手把手教你组装硬件防火墙:[2]第二篇

作者：唐华

接上文

插上硬盘数据线，插上主板上的POWER、RESET、SPEAKER等跳线插头。

　　好了，现在咱们的防火墙已经初具规模了,欣赏一下。

插好前置串口线

　　千际的1U机箱上带有两条前置串口线，将串口连线的插头插到主板上，这个串口和我们现在老说的串口硬盘那个意思不太一样，大家用过老式的串口鼠标吧？就是那个口，这个串口在防火墙使用中，可以作为一个调试接口，用串口连接线将其他电脑连接到这个串口上，就可以调试维护这台防火墙，其实一般我们也很少用到。喜欢观察的朋友可能也注意到了，现在很多ADSL猫和家用宽带路由器上都带有一个这样的串口，其作用是一样的，平时也很少用到。

安装电子盘

　　现在请出今天的另一位明星——电子盘，笔者前面说了，虽然我在这台机器里安装了一块硬盘，但主要为了给大家做安装演示，今天并不想将防火墙的系统内核安装在硬盘上，而是要安装在更加坚固耐用的存储元件——电子盘上。这也是许多名牌防火墙宣传时爱说自己使用的是嵌入式操作系统，这种操作系统不装入硬盘，而是直接嵌入到硬件之中。

　　那他们说的操作系统到底是嵌入到什么硬件之中呢？其实十有八九是嵌入到这个电子盘里，电子盘也被称作DOM盘，很多商家在宣传时常常爱用“军用级存储硬件”来形容它，这种东西有点类似现在我们使用的闪存、U盘，按照容量分成8M、16M、64M、128M、256M等多种规格，由于存储时没有机械运动，所以相对硬盘来说比较坚固耐用。　　当然，我并不是说所有的防火墙都使用电子盘，其实还有很多存储硬件可以使用，例如许多朋友在组装路由器、工控设备时喜欢使用CF卡，通过一种转换卡，将CF卡插入主板IDE接口，也可以当作电子盘使用，还有许多工业主板上本身就带有CF卡接口，可以直接插入CF卡来安装操作系统和其他软件，大家有兴趣可以上网搜索一下，进一步了解。

　　今天使用的是一块PQI牌的128M容量的电子盘，支持普通PC主板的40pin的IDE硬盘接口。就是下面这块。

　　近距离看看。

　　看这个接口是不是和IDE硬盘的数据线接口一摸一样？这个可以直接插入主板上的IDE硬盘插口里。

　　电子盘后面拖着一个小尾巴，是供电线路，接口也和IDE硬盘的大4pin供电接口一样，可以直接插入PC电源。

　　把电子盘插入主板上的IDE硬盘插口，建议大家最好把电子盘插入主板的IDE1主接口，因为有时候插入IDE2副接口会出现一些问题。

把电子盘的供电接头和电源上的大4pin接头插在一起。

　　插好了，现在咱们也可以把软件嵌入硬件了，怎么样够专业吧。告诉大家这个电子盘不贵，价格根据容量不同，也就100－300元而已，比硬盘便宜。

插上显示器和键盘

　　把显示器和键盘插入主板，现在大家就跟着我一步一步来将防火墙系统核心嵌入到咱们的防火墙硬件里。

下载硬件防火墙内核软件

　　前面，我们将防火墙的硬件部分基本安装完毕，要嵌入防火墙核心了，市面上的大部分硬件防火墙都装了UNIX系统+软件防火墙模块，看来这套基于UNIX系统的软件防火墙模块几乎可以称作是硬件防火墙灵魂，有了它，这台PC机就变成一台“号称支持100M带宽、并发12000个连接”的硬件防火墙了，可以拿到市场上叫出20万的高价了。　　那么我们怎么才能获得这样一套软件呢？当然，各家防火墙厂商对自己的软件都是深藏不露，绝对不会拿出来给大家自由使用的，那么还有其他办法吗？　　当然有，那就是使用开源的防火墙软件，现在国内外有很多软件开发机构，矢志开发基于FREEBSD、LINUX等开源操作系统的防火墙软件，并且将软件放在网络上供大家自由下载、测试，共同完善，其中有很多软件的性能已经达到了相当高的水平，性能不亚于一些名牌防火墙产品，其中m0n0wall是笔者最欣赏的一个，我认为m0n0wall运行稳定、功能强大、技术比较成熟，完全可以与一些国内的名牌专业防火墙产品媲美。

