品牌： 1x86架构适用于freebsd系统&&& 网络设备最经常用到的，也是最重要的一个安全设备就是了。作为一款IT设备，无非两种选择方式。一种是购买品牌成品，另一种是自己DIY防火墙。两种方式各有自己的优劣，购买品牌防火墙最大的问题莫过于是投入较多的资金，却可以得到更多的后期维护。而自己 DIY防火墙的最大弊端就在于需要一个专业的人员来定制，还要投入更多的精力做后期的维护。
&&& 作为一个热血IT青年，自己DIY一个防火墙设备，不仅仅能够带来投入的节省，最重要的是你可以在这个过程中，得到许多一个电话CALL来的售后服务那里，所学到的到东西要多得多。DIY一个防火墙设备，最最重要的是要认清硬件架构和架构的特点，以及最适合于那种搭配。
&&& 基于通用CPU的X86架构的安全网关，一般采用Intel或AMD公司的芯片，X86在架构系统时还需要北桥和南桥芯片，采用该种硬件架构，软硬件配套资源比较多，便于快速推出产品，企业投资少，最初的防火墙大都是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。
　　但其性能发展却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。
　　从总线速度来看，基于32位PCI总线的X86平台，也就是我们所说的基于传统X86架构的防火墙，做为百兆防火墙的方案是没有任何问题的。但X86平台的防火墙方案，数据从网卡到CPU之间的传输机制是靠“中断”来实现的，中断机制导致在有大量数据包的需要处理的情况下（如：64 Bytes的小包，以下简称小包），X86平台的防火墙吞吐速率不高，大概在30%左右，并且CPU占用会很高。这是所有基于X86平台的防火墙所共同存在的问题。因此，基于32位PCI总线的X86平台是不能做为千兆防火墙使用的问题。
　　X86平台的防火墙其最大的缺点就是小包通速率低，只有30%－40%，造成这个问题的主要原因是因为X86平台的中断机制以及X86平台的防火墙所有数据都要经过主CPU处理。早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。这种基于X86体系结构的千兆防火墙主体仍然是软件，其性能受到很大制约，无法达到千兆的处理速度。因此，这些防火墙只是具有千兆接入能力的防火墙，而不是真正具有千兆处理能力的防火墙因此可以说是一种“换汤不换药”的形式改变。
　　Intel提出了解决方案，可以把32位的PCI总线升级到PCI-E总线，即：PCI-Express，这样，PCI-E 4X的总线的速度就可以达到 2000MB Bytes/S，即：16Gbits/S，并且PCI-E各个PCI设备之间互相独立不共享总线带宽，每个基于PCI-E的网口可以使用的带宽为：2000MB Bytes/S，即：16Gbits/S，所以基于PCI-E 4X的X86从系统带宽上来说，做为千兆防火墙是没有任何问题的。但是，基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制来传输数据，所以小包（64 Bytes）的通过率仍然为：30-40%，基于x86的防火墙，其最高性能只能达到2Gbps！同时CPU和外围芯片组发热比较大，产品寿命和稳定性难以保证。
&&&&如果你选择的硬件是x86架构的，我建议只有一个系统合适你，就是freebsd，要么自己定制防火墙，要么选择m0llowakk或者pfsense！为什么不是linux？很简单，当遇到大量小包攻击的时候（syn)，freebsd的扛压能力大大超过linux，最极端的时候可以开启网卡polling模式，可以有效地降低cpu中断负载，不至于你的cpu0 100%占用！而且，特别是pfsense选用了openbsd的pf防火墙，支持syn三次握手代理，地址池，自动黑名单等等有用的功能，而且很小巧稳定，性能只是比linux 差一点，不过完全够用！可以直接配置一台不带硬盘，只有cpu,内存，内存卡的小盒子系统，省电，稳定，完全！而且可以通过ipfw-classic实现和iptable layer-7一样的应用层过滤，反正大家都是山寨人家clearos公司的！还有商业的panbit,流控大师也是选用freebsd的，不过可惜啊，特征码给加密了。2对付高流量小包 选用嵌入式linux　　相比之下，ASIC通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。
