WEB开发网
开发学院网络安全防火墙 防火墙设计中的一些重点问题(2) 阅读

防火墙设计中的一些重点问题(2)

 2006-04-03 12:36:29 来源:WEB开发网   
核心提示: 其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等) 上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,防火墙设计中的一些重点问题(2)(6),除了弹性较大的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),它需要和用户具体实践相配合,另外灵活

其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等)

上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(VPN的工作量也相当大),两个主模块各按20人周计算,防火墙实现总共需要150人周。加上前期10- 15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周。按每人周1200元开发费用(折合工资5000月,但由于有运行费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。

显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。

8. 可升级能力(适用性)和灵活性

对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙不能升级,那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题。

防火墙的灵活性主要体现在以下几点:

a. 易于升级

b. 支持大量协议

c. 易于管理(如纳入通用设备管理体系(支持SNMP)而不是单列出来)

d. 功能可扩展

这里对功能可扩展做一简单讨论。一般情况下,防火墙在设计完成以后,其过滤规则都是定死的,用户可定制的余地很小。特别如URL过滤规则(对支持URL过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻击的就是Windows机器IIS服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“GET /default.ida”的请求及时过滤,那么内网主机(此时一般为DMZ内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是个工作量很大,既耗费体力又容易出现遗漏的工作)。这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。另外,灵活性一开始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。

上一页  1 2 3 4 5 6 

Tags:防火墙 设计 一些

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接