基于Linux开发的FireboxⅡFastVPN

防火墙把守着网络信息安全的第一道关口，在整个网络信息安全中起着基础作用。虚拟专用网络（Virtual Private Network，VPN）是专用网络的延伸，它能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。防火墙和VPN的集成可以更加有效地保护网络安全。

PPTP和Intel x86

WatchGuard（http://www.watchguard.

com/）公司是互联网安全方案供应商，致力于提供动态的、全面的方案与产品，以确保企业通过互联网进行电子商务和通信的安全。Firebox Ⅱ FastVPN主要是为中型企业提供防火墙/VPN硬件工具。Firebox Ⅱ FastVPN使用基于PPTP的VPN服务软件作为它的标准软件包，通过激活IPSec，生成可以容纳自己的存取控制列表。

目前硬件防火墙实现技术主要有Intel x86架构工控机技术、ASIC（Application Specific Integrated Circuit，特殊应用IC）硬件加速技术和网络处理器（Network Processor）加速技术三种。Intel x86工控机以其高灵活性、扩展性和低廉的成本而受到中低端防火墙厂商的青睐。将VPN技术集成到防火墙产品中可以为远程用户和企业分支机构访问企业内部网络资源提供一个安全的途径。Firebox Ⅱ FastVPN是一款基于Intel x86平台的防火墙/VPN产品。Firebox Ⅱ FastVPN 外形很像一个机顶盒见图1。

图 1 Firebox Ⅱ FastVPN

认识Firebox Ⅱ FastVPN

Firebox Ⅱ FastVPN是以Linux 2.0内核开发的硬件防火墙/VPN产品，硬件部分包括一块支持3DES VPN的用户加密卡、一块AMD公司的K6－Ⅲ 366MHz 处理器、256MB的SDRAM内存和8MB的闪存。Firebox Ⅱ FastVPN背板有三个RJ-45网卡接口，可以连接10/100Mb以太网；有两个DB-9串行端口，其中一个端口是控制台（Console）专用端口；还有两个PCMICA接口。Firebox Ⅱ FastVPN背板结构见图2。察看更多情况请点击：http://www.watchguard.com/products/fireboxⅡfastvpn.asp。

它的物理尺寸是15.5cm（宽）×2.85cm（高）×10.5cm（长），质量是3.632千克。

Firebox Ⅱ FastVPN是Linux在嵌入式应用的典型产品。Linux在嵌入式应用的优点主要是健壮性、灵活性和低成本。

◆ 健壮性 Linux已经被普遍认为可以在许多硬件（包括x86、Aplha、SPARC、MIPS、Power PC、S390）平台上稳定运行。嵌入式Linux应用继承了这一特点。将Linux移植到新的微处理器体系也是非常迅速的，一般是将它安装在新型的PC板上。

◆ 灵活性 在一个PC平台（比如包括128MB内存和400MHz的Pentium Ⅱ处理器）下编写的应用程序可以轻松地移植到8MB内存的嵌入式芯片上，Windows CE等嵌入式系统则没有这些优势。有一种观点认为Linux太大了，不宜作嵌入式系统。这种观点是有错误的，经过精简的内核可以压缩到2MB左右。Firebox Ⅱ FastVPN使用的2.0内核就是基于此。

图 2 Firebox Ⅱ FastVPN 背板

◆ 低成本性 嵌入式Linux系统自然地继承了基于开放系统Linux的成本优势。由于是开放系统，对厂商来说，可以轻易地拥有涵盖全球的开发队伍，从而保障了软件质量的高效可靠。对于软件开发人员来说，将会更加容易和以更低廉的价格得到更加专业的开发工具。

安装过程

Firebox Ⅱ FastVPN的安装很简单。首先将Firebox Ⅱ FastVPN用控制线缆通过一个专用的DB－9端口（Console）连接到一台工作站上，然后将Firebox Ⅱ FastVPN通过RJ－45端口和网卡接入到需要保护的网络, 然后加电即可。安装Firebox Ⅱ FastVPN后网络拓扑结构见图3。

图 3 安装Firebox Ⅱ FastVPN后的网络拓扑

应用软件

Firebox Ⅱ FastVPN附带了许多应用软件。在工作站上安装的主要应用软件有WatchGuard VPN Manager、HostWatch和Firebox Monitors等。

◆ WatchGuard VPN Manager是一个VPN设置向导。通过安装手册可以帮助用户轻松建立IPSec VPN隧道（见图4）。

图 4 VPN设置向导

◆ HostWatch是一个管理软件。Firebox Ⅱ FastVPN可以运行一些代理服务器软件，如FTP、HTTP和SMTP等；实时显示网络拓扑结构图；并且以不同的颜色显示当前内外网络TCP连接状态的观察图工作界面（见图5）。

图 5 HostWatch用来显示TCP连接状态图表

◆ Firebox Monitors是一个重要的监控软件。它主要提供当前运行的服务、实时带宽图表、用户身份识别、信息包和数据吞吐量等数据，最后用统计表的形式表示出来。Firebox Monitors允许用户自己定义安全警戒值。当流量达到警戒值时，软（下转第94页）（上接第93页）件会通过电子邮件或页面的形式向用户报警。Firebox Monitors工作界面见图6。

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<