硬件防火墙：硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

硬件防火墙是保障内部网络安全的一道重要屏障。

它的安全和稳定，直接关系到整个内部网络的安全。

目前市场上的防火墙种类繁多，而且质量和价格都相当不透明，一问价格，动辄几万元，甚至二十几万元，而其内在质量、用料却难以苟同。

一不作二不休，干脆来个手把手DIY安装1000gwall於1U硬件防火墙！前言：前些天，经理气乎乎找到我说，怎么咱们上网老掉线啊，是不是被攻击啦？咱们单位养着你这个"电脑高手"不能白养吧？我赶紧检查了一下，感觉主要是单位用了多年的那个"宽带路由器"可能有点不稳定了，所以常常掉线，这个"宽带路由器"是2000年那会儿花400元买的，"典型的家用宽带路由器"，却在公司一跑就是多年，带着整个公司的电脑的电脑上网，白天黑夜从来不关机，用的够狠的，上面落了厚厚一层土，估计快寿终正寝了。

可是听完我汇报之后领导依旧疑心重重，老是不踏实，非让我花点钱买个"硬件防火墙"，把单位局域网保护起来，我心中暗暗叫苦，那是花点钱能办的事儿吗？"硬件防火墙"多贵啊，动辄几万元，十几万元扔进去根本看不出好来，不过再为难，领导交给咱的任务还是必须完成好，没办法还得发挥"天神的精神"，自己动手寻找真理吧。

过程：我打算自己组装一台"硬件防火墙"，基本的要求是：第一，要能替代原有的宽带路由器作为大家共享上网的路由器；第二，要具有防火墙功能，抵御常见的网络攻击，对内部网络起到保护作用。

基本调子定下了，具体怎么实施呢，其实一般的中小型企事业单位根本用不到"并发12000个连接"这么高的性能指标，常常也就是几十个连接而已，所以这套硬件应付我们这样办公室的局域网保护，应该是绰绰有余了。

下面是我收集的几张"硬件防火墙"的图片，大家先看看这些"名牌防火墙"里外是啥样子，是不是看着确实有点眼熟啊？下面这个"带硬件防火墙功能的路由器"采用的是一块"笔记本硬盘"。

还是老路数，先去二手电脑市场转转，很快淘来一个二手套板：赛扬533 + 主板 + 256M的SD内存、主板集成显卡，价格相当便宜，就是下面这个。

瞧上去不错吧，回想当年我曾经为了买一套"二手的赛扬233（超到400）" + 64M内存 + 4.3G硬盘的机器花去8000元！不得不慨叹，电脑发展真是好快啊。

这就是咱们今天要组装的"防火墙的硬件平台"了，欣赏一下吧，说真的，比我看过的有些"名牌防火墙的板子"都显得好。

另一个今天的主角当然就是机箱了，很多"硬件防火墙"不过是"多网卡的PC机"而已，只是采用了"UNIX类操作系统"，并定制了一个特殊的机箱——"盒子"，就身价百倍。

呵呵，这里说的那个能让PC配件身价百倍的"魔法盒子"就是一台"1U钢壳特制防火墙机箱"。

今天我选用的是一台型号为"1U1D360的防火墙路由器专业1U机箱"。

这台机箱内含"一台350瓦大功率"防火墙不间断纯净电源，"6个高速滚珠风扇"，可以保证温度较高的PC处理器和其他配件在狭小的1U空间里稳定持久地运行，其定位即是"硬件防火墙"、"专业路由器DIY 市场"，所以比较全面地考虑了对市场上常见配件的兼容性，因而使用起来感觉非常顺手。

虽然今天我用的是温度较低的P3赛扬，但是要保持其能在仅仅4厘米高度的1U超薄空间里稳定持久地运行，也需要"特殊的散热装备"来保证，下面是"一块铜冰三代P3涡轮纯铜超薄散热器"，可以为全系列的P3处理器提供强劲的散热，对于一块赛扬，更是不在话下。

现在散热器已经装好在主板上了，看上去挺有专业感觉吧。

这个机箱里可以安装一个普通硬盘，IDE、SATA、SCSI硬盘均可，先取下机箱里的"硬盘支架"，将"一块10G的老旧硬盘"拧上，这个硬盘也是淘来的二手货，其实做防火墙用不到多大的硬盘容量，因为防火墙的操作系统往往是采用freebsd、linux等内核修改而成的，体积都很小巧有的甚至能装入"一张软盘"里，和庞大的"微软视窗操作系统"相比真可以说都是"微型系统"了。

正因为如此，这些系统内核都很简洁实用，运行起来轻快稳定，不会出现windows越用越慢的问题，一开机就是一年半载不用重启也不会死机，可能感染的病毒木马也很少。

其实今天我不使用这块硬盘来安装防火墙系统，只不过现在演示一下安装硬盘的形式，我今天要使用的是更加坚固耐用的电子盘，也就是"专业防火墙里经常使用的DOM盘"，不过一般爱好者如果找不到电子盘，也完全可以使用象这样一块普通的硬盘一样很耐用，性能上没有什么差异，只不过可能碰到几个老鸟笑话你用件不专业，别理他们，他们恨不得你买他们十八万元一套的硬件防火墙呢。

