中小企业开发硬件防火墙的主要步骤

核心提示： 防火墙的内核也是一项不可少的工作内容，目前一般的防火墙都是使用netfilter作为防火墙的内核，中小企业开发硬件防火墙的主要步骤(4)，而且都要求添加一定数量的防攻击性能，参考netfilter的深入应用举例，是否还要加会话认证；以及HA和负载平衡，以及支持透明模式接入；是否支持外部帐号

防火墙的内核也是一项不可少的工作内容。目前一般的防火墙都是使用netfilter作为防火墙的内核，而且都要求添加一定数量的防攻击性能。参考netfilter的深入应用举例。但有些防火墙产品把这项工作扩大化，希望由内核完成如IDS、防病毒的工作，尽管可以办到，但对防火墙的基本性能会造成严重的损害。

企业级的防火墙需要有多种远程管理工具，方法一般有三种，ssl+http,远程的secure shell,或者使用专用客户端工具。无论是那一种，都是基于同样的在防火墙预定的用户管理程序工作，这些管理程序被调用后，就与防火墙的接口管理程序（象iptables,或自编写的接口程序，象图腾ObjectMgr）互动,完成防火墙的管理工作。这部分的工作也是比较大的。象防火墙可以允许用户用 ssh登录，但却不可能允许直接返回root shell(太危险了)，于是就必须开发一个安全的shell作为第一重接口，这样，开发者就相当于自已开发了一个BASH一类的解释程序了。对远程访问的安全控制是防火墙的一处重点，常常要结合管理机限制，IP/MAC限制，密码、证书认证等多重安全手段。否则，否许所有人都试图登录防火墙，防火墙本身就很危险，根本谈不上网络的安全性。

完成以上的工作后，再完成最先谈到的web-ssl管理界面，或者是delphi(或C+ +)的客户端管理工具。防火墙就基本上成形了，区别只在于用户是不是觉得你的管理工具好用不好用而已。（许多程序员认为防火墙工程不大，其实是他们的脑海中以为防火墙的研发只有这个图形管理界面一项而已）。但即使这样，作为防火墙的研发工程还远远没有完成。开发者常常还必须向防火墙添加VPN（这也是一个巨大的工程），代理服务器（如是要加，就要写多种协议的代理服务器），如PPPOE拨号，是否还要加会话认证；以及HA和负载平衡，以及支持透明模式接入；是否支持外部帐号管理，等等。