科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道开发硬件防火墙的主要步骤(4)

开发硬件防火墙的主要步骤(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这里说的虽然是硬件防火墙,但几乎所有的工作都是软件工作。要决定开发一个百兆的防火墙,需要选定一款合适的服务器主板,或者工控机,另外就是要选定一个好的网卡,通常是服务器专用网卡。

作者:51CTO.COM 2008年4月14日

关键字: 硬件 内核 防火墙 Linux

  • 评论
  • 分享微博
  • 分享邮件

  防火墙的内核也是一项不可少的工作内容。目前一般的防火墙都是使用netfilter作为防火墙的内核,而且都要求添加一定数量的防攻击性能。参考netfilter的深入应用举例。但有些防火墙产品把这项工作扩大化,希望由内核完成如IDS、防病毒的工作,尽管可以办到,但对防火墙的基本性能会造成严重的损害。

  企业级的防火墙需要有多种远程管理工具,方法一般有三种,ssl+http,远程的secure shell,或者使用专用客户端工具。无论是那一种,都是基于同样的在防火墙预定的用户管理程序工作,这些管理程序被调用后,就与防火墙的接口管理程序(象iptables,或自编写的接口程序,象图腾ObjectMgr)互动,完成防火墙的管理工作。这部分的工作也是比较大的。象防火墙可以允许用户用 ssh登录,但却不可能允许直接返回root shell(太危险了),于是就必须开发一个安全的shell作为第一重接口,这样,开发者就相当于自已开发了一个BASH一类的解释程序了。对远程访问的安全控制是防火墙的一处重点,常常要结合管理机限制,IP/MAC限制,密码、证书认证等多重安全手段。否则,否许所有人都试图登录防火墙,防火墙本身就很危险,根本谈不上网络的安全性。

  完成以上的工作后,再完成最先谈到的web-ssl管理界面,或者是delphi(或C+ +)的客户端管理工具。防火墙就基本上成形了,区别只在于用户是不是觉得你的管理工具好用不好用而已。(许多程序员认为防火墙工程不大,其实是他们的脑海中以为防火墙的研发只有这个图形管理界面一项而已)。但即使这样,作为防火墙的研发工程还远远没有完成。开发者常常还必须向防火墙添加VPN(这也是一个巨大的工程),代理服务器(如是要加,就要写多种协议的代理服务器),如PPPOE拨号,是否还要加会话认证;以及HA和负载平衡,以及支持透明模式接入;是否支持外部帐号管理,等等。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章