中小企业开发硬件防火墙的主要步骤

核心提示： 防火墙软件的开发工作主体就是防火墙管理软件的开发，对此，中小企业开发硬件防火墙的主要步骤(3)，架构师要明白自已到底要开发那一种防火墙，防火墙的管理思路是什么，最终结果，即使最后可以抢救过来，在几年前这种开发显得简单，就是用一些web调用的程序

防火墙软件的开发工作主体就是防火墙管理软件的开发。对此，架构师要明白自已到底要开发那一种防火墙，防火墙的管理思路是什么。在几年前这种开发显得简单，就是用一些web调用的程序，（另一种办法是用dephi 写windows程序，通过特定端口服务控制防火墙，调用预设程序，原理也是一样的），直接调用Linux的防火墙管理工具如ipchains；其余的工作主要就是预先编好若干类的默认配置（相当于template）。因此开发难度不算大，十来个人一年半载总能完成;大批国产防火墙就是这样开发出来的。这种防火墙，对于熟悉Linux防火墙的高手来说是不必要的，自已用 Ipchains就可以达到同样的目的。因此，今天这种防火墙已经摆不上台面了。今天的防火墙主要是从便于管理着手，着眼于管理员可以较易对大量、复杂、多半的政策进行维护，这就需要开发“面向对象管理的防火墙”。这样一来，使用把 ipchains/iptables单纯用PHP或delphi图形化是不足够的，事实上，这时侯单纯使用如iptables已经很难满足要求，开发者常常必须开发自已的象iptables那样的防火墙管理工具。这部分的工作非常庞大。

作为防火墙的载体的操作系统和防火墙的内核也是一个工作重点。防火墙作为网络的第一道防线，不可以使用默认设置的操作系统，除了最必要的服务以外，所有东西都必须删除。因此，企业级防火墙基本上是使用的是嵌入式操作系统的开发方式，通通常是形成一个在内存中运行的安全操作系统，如同一个无盘的工作站。防火墙必须长时间无故障工作，还要应付可能有的突然断电等现象，所以，一般情况下禁止连接系统硬盘，以免造成断电损坏。防火墙的固存一般都不大， 16M到32M就绰绰有余了。有些防火墙厂商没有能力做到这一步，就使用大容易的FLASH作为系统盘，其实是非常危险的。原因在于flash的写性能差，可写次数只在千次数量级，而Unix类的文件系统读与频繁，因此极易造成flash上数据的丢失；而且一旦发生断电关机，如果仍然有系统盘安装在目录上，很可能造成文件系统的损坏，最终结果，即使最后可以抢救过来，也会给用户防火墙质量不过关的印象。