多網卡x86_64電腦安裝防火牆路由系統

目前在售的多網卡x86_64電腦一般被稱為工控機或軟路由，也就是一台mini電腦，大多採用無風扇被動散熱設計，英特爾CPU（推薦Intel Celeron 3865U、Intel Core i3-7100U或更強CPU），多網卡（推薦Intel 82583V網卡或Intel I211-AT網卡），帶RS232或RJ45串口，安裝路由系統後可以當作路由器使用，且性能遠遠強於家用路由器。

軟路由的流行，主要有兩個原因，一是普通家用路由器的性能難以跑滿目前的寬帶帶寬（如500Mbps、1Gbps），二是軟路由能提供比家用路由器更多更強大的功能，比如防火牆、策略路由、多WAN負載均衡和故障轉移、ISP選路、流控QoS等。

防火牆路由系統很多，原則上推薦使用開放源代碼（開源）的發行版（如pfSense、OPNsense、OpenWrt等），不建議使用封閉源代碼（閉源）的發行版，因為閉源系統可能存在後門。

本文講解如何在多網卡x86_64電腦中安裝防火牆路由系統來實現強大的防火牆和策略路由功能。

pfSense（開源、官方中文）

pfSense是一個免費開源的基於FreeBSD定製的專門用作防火牆和路由器的發行版，完全通過Web界面進行管理，是一個功能強大、靈活的防火牆和路由平台。pfSense項目由Rubicon Communications，LLC（Netgate）託管和開發。pfSense是從構建在FreeBSD上的m0n0wall派生出來的。

pfSense官方網站：https://www.pfsense.org/
pfSense GitHub網站：https://github.com/pfsense/

目前最新版的pfSense Community Edition 2.6.0基於FreeBSD 12.3-STABLE@ef1e43df92c6（Versions of pfSense and FreeBSD），理論上支持Intel Dual Band Wireless AC 3160/7260/7265 IEEE 802.11ac network adapters（點擊查看FreeBSD 12.3的硬件兼容性說明）。

下載pfSense-CE-memstick-2.6.0-RELEASE-amd64.img.gz文件，使用Rufus製作安裝U盤，通過U盤啟動來安裝pfSense。

安裝完成後，可以通過瀏覽器進行設置管理。默認IP地址是192.168.1.1，默認用戶名admin密碼pfsense。

OPNsense（開源、官方中文）

OPNsense是一個開源、易用且易於構建的基於HardenedBSD的防火牆和路由平台。OPNsense包括昂貴的商業防火牆中提供的大多數功能。它帶來了豐富的商業產品功能集，具有開放和可驗證來源的優勢。

OPNsense於2014年開始作為pfSense和m0n0wall的分支，於2015年1月首次正式發布。該項目發展非常迅速，同時仍然保留了m0n0wall和pfSense的熟悉方面。對安全性和代碼質量的強烈關注推動了項目的開發。

OPNsense以較小的增量提供每周安全更新，以便在最快的時間內對新出現的威脅作出反應。每年2個主要版本的固定發布周期為企業提供了提前計劃升級的機會。對於每個主要版本，都會制定路線圖以指導開發並制定明確的目標。

OPNsense項目由Deciso開發，Deciso是一家位於荷蘭的公司，為OPNsense生產硬件並銷售支持包。

OPNsense官方網站：https://opnsense.org/
OPNsense GitHub網站：https://github.com/opnsense

目前最新版的OPNsense 23.1基於FreeBSD 13.1（OPNsense Roadmap），理論上支持Intel Dual Band Wireless AC 3160/7260/7265 IEEE 802.11ac network adapters（點擊查看FreeBSD 13.1的硬件兼容性說明）。

下載OPNsense-23.1-OpenSSL-vga-amd64.img.bz2文件，使用Rufus製作安裝U盤，通過U盤啟動來安裝OPNsense。到了login界面後，輸入用戶名installer密碼opnsense進入安裝界面，按照提示進行安裝就可以了。最後提示修改root密碼，如果不修改可以按Enter完成安裝。

安裝完成後，可以通過瀏覽器進行設置管理。默認IP地址是192.168.1.1，默認用戶名root密碼opnsense。建議登錄後將System（系統） –> Firmware（固件） –> Settings（設置）中的升級服務器修改為Aivian(HTTPS,shaoxing,CN)。

OpenWrt（開源、官方中文）

OpenWrt Project是一個針對嵌入式設備的Linux操作系統。OpenWrt不是試圖創建單個靜態固件，而是提供具有包管理的完全可寫的文件系統。這使您不再受限於供應商提供的應用程序選擇和配置，並允許您通過使用軟件包來自定義設備以適應任何應用程序。對於開發人員來說，OpenWrt是構建應用程序的框架，無需圍繞它構建完整的固件; 對於用戶而言，這意味着能夠進行完全自定義，以前所未有的方式使用設備。

