網(wǎng)絡(luò)防火墻設(shè)計中的重點問題（2）

顯然，此時防火墻還必須實現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。另外， 防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時實現(xiàn)應(yīng)用層代理、過濾等功能），此時需要端口轉(zhuǎn)發(fā)來實現(xiàn)（？這個地方不是十分清 楚，也沒找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上的區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個網(wǎng)段（也和子 網(wǎng)在同一個網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。
     這個過程如下：
     1. 用ARP代理實現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）
     2. 用路由轉(zhuǎn)發(fā)在IP層實現(xiàn)數(shù)據(jù)包傳遞（IP層）
     3. 用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）
     前邊我們討論過透明代理，和這里所說的防火墻的透明模式是兩個概念。透明代理主要是 為實現(xiàn)內(nèi)網(wǎng)主機可以透明的訪問外網(wǎng)，而無需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時不是透明模式）。需要澄清的一點是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒有必然的聯(lián)系。透明模式下的防火墻能實現(xiàn)透明代理，非透明模式下的防火墻（此時它必然又是一個網(wǎng)關(guān)）也能實現(xiàn)透明代理。它們的共同點在于可以簡化內(nèi)網(wǎng)客戶的設(shè)置而已。
     目前國內(nèi)大多防火墻都實現(xiàn)了透明代理，但實現(xiàn)了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來：如果哪個防火墻實現(xiàn)了透明模式，它的廣告中肯定會和透明代理區(qū)分開而大書特書的。
     5．可靠性
     防火墻系統(tǒng)處于網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。一個故障頻頻、可靠性很差的 產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問題，整個內(nèi)網(wǎng)的主機都將根本無法訪問外網(wǎng)，這甚至比路由器故障（路由器的 拓?fù)浣Y(jié)構(gòu)一般都是冗余設(shè)計）更讓人無法承受。
     防火墻的可靠性也表現(xiàn)在兩個方面：硬件和軟件。
     國外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專門硬件架構(gòu)且不必多說，采用PC架構(gòu)的其硬件也多是專門設(shè)計，系統(tǒng)各個部分從網(wǎng)絡(luò)接口到存儲設(shè)備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。
     國內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲設(shè)備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（的水桶原理）。國內(nèi)已經(jīng)有部分廠家意識到了這個問題，開始自行設(shè)計硬件。但大多數(shù)廠家還是從成本的角度考慮使用通用PC架構(gòu)。
     另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。而國內(nèi)整個軟件行業(yè)的可靠性體系還沒有成熟，軟件可靠性測試大多處于極其初級的水平（可靠性測試和bug測試完全是兩個概念）。一方面是可靠性體系建立不起來，一方面是為了迎合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴充和修改中，其可靠性更不能讓人恭維。
     總的來說，如同國內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒有引起人們的重視。
     6．市場定位
     市場上防火墻的售價極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元不等。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求?？偟恼f來，防火墻是以用戶數(shù)量作為大的分界線。如checkpoint的一個報價：
     CheckPoint Firewall-1 4.1 25user 19000.00
     CheckPoint Firewall-1 4.1 50user 31000.00
     CheckPoint Firewall-1 4.1 100user 51000.00
     CheckPoint Firewall-1 4.1 250user 64000.00
     CheckPoint Firewall-1 4.1 無限用戶 131000.00
     從用戶量上防火墻可以分為：
     a． 10－25用戶：
     這個區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。防火墻一般為10M（針對硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換 、狀態(tài)檢測、管理、實時報警、日志。一般另有可選功能：VPN、帶寬管理等等。這個區(qū)間的防火墻報價一般在萬元以上2萬元以下（沒有VPN和帶寬管理的價格更低）。據(jù)調(diào)查，這個區(qū)間的防火墻反而種類不多，也許是國內(nèi)廠商不屑于這個市場的緣故？
     b． 25－100用戶
     這個區(qū)間用戶主要為小型企業(yè)網(wǎng)。防火墻開始升級到100M，三或更多網(wǎng)絡(luò)接口。VPN、帶寬管理往往成為標(biāo)準(zhǔn)模塊。這個區(qū)間的防火墻報價從3萬到15萬不等，根據(jù)功能價格有較大區(qū)別。相對來說，這個區(qū)間上硬件防火墻價格明顯高于軟件防火墻。目前國內(nèi)防火墻絕大部分集中在這個區(qū)間中。
     c． 100－數(shù)百用戶
     這個區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。并且開始支持雙機熱備份。這個區(qū)間的防火墻報價一般在20萬以上。這樣的中高端 防火墻國內(nèi)較少，有也是25－100用戶的升級版，其可用性令人懷疑。
     d． 數(shù)百用戶以上
     這個區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當(dāng)然其價格也很高端，從數(shù)十萬到數(shù)百萬不等。
     總的來說，防火墻的價格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功 能越多，價格就越貴。如Netscreen的百兆防火墻： NetScreen-100f(AC Power) -帶防火墻+流量控制等功能,交流電源,沒有VPN功能報價在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報價則高出5萬元： ￥317,500