei tuoi sistemi all'esterno dell'ACL esteso o del firewall di fortuna. Ad esempio, NTP, DNS, FTP ...
Ricordo di aver configurato un piccolo ISP nel 1997 e non hanno hanno un firewall. Avevamo una scatola Linux collegata alla nostra ISDN. Era il nostro gateway dial-in, il nostro server web, il server di posta elettronica, ecc. Non credo nemmeno ipchains era maturo a quel punto, molto meno sostituito con iptables. Se volevi una porta verso il basso, la soluzione era di non avere un servizio in ascolto su di esso.
Detto ciò, non ho mai configurato reti di grandi dimensioni negli anni '90. Ho giocato principalmente con i vecchi router e firewall nei primi anni 2000 per curiosità.