　　m0n0wall对于国内的软件路由器爱好者来说早已不是什么新鲜事物，不过大家多数使用它来diy软件路由器，而忽略了它强大的防火墙功能，和其他常常被用来作为软件路由器核心的软件相比，m0n0的防火墙性能明显胜出一筹，对于来自外界的攻击和入侵，默认一律拒绝，可以很好地保护内网的安全，你看人家的名字就是wall啊，wall是什么？就是防火墙啊，可见软件作者的初衷并不是仅仅将它作为一款路由器软件，而是侧重在防火墙上。　　m0n0wall的安装和设置都非常简单快捷，特别适合初学者使用，软件安装好无需设置繁琐的防火墙规则，默认设置下即可为内网筑起一道强大的防火墙，一般的黑客和木马根本无法穿透这道防火墙，我的许多朋友长期使用m0n0做局域网防火墙，迄今为止还没有谁发现有人能破解它，当然，我不是说m0n0wall是坚不可摧的，我的意思是说，m0n0wall作为一般中小型局域网的防护屏障是很好的选择，毕竟水平超群的黑客不会费劲去攻击这些小目标。理论上讲，就和世界上没有一把绝对安全的锁一样，世界上也没有一台绝对安全的防火墙，在超级黑客眼里，一切都是可以穿透的，希望大家懂得这个道理，想成为一名优秀的网络安全维护人员，除了技术过硬之外，更重要的一点就是务必注意少得罪人。

　　m0n0wall固然好，但是因为是舶来品，国人使用起来往往还有点不适应，国内的一些发烧友和软件机构，根据国情对于m0n0wall做了不少优化工作，这些优化版本，减少了原版的bug，加强了稳定性和功能，操作上更加适合国人的习惯和口味，这其中由千际公司的工程师鲁承明先生优化的版本一直受到网友的欢迎，优化后的版本依旧是免费软件，供大家免费下载使用，现在最新的版本是1000g-1.0-060202版，在这里http://www.1000gwall.com可以下载，该版本支持安装到普通硬盘、电子盘、CF卡上使用。

　　笔者先下载了防火墙软件模块，但是如何将这个模块安装进电子盘呢，m0n0wall不是windows下开发的软件，而是基于一种陌生的操作系统freebsd，这个系统比linux更加让人感到陌生，但是freebsd具有神秘的稳定性，许多高端的服务器都采用这种操作系统，常常一开机就是一年不重启一次，很少有病毒可以侵袭它，一般的黑客对它也是束手无策。

烧录硬件防火墙内核

　　既然是基于陌生的操作系统，m0n0的安装自然也就有点与众不同，没有什么安装文件可以让我们双击，我们需要下载专门的“烧录”工具来将防火墙模块“烧”进硬件里。这个工具就是physdiskwrite.exe，刚才下载的那个包含防火墙模块的压缩包里有两个文件1000g-1.0-060202.img 和physdiskwrite.exe 其中physdiskwrite.exe就是烧录工具，另一个1000g-1.0-060202.img就是防火墙模块软件 ，好了，万事齐备，我们正式开始安装。

　　先把电子盘插入一台安装有windows操作系统的PC电脑的主板IDE接口上，点击开始菜单——运行。

　　输入“CMD”命令。

　　调出DOS命令窗口，记住一定要这样调出窗口，切记千万不能通过“点击开始菜单——程序——附件——C：\命令提示符”这种方式来调出窗口，否则将不能正常“烧录”。

今天先讲到这里，请大家继续看本文第三篇。