防火墙设计中的一些重点问题(2)

核心提示： 其他模块（如MAC、IP地址绑定模块、简单的IDS、自我保护等等） 上边把防火墙划分为12个模块，其中每一个模块都有相当的工作量要做，防火墙设计中的一些重点问题(2)(6)，除了弹性较大的内核模块和防火墙模块（它们的工作量可能异常的大，视设计目标不同），它需要和用户具体实践相配合，另外灵活

其他模块（如MAC、IP地址绑定模块、简单的IDS、自我保护等等）

上边把防火墙划分为12个模块，其中每一个模块都有相当的工作量要做，除了弹性较大的内核模块和防火墙模块（它们的工作量可能异常的大，视设计目标不同），其他模块暂定10人周的话就需要120周（VPN的工作量也相当大），两个主模块各按20人周计算，防火墙实现总共需要150人周。加上前期10－ 15人周论证、定方案，后期20人周（保守数字）集成、测试，前后总共需要约210人周。按每人周1200元开发费用（折合工资5000月，但由于有运行费用、保险等费用摊分，个人工资应远低于这个数字），开发费用约需25万。

显然，这个数字只是一个局外人估计的下限，实际的研发应该超出这个数字很多。

8． 可升级能力（适用性）和灵活性

对用户来说，防火墙作为大成本投入的商品，势必要考虑到可升级性的问题，如果防火墙不能升级，那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的，这是因为大多数防火墙采用电子硬盘（少数采用磁盘），实现升级功能只要很小的工作量要做。但究竟升级些什么内容？升级周期多长一次？这就涉及到一个灵活性的问题。

防火墙的灵活性主要体现在以下几点：

a． 易于升级

b． 支持大量协议

c． 易于管理（如纳入通用设备管理体系（支持SNMP）而不是单列出来）

d． 功能可扩展

这里对功能可扩展做一简单讨论。一般情况下，防火墙在设计完成以后，其过滤规则都是定死的，用户可定制的余地很小。特别如URL过滤规则（对支持URL过滤的防火墙而言），当前网络中的漏洞是不断发现的，如最近很猖獗的codered攻击的就是Windows机器IIS服务器的ida漏洞，而我们如果能够及时定义过滤规则，对于“GET /default.ida”的请求及时过滤，那么内网主机（此时一般为DMZ内主机）的安全性就会高很多，内网管理人员也不必时时密切关注网络漏洞（这是个工作量很大，既耗费体力又容易出现遗漏的工作）。这样大部分工作留给防火墙厂家来做（相应需要有一个漏洞监测体系），用户肯定会满意很多。另外，灵活性一开始也往往不是前期设计所能设计的很完美的，它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的，往往需要在不同的用户环境里考虑。