疯狂DIY 1U硬件防火墙实录(3)

　　下面输入自动分配IP地址的起始IP地址，输入192.168.123.22

　　再输入自动分配IP地址的终结IP地址，输入 192.168.123.122

　　再回车。

　　回到主菜单。

　　输入选项6，测试网络是否通。此时已经把网线插入防火墙的LAN口，输入局域网网关的IP，ping一下，哦，通了！有时候可能会弄不清到底哪个网卡是LAN，这时可以来回将网线分别插入两个网卡测试，那个通那个就是，另一个网卡就是连接外网的WAN口。

　　现在专业的防火墙都可以通过IE浏览器的WEB界面来远程管理，咱们的防火墙自然也不例外。在局域网里任何一台客户机的浏览器的地址栏里输入防火墙的IP地址：http://192.168.123.21 不用输入端口，防火墙默认是80端口，立即弹出防火墙的登陆界面，要求输入用户名和密码，我输入防火墙默认用户名admin 和密码 1000g 点击确定，进入防火墙管理界面。

　　看看，界面够酷吧，和一般硬件防火墙的管理界面没什么区别。

　　点击左边菜单的system——general setup，在这里可以更改hostname，你可以改成任意自己喜欢的名字和符号，我改成1000gwall，domain改成1000gwall.com，下面的DNS server填入当地常用的dns服务器的IP地址。—在向下的选项usename和password可以更改防火墙的默认登陆用户名和密码。webgui port这个选项可以更改防火墙的web登陆端口号，默认是80，我给改成8080，这样就可以通过诸如：http://192.168.123.21:8080来访问防火墙的管理界面了，这样可以防止黑客利用默认端口攻击防火墙。

　　修改完毕，点击页面下面的save，保存修改。屏幕显示改变已经保存生效。

　　现在的硬件防火墙很多都带有共享上网的路由功能，咱们这个也不例外，笔者将用这台防火墙为整个单位的局域网提供共享上网功能，替换原有的那个老路由器，大家都知道现在用来共享上网的宽带路由器都带有pppoe拨号功能，能够自动通过一条ADSL宽带拨号上网，然后让局域网里的全部电脑都共享上网，咱们的这台防火墙也有这个能力，下面选择菜单里wan选项进行设置。 在TYPE（类型）中有Static（固定）、DHCP（动态）、PPPoE、PPTP、BigPond等五种类型，这里我们介绍固定IP和ADSL的设置，另外的设置方式类似。

a. 固定IP方式设置

　　如果您使用的固定IP请选择选择Static，在这里我选择了Static，Static IP configuration(静态IP地址配置)?IP Address（IP地址）输入外网IP地址219.159.82.XXX/30，Gateway（网关）输入外网网关地址219.159.82.xxx。

　　提示：这台防火墙子网掩码采用的是CIDR标记法，如255.255.255.0用/24表示,255.255.0.0用/16表示，255.0.0.0用/8表示等，实际上x中的就是子网掩码二进制表示的数位1的个数，如255.255.255.252,用CIDR标记为/30。

b. ADSL宽带设置

　　如果你使用的是ADSL，请在type中选择PPPoE在PPPoE Configuration下的username（用户名）处输入用户名，Password处输入密码，Service name（服务商名称）可以随意输入或留空，最后点击Save保存配置。

　　提示：只需设置一种上网方式。

　　设置好ADSL帐号的用户名和密码之后，选择保存设置，修改的选项立刻生效，将防火墙的wan接口接入adsl猫，lan口接入交换机或者集线器的任意一个接口（记住是任意一个lan接口而不是集线器级联用的uplink接口），其他客户机电脑接入集线器或者交换机的其他lan口，重启防火墙之后，防火墙即可自动拨号上网，并给各个客户机自动分配IP地址，局域网用户即可共享上网，当然这时大家已经处于防火墙的保护之下了。

　　现在许多防火墙还具有动态主机功能，就是内置了一些动态主机软件，例如花生壳客户端、每步动态域名客户端，让其他互联网用户可以通过动态域名访问到防火墙所在的局域网内的服务器，这个功能咱们的防火墙也有，点击dynamic dns选项进行设置，首先将Enable选项勾选上，启动动态域名服务。

　　在咱们的防火墙里默认内置了许多国际上常见的动态域名的客户端，我喜欢使用其中的hn.org，去hn.org网站注册一个用户名，在防火墙下拉菜单里选择使用hn.org的客户端，然后输入刚刚注册的用户名和密码就可以使用了，互联网上的网民只要输入你的动态域名，例如 1000g.hn.org即可访问到防火墙所在的公网IP地址，再通过在防火墙上设置端口映射，即可让外界的网民访问到内网的服务器，端口映射的方法我下面接着说。