　　虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。ASIC芯片集网络包处理和内容处理为一身，芯片首先完成流重组，然后直接在网络层匹配规则，并执行动作处理安全事件，需要进一步分析的才送CPU。网络中90%以上的数据在ASIC芯片中直接完成处理。
　　基于ASIC架构的防火墙从架构上改进了中断机制，数据从网卡收到以后，不经过主CPU处理，而是经过集成在系统中的一些芯片直接处理，由这些芯片来完成传统防火墙的功能，如：路由、NAT、防火墙规则匹配等。这样数据不经过主CPU处理，不使用中断机制。但随之而来的问题是，ASIC架构的防火墙是芯片一级的，所有的防火墙动作由芯片来处理。这些芯片的功能比较单一，要升级维护的开发周期比较长。&
　　几年前，以Intel为代表的国际芯片厂商推出了具有革命性意义的网络处理器(NP)，业界观察家也曾十分看好并极力称颂，NP将引发不可预期的网络革命。然而，NP并没有如观察家所期待的那样结出硕果，各NP厂商的NP业务基本都处于亏损状态。 从2002年开始NP开始在网络安全领域应用，2003年IBM就把NP业务卖给了Hifn，日，Intel正式宣布把NP业务卖给Marvell。
　　网络处理器比较典型的产品有Marvell（Intel）公司的IXP1200系列、IXP2400系列和IXP2800系列和Freescale(motorola)公司的C-5、Cisco公司的Toaster 2、Hifn（IBM）的NP3G4S等。
　　NP架构实现的原理和ASIC类似，但升级、维护远远好于ASIC 架构。NP架构在的每一个网口上都有一个网络处理器，即：NPE，用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程，其软件实现的难度比较大，开发周期比ASIC短，但比X86长。
　　最早提出网络处理器开发的时间是1997年，正式的商用芯片于2000年面世。Intel、IBM、Motorola、MMC Networks、Ezchip、Lucent、Vitesse（Sitera）等厂商参与了网络处理器的早期研究。这一阶段仅仅是研究阶段，而真正将网络处理器投入商业应用的厂商是中国的华为，2000年华为开始开发基于网络处理器的核心路由器，并率先推出了基于NP的NE80/NE40系列核心路由器产品。
&&& 当你的防火墙要对付高流量，小包攻击ddos。请选用嵌入式,arm,NP,mips构架防火墙硬件，操作系统就直接选择linux正营吧，其代表就是起源于ciso/syslink系统的opoenwrt或者dd-wrt,tomato（国人的支持多wan口叠加其实就是策略路由），为什么不选择freebsd-因为freebsd不支持硬件，为什么不选择netbsd/openbsd,因为性能低下，很多无线，新硬件，网卡不支持！而且防火墙不开放什么服务器软件，不需要太高的防渗透入侵，强制访问安全等等。这其中我建议选择openwrt吧，免费、可定制非常高，就和一台linux机器一样的配置！dd-wrt收费！tomato也是根据openwrt来的，作者配置好了策略路由支持双、四wan！至于route,ros也是国人改的linux系统，收费，功能繁琐，网吧可以考虑下！3一看构架二看小包转发三看价格&&& 功能选择
&&& 现在很多默认都很强大，vpn,web界面控制，7层过滤，ids/ips,甚至还把放到交换机中，路由器中 组成了什么7层交换机啊 ，四层交换机，7层四层路由器等等，当然他们也不是简单的利用bsd/linux装交换机，路由软件，或者防火墙，是进行了二次开发的，可以有效地加速交换，路由性能，但是如果我们是Diy的防火墙需要那么多功能吗？
&&& 一个原则，功能影响性能，也同样影响安全！反过来也是功能影响安全，影响性能！其实我们要根据自己的情况来开启功能：
&&& 1，关闭web控制，既然是定制，肯定都是高手了，全屏幕console操作，手写防火墙，路由规则，要哪个web干嘛！影响性能安全！
&&& 2，关闭远程登录访问入口，直接本地登录防火墙diy机器，进行控制，什么ssh,telent就算了吧保持防火墙就干三件事，就是转发过滤流控！！就用基本的系统定制内核，配置策略路由，防火墙转发过滤，或者使用layer7过滤（不过要自己定制7层过滤特征码，免费的都很过时了，使用分析包软件分析，书写正则表达式，不难学，需要耐性和观察力呵呵！
