互联网非常棒。但是，将电脑——或电脑网络——直接连接到宽带接入设备（如电缆调制解调器或 DSL 路由器）是自找麻烦。黑客会盯上小型办公室或家庭电脑用户。事实上，我一个朋友的电脑在他去年九月连接到新的电缆调制解调器后不到一天就被破解了。当我听到这件事时，我立即建议我的朋友购买硬件防火墙。这也是我对你的建议。如果你没有使用任何类型的防火墙，那么黑客找到你只是时间问题。你需要保护，并且恕我直言，对于我的程序员朋友们，最好的简单保护就是硬件防火墙。

这就是 SnapGear Lite 防火墙设备发挥作用的地方。它插入你的宽带接入设备和你的电脑（或你的家庭或办公室网络），然后插入 Lite 盒。当我的朋友去年秋天遇到那些问题时，我并不知道这个特定的设备，但如果我知道 Lite，我会告诉我的朋友。

除了反黑客防火墙之外，Lite 设备还有两个额外的好处：网络地址转换 (NAT) 和虚拟专用网络 (VPN) 客户端。

网络地址转换允许你将多台电脑连接到互联网。通常，每台电脑都需要一个公共 IP（互联网协议）地址，例如 123.45.67.89 或 65.11.11.11。这个号码类似于电话号码，由你的互联网服务提供商分配。当你使用 NAT 时，一个设备（在本例中是 Lite 盒）被分配了公共 IP 地址，并充当 IP 网关。同时，你家庭或企业局域网 (LAN) 上的电脑具有仅供局域网使用的私有 IP 地址。这些私有 IP 地址通常在 192.168.x.x 或 10.x.x.x 范围内，这些地址是为此目的保留的。

假设你的一台电脑，其私有 IP 地址为 192.168.0.14，想要查看一个网站。它请求 Lite 作为互联网网关来获取信息。Lite 转换请求，使其看起来像是来自 123.45.67.89，并将其转发到网站。网站响应 123.45.67.89——也就是 Lite。然后，Lite 盒将请求重新转换为 192.168.0.14，并将数据包放到你的私有局域网上，以便你的 PC 可以接收数据并显示网页。使用 Lite，网络地址功能非常好用；你可以将任意数量的电脑连接到单个互联网连接，而没有任意限制。

虚拟专用网络使用身份验证和加密，在公共互联网上提供两个计算机网络之间的安全链接。VPN 通常用于为远程办公人员或分支机构提供对大型企业网络的直接访问，而不会将该网络暴露给黑客。可以将其视为两栋建筑物之间的安全隧道。要建立该隧道，你需要在两端都具有 VPN 功能；一端充当主机或服务器，另一端充当登录到 VPN 服务器的客户端。

VPN 客户端可以是软件形式（使单台电脑能够使用 VPN），也可以是硬件接入设备形式（使其能够桥接两个网络以及这些网络上的所有电脑）。SnapGear Lite 是一款基于硬件的 VPN 客户端，它不仅可以使用 IPSec 协议（这是最常见的协议）登录到大多数企业网络，还可以模拟微软自己的 PPTP（点对点隧道协议），这是内置于 Windows 服务器和 Windows 工作站的基于软件的 VPN 系统。因此，Lite 允许你使用非 Windows PC（例如 Linux 工作站或服务器）来访问基于 Microsoft 的 VPN。如果你的雇主使用 Windows NT/2000 来托管远程访问，这是一个重要的好处。

在我们详细了解 Lite 之前，重要的是要指出，这些基本功能——硬件防火墙、网络地址转换或 VPN 客户端——都不是新的。我已经使用了 SonicWall 的类似硬件设备两年多了，除了 PPTP 客户端之外，它几乎完全相同。至少还有六家其他公司也生产类似的设备。Lite 值得关注的是其对 Linux 的驱动程序支持和低廉的价格，249 美元的价格比我使用过的其他类似设备便宜几百美元。

SnapGear Lite 的大小与外置 Iomega Zip 驱动器差不多，是一个小盒子，带有几个 LED 指示灯、一个用于交流适配器的插孔和两个 RJ-45 连接器，一个 10Mbps 以太网插孔用于连接 DSL 或电缆调制解调器，另一个 10/100 Mbps 快速以太网插孔用于直接连接到 PC 的网卡或你的局域网交换机或集线器。必要的电缆都包含在内。

Lite 还具有一个 RS-232 串行端口，用于配置 Lite 以与普通电话调制解调器配合使用。我没有测试串行端口调制解调器连接，而是将该设备与我的电缆调制解调器一起使用，代替上面提到的 SonicWall 防火墙设备，大约三个星期。在局域网侧，Lite 连接到 Linksys 16 端口 10/100 以太网交换机，该交换机通常在任何时候都有三到十台活跃的电脑。

