網(wǎng)絡(luò)世界最經(jīng)常用到的，也是最重要的一個(gè)安全設(shè)備就是防火墻了，面對(duì)當(dāng)今形形色色的防火墻，我們到底選擇誰(shuí)呢，CISO,華為，jump,還是干脆自己diy,防火墻的選擇指標(biāo)是什么呢，cpu，帶寬還是OS呢，對(duì)于功能的選擇我們需要vpn,layer7過(guò)濾，流控，還是IDS、交換路由結(jié)合呢？當(dāng)然還有價(jià)格，功率，穩(wěn)定性等影響。

其實(shí)就兩種大選擇一種是直接購(gòu)買品牌防火墻（當(dāng)然肯定會(huì)宰你幾萬(wàn)幾十萬(wàn)的呵呵，能拿點(diǎn)回扣不錯(cuò)），二中當(dāng)然是自己diy羅，下面咱們就進(jìn)入主體，觀點(diǎn)純屬虛構(gòu)，如有雷同，純屬巧合：

一、防火墻操作系統(tǒng)的選擇

其實(shí)這個(gè)問(wèn)題也牽扯到防火墻硬件的選擇，很簡(jiǎn)單硬件是基礎(chǔ)，操作系統(tǒng)就是驅(qū)動(dòng)各種硬件，給軟件開發(fā)使用搭建的一個(gè)平臺(tái)，市場(chǎng)上有的系統(tǒng)有l(wèi)inux(debian,clearos,openwrt,dd-wrt,tomato,router,ros) bsd(freebsd,pf,m0ll0wall,netbsd,openbsd),我們到底選擇誰(shuí)呢，要回答這個(gè)問(wèn)題首先我們要來(lái)認(rèn)識(shí)下防火墻的架構(gòu):

通常來(lái)說(shuō)我們只分為86架構(gòu)，非86架構(gòu)，86架構(gòu)是早期很多開發(fā)商采用的硬件防火墻操作系統(tǒng)，開發(fā)難度小，功能多，但是有一個(gè)致命的缺點(diǎn)，就是86架構(gòu)的cpu是復(fù)雜指令集，處理一個(gè)數(shù)據(jù)包需要執(zhí)行幾萬(wàn)個(gè)指令，而非86架構(gòu)(我們常說(shuō)的嵌入式cpu)的是精簡(jiǎn)指令的，甚至是專門為防火墻優(yōu)化的,所以在處理大量小包的64位性能是86的十倍20十倍那么高，這就是為什么千兆萬(wàn)兆防火墻一般都是x86主cpu+mips多核心網(wǎng)絡(luò)cpu的構(gòu)架了，有人會(huì)問(wèn)為什么不配置一塊高性能的intel網(wǎng)卡來(lái)分擔(dān)任務(wù)呢，其實(shí)一塊高性能的網(wǎng)卡是對(duì)網(wǎng)絡(luò)性能有幫助，但是網(wǎng)卡畢竟是一種低級(jí)的設(shè)備，功能，復(fù)雜度都沒(méi)有CPU來(lái)的狠，最后還是要交給cpu來(lái)處里高級(jí)任務(wù)，這樣往往網(wǎng)卡能頂住，cpu掛了！！所以有時(shí)候當(dāng)cpu不夠強(qiáng)悍時(shí)，還不如買一塊性能低下的網(wǎng)卡來(lái)配合cpu,不讓cpu累死！說(shuō)了那么多我就是想說(shuō)64為小包syn攻擊防御，嵌入式的800MHZ的非86cpu 比3GHZ 的86cpu強(qiáng)不知道多少倍，個(gè)人估計(jì)起碼要是10倍！

a、當(dāng)你的防火墻要對(duì)付高流量，小包攻擊ddos請(qǐng)選用嵌入式,arm,NP,mips構(gòu)架防火墻硬件，操作系統(tǒng)就直接選擇linux正營(yíng)吧，其代表就是起源于ciso/syslink系統(tǒng)的opoenwrt或者dd-wrt,tomato（國(guó)人的支持多wan口疊加其實(shí)就是策略路由），為什么不選擇freebsd-因?yàn)閒reebsd不支持硬件，為什么不選擇netbsd/openbsd,因?yàn)樾阅艿拖?，很多無(wú)線，新硬件，網(wǎng)卡不支持！而且防火墻不開放什么服務(wù)器軟件，不需要太高的放滲透入侵，強(qiáng)制訪問(wèn)安全等等。。。。。。這其中我建議選擇openwrt吧，免費(fèi)，可定制非常高，就和一臺(tái)linux機(jī)器一樣的配置??！dd-wrt收費(fèi)！tomato也是根據(jù)openwrt來(lái)的，作者配置好了策略路由支持雙，四wan!至于route,ros也是國(guó)人改的linux系統(tǒng)，收費(fèi)，功能繁瑣，網(wǎng)吧可以考慮下??！