&&& 3，至于vpn,ids,ips还是通过过防火墙转发到独立的电脑上进行分析，处理吧，防火墙本身就是拿老硬件定制的，不是什么专业的硬件防火墙，不要运行那么多消耗资源大的程序，
&&& 4，当所有的配置都设置好了，就可以学习m0n0wall干脆吧控制台也禁用了吧，谁也别想登陆了！
&&& 硬件的购买
&&& 1，选择老的硬件，淘汰的电脑，最好找个U盘吧硬盘去掉，最容易出错的东东！
&&& 2，到专门的定制防火墙设备的地方，定制盒子机箱，电源的等等，主板最好选择嵌入式开发板，或者nimi型x86板子
&&& 3，想支持无线，3G只要购买无线网卡，3G网卡插上就去了只要系统支持10跟天线都可以呵呵
&&& 4, diy防火墙的成本控制（购买新硬件）看你要达到那款品牌防火墙性能，如果是20万的防火墙性能，你最好准备5000左右吧，一般是1/10-1/100,要看品牌黑不黑了
&&&& 好了，就说怎么多,就一句话概括，选择防火墙一看构架（影响OS），二看小包转发带宽，三看价格，希望能给大家一点启示。
防火墙UTM上网行为防毒墙数据中心防火墙有哪些选择
企业对于数据防护的需求由来已久，特别是在进行服务器租用和托管中要考察数据中心的防御能力。那么企业都会通过哪些方式来实现服务器的安全防护呢？
防火墙是阻拦黑客对于服务器攻击的重要措施。服务器托管到数据中心服务商往往会提供硬件防火墙，那是不是意味着用户就不需要安装软件防火墙呢？
硬件防火墙和软件防火墙的应用原理以及二者的区别
硬件防火墙本质上是把软件防火墙嵌入在硬件中，硬件防火墙的硬件和软件都需要单独设计，使用专用网络芯片来处理数据包，同时，采用专门的操作系统平台，从而避免通用操作系统的安全漏洞导致内网安全受到威胁。也是说硬件防火墙是把防火墙程序做到芯片里面，由硬件执行服务器的防护功能。因为内嵌结构，因此比其他种类的防火墙速度更快，处理能力更强，性能更高。
硬件防火墙本质上是把软件防火墙嵌入在硬件中，硬件防火墙的硬件和软件都需要单独设计，使用专用网络芯片来处理数据包，同时，采用专门的操作系统平台，从而避免通用操作系统的安全漏洞导致内网安全受到威胁。也是说硬件防火墙是把防火墙程序做到芯片里面，由硬件执行服务器的防护功能。因为内嵌结构，因此比其他种类的防火墙速度更快，处理能力更强，性能更高。
软件防火墙，顾名思义便是装在服务器平台上的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机是整个网络的网关。软件防火墙像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
硬件防火墙性能上优于软件防火墙，因为它有自己的专用处理器和内存，可以独立完成防范网络攻击的功能，不过价格会贵不少，更改设置也比较麻烦。
而软件防火墙是在作为网关的服务器上安装的，利用服务器的CPU和内存来实现防攻击的能力，在攻击严重的情况下可能大量占用服务器的资源，但是相对而言便宜得多，设置起来也很方便。
下面是小编给大家推荐的几个常见的软件防火墙，可以参考使用。
1、瑞星防火墙
国内老牌的安全软件厂商。
2、风云防火墙
国内防火墙新兴力量，风云防火墙。风云防火墙将秉持自己的简约而不简单的核心开发思想，认真综合、考虑用户的建议，开发、整合适于当前网络时代防火墙趋势与理念的功能，为用户提供防护、功能实用、操作简单、占用资源低的风云防火墙。
3、奇虎360防火墙
360ARP防火墙通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAC地址不被篡改，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，完美的解决局域网内ARP攻击问题。
4、彩影防火墙
ARP防火墙采用内核层拦截技术和主动防御技术，几大功能模块（拦截ARP攻击/拦截IP冲突/DoS攻击抑制/安全模式/ARP数据分析/监测ARP缓存/主动防御/追踪攻击源/查杀ARP病毒/系统时间保护/IE首页保护/ARP缓存保护/自身进程保护/智能防御）互相配合，可彻底解决ARP相关问题，扼杀DoS攻击源。
5、金山防火墙
金山ARP防火墙能够双向拦截ARP欺骗攻击包，监测锁定攻击源，时刻保护局域网用户PC的正常上网数据流向，是一款是适于个人用户的反ARP欺骗保护工具！网关动态探测+识别--识破伪造的网关地址，动态获取、并分析判断后为受保护PC绑定正确的网关地址，从而时刻保障保护本机上网数据的正确流向。同时也支持用户手动设置绑定网关地址。主动向网关表明合法身份
