防火墙基本知识(4)

　　第三个问题是财务上的问题。在此，我们只能以模糊的表达方式论述这个问题，但是，试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如，一个完整的防火墙的高端产品可能价值10万美元，而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱，只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月，它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好，但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说，在评估防火墙时，重要的是不仅要以防火墙目前的费用来评估它，而且要考虑到像支持服务这类后续费用。

　　出于实用目的，我们目前谈论的是网络服务提供商提供的路由器与你内部网络之间存在的静态传输流路由服务，因此基于为一事实，在技术上，还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现，或通过代理网关和服务在应用层实现。

　　需要做出的决定是，是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务，或是否设置像过滤器这样的屏蔽路由器，允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点，代理机可以提供更高水平的审计和潜在的安全性，但代价是配置费用的增加，以及可能提供的服务水平的降低（由于代理机需要针对每种需要的服务进行开发）。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。

　　7．防火墙的基本类型是什么？

　　在概念上，有两种类型的防火墙：

　　1、网络级防火墙

　　2、应用级防火墙

　　这两种类型的差异并不像你想像得那样大，最新的技术模糊了两者之间的区别，使哪个“更好”或“更坏”不再那么明显。同以往一样，你需要谨慎选择满足你需要的防火墙类型。