b、如果你選擇的硬件是x86架構(gòu)的，我建議只有一個(gè)系統(tǒng)合適你，就是freebsd,要么自己定制防火墻，要么選擇m0llowakk或者pfsense!為什么不是linux很簡(jiǎn)單，當(dāng)遇到大量小包攻擊的時(shí)候（syn)freebsd的扛壓能力大大超過(guò)linux,最極端的時(shí)候可以開啟網(wǎng)卡polling模式，可以有效地降低cpu中斷負(fù)載，不至于你的cpu0 100%占用！而且，特別是pfsense選用了openbsd的pf防火墻，支持syn三次握手代理，地址池，自動(dòng)黑名單等等有用的功能，而且很小巧穩(wěn)定，性能只是比linux 差一點(diǎn)，不過(guò)完全夠用！可以直接配置一臺(tái)不帶硬盤，只有cpu,內(nèi)存，內(nèi)存卡的小盒子系統(tǒng)，省電，穩(wěn)定，完全??！而且可以通過(guò)ipfw-classic實(shí)現(xiàn)和iptable layer-7一樣的應(yīng)用層過(guò)濾，反正大家都是山寨人家clearos公司的！還有商業(yè)的panbit,流控大師也是選用freebsd的，不過(guò)可惜啊，特征碼給加密了。
c、當(dāng)你的服務(wù)器處于vps guess中時(shí)，那就沒(méi)辦法了，裝linux就用自帶的iptale裝freebsd就使用自帶的ipfw,ipfiter,pf吧！

二、功能選擇

現(xiàn)在很多防火墻默認(rèn)都很強(qiáng)大，vpn,web界面控制，7層過(guò)濾，ids/ips,甚至還把防火墻放到交換機(jī)中，路由器中 組成了什么7層交換機(jī)啊 ，四層交換機(jī)，7層四層路由器等等，當(dāng)然他們也不是簡(jiǎn)單的利用bsd/linux裝交換機(jī)軟件，路由軟件，或者防火墻，是進(jìn)行了二次開發(fā)的，可以有效地加速交換，路由性能，但是如果我們是Diy的防火墻需要那么多功能嗎？

一個(gè)原則，功能影響性能，也同樣影響安全！反過(guò)來(lái)也是功能影響安全，影響性能！其實(shí)我們要根據(jù)自己的情況來(lái)開啟功能：

1、關(guān)閉web控制，既然是定制，肯定都是高手了，全屏幕console操作，手寫防火墻，路由規(guī)則，要哪個(gè)web干嘛！影響性能安全！

2、關(guān)閉遠(yuǎn)程登錄訪問(wèn)入口，直接本地登錄防火墻diy機(jī)器，進(jìn)行控制，什么ssh,telent就算了吧保持防火墻就干三件事，就是轉(zhuǎn)發(fā)過(guò)濾流控！！就用基本的系統(tǒng)定制內(nèi)核，配置策略路由，防火墻轉(zhuǎn)發(fā)過(guò)濾，或者使用layer7過(guò)濾（不過(guò)要自己定制7層過(guò)濾特征碼，免費(fèi)的都很過(guò)時(shí)了，使用分析包軟件分析，書寫正則表達(dá)式，不難學(xué)，需要耐性和觀察力呵呵！

3、至于vpn,ids,ips還是通過(guò)過(guò)防火墻轉(zhuǎn)發(fā)到獨(dú)立的電腦上進(jìn)行分析，處理吧，防火墻本身就是拿老硬件定制的，不是什么專業(yè)的硬件防火墻，不要運(yùn)行那么多消耗資源大的程序，

4、當(dāng)所有的配置都設(shè)置好了，就可以學(xué)習(xí)m0n0wall干脆吧控制臺(tái)也禁用了吧，誰(shuí)也別想登陸了！

三、硬件的購(gòu)買

1、選擇老的硬件，淘汰的電腦，最好找個(gè)U盤吧硬盤去掉，最容易出錯(cuò)的東東！

2、到專門的定制防火墻設(shè)備的地方，定制盒子機(jī)箱，電源的等等，主板最好選擇嵌入式開發(fā)板，或者nimi型x86板子，淘寶上大把大把的。

3、想支持無(wú)線，3G只要購(gòu)買無(wú)線網(wǎng)卡，3G網(wǎng)卡插上就去了只要系統(tǒng)支持10跟天線都可以。

4、diy防火墻的成本控制（購(gòu)買新硬件）看你要達(dá)到那款品牌防火墻性能，如果是20萬(wàn)的防火墻性能，你最好準(zhǔn)備5000左右吧，一般是1/10-1/100,要看品牌黑不黑了。

好了，就說(shuō)怎么多,就一句話概括，選擇防火墻一看構(gòu)架（影響OS）二看小包轉(zhuǎn)發(fā)帶寬三看價(jià)格，希望能給大家一點(diǎn)啟示，無(wú)論你是想自己DIY防火墻，可還是購(gòu)買展業(yè)防火墻。