6、服务器安全狗
服务器安全狗是一款集服务器安全防护和安全管理为一体的综合性服务器工具。作为国内支持Windows全系列操作系统（Windows2003/Windows2008 32位 64位）的基于内核级的服务器安全防护软件，服务器安全狗采用NDIS中间层驱动模式，实现从驱动层直接屏蔽攻击，将针对服务器的攻击带来的损失降低到最小，程度地保护用户服务器的安全。
对于大型机房来说，既会使用到软硬件防御手段，同时通过工程师的层层部署来发挥高效的防御能力。HOSTSPACE数据中心从网络层、会话层、应用层到数据层，从报文行为分析到用户行为分析，从深度学习到智能防御，为客户提供全面的DDOS防御解决方案。
本文出自Hostspace首发，来源网址：//www.hostspaces.net/article-detail.php?id=681，转载请标明来源!如果想了解更多美国美国服务器租用信息，美国服务器技术，IDC行业新闻，可进入我们官网查阅。
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
1.预存托管3个月免费用+2.买防御即送主机+3.租机均返120元
I3-2100双核 CPU + 4G DDR3 内存 + 1T 硬盘 + 5M优化带宽+无限流量
今日搜狐热点中国网络防火墙之父、屏蔽Youtube、Facebook、Twitter的最大元凶方滨兴武大被扔鞋
&& & &&中国防火墙之父&方滨兴今天下午在武汉大学计算机学院B座404会议室进行学术交流时被鸡蛋和臭鞋砸，其中一只臭鞋砸中方胸部，鸡蛋没有砸中。方去之前网上已经开始出现各种悬赏，最高的赏格，是某女生愿为砸中校长的男生咬十次??
&& & &另外，今天有同学拿着 404 not found 的标语进计院大楼时被工作人员劝阻。
&& & &以下是一则传言：方滨兴事后责问武大：&他们之前就在讨论，你们怎么没有一点应对措施？& 武大负责人：&那个网站我们打不开，不知道他们说了什么。&&&
&& & &方滨兴（1960年7月－），中国工程院院士，中国共产党党员，1960年7月出生于黑龙江省哈尔滨市，祖籍为江西省万年县。1978年至1989年在哈尔滨工业大学取得学士、硕士和博士学位，1984年至1999年在哈尔滨工业大学任教，2001年获得国务院特殊津贴，2005年被选为中国工程院院士。2006年至今任国家计算机网络与信息安全管理中心名誉主任。2007年12月至今任北京邮电大学校长， 他是中国网络防火长城（GFW）关键部分的首要设计师，因此被网民称为&中国防火墙之父&。
&& & &方滨兴的官方在线简历也显示，他主持建设了&国家网络安全监控平台&等多个相关系统，并&在公共互联网上的网络安全事件的处置等方面发挥了重大的作用&。
&& & &日，方滨兴在新浪微博注册帐号，并取得新浪的实名认证。但开通后即遭大量网友戏谑或质问政府对信息的封堵，表达对中共当局筑下防火长城的不满。新浪方面则删除大量网友的评论，随后方滨兴关闭微博。值得注意的是，方滨兴使用的是Google的Android手机微博客户端。
&& & &2011年2月，方滨兴在接受《环球时报》英文版采访时称在自己的家用电脑上有6个VPN用以测试防火长城。对于微博上网民对自己的攻击，方滨兴认为是自己&为国家作出的牺牲&。被问到防火长城是如何运作的时候，他表示那是&国家机密&。文章发表后引起强烈反响，《环球时报》随后在官方网站上撤下了该篇采访，不过文章仍然能从其他转载媒体的网站中找到。同年5月，《环球时报》英文版问到方滨兴关于5月6日起中国大陆互联网经常出现国际出口故障不能上境外网站的时候，他说：&一些ISP必须为自己的用户支付国际流量费用，因此这些公司有动机去阻碍用户访问国外网站。&
&& & & 到现在为止，新浪搜索&方滨兴&所显示的结果为&根据相关法律法规和政策，搜索结果未予显示&，有微博用户称新浪已经开始删除有关方滨兴事件的帖子。
分享这篇日志的人也喜欢
最快乐的小蔚蓝
热门日志推荐
人人最热标签
北京千橡网景科技发展有限公司：
文网文[号··京公网安备号·甲测资字
文化部监督电子邮箱：wlwh@vip.sina.com··
文明办网文明上网举报电话： 举报邮箱：&&&&&&&&&&&&
请输入手机号，完成注册
请输入验证码
密码必须由6-20个字符组成
下载人人客户端
品评校花校草，体验校园广场