網(wǎng)絡設備最經(jīng)常用到的，也是最重要的一個安全設備就是防火墻了。作為一款IT設備，無非兩種選擇方式。一種是購買品牌防火墻成品，另一種是自己DIY防火墻。兩種方式各有自己的優(yōu)劣，購買品牌防火墻最大的問題莫過于是投入較多的資金，卻可以得到更多的后期維護。而自己 DIY防火墻的最大弊端就在于需要一個專業(yè)的人員來定制，還要投入更多的精力做后期的維護。

作為一個熱血IT青年，自己DIY一個防火墻設備，不僅僅能夠帶來投入的節(jié)省，最重要的是你可以在這個過程中，得到許多一個電話CALL來的售后服務那里，所學到的到東西要多得多。DIY一個防火墻設備，最最重要的是要認清硬件架構和軟件架構的特點，以及最適合于那種搭配。

基于通用CPU的X86架構的安全網(wǎng)關，一般采用Intel或AMD公司的芯片，X86在架構系統(tǒng)時還需要北橋和南橋芯片，采用該種硬件架構，軟硬件配套資源比較多，便于快速推出產(chǎn)品，企業(yè)投資少，最初的防火墻大都是基于X86架構。X86架構采用通用CPU和PCI總線接口，具有很高的靈活性和可擴展性，過去一直是防火墻開發(fā)的主要平臺。其產(chǎn)品功能主要由軟件實現(xiàn)，可以根據(jù)用戶的實際需要而做相應調整，增加或減少功能模塊，產(chǎn)品比較靈活，功能十分豐富。

但其性能發(fā)展卻受到體系結構的制約，作為通用的計算平臺，x86的結構層次較多，不易優(yōu)化，且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達到接近2Gbps的吞吐量，但是通用CPU的處理能力有限，盡管防火墻軟件部分可以盡可能地優(yōu)化，很難達到千兆速率。同時很多X86架構的防火墻是基于定制的通用操作系統(tǒng)，安全性很大程度上取決于通用操作系統(tǒng)自身的安全性，可能會存在安全漏洞。

從總線速度來看，基于32位PCI總線的X86平臺，也就是我們所說的基于傳統(tǒng)X86架構的防火墻，做為百兆防火墻的方案是沒有任何問題的。但X86平臺的防火墻方案，數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸機制是靠“中斷”來實現(xiàn)的，中斷機制導致在有大量數(shù)據(jù)包的需要處理的情況下（如：64 Bytes的小包，以下簡稱小包），X86平臺的防火墻吞吐速率不高，大概在30%左右，并且CPU占用會很高。這是所有基于X86平臺的防火墻所共同存在的問題。因此，基于32位PCI總線的X86平臺是不能做為千兆防火墻使用的問題。

X86平臺的防火墻其最大的缺點就是小包通速率低，只有30%－40%，造成這個問題的主要原因是因為X86平臺的中斷機制以及X86平臺的防火墻所有數(shù)據(jù)都要經(jīng)過主CPU處理。早期的千兆防火墻僅僅是將百兆接口替換為千兆接口而已。這種基于X86體系結構的千兆防火墻主體仍然是軟件，其性能受到很大制約，無法達到千兆的處理速度。因此，這些防火墻只是具有千兆接入能力的防火墻，而不是真正具有千兆處理能力的防火墻因此可以說是一種“換湯不換藥”的形式改變。

Intel提出了解決方案，可以把32位的PCI總線升級到PCI-E總線，即：PCI-Express，這樣，PCI-E 4X的總線的速度就可以達到 2000MB Bytes/S，即：16Gbits/S，并且PCI-E各個PCI設備之間互相獨立不共享總線帶寬，每個基于PCI-E的網(wǎng)口可以使用的帶寬為：2000MB Bytes/S，即：16Gbits/S，所以基于PCI-E 4X的X86從系統(tǒng)帶寬上來說，做為千兆防火墻是沒有任何問題的。但是，基于PCI-E的防火墻數(shù)據(jù)從網(wǎng)卡到CPU之間傳輸同樣使用“中斷”機制來傳輸數(shù)據(jù)，所以小包（64 Bytes）的通過率仍然為：30-40%，基于x86的防火墻，其最高性能只能達到2Gbps！同時CPU和外圍芯片組發(fā)熱比較大，產(chǎn)品壽命和穩(wěn)定性難以保證。

