定制防火墙 应该如何选择硬件和系统.pptx

x86架构适用于freebsd系统 网络设备最经常用到的，也是最重要的一个安全设备就是防火墙了。作为一款IT设备，无非两种选择;方式。一种是购买品牌防火墙成品，另一种是自己DIY防火墙。两种方式各有自己的优劣，购买品牌防火墙最大的问题莫过于是投入较多的资金，却可以得到;更多的后期维护。而自己DIY防火墙的最大弊端就在于需要一个专业的人员来定制，还要投入更多的精力做后期的维护。 作为一个热血IT青年，;自己DIY一个防火墙设备，不仅仅能够带来投入的节省，最重要的是你可以在这个过程中，得到许多一个电话CALL来的售后服务那里，所学到的到东西要;多得多。DIY一个防火墙设备，最最重要的是要认清硬件架构和软件架构的特点，以及最适合于那种搭配。 基于通用CPU的X86架构的安全网;关，一般采用Intel或AMD公司的芯片，X86在架构系统时还需要北桥和南桥芯片，采用该种硬件架构，软硬件配套资源比较多，便于快速推出产品，;企业投资少，最初的防火墙大都是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主;要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。 但其性能发展;却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接;近2Gbps的吞吐量，但是通用CPU的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86架构的防火墙是基于定;制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。 从总线速度来看，基于32位PCI总线的X86;平台，也就是我们所说的基于传统X86架构的防火墙，做为百兆防火墙的方案是没有任何问题的。但X86平台的防火墙方案，数据从网卡到CPU之间的传;输机制是靠“中断”来实现的，中断机制导致在有大量数据包的需要处理的情况下（如：64Bytes的小包，以下简称小包），X86平台的防火墙吞吐速;率不高，大概在30%左右，并且CPU占用会很高。这是所有基于X86平台的防火墙所共同存在的问题。因此，基于32位PCI总线的X86平台是不能;做为千兆防火墙使用的问题。 X86平台的防火墙其最大的缺点就是小包通速率低，只有30%－40%，造成这个问题的主要原因是因为X86平;台的中断机制以及X86平台的防火墙所有数据都要经过主CPU处理。早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。这种基于X86体系结构的;千兆防火墙主体仍然是软件，其性能受到很大制约，无法达到千兆的处理速度。因此，这些防火墙只是具有千兆接入能力的防火墙，而不是真正具有千兆处理能;力的防火墙因此可以说是一种“换汤不换药”的形式改变。 Intel提出了解决方案，可以把32位的PCI总线升级到PCI-E总线，即：P;CI-Express，这样，PCI-E4X的总线的速度就可以达到2000MBBytes/S，即：16Gbits/S，并且PCI-E各个PCI;设备之间互相独立不共享总线带宽，每个基于PCI-E的网口可以使用的带宽为：2000MBBytes/S，即：16Gbits/S，所以基于PCI;-E4X的X86从系统带宽上来说，做为千兆防火墙是没有任何问题的。但是，基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制;来传输数据，所以小包（64Bytes）的通过率仍然为：30-40%，基于x86的防火墙，其最高性能只能达到2Gbps！同时CPU和外围芯片组;发热比较大，产品寿命和稳定性难以保证。 如果你选择的硬件是x86架构的，我建议只有一个系统合适你，就是freebsd，要么自己定制防;火墙，要么选择m0llowakk或者pfsense！为什么不是linux？很简单，当遇到大量小包攻击的时候（syn)，freebsd的扛压能;力大大超过linux，最极端的时候可以开启网卡polling模式，可以有效地降低cpu中断负载，不至于你的cpu0100%占用！而且，特别是;pfsense选用了openbsd的pf防火墙，支持syn三次握手代理，地址池，自动黑名单等等有用的功能，而且很小巧稳定，性能只是比linu;x差一点，不过完全够用！可以直接配置一台不带硬盘，只有cpu,内存，内存卡的小盒子系统，省电，稳定，完全！而且可以通过ipfw-classi;c实现和iptablelayer-7一样的应用层过滤，反正大家都是山寨人家clearos公司的！还有商业的panbit,流控大师也是选用fr;eebsd的，不过可惜啊，特征码给加密了。 对付高流量小包选用嵌入式linu