发布Web和ftp服务器

　　我们单位局域网里安装有对外开放的web和ftp服务器，配置防火墙可以让外界网民访问web和ftp服务器。

　　步骤一：点击Firewall——NAT，点击Inbound的+号增加配置信息。


　　步骤二：配置Web端口映射。其中Interface设置为ＷＡＮ，Protocol设置为tcp，External port range设置为http, NAT IP设置为192.168.123.88，Local port设置为http，Description（描述信息）设置为web Server，最后Auto-add a firewall rule to permit traffic through this NAT rule一定要选定，否则必须手动在Firewall中rules 加规则，所有设置如图15所示，点击save键。

　　步骤三：配置FTP端口映射。其中Interface设置为ＷＡＮ，Protocol设置为tcp，External port range设置为FTP, NAT IP设置为192.168.123.88，Local port设置为FTP，Description（描述信息）设置为FTP Server，最后Auto-add a firewall rule to permit traffic through this NAT rule一定要选定，否则必须手动在Firewall中rules 加规则，点击save键，再点击“apply Changes”（修改确认），系统提示应用生效，通过查看Firewall rules，发现系统已经有二条新加入的规则。在外网输入动态域名就可以访问发布的web服务器了。

　　依此类推，可以设置好远程桌面3389、smtp、pop3等常用的端口映射，如下图显示。

　　如果您并不想用这台防火墙给局域网做防护，而是想用于一台服务器的防护，可以选择firewall:NAT里面的1：1模式，这样，所有访问都将经过防火墙过滤后转发到同一个IP地址上。

　　硬件防火墙都可以监控流量和资源占用率，咱们的防火墙当然也可以了，选择status——system 出现System information界面，点击上面的CPU usage——view graph选项，这时出现CPU占用率的曲线图，但是现在显示不正常，原来必须安装一个小小的插件，点击这里http://www.1000gwall.com/1000gwallview.rar即可下载这个插件。

　　在客户端电脑下载插件安装之后，登陆防火墙管理界面后即可显示现在的CPU占用率，现在的占用率很低。

结尾：

　　一切顺利，最后要把藏在机箱内的两个网卡的接口引出来到前面板上，自己动手做了两条网线，把网线一头插入网卡。

　　网线另一头插入1U防火墙机箱前面板的前置网络接口上，这样就把百兆网卡的接口引出到机箱的前面板上了。

　　一切搞好，拧上机箱盖子，好了！万事大吉，来欣赏一下我们的硬件防火墙吧！

　　怎么样，看外观上谁敢说它不专业？呵呵，不仅外观专业，使用起来更专业呢，来吧，我们快来使用一下。

　对了，这个1U防火墙机箱的前面板是可以更换的，现在电信和网通宽带存在速度瓶颈，所以很多网吧都买了昂贵的双WAN口路由器，来同时接入电信和网通线路，保证玩家们无论玩哪个线路上的游戏都通畅。假如你要组装一台双WAN口的大型网吧路由器，那么就需要3个网卡口，这是你可以换上下面这个带有三个网口的前面板。

　　笔者用自己组装的防火墙替换下公司的老旧宽带路由器，将局域网内的客户机的默认网关都改成防火墙的IP地址，防火墙一开机，很快局域网里面的电脑就都可以上网了，QQ、MSN、FTP、Email等等 都不用特殊设置，和直接上网没有区别，局域网里79台电脑，上网速度都很快，感觉防火墙的拨号连接速度和上网速度，都明显比原来的老路由器速度快，而且咱们防火墙默认即可断线重拨，重拨能力特强，几乎感觉不到断线，不像一般的家用宽带路由器，经常要重启才能恢复上线。

　　有天晚上笔者把防火墙拔下来拿到一家200台电脑的网吧进行测试，发现上网速度和打游戏的速度依然很快，性能比网吧原来用的名牌硬件路由器还好，网吧老板特高兴，让我也给他装一台。对于防火墙的防范攻击性能，我没有做过多的测试，只是利用一些测试网站做了粗略检测，感觉不错，用在我们这样的普通单位，这样的防护效果已经足够了，毕竟没有什么高级黑客会费劲闯入这样无关紧要的地方来过瘾，大家看看检测结果。

　　怎么样不赖吧，还不赶紧动手！装一台玩玩吧。希望大家能拿出更加详细更加合理的组装方案和设置方法、测试报告来分享。