文章阅读导航：

前言：临危受命　决定自力更生
　　　
过程：三军未动　粮草先行
　　　正式开工　初战告捷
　　　撕杀正酣　电子盘参战
　　　软硬兼施　烧录防火墙
　　　收官阶段　逐个围剿

结尾：凯旋

前言：

　　前些天，经理气乎乎找到我说，唐华啊，怎么咱们上网老掉线啊，是不是被攻击啦？咱们单位养着你这个电脑高手不能白养吧？我赶紧检查了一下，感觉主要是单位用了多年的那个宽带路由器可能有点不稳定了，所以常常掉线，这个宽带路由器是2000年那会儿花400元买的，典型的家用宽带路由器，却在公司一跑就是多年，带着整个公司的电脑的电脑上网，白天黑夜从来不关机，用的够狠的，上面落了厚厚一层土，估计快寿终正寝了。

　　可是听完我汇报之后领导依旧疑心重重，老是不踏实，非让我花点钱买个硬件防火墙，把单位局域网保护起来，我心中暗暗叫苦，那是花点钱能办的事儿吗？硬件防火墙多贵啊，动辄几万元，十几万元扔进去根本看不出好来，不过再为难，领导交给咱的任务还是必须完成好，没办法，还得发挥井冈山精神，自己动手丰衣足食吧。

过程：

　　我打算自己组装一台硬件防火墙，基本的要求是：第一，要能替代原有的宽带路由器作为大家共享上网的路由器；第二，要具有防火墙功能，抵御常见的网络攻击，对内部网络起到保护作用。基本调子定下了，具体怎么实施呢，其实一般的中小型企事业单位根本用不到“并发12000个连接”这么高的性能指标，常常也就是几十个连接而已，所以，这套硬件应付我们这样办公室的局域网保护，应该是绰绰有余了。

　　下面是我收集的几张硬件防火墙的图片，大家先看看这些名牌防火墙里外是啥样子，是不是看着确实有点眼熟啊？

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

下面这个带硬件防火墙功能的路由器采用的是一块笔记本硬盘。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

　还是老路数，先去二手电脑市场转转，很快淘来一个二手套板：赛扬533＋主板＋256M的SD内存，主板集成显卡，价格相当便宜，就是下面这个。瞧上去不错吧，回想当年我曾经为了买一套二手的赛扬233（超到400）＋64M内存＋4.3G硬盘的机器花去8000元！不得不慨叹，电脑发展真是好快啊。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

这就是咱们今天要组装的防火墙的硬件平台了，欣赏一下吧，说真的，比我看过的有些名牌防火墙的板子都显得好。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

　另一个今天的主角当然就是机箱了，很多硬件防火墙不过是多网卡的PC机而已，只是采用了UNIX类操作系统，并定制了一个特殊的机箱——盒子，就身价百倍。呵呵，这里说的那个能让PC配件身价百倍的“魔法盒子”就是一台1U钢壳特制防火墙机箱。

　　今天我选用的是一台型号为1U1D360的防火墙路由器专业1U机箱。这台机箱内含一台350瓦大功率防火墙不间断纯净电源，6个高速滚珠风扇，可以保证温度较高的PC处理器和其他配件在狭小的1U空间里稳定持久地运行，其定位即是硬件防火墙、专业路由器DIY市场，所以比较全面地考虑了对市场上常见配件的兼容性，因而使用起来感觉非常顺手。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

虽然今天我用的是温度较低的P3赛扬，但是要保持其能在仅仅4厘米高度的1U超薄空间里稳定持久地运行，也需要特殊的散热装备来保证，下面是一块铜冰三代P3涡轮纯铜超薄散热器，可以为全系列的P3处理器提供强劲的散热，对于一块赛扬，更是不在话下。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

现在散热器已经装好在主板上了，看上去挺有专业感觉吧。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

这个机箱里可以安装一个普通硬盘，IDE、SATA、SCSI硬盘均可，先取下机箱里的硬盘支架，将一块10G的老旧硬盘拧上，这个硬盘也是淘来的二手货，其实做防火墙用不到多大的硬盘容量，因为防火墙的操作系统往往是采用freebsd、linux等内核修改而成的，体积都很小巧，有的甚至能装入一张软盘里，和庞大的微软视窗操作系统相比真可以说都是微型系统了。

　　正因为如此，这些系统内核都很简洁实用，运行起来轻快稳定，不会出现windows越用越慢的问题，一开机就是一年半载不用重启，也不会死机，可能感染的病毒木马也很少。其实今天我不使用这块硬盘来安装防火墙系统，只不过现在演示一下安装硬盘的形式，我今天要使用的是更加坚固耐用的电子盘，也就是专业防火墙里经常使用的DOM盘，不过一般爱好者如果找不到电子盘，也完全可以使用象这样一块普通的硬盘，一样很耐用，性能上没有什么差异，只不过可能碰到几个老鸟笑话你用件不专业，别理他们，他们恨不得你买他们十八万元一套的硬件防火墙呢。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

将上好硬盘的支架，拧到1U防火墙机箱里。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

将主板也装入机箱。这个1U防火墙机箱，采取全包藏式的设计，主板安装进去，整个被包藏在里面，合上盖子之后，从机箱外面根本看不出里面到底使用的是什么元件，因为硬件防火墙多数是禁止用户自己拆开检修的，所以，你如果DIY一套这样的防火墙给用户，丝毫不用担心他们会挑剔你使用的是什么配件，除非他不要保修了，呵呵，说得好笑，其实这还真是许多专业防火墙厂商的一贯做法，不信，您去问问那些动辄售价几万元、十几万元一套的防火墙厂商，他们的防火墙能否让我们打开参观参观？估计问十个就会有十个拒绝的。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

这块主板集成显卡但是不集成网卡，防火墙至少需要2个网卡，一个连接公网一个连接内网，所以今天我们要采用两块PCI转接卡，大家仔细看看，这两个转接卡有什么不同？对，这是两块不同的转接卡，上面那块是一块反向转接卡，而下面那块是一块常见的正向转接卡，用这两个转接卡，就可以想两个不同方向转接网卡，从而达到在1U机箱内转接两块网卡的目的。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

网卡也要稍微改造一下，宁开网卡上的螺丝钉，取下前面的铁板，在1U防火墙机箱里准备了专用的金属固定支架，可以将网卡固定在机箱上。我今天用了两块廉价的8139百兆网卡，因为手头正好有现成的，我们单位是用ADSL共享上网，网络负载要求不高，大家不一定学我，如果大家组装时，感觉8139网卡不能满足要求，建议可以到二手市场淘两块好点的拆机网卡，例如著名的3COM网卡或者英特尔82559网卡都是不错的选择，具有较高的性价比，用好的网卡可以有效提升防火墙的网络负载能力、数据吞吐能力和抗攻击能力，减少对CPU的资源占用，使系统运行更加轻快稳定。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

看，两个网卡都固定好了，这样这台机器就具有了两块百兆网卡。下一步是插上主板上的电源插头。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

插上硬盘数据线，插上主板上的POWER、RESET、SPEAKER等跳线插头。

[ 相关贴图 ]
430)this.width=430" align="center" border="0" />

好了，现在咱们的防火墙已经初具规模了,欣赏一下。