将上好"硬盘的支架"，拧到1U防火墙机箱里。

将"主板"也装入机箱。

这个1U防火墙机箱，采取全包藏式的设计，主板安装进去，整个被包藏在里面，合上盖子之后，从机箱外面根本看不出里面到底使用的是什么元件，因为硬件防火墙多数是禁止用户自己拆开检修的，所以你如果DIY一套这样的防火墙给用户，丝毫不用担心他们会挑剔你使用的是什么配件，除非他不要保修了，呵呵~~说得好笑，其实这还真是许多专业防火墙厂商的一贯做法，不信您去问问那些动辄售价几万元、十几万元一套的防火墙厂商，他们的防火墙能否让我们打开参观参观？估计问十个就会有十个拒绝的。

这块主板"集成显卡"但是"不集成网卡"，防火墙至少需要"2个网卡"，一个连接"公网"一个连接"内网"，所以今天我们要采用"两块PCI转接卡"，大家仔细看看，这两个转接卡有什么不同？对这是两块不同的转接卡。

上面那块是一块"反向转接卡"，而下面那块是一块"常见的正向转接卡"，用这两个转接卡，就可以想两个不同方向转接网卡，从而达到在1U机箱内转接两块网卡的目的。

"网卡"也要稍微改造一下，宁开网卡上的螺丝钉，"取下前面的铁板"，在1U 防火墙机箱里准备了专用的金属固定支架，可以将"网卡"固定在机箱上。

我今天用了两块廉价的"8139百兆网卡"，因为手头正好有现成的，我们单位是用ADSL共享上网，网络负载要求不高，大家不一定学我，如果大家组装时，感觉8139网卡不能满足要求，建议可以到二手市场淘两块好点的拆机网卡，例如：著名的3COM网卡或者英特尔82559网卡都是不错的选择，具有较高的性价比，用好的网卡可以有效提升防火墙的网络负载能力、数据吞吐能力和抗攻击能力，减少对CPU的资源占用，使系统运行更加轻快稳定。

看，两个网卡都固定好了，这样这台机器就具有了两块百兆网卡。

下一步是"插上主板上的电源插头"。

插上"硬盘数据线"，插上主板上的POWER、RESET、SPEAKER....等跳线插头。

好了，现在咱们的防火墙已经初具规模了欣赏一下。

机箱上带有"两条前置串口线"，将串口连线的插头插到主板上，这个串口和我们现在老说的串口硬盘那个意思不太一样，大家用过老式的串口鼠标吧？就是那个口，这个串口在防火墙使用中，可以作为一个"调试接口"，用串口连接线将其他电脑连接到这个串口上，就可以调试维护这台防火墙，其实一般我们也很少用到。

喜欢观察的朋友可能也注意到了，现在很多"ADSL猫"和"家用宽带路由器"上都带有一个这样的串口，其作用是一样的，平时也很少用到。

现在请出今天的另一位明星——"电子盘"，我前面说了，虽然我在这台机器里安装了一块硬盘，但主要为了给大家做安装演示，我今天并不想将防火墙的系统内核安装在硬盘上，而是要安装在更加坚固耐用的存储元件——"电子盘上"。

这也是许多名牌防火墙宣传时爱说自己使用的是"嵌入式操作系统"，这种操作系统不装入硬盘，而是直接嵌入到硬件之中。

那他们说的操作系统到底是嵌入到什么硬件之中呢？其实十有八九是嵌入到这个"电子盘"里，电子盘也被称作"DOM盘"，很多商家在宣传时常常爱用"军用级存储硬件"来形容它，这种东西有点类似现在我们使用的"闪存"、"U盘"，按照容量分成8M、16M、64M、128M、 256M.....等多种规格，由于存储时没有"机械运动"，所以相对硬盘来说比较坚固耐用。

当然，我并不是说所有的防火墙都使用"电子盘"，其实还有很多存储硬件可以使用，例如许多朋友在"组装路由器"、"工控设备"时喜欢使用"CF卡"，通过一种转换卡，将CF卡插入"主板IDE接口"，也可以当作"电子盘"使用，还有许多工业主板上本身就带有"CF卡接口"，可以直接插入CF卡来安装操作系统和其他软件，大家有兴趣可以上网搜索一下，进一步了解。

今天我使用的是"一块PQI牌的128M容量的电子盘，支持普通PC主板的40pin的IDE硬盘接口。

"就是下面这块。

近距离看看。

请大家看看这个接口是不是和IDE硬盘的数据线接口一摸一样？这个可以直接插入主板上的IDE硬盘插口里。

电子盘后面拖着一个小尾巴，是"供电线路"，接口也和IDE硬盘的大4pin供电接口一样，可以直接插入PC电源。

把电子盘插入主板上的IDE硬盘插口，我建议大家最好把电子盘插入主板的IDE1主接口，因为有时候插入IDE2副接口会出现一些问题。