中小企业开发硬件防火墙的主要步骤

这里说的虽然是硬件防火墙，但几乎所有的工作都是软件工作。硬件防火墙的核心是软件。

在开发前，首先要清楚知道自已要需要的是什么类型的防火墙。同为硬件防火墙，大致可以分为高端以千兆为代表的主火墙，中端的百兆企业防火墙，以及低端家庭 -小办公室的防火墙（SOHU-SMB）。这三个级别的防火墙的开发方式有很大的不同。高端千兆防火墙的代表产品包括Netscreen的 5000系列防火墙，以及Nodia-CheckPoint的IP720以上的产品，这级防火墙能够适应千兆要求的作业，吞吐量至少在600M以上。作为国内生产商目前要推出真正的千兆防火墙是很困难的，详情请参考：为什么实现千兆防火墙很困难。

而作为低端家庭-小办公室产品的防火墙，主要受的是硬件成本的压力。这一级产品包括如Netscreen的50/25/5X系列， Fortigate的FG200和FG300，以及一些市场上的拨号器、宽带路由器都可以归属这档防火墙。工作特点多是单进单出，主要用在小局域网进出互联网的控制。考虑到一般公司出入互联网的通道充其量也就几兆，即使是LAN用户或CABLE MODEM，公共出口也仍是几兆。因此，自适应十兆/百兆的单进出小防火墙基本上可以满足要求。事实上有些几百人的公司使用win98+sysgate拨号，也是自我感觉良好，可见这一档次的上网防火墙性能要求并不高；价格也是维持在两万元以下。但对于使用X86架构的防火墙来说，要求再低硬件也是有几千元的；连上软件成本，这两万元简直无法维持。因此，这一级防火墙的主要开发方式，是选择合适的嵌入式系统，通常是Linux，连硬件和软件整套买进来，自已添加其中的防火墙应用程序。这种防火墙主要的系统开发工作由各嵌入系统的供应商完成，而系统功能也弱，留给生产商的软件施展空间也不大，所以更象是一项硬件采购项目。连同最低采购限额（一般是一千）和软件开发，大致在一百万左右就可以拿下一个产品。这种防火墙，虽然也是“硬件防火墙”，但不是我们本文的重点。