网络防火墙设计中的一些重点问题

核心提示： 总的来说，防火墙的价格和用户数量、功能模块密切相关，网络防火墙设计中的一些重点问题(10)，在用户数量相同的情况下，功能越多，它需要和用户具体实践相配合，另外灵活性也是和具体环境密切结合的，价格就越贵，如Netscreen的百兆防火墙： NetScreen-100f(AC Power) -

总的来说，防火墙的价格和用户数量、功能模块密切相关，在用户数量相同的情况下，功能越多，价格就越贵。如Netscreen的百兆防火墙： NetScreen-100f(AC Power) -带防火墙+流量控制等功能,交流电源,没有VPN功能报价在￥260,000而在此基础上增加了128位VPN功能的报价则高出5万元：￥317,500

7． 研发费用

如同其他网络安全产品一样，防火墙的研发费用也是很高的。防火墙由于技术含量较高，人员技术储备要求较高，防火墙核心部分的研发必须要对操作系统有相当的熟悉，所需为UNIX系统下开发人员，而目前国内真正能拿的出手的UNIX程序员数量还是太少（远远少于Windows平台下开发人员），人员成本很高。

总的来说，防火墙的研发是一个大项目，而且其前期定位一定要准确，该做什么、不该做什么，哪些功能得实现，哪些功能不必实现、哪些功能可以在后期实现，一定要清楚，否则费用会远远超出预计。

下边对一个中小型企业级防火墙的研发费用作个简单的估计。

研发时，防火墙可以细分为（当然在具体操作时往往需要再具体划分）：

内核模块

防火墙模块（含状态检测模块）

NAT模块

带宽管理模块

通信协议模块

管理模块

图形用户界面模块（或者Web界面模块）

透明代理模块（实质属于NAT模块）

透明模式模块（包括ARP代理子模块、路由转发子模块等）

各应用代理模块（包括URL过滤模块）

VPN模块

流量统计与计费模块

审计模块

其他模块（如MAC、IP地址绑定模块、简单的IDS、自我保护等等）

上边把防火墙划分为12个模块，其中每一个模块都有相当的工作量要做，除了弹性较大的内核模块和防火墙模块（它们的工作量可能异常的大，视设计目标不同），其他模块暂定10人周的话就需要120周（VPN的工作量也相当大），两个主模块各按20人周计算，防火墙实现总共需要150人周。加上前期10－ 15人周论证、定方案，后期20人周（保守数字）集成、测试，前后总共需要约210人周。按每人周1200元开发费用（折合工资5000月，但由于有运行费用、保险等费用摊分，个人工资应远低于这个数字），开发费用约需25万。

显然，这个数字只是一个局外人估计的下限，实际的研发应该超出这个数字很多。

8． 可升级能力（适用性）和灵活性

对用户来说，防火墙作为大成本投入的商品，势必要考虑到可升级性的问题，如果防火墙不能升级，那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的，这是因为大多数防火墙采用电子硬盘（少数采用磁盘），实现升级功能只要很小的工作量要做。但究竟升级些什么内容？升级周期多长一次？这就涉及到一个灵活性的问题。

防火墙的灵活性主要体现在以下几点：

a． 易于升级

b． 支持大量协议

c． 易于管理（如纳入通用设备管理体系（支持SNMP）而不是单列出来）

d． 功能可扩展

这里对功能可扩展做一简单讨论。一般情况下，防火墙在设计完成以后，其过滤规则都是定死的，用户可定制的余地很小。特别如URL过滤规则（对支持URL过滤的防火墙而言），当前网络中的漏洞是不断发现的，如最近很猖獗的codered攻击的就是Windows机器IIS服务器的ida漏洞，而我们如果能够及时定义过滤规则，对于“GET /default.ida”的请求及时过滤，那么内网主机（此时一般为DMZ内主机）的安全性就会高很多，内网管理人员也不必时时密切关注网络漏洞（这是个工作量很大，既耗费体力又容易出现遗漏的工作）。这样大部分工作留给防火墙厂家来做（相应需要有一个漏洞监测体系），用户肯定会满意很多。另外，灵活性一开始也往往不是前期设计所能设计的很完美的，它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的，往往需要在不同的用户环境里考虑。