如果你選擇的硬件是x86架構的，我建議只有一個系統(tǒng)合適你，就是freebsd，要么自己定制防火墻，要么選擇m0llowakk或者pfsense！為什么不是linux？很簡單，當遇到大量小包攻擊的時候（syn)，freebsd的扛壓能力大大超過linux，最極端的時候可以開啟網(wǎng)卡polling模式，可以有效地降低cpu中斷負載，不至于你的cpu0 100%占用！而且，特別是pfsense選用了openbsd的pf防火墻，支持syn三次握手代理，地址池，自動黑名單等等有用的功能，而且很小巧穩(wěn)定，性能只是比linux 差一點，不過完全夠用！可以直接配置一臺不帶硬盤，只有cpu,內(nèi)存，內(nèi)存卡的小盒子系統(tǒng)，省電，穩(wěn)定，完全！而且可以通過ipfw-classic實現(xiàn)和iptable layer-7一樣的應用層過濾，反正大家都是山寨人家clearos公司的！還有商業(yè)的panbit,流控大師也是選用freebsd的，不過可惜啊，特征碼給加密了。#p#

相比之下，ASIC防火墻通過專門設計的ASIC芯片邏輯進行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。新一代的高可編程ASIC采用了更靈活的設計，能夠通過軟件改變應用邏輯，具有更廣泛的適應能力。但是，ASIC的缺點也同樣明顯，它的靈活性和擴展性不夠，開發(fā)費用高，開發(fā)周期太長，一般耗時接近2年。

雖然研發(fā)成本較高，靈活性受限制、無法支持太多的功能，但其性能具有先天的優(yōu)勢，非常適合應用于模式簡單、對吞吐量和時延指標要求較高的電信級大流量的處理。ASIC芯片集網(wǎng)絡包處理和內(nèi)容處理為一身，芯片首先完成流重組，然后直接在網(wǎng)絡層匹配規(guī)則，并執(zhí)行動作處理安全事件，需要進一步分析的才送CPU。網(wǎng)絡中90%以上的數(shù)據(jù)在ASIC芯片中直接完成處理。

基于ASIC架構的防火墻從架構上改進了中斷機制，數(shù)據(jù)從網(wǎng)卡收到以后，不經(jīng)過主CPU處理，而是經(jīng)過集成在系統(tǒng)中的一些芯片直接處理，由這些芯片來完成傳統(tǒng)防火墻的功能，如：路由、NAT、防火墻規(guī)則匹配等。這樣數(shù)據(jù)不經(jīng)過主CPU處理，不使用中斷機制。但隨之而來的問題是，ASIC架構的防火墻是芯片一級的，所有的防火墻動作由芯片來處理。這些芯片的功能比較單一，要升級維護的開發(fā)周期比較長。

幾年前，以Intel為代表的國際芯片廠商推出了具有革命性意義的網(wǎng)絡處理器(NP)，業(yè)界觀察家也曾十分看好并極力稱頌，NP將引發(fā)不可預期的網(wǎng)絡革命。然而，NP并沒有如觀察家所期待的那樣結出碩果，各NP廠商的NP業(yè)務基本都處于虧損狀態(tài)。 從2002年開始NP開始在網(wǎng)絡安全領域應用，2003年IBM就把NP業(yè)務賣給了Hifn，2006年6月27日，Intel正式宣布把NP業(yè)務賣給Marvell。

網(wǎng)絡處理器比較典型的產(chǎn)品有Marvell（Intel）公司的IXP1200系列、IXP2400系列和IXP2800系列和Freescale(motorola)公司的C-5、Cisco公司的Toaster 2、Hifn（IBM）的NP3G4S等。

NP架構實現(xiàn)的原理和ASIC類似，但升級、維護遠遠好于ASIC 架構。NP架構在的每一個網(wǎng)口上都有一個網(wǎng)絡處理器，即：NPE，用來處理來自網(wǎng)口的數(shù)據(jù)。每個網(wǎng)絡處理器上所運行的程序使用微碼編程，其軟件實現(xiàn)的難度比較大，開發(fā)周期比ASIC短，但比X86長。