此外，作为 Linux Journal 读者的兴趣点，Lite 在内部使用了 Linux，嵌入到 66MHz Motorola ColdFire XFC5272 微处理器中。最近的固件升级（在我们评测期间发布）为该设备提供了 2.4 内核。请记住，Linux 内核隐藏在设备中；你永远不会直接看到或使用它。

初始设置非常简单；你所要做的就是在本地 PC 上运行一个设置程序，该程序在网络上查找 Lite 并配置其私有 IP 地址（在我的例子中为 192.168.0.14）和相关信息。这只需要做一次。然后，你例如通过 Netscape 或 Opera 浏览器访问该 IP 地址，并使用它来配置公共 IP 地址（以便你可以进行互联网连接），然后设置防火墙和 VPN 选项。

好消息是 Lite 有一个用于 Linux 的配置程序。坏消息是它没有包含在随盒附带的 CD-ROM 中——它只有 Windows 版本的客户端。这很糟糕，对于 Linux 用户来说是一个相当不必要的额外步骤，考虑到光盘上只有 14.8MB 的内容。在开始拆卸你的网络之前，请务必从 www.snapgear.com/downloads.html 下载 Linux 软件包。

使用 Netscape 设置 Lite 以提供网络地址转换并使用正确的公共 IP 地址也很简单；我的电缆调制解调器有一个静态 IP 地址，由 ISP 发放。在某些情况下，这些 ISP IP 地址是自动和动态发放的，根据 Lite 的文档，它可以适应这种类型的网络。

Lite 还可以充当 DHCP（动态主机配置协议）服务器，其中 Lite 可以自动为你的网络上的电脑分配私有 IP 地址。我没有使用此设置，因为我的电脑已经有固定的 IP 地址。商业网络不需要此功能，因为它们很可能使用固定的 IP 地址或具有单独的 DHCP 服务器，但这对于小型办公室或家庭网络来说将是一个有用的功能。

我的网络上的资源之一是 Web 服务器。如果你期望来自互联网的入站流量，则必须配置防火墙以将适当类型的数据包从互联网传递到适当的私有 IP 地址，从而传递到你局域网上的正确电脑。将 IP 端口 80 (HTTP) 和端口 23 (FTP) 上的流量重定向到我的 Web 服务器很容易。防火墙似乎在过滤不良数据包方面做得很好；从我的网络外部，我对防火墙发起了 Sub-Seven 和 Ping-of-Death 攻击，并尝试了端口扫描，它阻止了这些尝试。这些是对电缆调制解调器用户的常见破解尝试，防火墙表现出色。

我对 SnapGear Lite 防火墙的唯一保留意见是它没有通过主要的防火墙测试机构的认证。我测试过的所有其他防火墙，包括 SonicWall SOHO+、WatchGuard 的 Firebox 和 Check Point 最畅销（但价格昂贵）的 Firewall-1，都通过了 ICSA Labs (www.icsalabs.com) 的认证，ICSA Labs 使用完善且行业标准的测试套件对防火墙进行严格测试。Lite 没有经过认证，SnapGear 甚至没有在其网站上提及 ICSA。但是，根据公司发言人的说法，SnapGear 于 2002 年 1 月开始致力于认证，并希望在第二季度末之前获得认证。

最后的测试涉及通过互联网建立两个虚拟专用网络连接。第一个是与 Check Point VPN-1 设备建立连接，该设备配置为基于 IPSec 的访问。第二个是与 Windows 2000 服务器建立基于 PPTP 的链接。我毫不费力地建立了这两个连接，但我认为这个过程有点复杂。

有经验且对 VPN 有很好理解的人应该可以轻松地使其工作。没有经验的人会发现内容粗略的文档（一本 12 页的小册子和一本 73 页的 PDF 电子手册，其中 20 页专门介绍 VPN）令人困惑，并且可能需要 SnapGear 或知识渊博的系统管理员的帮助。但是，一旦 VPN 设置完成，它看起来是可靠的，并且足以满足典型的小型办公室或家庭电脑用户。顺便说一句，ICSA 还为 IPSec 兼容性提供了认证，大多数主要的 VPN 产品制造商都使用并推广该认证；Lite 也没有该认证。

所以，这就是底线。如果你正在为你的互联网连接寻找硬件保护，Lite 既经济实惠又相对易于使用。它还具有 VPN 功能，并且据我所知，在充当 PPTP 客户端方面是独一无二的，这对 Linux 用户来说是一个真正的优势。另一方面，防火墙尚未获得认证，VPN 功能也不容易设置。如果你可以接受这些，那么这是一个不错的解决方案，当然物有所值。

产品信息/优点/缺点