解读网络防火墙

核心提示： 6．在防火墙设计中需要做哪些基本设计决策？在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前，有许多基本设计问题等着他去解决，解读网络防火墙(4)，首先，最重要的问题是，在评估防火墙时，重要的是不仅要以防火墙目前的费用来评估它，它应体现你的公司或机构打算如何运行这个系统的策略：

6．在防火墙设计中需要做哪些基本设计决策？

在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前，有许多基本设计问题等着他去解决。

首先，最重要的问题是，它应体现你的公司或机构打算如何运行这个系统的策略：安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务，或者，安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问（"queuing" access）提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂；防火墙的最终功能可能将是行政上的结果，而非工程上的决策。

第二个问题是：你需要何种程度的监视、冗余度以及控制水平？通过解决第一个问题，确定了可接受的风险水平（例如你的偏执到何种程度）后，你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说，你开始时先列出你的总体目标，然后把需求分析与风险评估结合在一起，挑出与风险始终对立的需求，加入到计划完成的工作的清单中。

第三个问题是财务上的问题。在此，我们只能以模糊的表达方式论述这个问题，但是，试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如，一个完整的防火墙的高端产品可能价值10万美元，而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱，只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月，它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好，但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说，在评估防火墙时，重要的是不仅要以防火墙目前的费用来评估它，而且要考虑到像支持服务这类后续费用。