防黑客不愁 DIY自己的防火牆設備

現在家庭中擁有計算機並連接到因特網上已經不是少數了，甚至許多家庭還擁有多台計算機。不過由於因特網的復雜，可能大部分用戶都遭受過病毒侵入、黑客攻擊和不明掃描等其他一些不安全因素的影響，如果有一台稱手的硬件防火牆可供使用，那就大大地省事了。可現在市場上的硬件防火牆產品動辄就是以數千元計，對一般的家庭來說實在是不劃算。其實，只要有一台以前淘汰下來能夠使用的老機器，再安裝基於Linux的免費防火牆產品就可實現這一目標了，對用戶來說，在成本上的花費根本可以忽略不計。

現存，有很多基於Linux環境的路由器/防火牆軟件可供選擇，例如像有m0n0wall 、Smoothwall Express、LEAF-Bering uClibc和ClarkConnect等等，這次，我們把目光轉向號稱為“讓不良數據包到此為止”的IPCop，主要給大家介紹怎樣安裝一台自己的IPCop硬件防火牆。

准備硬件平台 依照IPCop用戶手冊中的內容，這套軟件最低硬件需求只要是一台安裝有386處理器，32MB內存和一塊300MB大小容量硬盤的“古董級”機器就行了。不過從系統的運行速度及穩定性方面考慮，筆者還是建議使用速度更快的硬件。一塊奔騰（Pentium）家族的處理器再加上256MB的內存應當是能夠表現得相當好的，而且使用一塊20GB大小的硬盤還可以把它作為一台高效率的代理緩存計算機來使用。也不是說使用最新、配置最好的硬件它的性能就能表現得再好，使用最新的硬件平台可能會引起一些問題，主要是IPCop對新硬件產品的支持還不完善的緣故，例如對PCI Express技術的支持也還只剛起步，遠還沒達到完成與成熟的地步。

圖1：使用兩塊網卡路由器的網絡連接拓撲結構

IPCop的標准配置至少需要一塊網卡的支持，沒有網卡的路由器我們還有稱之為路由器嗎？我們選擇的是市面上基於Realtek 8139系列芯片的網卡，因為一種芯片極其廣泛的應用實際上也是相當於保證了它能夠得到更加廣泛的驅動支持。在筆者給大家介紹的實例中，使用了兩塊網卡，這跟我們使用一台SOHO寬帶路由器來共享ADSL或cable modem上網的具體網絡結構是一樣的（如圖1所示）。在我們使用的這個網絡中，一塊網卡（第一塊網卡）是連接到家用網絡那一端的交換機上（用綠色的連接線表示），而它的另一塊網卡（第二塊網卡）則是直接連接到一台ADSL或是cable modem上的（用紅色的連接線表示。實際上，一塊ISDN卡或是一塊傳統的模擬modem卡也是可以用來代替它的第二塊網卡的；另外，我們還可以增加更多的網卡來滿足更復雜的需求。

IPCop路由器的硬件需求

CPU/主板 Intel或AMD的CPU，Pentium系列或更高級別，最小需要100 MHz的速度 (Socket 7, Socket 370, Socket A等等) 內存 256 MB SDRAM或DDR-SDRAM 硬盤 20 - 40 GB 用來用在代理模式下作網站緩存 網卡 兩塊10/100 Mbit/s網卡 顯卡 隨便一塊2MB顯存的卡，並不需要3D加速功能，只要能夠安裝上就行了 光驅 隨便什麼樣的光驅都行，只要能夠使用 鍵盤 隨便哪一種鍵盤都行

·Netscreen防火牆簡單配置實例·防火牆的安全性分析與配置指南·零起點配置PIX防火牆 六大基本命令·零起點配置PIX防火牆 高級配置·DIY自己的防火牆設備 系統配置篇·全面實戰Windows XP防火牆·有效防止盜號 三款主流防火牆橫評·如何打造一道超級防御的電腦防火牆·世界排名第一?Comodo防火牆體驗·輕松穿越防火牆之利器：Tftpd32

安裝軟件系統 IPCop是基於Linux系統的，操作系統本身及它的源代碼都是可自由使用的，只要遵循GPL許可協議，下載地址為，格式是一個ISO的光盤映像文件，體積很小巧的，僅僅只能41 MB，把它刻錄成一張啟動光盤就可使用了，而且這個映像文件也可把它恢復到某個分區中來安裝。在我們的這次安裝中，擔當路由器的計算機是從一個光驅並從光盤上安裝整個系統。

在主板BIOS設置中把光驅作為第一啟動設備後，保存設置，計算機重新啟動，我們就可看到Isolinux的引導加載程序（如圖2所示）。在這要注意的是如果此項安裝過程進行下去，會刪除你硬盤中的所有數據，所以請大家要小心，在安裝之前一定要備份重要的數據資料

圖2：硬盤上的數據被刪除之前的警告信息

按下回車鍵後將會加載Linux的內核。注意在這個地方還可以使用另外的兩個參數“nousb”和“nopcmcia”，這兩個選項參數實質上就是屏蔽主板上的USB接口和PCMCIA接口功能。一般情況下一台普通的路由器是根本就不需要這兩種接口的。

操作系統的內核完成加載完成後，安裝過程的第一步就是選擇安裝界面的語言版本，在這有幾種不同的語言可用，不過好像沒有找到有中文的選擇項，那我們就選擇英文吧。

接下來，安裝程序會詢問我們是希望從哪一個存儲媒體介質中來進行安裝，有CDROM和HTTP/FTP可供選擇。如果你是從一個軟驅引導系統的，那就能夠選擇HHTP/FTP方式，我們就選擇CDROM這個選項。然後，雖說我們已經把安裝光盤放到了光驅之中，但安裝程序還是會提示要插入一張安裝光盤，一定要確認一下才行。

當安裝程序把這個硬盤進行重新分區並格式化後，，真正的安裝過程就開始了，整個根本不需要與用戶交互，全部自動進行，如系統檢查所使用的硬盤驅動器、對它進行分區操作，然後再使用適當的文件系統格式化新的分區等。不像其他的操作系統安裝一樣，安裝程序會頻繁地請求與詢問用戶有關安裝的一些內容，像什麼有關於交換分區的容量大小等。並且我們也不必去了解它的數據分區是使用ReiserFS或是ext3分區格式等。

如果以前已經安裝過這樣的系統，並把相關的配置信息都保存到了一張軟盤上，安裝達成後就可直接導入所有的配置信息，並跳過余下的配置過程，這可能為用戶節省不少的時間。只要在圖3所示的屏幕內容中選擇“Restore”這個按鈕就行了，然後讓這個安裝程序來完成剩下的工作。由於我們這次是新系統的安裝，沒有任何的配置信息可用，所以就只能選擇“Skip”這個按鈕了。系統的安裝過程至此結束，接下來就是對IPCop進行設置了。

圖3：系統配置系統導入提示