一个有趣的防火墙的问题，帮忙？

lxtlcm1976

其实（引用：怎么会没有区别！微机的操作系统本身就存在着许多安全隐患，无论是瘟到死还是Linux。这个不用我多说了吧，上网一搜一大箩筐。而且在硬件性能上也会有影响，微机做的防火墙会成为你网络上的凭颈。）
这些话说的很有到里的
一个硬件防火墙和一个用单机做的防火墙区别是很大的。举个例子，文件服务器发展出以后的NAS，NAS说白了也是文件服务器加装了一个LINUX的操作系统。也就是所说的专机专有系统。单单从安全的角度讲，其实软件防火墙和单独的防火墙实现起来没有什么不同。但是一个系统的安全取决于他最为脆弱的地方。许多著名的黑客大战都是都是通过攻破第三方的软件漏洞来实现的。从安全的整体考虑，我想装在计算机上的防火墙是不可取的。
其实除了NETSCREEN是一款真正意义的硬件防火墙以外，其它的防火墙都是一个硬件加装一个软件来实现的，那么我想还是专机专用的防火墙更为可取。

digo

其实都一样，就是改个名字而已，再高一点的就是把内核改改，操作方法也改，将系统尽量精简，降低出现漏洞的机会。然后就开始吹，寻找营利点。

bingocn

越讨论越没意思了，最重要的，每个公司的产品质量都不一样。

我明天开个公司，随便买个工控机，里面装个linux，做点界面，也可以当防火墙卖。这不就是"硬件"防火墙吗？（外形上看）和你自己组装的软件防火墙一样，没什么区别。前几年国内肯定不少这样的公司，就算说优化了，但也有个优化多少的问题。

操作系统经过优化的，硬件设计经过优化的，防火墙本身经过改进的。。。这种种加在一起，就比你linux自带的防火墙稳定性要高了。

JohnBull

我测试过:
硬件:Celeron 433 + 2 X RTL8139(半双工) +64M RAM + 70m网线(经过锅炉房,线况不佳)
OS:未经修改的Linux 2.4.xx
配置了策略路由和几十条防火墙规则,
秒表实测吞吐速率是40Mbps
供各位参考,这个数据我可以负责.

至于系统本身的安全性,事在人为,决不至于比买来的差!

vyouzhi

好
还是试过才知
没有试过谁也说不出来咋样的

uni_tom

就防火墙本身的抗ddos来说,一台pc装了linux,做了过滤规则.
但是在syn洪水包的攻击下,cpu利用率90%以上.整个系统的
性能几乎没有了.

专用的防火墙在这个方面是不是强一些呢?否则他的产品如何卖呀?

Eg_zm

区别肯定有的，主要在网络数据包的处理效率上。
如果使用PC的话，数据包到网卡后，需要进入内存，然后进入内核的处理空间进行出来，出来是相反的顺序。
而各个厂商的防火墙经过了精简，有的处理代码可以直接加到了网卡的芯片里面去，就消除了数据报的多次复制，也就是防火墙的参数：实现0复制。
另外，如果使用PC的操作系统，里面肯定有很多的其他进程要出来，厂商的防火墙内核是有很多是经过对LINUX，BSD的改造，是他专著与网络数据报的处理，也就是专精和广博的区别。
另外有的厂商会把防火墙的内核放到FLASH里面去，基本就是”只读“的设备，而如果我们采用普通的PC硬盘，那么比较容易损坏。

其实感觉最重要的，还是效率问题，也就是第一个，数据报处理的多次复制的简化。。。。。

以上是我的看法。请各位大哥指正。

海无涯

很不錯的方法﹐好象也是以后防火牆的發展趨勢哦﹗不過我估計目前還沒有一款軟件有硬件防火牆那么安全﹗

han_519

呵呵！学习……
看了大家写的，明白了不少？

lovellgg

个人意见,个人比较倾向于使用PC来做FW,门户级的网站及财大气粗的公司可以不用参考因为制约的瓶颈,不在于机器,而在于人,您说是吧?个人的防范意识上来了,即使,用一台普通的PC来做防火墙,想必,并没有什么差别.在技术的讨论上,个人PC的性能都那么高了,不必说那些服务器了,而硬件防火墙的CPU......现在不知道了,不过1年前,还是停留在486及586的水平,所以,真正的区别该是人,而不是机器