自制防火墙：欢乐与收益同在

在上世纪90年代和本世纪初，买一款思科或别的防火墙设备并令其管理自家的网络是大多数人的共识。在那超过十年的时间里，思科的PIX是防火墙的不二选择，它牢牢地把控着大小公司、组织的网络数据流。

防火墙性能的优劣与否是用户对其信赖的一个重要原因。思科PIX实质上是一台仅配备Pentium-II 433MHz处理器和64MB内存，用515 model联网的电脑。但我想说的是，你完全可以在家里山寨一台PIX 520，使用消费级网卡，可靠地监控百兆网络流量，还能终结大量的VPN通道。这要归功于高集成度的代码和硬件，以及低层次架构的PIXOS。思科PIX最终被淘汰了，取而代之的是建立在自定义平台上的ASA。

ASA设备很贵，特别是对小公司来说。当然，可能你有一条150/50Mb的有线电缆，或是速度能达到200Mb的同步光纤，但是很多昂贵的硬件防火墙要求占用额外的50Mb下游带宽，因为你需要一个至少2Gb网络接口的防火墙。

上天也不允许你的DMZ(隔离区)运行在那种速度上，因为那会占用更大量的接口，让你的开销更大。你当然不能驾驭Gb级的速度，但想尝尝100Mb速度的甜头，在这种情况下你就只能逼着自己买更多原本不需要还会闲置大量时间的设备。

怎么办呢?你可以自己搭建。现在这些物美价廉、能力超群的自制防火墙完全没有缺点。如果你知道PF防火墙有多棒，你可以去看看诸如M0n0wall and PfSense之类的设计。它包含了优秀的包过滤器和简单易懂的图形用户界面;或者可以试试基于Linux的任何一款防火墙如IPCop和Smoothwall等。这些程序有纯粹的开源版本，其中的一些也有商业版本。所以碰到困难的时候总会有解决方法。

还有一些商业端的选择，比如Vyatta和Untangle，它们运行在高度自定义的Linux版本，而且提供各式各样的插件比如内容过滤，网络钓鱼防范，垃圾邮件过滤及反间谍软件等。你会发现它们真的很便宜。

当然，你也可以在虚拟平台上布置一个像上述防火墙一样的软件防火墙。在真实的网络端使用硬件方案总是让我感到紧张，还会让我觉得完全不可信网(completely untrusted networks)无法被物理隔离。然而在其他网络或半可信网络上用软件方案布置一个防火墙是一个不错的方法。你可以非常容易地在软件防火墙后布置一大堆虚拟机而不会跟完全不可信网有任何的物理连接。

在网络端上面对众多公共IP，一个外形小巧精致、拥有自定义商业化服务器的设备总能让我无比舒适。现在你可以很便宜地买到拥有四核CPU、4G内存的刀片服务器。这些“刀片”如果用来运行开源防火墙就能做很多很棒的事情，性能远超同价格的防火墙产品。大多数这些方案还能提供许多很好的服务，比如带状态的故障恢复、VPN终端、包捕获和WAN的负载均衡等。

下次你打算提升网络端的安全性时，给你自制方案一个测试的机会，你会发现这就是你想要的。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友