硬件防火墙DIY笔记

基本的要求

要能替代原有的宽带路由器作为大家共享上网的路由器
要具有防火墙功能，抵御常见的网络攻击，对内部网络起到保护作用

定位

硬件

赛扬533＋主板(集成显卡)＋256M的SD内存
防火墙路由器专业1U机箱(型号为1U1D360)
350瓦大功率防火墙不间断纯净电源
6个高速滚珠风扇
铜冰三代P3涡轮纯铜超薄散热器(CPU散热器)
普通硬盘/电子盘(专业防火墙里常常使用的DOM盘. 如PQI牌的128M容量的电子盘,支持普通PC主板的40pin的IDE硬盘接口(IDE1主接口))
2个网卡(一个连接公网一个连接内网,需要两块PCI转接卡实现1U机箱内转接两块网卡)

软件

UNIX类操作系统(freebsd、linux等内核修改而成, 可安装再硬盘或者电子盘上)
软件

嵌入防火墙核心

UNIX系统+软件防火墙模块————硬件防火墙灵魂
获取软件：开源的防火墙软件
    m0n0wall v1000g-1.0-060202 下载地址：http://www.1000gwall.com/1000gwall.rar
        基于一种陌生的操作系统freebsd开发
        本支持安装到普通硬盘、电子盘、CF卡上使用
安装进电子盘
    “烧录”工具：physdiskwrite.exe
    防火墙模块软件：1000g-1.0-060202.img
    把电子盘插入一台安装有windows操作系统的PC电脑的主板IDE接口上
    点击开始菜单——运行，调出DOS命令窗口
    1000g-1.0-060202.img和physdiskwrite.exe烧录工具拷贝到同一个目录下
    执行命令：physdiskwrite 1000g-1.0-060202.img
    屏幕下面出现一行字，让选择哪个硬盘是要写入防火墙模块的，选择要烧录的盘
    选Y确认写入
    将电子盘重新插入组装的1U防火墙那台机器里，启动系统
    屏幕停在6个选项
    先选择1，是为了指定防火墙的wan口和lan口到两个网卡上。屏幕提示询问是否设置VLANs，选择N
    目前输入两个网卡名称，先给lAN口指定网卡rl0，再给WAN口指定网卡xl0，注意网卡的名称请看屏幕左上角都有显示。
    网卡绑定好后，输入N，回车。
    屏幕显示LAN和WAN口的绑定网卡名称，并提示防火墙将保存这些设置并重启，是否继续？当然要选Y
    重启之后，选择选项2，可给LAN口绑定的网卡指定新的IP地址。（m0n0wall默认的LAN网卡的IP地址是192.168.1.1，端口是80）
    子网掩码输入24，这个代表的是掩码：255.255.255.0，回车。
    屏幕提示是否开启DHCP服务，当然要开启，选择Y，这样防火墙可以给内网的客户机自动分配IP地址。
    下面输入自动分配IP地址的起始IP地址，输入192.168.123.22 (防火墙的IP地址)
    再输入自动分配IP地址的终结IP地址，我输入 192.168.123.122，回车
    回到主菜单。
    输入选项6，测试网络是否通。
    将局域网内的客户机的默认网关都改成防火墙的IP地址


IDE硬盘烧录（容量超过800MB时加-u参数)
    physdiskwrite 1000g-1.0-060202.img -u

WEB界面来远程管理
    输入防火墙的IP地址 http://192.168.123.21/
    防火墙默认用户名admin 和密码 1000g
    进入防火墙管理界面
    设置修改
    为整个单位的局域网提供共享上网功能
        选择菜单里wan选项进行设置
        在TYPE（类型）中有Static（固定）、DHCP（动态）、PPPoE、PPTP、BigPond等五种类型

        固定IP方式/ADSL宽带设置
            IP Address（IP地址）输入外网IP地址219.159.82.XXX/30
            Gateway（网关）输入外网网关地址219.159.82.xxx。
        将防火墙的wan接口接入adsl猫
        lan口接入交换机或者集线器的任意一个接口（记住是任意一个lan接口而不是集线器级联用的uplink接口）
        重启防火墙之后，防火墙即可自动拨号上网，并给各个客户机自动分配IP地址
    动态主机功能
        点击dynamic dns选项进行设置
        将Enable选项勾选上，启动动态域名服务
        去hn.org网站注册一个用户名
        在防火墙下拉菜单里选择使用hn.org的客户端
        输入刚刚注册的用户名和密码
        互联网上的网民只要输入你的动态域名
        即可访问到防火墙所在的公网IP地址
        再通过在防火墙上设置端口映射
        即可让外界的网民访问到内网的服务器
    发布Web和ftp服务器
        局域网里安装有对外开放的web和ftp服务器，配置防火墙可以让外界网民访问web和ftp服务器
        步骤一
            点击Firewall——NAT，点击Inbound的+号增加配置信息。
        步骤二
            配置Web端口映射。其中Interface设置为ＷＡＮ，Protocol设置为tcp，External port range设置为http, NAT IP设置为192.168.123.88，Local port设置为http，Description（描述信息）设置为web Server，最后Auto-add a firewall rule to permit traffic through this NAT rule必定要选定，否则必须手动在Firewall中rules 加规则，所有设置如图15所示，点击save键。
        步骤三
            配置FTP端口映射。其中Interface设置为ＷＡＮ，Protocol设置为tcp，External port range设置为FTP, NAT IP设置为192.168.123.88，Local port设置为FTP，Description（描述信息）设置为FTP Server，最后Auto-add a firewall rule to permit traffic through this NAT rule必定要选定，否则必须手动在Firewall中rules 加规则，点击save键，再点击“apply Changes”（修改确认），系统提示应用生效，通过查看Firewall rules，发现系统已经有二条新加入的规则。在外网输入动态域名就可以访问发布的web服务器了。

依此类推，可以设置好远程桌面3389、smtp、pop3等常用的端口映射
监控流量和资源占用率
安装一个插件，点击这里http://www.1000gwall.com/1000gwallview.rar即可下载这个插件
选择status——system 出现System information界面，点击上面的CPU usage——view graph选项，这时出现CPU占用率的曲线图