最早提出網(wǎng)絡處理器開發(fā)的時間是1997年，正式的商用芯片于2000年面世。Intel、IBM、Motorola、MMC Networks、Ezchip、Lucent、Vitesse（Sitera）等廠商參與了網(wǎng)絡處理器的早期研究。這一階段僅僅是研究階段，而真正將網(wǎng)絡處理器投入商業(yè)應用的廠商是中國的華為，2000年華為開始開發(fā)基于網(wǎng)絡處理器的核心路由器，并率先推出了基于NP的NE80/NE40系列核心路由器產(chǎn)品。

當你的防火墻要對付高流量，小包攻擊ddos。請選用嵌入式,arm,NP,mips構架防火墻硬件，操作系統(tǒng)就直接選擇linux正營吧，其代表就是起源于ciso/syslink系統(tǒng)的opoenwrt或者dd-wrt,tomato（國人的支持多wan口疊加其實就是策略路由），為什么不選擇freebsd-因為freebsd不支持硬件，為什么不選擇netbsd/openbsd,因為性能低下，很多無線，新硬件，網(wǎng)卡不支持！而且防火墻不開放什么服務器軟件，不需要太高的防滲透入侵，強制訪問安全等等。這其中我建議選擇openwrt吧，免費、可定制非常高，就和一臺linux機器一樣的配置！dd-wrt收費！tomato也是根據(jù)openwrt來的，作者配置好了策略路由支持雙、四wan！至于route,ros也是國人改的linux系統(tǒng)，收費，功能繁瑣，網(wǎng)吧可以考慮下！#p#

功能選擇

現(xiàn)在很多防火墻默認都很強大，vpn,web界面控制，7層過濾，ids/ips,甚至還把防火墻放到交換機中，路由器中 組成了什么7層交換機啊 ，四層交換機，7層四層路由器等等，當然他們也不是簡單的利用bsd/linux裝交換機軟件，路由軟件，或者防火墻，是進行了二次開發(fā)的，可以有效地加速交換，路由性能，但是如果我們是Diy的防火墻需要那么多功能嗎？

一個原則，功能影響性能，也同樣影響安全！反過來也是功能影響安全，影響性能！其實我們要根據(jù)自己的情況來開啟功能：

1，關閉web控制，既然是定制，肯定都是高手了，全屏幕console操作，手寫防火墻，路由規(guī)則，要哪個web干嘛！影響性能安全！

2，關閉遠程登錄訪問入口，直接本地登錄防火墻diy機器，進行控制，什么ssh,telent就算了吧保持防火墻就干三件事，就是轉發(fā)過濾流控?。【陀没镜南到y(tǒng)定制內(nèi)核，配置策略路由，防火墻轉發(fā)過濾，或者使用layer7過濾（不過要自己定制7層過濾特征碼，免費的都很過時了，使用分析包軟件分析，書寫正則表達式，不難學，需要耐性和觀察力呵呵！

3，至于vpn,ids,ips還是通過過防火墻轉發(fā)到獨立的電腦上進行分析，處理吧，防火墻本身就是拿老硬件定制的，不是什么專業(yè)的硬件防火墻，不要運行那么多消耗資源大的程序，

4，當所有的配置都設置好了，就可以學習m0n0wall干脆吧控制臺也禁用了吧，誰也別想登陸了！

硬件的購買

1，選擇老的硬件，淘汰的電腦，最好找個U盤吧硬盤去掉，最容易出錯的東東！

2，到專門的定制防火墻設備的地方，定制盒子機箱，電源的等等，主板最好選擇嵌入式開發(fā)板，或者nimi型x86板子

3，想支持無線，3G只要購買無線網(wǎng)卡，3G網(wǎng)卡插上就去了只要系統(tǒng)支持10跟天線都可以呵呵

4, diy防火墻的成本控制（購買新硬件）看你要達到那款品牌防火墻性能，如果是20萬的防火墻性能，你最好準備5000左右吧，一般是1/10-1/100,要看品牌黑不黑了

好了，就說怎么多,就一句話概括，選擇防火墻一看構架（影響OS），二看小包轉發(fā)帶寬，三看價格，希望能給大家一點啟示。