这是某国内著名板卡厂商不久前新发布的产品。拿到样机，机身上没有任何明显厂商标志，连产品型号的标志也没有。随机也没有任何说明书之类的说明材料，让我对这款产品的具体型号迷惑了很久。仔细观察搜索后发现一个似乎经过特意掩盖的型号及厂商标记（见下图），不仔细找真不容易发现，即使图片经过放大，字迹仍然比较模糊。让人吃惊的是这个型号却是另一家国际知名防火墙公司的产品型号——GTA（Global Technology Association）的GB－1000。查看GB－1000产品图片，与样品极其相似。

　　最后经过对照端口数并向该厂商询问终于确定了这款产品的型号。不过拿到的样品与其网站提供的产品图片实在有比较大的差异，无论是面板布局还是颜色都有很大不同。不过打开机箱后看到的布局倒是与其网站提供的对应型号产品说明书基本一致。厂商坚称此产品与GB－1000无任何联系，不过对此标志为何出现在产品面板上无任何说明。

　　为进一步了解这款硬件防火墙，我们不妨先回顾一下硬件防火墙的相关知识。

硬件防火墙基础

　　从防火墙的硬件体系结构来讲，目前主要有三种，一种使用ASIC体系，一种采用网络处理器（NP），还有一种也是最常见的，采用普通计算机体系结构，各种体系结构对数据包的处理能力有着显著的差异。防火墙软件本身的运行效率也会对性能产生较大影响，目前防火墙软件平台有的是在开放式系统（如Linux，OpenBSD）上进行了优化，有的使用自己专用的操作系统，

　　防火墙配置有一般三种模式：Dual－homed方式、Screened－host方式和Screened－subnet方式。　

　　Dual－homed方式最简单。Dual－homed Gateway放置在两个网络之间，这个Dual－homed Gateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受黑客攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

　　Screened－host方式中的Screeningrouter为保护Bastionhost 的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。

　　Screened－subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ，即DemilitarizedZone），Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

　　传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区，现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置衙、管理端口。很多防火墙还可以进一步扩展端口数目。

　　了解了一些硬件防火墙的基础知识，下来让我们看看此次拿到的硬件防火墙产品。

硬件防火墙原来也是“攒”出来的

　　以前并没有机会实际操作硬件防火墙。不过在印象中，硬件防火墙应该是一个基本完整的产品，一旦接入只要经过相应的软硬件设置就可以使用。大家留意到机箱上那个醒目的“Firewall Appliance”字样了吧，Appliance翻译过来就是“用具，器具”的含义。放在IT产品中一般用来指代成套的解决方案，把这个单词用在某个产品上面时一般指这个产品已经处于就绪状态，开箱即用的意思。这类产品的说明书上往往有类似的用语“There are no user serviceable parts in the product。 Opening the unit will void the warranty on the system。”，意即里面没什么东西需要你自己动手，如果打开机箱则责任自负（摘自某国外防火墙产品的说明书）。

　　也是定势思维作怪，让我闹一个大笑话。拿到这款防火墙产品通电后插上网线，除了一个风扇在呼呼的转，网络没有任何连通的迹向，LINK灯也全不亮？打求助电话，被告知请打开机箱检查一下配件是否齐全。于是打开机箱一看，原来里面只有主板一块外加电源，没有CPU，内存，硬盘，能工作才怪。

　　忽然觉得有点好笑，国内看来真是DIY盛行，买PC可以自选零组件来攒，如今连硬件防火墙也是用自己找的配件由自己组装自己装系统来工作的。原来无比神秘的硬件防火墙是由自己“攒”出来的。

　　好在这款防火墙使用的配件并不特殊，都是标准的PC配件，IDE硬盘，socket 370的处理器，标准的SDRAM内存。不过装什么系统呀？这款防火墙是没有带操作系统的，如果装上通用的LINUX或Windows操作系统加上常规的防火墙软件，它还能算是“硬件”防火墙吗？

　　据了解，该款防火墙配套的软件平台是其伙伴公司的软件防火墙产品。不过厂商拒绝提供该软件。看来要把这些防火墙硬件变成“硬件防火墙”还真不容易。

PC架构防火墙有多象PC？

　　虽说未能真个体会到硬件防火墙的威力，不过总算开了硬件防火墙的机箱，见识了一把硬件防火墙的内部。PC架构的硬件防火墙和PC有多大区别呢？

　　还是先看一下外观吧：

　　标准的机架式设计，透露出高科技的味道，应该和PC没有太大联系吧（注意到没有，找不到产品型号标志吧）。

　　现在打开机箱，看着怎么就有点眼熟了。

[1] [2] [3] 下一页