在后 Melissa 时代，关于防火墙的话题已经被广泛讨论，尤其是在低成本、始终在线的高速互联网连接和相关的安全风险出现之后。我们这里很多人都熟悉那些贫穷但有见识的人解决这个问题的方法：在一台装有两块网卡的机器上安装 Linux 发行版并进行适当的配置。这种方法廉价、有效、相当安全，但也耗时且扩展性不佳。对于 Joe 业余爱好者来说这很好，但 Mike 网络管理员想要一些更易于处理的东西。

Watchguard 应运而生。这家位于西雅图的公司生产一系列专用防火墙设备，服务于从 SOHO 市场到拥有 5,000 用户的大型办公室，这些办公室最多拥有 100 个分支机构，通过互联网安全连接在虚拟专用网络上。与较大的设备捆绑在一起的是他们的 LiveSecurity 系统，这是一个基于 GUI 的管理工具，允许网络管理员轻松配置本地防火墙（称为 Firebox），以及可选的 VPN Manager，它允许管理多个 VPN 以及任何位于 VPN 链路另一端的 Firebox（包括 SOHO）。您可能已经猜到，较大的 Firebox 运行 Linux。（SOHO 运行 VxWorks。）全尺寸的 Firebox 售价为 4,990 美元，一点也不便宜，但正如我将要发现的那样，它很容易使用。

Firebox II 到达时装在一个带有提手的精美包装箱中，里面装有连接所需的所有电缆，包括用于设置的 RJ-45 交叉电缆、用于网络其余部分的 RJ-45 跳线以及用于使用 DB9 或 DB25 连接器的适当适配器进行直接控制台设置的串行电缆。火红色的外壳还配有一对金属法兰，当您适当地重新排列它们时，可以将 Firebox 安装在标准的 19 英寸 2U 机架插槽中。前面板有一系列 LED 指示灯，用于显示系统状态、流量和负载平均值；后面板有三个 RJ-45 10/100Tx 插孔、一对 DB9 串行端口、一对 II 型 PCMCIA 调制解调器插槽、电源插座和开关。（我一直喜欢开关在前面的想法，但这只是我个人观点。）在机箱内部是一个定制的单板计算机，配备 200MHz Pentium MMX、64MB SDRAM、8MB Flash ROM 和两个噪音较大但有效的风扇。没有 CPU 风扇，而是一个巨大的散热片，其中一个机箱风扇直接对着它。我认为这是为了使设备能够在其中一个风扇发生故障时幸存下来；使用较小的带风扇散热片会给设备带来单点故障。

手册是一本精美的 300 页螺旋装订册，大约相当于一本平装书的大小。然而，里面的内容却是一个很大的惊喜——Windows?!? 您需要 Microsoft Windows 才能运行此软件。

我向 Watchguard 的技术支持网页提出了疑问，得到了几次回复电话，证实了手册上所说的内容。目前没有办法在不使用 Microsoft Windows 的情况下设置大型 Firebox。但是，他们说，我们很乐意邀请您参观我们的培训机构，并向您展示工作原理。

在 Watchguard 现场，我们开始进入正题。我们将 CD 放入驱动器，安装程序运行，执行了其正常的 Windows 式操作（包括重启），现在我们正在查看 Firebox 的配置器。您可以将其配置为直连模式（它像网桥一样执行透明代理）或路由模式，路由模式允许受信任的网络拥有私有地址，Firebox 将在需要时进行端口转发。在所有必需的魔法数字到位后，我们按下按钮进行上传并启动了 Firebox。嗯，通过 TCP 上传不起作用。不用担心，您也可以通过控制台端口上传。后退一步，重置为 COM1，进度框弹出。啊，甜蜜的成功。在软件控制下重启，Firebox 启动并运行。我们验证了它可以通过受信任的接口进行通信，然后使用预配置的 Firebox 通过外部接口对其进行寻址，设置 IPSec 网关和隧道。可选的 VPN Manager 非常出色；您只需为其提供远程 Firebox 的远程地址和配置密码，然后将一个 Firebox 图标拖到另一个图标上，完成三个点击的配置，隧道就配置好了；在每个 Firebox 上快速重置（20-30 秒），隧道就激活了。VPN 隧道可以像过滤常规 IP 流量一样进行过滤：按主机、按端口或两者，在源、目标或两者上进行过滤。Firebox II 客户端还可以远程配置 SOHO 设备，因此网络管理员可以管理他的或她的远程办公人员以及大型分支机构。

