网络防火墙设计中的一些重点问题

核心提示： 防火墙的可靠性也表现在两个方面：硬件和软件，国外成熟厂商的防火墙产品硬件方面的可靠性一般较高，网络防火墙设计中的一些重点问题(8)，采用专门硬件架构且不必多说，采用PC架构的其硬件也多是专门设计，以符合各种不同用户的要求，总的说来，系统各个部分从网络接口到存储设备（一般为电子硬盘）集成在一

防火墙的可靠性也表现在两个方面：硬件和软件。

国外成熟厂商的防火墙产品硬件方面的可靠性一般较高，采用专门硬件架构且不必多说，采用PC架构的其硬件也多是专门设计，系统各个部分从网络接口到存储设备（一般为电子硬盘）集成在一起（一块板子），这样自然提高了产品的可靠性。

国内则明显参差不齐，大相径庭，大多直接使用PC架构，且多为工业PC，采用现成的网卡，DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少，但是毕竟其仍然是拼凑式的，设备各部分分立，从可靠性的角度看显然不如集成的（著名的水桶原理）。

国内已经有部分厂家意识到了这个问题，开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。

另外一方面，软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的可靠性体系还没有成熟，软件可靠性测试大多处于极其初级的水平（可靠性测试和bug测试完全是两个概念）。一方面是可靠性体系建立不起来，一方面是为了迎合用户的需求和跟随网络应用的不断发展，多数防火墙厂商一直处于不断的扩充和修改中，其可靠性更不能让人恭维。

总的来说，如同国内大多数行业（除了少数如航天、航空）一样，网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。 6．市场定位

市场上防火墙的售价极为悬殊，从数万元到数十万元，甚至到百万元不等。由于用户数量不同，用户安全要求不同，功能要求不同，因此防火墙的价格也不尽相同。厂商因而也有所区分，多数厂家还推出模块化产品，以符合各种不同用户的要求。

总的说来，防火墙是以用户数量作为大的分界线。如checkpoint的一个报价：

CheckPoint Firewall-1 4.1 25user 19000.00