網絡世界最經常用到的，也是最重要的一個安全設備就是防火墻了，面對當今形形色色的防火墻，我們到底選擇誰呢，CISO,華為，jump,還是干脆自己diy,防火墻的選擇指標是什么呢，cpu，帶寬還是OS呢，對于功能的選擇我們需要vpn,layer7過濾，流控，還是IDS、交換路由結合呢？當然還有價格，功率，穩定性等影響。

其實就兩種大選擇一種是直接購買品牌防火墻（當然肯定會宰你幾萬幾十萬的呵呵，能拿點回扣不錯），二中當然是自己diy羅，下面咱們就進入主體，觀點純屬虛構，如有雷同，純屬巧合：

一、防火墻操作系統的選擇

其實這個問題也牽扯到防火墻硬件的選擇，很簡單硬件是基礎，操作系統就是驅動各種硬件，給軟件開發使用搭建的一個平臺，市場上有的系統有linux(debian,clearos,openwrt,dd-wrt,tomato,router,ros) bsd(freebsd,pf,m0ll0wall,netbsd,openbsd),我們到底選擇誰呢，要回答這個問題首先我們要來認識下防火墻的架構:

通常來說我們只分為86架構，非86架構，86架構是早期很多開發商采用的硬件防火墻操作系統，開發難度小，功能多，但是有一個致命的缺點，就是86架構的cpu是復雜指令集，處理一個數據包需要執行幾萬個指令，而非86架構(我們常說的嵌入式cpu)的是精簡指令的，甚至是專門為防火墻優化的,所以在處理大量小包的64位性能是86的十倍20十倍那么高，這就是為什么千兆萬兆防火墻一般都是x86主cpu+mips多核心網絡cpu的構架了，有人會問為什么不配置一塊高性能的intel網卡來分擔任務呢，其實一塊高性能的網卡是對網絡性能有幫助，但是網卡畢竟是一種低級的設備，功能，復雜度都沒有CPU來的狠，最后還是要交給cpu來處里高級任務，這樣往往網卡能頂住，cpu掛了！！所以有時候當cpu不夠強悍時，還不如買一塊性能低下的網卡來配合cpu,不讓cpu累死！說了那么多我就是想說64為小包syn攻擊防御，嵌入式的800MHZ的非86cpu 比3GHZ 的86cpu強不知道多少倍，個人估計起碼要是10倍！

a、當你的防火墻要對付高流量，小包攻擊ddos請選用嵌入式,arm,NP,mips構架防火墻硬件，操作系統就直接選擇linux正營吧，其代表就是起源于ciso/syslink系統的opoenwrt或者dd-wrt,tomato（國人的支持多wan口疊加其實就是策略路由），為什么不選擇freebsd-因為freebsd不支持硬件，為什么不選擇netbsd/openbsd,因為性能低下，很多無線，新硬件，網卡不支持！而且防火墻不開放什么服務器軟件，不需要太高的放滲透入侵，強制訪問安全等等。。。。。。這其中我建議選擇openwrt吧，免費，可定制非常高，就和一臺linux機器一樣的配置！！dd-wrt收費！tomato也是根據openwrt來的，作者配置好了策略路由支持雙，四wan!至于route,ros也是國人改的linux系統，收費，功能繁瑣，網吧可以考慮下！！

b、如果你選擇的硬件是x86架構的，我建議只有一個系統合適你，就是freebsd,要么自己定制防火墻，要么選擇m0llowakk或者pfsense!為什么不是linux很簡單，當遇到大量小包攻擊的時候（syn)freebsd的扛壓能力大大超過linux,最極端的時候可以開啟網卡polling模式，可以有效地降低cpu中斷負載，不至于你的cpu0 100%占用！而且，特別是pfsense選用了openbsd的pf防火墻，支持syn三次握手代理，地址池，自動黑名單等等有用的功能，而且很小巧穩定，性能只是比linux 差一點，不過完全夠用！可以直接配置一臺不帶硬盤，只有cpu,內存，內存卡的小盒子系統，省電，穩定，完全！！而且可以通過ipfw-classic實現和iptable layer-7一樣的應用層過濾，反正大家都是山寨人家clearos公司的！還有商業的panbit,流控大師也是選用freebsd的，不過可惜啊，特征碼給加密了。
c、當你的服務器處于vps guess中時，那就沒辦法了，裝linux就用自帶的iptale裝freebsd就使用自帶的ipfw,ipfiter,pf吧！

二、功能選擇

現在很多防火墻默認都很強大，vpn,web界面控制，7層過濾，ids/ips,甚至還把防火墻放到交換機中，路由器中 組成了什么7層交換機啊 ，四層交換機，7層四層路由器等等，當然他們也不是簡單的利用bsd/linux裝交換機軟件，路由軟件，或者防火墻，是進行了二次開發的，可以有效地加速交換，路由性能，但是如果我們是Diy的防火墻需要那么多功能嗎？

一個原則，功能影響性能，也同樣影響安全！反過來也是功能影響安全，影響性能！其實我們要根據自己的情況來開啟功能：

1、關閉web控制，既然是定制，肯定都是高手了，全屏幕console操作，手寫防火墻，路由規則，要哪個web干嘛！影響性能安全！

2、關閉遠程登錄訪問入口，直接本地登錄防火墻diy機器，進行控制，什么ssh,telent就算了吧保持防火墻就干三件事，就是轉發過濾流控！！就用基本的系統定制內核，配置策略路由，防火墻轉發過濾，或者使用layer7過濾（不過要自己定制7層過濾特征碼，免費的都很過時了，使用分析包軟件分析，書寫正則表達式，不難學，需要耐性和觀察力呵呵！

3、至于vpn,ids,ips還是通過過防火墻轉發到獨立的電腦上進行分析，處理吧，防火墻本身就是拿老硬件定制的，不是什么專業的硬件防火墻，不要運行那么多消耗資源大的程序，

4、當所有的配置都設置好了，就可以學習m0n0wall干脆吧控制臺也禁用了吧，誰也別想登陸了！

三、硬件的購買

1、選擇老的硬件，淘汰的電腦，最好找個U盤吧硬盤去掉，最容易出錯的東東！

2、到專門的定制防火墻設備的地方，定制盒子機箱，電源的等等，主板最好選擇嵌入式開發板，或者nimi型x86板子，淘寶上大把大把的。

3、想支持無線，3G只要購買無線網卡，3G網卡插上就去了只要系統支持10跟天線都可以。

4、diy防火墻的成本控制（購買新硬件）看你要達到那款品牌防火墻性能，如果是20萬的防火墻性能，你最好準備5000左右吧，一般是1/10-1/100,要看品牌黑不黑了。

好了，就說怎么多,就一句話概括，選擇防火墻一看構架（影響OS）二看小包轉發帶寬三看價格，希望能給大家一點啟示，無論你是想自己DIY防火墻，可還是購買展業防火墻。