我问了一些关于上传新配置安全性的尖锐问题，并对 Firebox 的内部架构有了深入的了解。Flash ROM 分为几个部分：运行配置、底层 Linux 系统、一个备份区域（在升级期间可以在其中保存（和恢复）这些内容）以及一个“系统”区域，这在本质上相当于一个救援分区。您告诉配置器您要恢复出厂默认配置，然后重新启动系统，并将控制台端口连接到您的串行端口。配置器检测到启动提示，并告诉系统从系统区域启动，此时您可以从头开始重新配置机器。您还可以使用插入其中一个插槽的 PCMCIA 调制解调器启动设备，并（重新）从远程拨号配置机器。这使得大型 VPN 的物理部署变得容易；远程站点的人员只需将各种标签“A”插入插槽“B”（并且电缆都是颜色编码的）并打开电源，而位于苏城家庭办公室的网络管理员就可以接管后续工作。

对于拥有异构网络的大公司来说，这一切都很好，但是对于我们这些只有 Linux 类型且网络和预算相对较小的用户呢？（毕竟，Firebox II 的额定用户数为 500 人，价格为 5,000 美元。）不用担心。还记得那些 SOHO 吗？嗯，它们不运行 Linux，但它们理解它……事实上，任何支持 SSL 的浏览器都可以配置 SOHO。配置屏幕都是简单的、低图形的 HTML，因此，虽然它看起来不如 Windows 客户端那么花哨，但您甚至可以使用为 OpenSSL 打过补丁的 Lynx 与它对话。它们也更实惠，十用户版本的建议零售价为 449 美元。它的大小和形状与一个 8 端口集线器差不多，背面有一个内置的 4+1 端口集线器，前面有一些状态 LED 指示灯。

所有 Firebox 都支持 NAT、日志记录、DHCP 客户端和服务器、远程主机日志记录、各种形式的远程设置，以及如果您被困住了，可以使用以太网上的 PPP。VPN 是大型设备的标准配置，SOHO 的 VPN 是 100 美元的可选配置。（有趣的是，VPN 使用 IPSec 和其他一些协议，但不使用 Microsoft 的 PPTP。为什么？没错。Microsoft 没有公开标准。）大型设备还执行扫描和欺骗检测。所有设备都附带一年的 LiveSecurity 订阅，这是一种“推送”服务，通过电子邮件或直接向配置主机以人工可读和软件形式提供安全更新。然后，网络管理员可以方便地上传软件。您的订阅还可以让您访问技术支持网页，其中包括知识库以及故障单提交和跟踪界面。许可证密钥也是您拨打技术支持电话的密码。（不要丢失那张卡！）

Watchguard 表示，他们正在努力减少在配置更改后必须重置 Firebox 的次数；这是有道理的，因为除了将内核更改为标准 Linux 机器之外，您几乎可以执行任何操作，而无需重新启动。他们还暗示 SOHO 的未来可能会有 Linux。然而，在可预见的未来，大型 Firebox 将需要 Windows 主机才能配置。Watchguard 的主要重点是尽可能轻松地大规模部署网络，并以最少的麻烦进行管理。

他们在一定程度上已经做到了这一点。正如老话所说：好、便宜、快——三者任选其二。这并不便宜，但我认为，凭借 Firebox II 用于大型异构网络和 SOHO 用于小型或仅 Linux 实现的双重解决方案，网络管理员可以从节省人工时间（包括前期和持续时间）的角度为这些直连设备辩护。这不是一个完美的解决方案，尤其对于我们这些纯粹主义者来说不是，但我认为这是朝着正确方向迈出的一步。对于一家“仅”有五年历史的公司来说，这还不错。

优点/缺点