传统防火墙起源于上世纪90年代，主要用于实现网络边界的访问控制。其基本工作原理是基于预设规则对数据包进行过滤和转发。这些规则通常涵盖源IP地址、目标IP地址、端口号以及协议类型（如TCP、UDP）。早期传统防火墙多采用无状态（stateless）过滤方式，仅检查单个数据包的头部信息，而不关注连接的上下文。这种方式实现简单、处理速度快，但安全性较低。随后出现的状态检测（stateful inspection）防火墙改进了这一缺陷，能够跟踪TCP连接的状态，判断数据包是否属于已建立的合法会话，从而提升了防护精度。传统防火墙的主要优势在于部署成本较低、配置相对简单，适合小型网络或对安全要求不高的场景。它能有效阻挡基于IP和端口的简单攻击，例如拒绝特定端口的扫描或来自黑名单IP的流量。然而，随着网络应用的复杂化，其局限性日益凸显。传统防火墙主要工作在OSI模型的第3层（网络层）和第4层（传输层），无法深入理解应用层（第7层）的流量内容。这意味着它难以区分同一端口上不同应用的流量，例如HTTPS端口（443）上可能是正常网页浏览，也可能是恶意软件通信。传统防火墙对加密流量几乎无能为力，无法进行SSL/TLS解密检查，导致大量潜在威胁隐藏其中。此外，传统防火墙缺乏对用户的精细识别，通常仅基于IP地址进行控制。