網(wǎng)絡(luò)防火墻設(shè)計(jì)中的重點(diǎn)問題（2）

顯然，此時(shí)防火墻還必須實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。另外， 防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時(shí)實(shí)現(xiàn)應(yīng)用層代理、過(guò)濾等功能），此時(shí)需要端口轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)（？這個(gè)地方不是十分清 楚，也沒找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上的區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個(gè)網(wǎng)段（也和子 網(wǎng)在同一個(gè)網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個(gè)網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。
     這個(gè)過(guò)程如下：
     1. 用ARP代理實(shí)現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）
     2. 用路由轉(zhuǎn)發(fā)在IP層實(shí)現(xiàn)數(shù)據(jù)包傳遞（IP層）
     3. 用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）
     前邊我們討論過(guò)透明代理，和這里所說(shuō)的防火墻的透明模式是兩個(gè)概念。透明代理主要是 為實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以透明的訪問外網(wǎng)，而無(wú)需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機(jī)在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時(shí)防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時(shí)不是透明模式）。需要澄清的一點(diǎn)是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒有必然的聯(lián)系。透明模式下的防火墻能實(shí)現(xiàn)透明代理，非透明模式下的防火墻（此時(shí)它必然又是一個(gè)網(wǎng)關(guān)）也能實(shí)現(xiàn)透明代理。它們的共同點(diǎn)在于可以簡(jiǎn)化內(nèi)網(wǎng)客戶的設(shè)置而已。
     目前國(guó)內(nèi)大多防火墻都實(shí)現(xiàn)了透明代理，但實(shí)現(xiàn)了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來(lái)：如果哪個(gè)防火墻實(shí)現(xiàn)了透明模式，它的廣告中肯定會(huì)和透明代理區(qū)分開而大書特書的。
     5．可靠性
     防火墻系統(tǒng)處于網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。一個(gè)故障頻頻、可靠性很差的 產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問題，整個(gè)內(nèi)網(wǎng)的主機(jī)都將根本無(wú)法訪問外網(wǎng)，這甚至比路由器故障（路由器的 拓?fù)浣Y(jié)構(gòu)一般都是冗余設(shè)計(jì)）更讓人無(wú)法承受。
     防火墻的可靠性也表現(xiàn)在兩個(gè)方面：硬件和軟件。
     國(guó)外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專門硬件架構(gòu)且不必多說(shuō)，采用PC架構(gòu)的其硬件也多是專門設(shè)計(jì)，系統(tǒng)各個(gè)部分從網(wǎng)絡(luò)接口到存儲(chǔ)設(shè)備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。
     國(guó)內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲(chǔ)設(shè)備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（的水桶原理）。國(guó)內(nèi)已經(jīng)有部分廠家意識(shí)到了這個(gè)問題，開始自行設(shè)計(jì)硬件。但大多數(shù)廠家還是從成本的角度考慮使用通用PC架構(gòu)。
     另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。而國(guó)內(nèi)整個(gè)軟件行業(yè)的可靠性體系還沒有成熟，軟件可靠性測(cè)試大多處于極其初級(jí)的水平（可靠性測(cè)試和bug測(cè)試完全是兩個(gè)概念）。一方面是可靠性體系建立不起來(lái)，一方面是為了迎合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴(kuò)充和修改中，其可靠性更不能讓人恭維。
     總的來(lái)說(shuō)，如同國(guó)內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒有引起人們的重視。
     6．市場(chǎng)定位
     市場(chǎng)上防火墻的售價(jià)極為懸殊，從數(shù)萬(wàn)元到數(shù)十萬(wàn)元，甚至到百萬(wàn)元不等。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價(jià)格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求?？偟恼f(shuō)來(lái)，防火墻是以用戶數(shù)量作為大的分界線。如checkpoint的一個(gè)報(bào)價(jià)：
     CheckPoint Firewall-1 4.1 25user 19000.00
     CheckPoint Firewall-1 4.1 50user 31000.00
     CheckPoint Firewall-1 4.1 100user 51000.00
     CheckPoint Firewall-1 4.1 250user 64000.00
     CheckPoint Firewall-1 4.1 無(wú)限用戶 131000.00
     從用戶量上防火墻可以分為：
     a． 10－25用戶：
     這個(gè)區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。防火墻一般為10M（針對(duì)硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換 、狀態(tài)檢測(cè)、管理、實(shí)時(shí)報(bào)警、日志。一般另有可選功能：VPN、帶寬管理等等。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在萬(wàn)元以上2萬(wàn)元以下（沒有VPN和帶寬管理的價(jià)格更低）。據(jù)調(diào)查，這個(gè)區(qū)間的防火墻反而種類不多，也許是國(guó)內(nèi)廠商不屑于這個(gè)市場(chǎng)的緣故？
     b． 25－100用戶
     這個(gè)區(qū)間用戶主要為小型企業(yè)網(wǎng)。防火墻開始升級(jí)到100M，三或更多網(wǎng)絡(luò)接口。VPN、帶寬管理往往成為標(biāo)準(zhǔn)模塊。這個(gè)區(qū)間的防火墻報(bào)價(jià)從3萬(wàn)到15萬(wàn)不等，根據(jù)功能價(jià)格有較大區(qū)別。相對(duì)來(lái)說(shuō)，這個(gè)區(qū)間上硬件防火墻價(jià)格明顯高于軟件防火墻。目前國(guó)內(nèi)防火墻絕大部分集中在這個(gè)區(qū)間中。
     c． 100－數(shù)百用戶
     這個(gè)區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個(gè)區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。并且開始支持雙機(jī)熱備份。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在20萬(wàn)以上。這樣的中高端 防火墻國(guó)內(nèi)較少，有也是25－100用戶的升級(jí)版，其可用性令人懷疑。
     d． 數(shù)百用戶以上
     這個(gè)區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當(dāng)然其價(jià)格也很高端，從數(shù)十萬(wàn)到數(shù)百萬(wàn)不等。
     總的來(lái)說(shuō)，防火墻的價(jià)格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功 能越多，價(jià)格就越貴。如Netscreen的百兆防火墻： NetScreen-100f(AC Power) -帶防火墻+流量控制等功能,交流電源,沒有VPN功能報(bào)價(jià)在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報(bào)價(jià)則高出5萬(wàn)元： ￥317,500