2016年5月，流行開源路由器發行版OpenWrt項目的一群核心開發者宣布創建分支Linux Embedded Development Environment(LEDE)。新項目發起者Jo-Philipp Wich將LEDE形容為OpenWrt社區的一次重啟，旨在解決無法從OpenWrt內部去修復的長期問題。

2018年1月，OpenWrt和LEDE項目同意以OpenWrt名稱重新合併。新的統一OpenWrt項目受前LEDE項目制定的規則管轄。前LEDE和OpenWrt項目的活躍成員為統一的OpenWrt做出了貢獻。

OpenWrt官方網站：https://openwrt.org/
OpenWrt GitHub網站：https://github.com/openwrt

OpenWrt固件（releases）官網下載地址：https://downloads.openwrt.org/releases/
OpenWrt固件（snapshots）官網下載地址：https://downloads.openwrt.org/snapshots/targets/

關於OpenWrt/LEDE固件的一些說明：
combined-ext4.img.gz（rootfs工作區存儲格式為ext4。）
combined-squashfs.img.gz（squashfs相當於可以恢復出廠設置的固件，如果使用中配置錯誤，可直接恢復默認設置。）
generic-rootfs.tar.gz（rootfs的鏡像，不帶引導，可自行定義用grub或者syslinux來引導。）
rootfs-ext4.img.gz（rootfs的鏡像，不帶引導，可自行定義用grub或者syslinux來引導，需要存儲區是ext4。）
rootfs-squashfs.img.gz（rootfs的鏡像，不帶引導，可自行定義用grub或者syslinux來引導，如果使用中配置錯誤，可直接恢復默認設置。）

可以使用任意PE系統或者直接在windows中使用WinImage將IMG映像文件寫入硬盤或U盤。

安裝完成後，可以通過瀏覽器進行設置管理。默認IP地址是192.168.1.1，默認用戶名root密碼admin。

Gargoyle（開源）

Gargoyle是一個基於OpenWrt的路由器固件發行版。

Gargoyle官方網站：https://www.gargoyle-router.com/

使用任意PE系統使用IMG寫盤工具Win32 Disk Imager來對硬盤寫盤。可支持U盤、IDE硬盤、SATA硬盤、固態硬盤安裝系統。

安裝完成後，可以通過瀏覽器進行設置管理。默認IP地址是192.168.1.1，默認密碼password。

DD-WRT（開源、官方中文）

DD-WRT是基於Linux的開源的適用於各種WLAN路由器和嵌入式系統的固件。

DD-WRT官方網站：https://www.dd-wrt.com/
DD-WRT X86固件官網下載地址：https://download1.dd-wrt.com/dd-wrtv2/downloads/betas/
DD-WRT X86固件官網文檔：https://wiki.dd-wrt.com/wiki/index.php/X86

寫入DD-WRT X86固件需要使用physdiskwrite。
使用U盤PE環境啟動電腦，在 cmd 下面進入physdiskwrite程序目錄，輸入命令 physdiskwrite.exe –u 鏡像名字.img 進行寫盤。 其中-u 參數為目標磁盤大於 800M 時需要附加的。
接下來會提示你選擇需要寫入磁盤。請注意選擇，不要選錯了。重啟電腦後就會進入DD-WRT X86的界面。註：如果在SATA模式或者AHCI模式下無法啟動成功請將硬盤類型修改成IDE。

安裝完成後，可以通過瀏覽器進行設置管理。默認IP地址是192.168.1.1，默認用戶名root密碼admin。

IPFire（開源）

IPFire是一種基於Linux的強化、多功能、最先進的開源防火牆。它易於使用，在任何場景下都具有高性能和可擴展性，因此可供所有人使用。

IPFire官方網站：https://www.ipfire.org/
IPFire GitHub網站：https://github.com/ipfire

下載ipfire-2.27-core175-x86_64.iso文件，使用Rufus以DD模式製作安裝U盤，通過U盤啟動來安裝IPFire。

安裝完成後，可以通過瀏覽器進行設置管理。默認IP地址是192.168.0.1，默認用戶名admin密碼自行設置。

VyOS（開源）

VyOS是一個基於Debian GNU/Linux的開源網絡操作系統。VyOS提供免費的路由平台，可與眾所周知的網絡提供商的其他商用解決方案直接競爭。由於VyOS在標準的amd64、i586和ARM系統上運行，因此它可以用作雲部署的路由器和防火牆平台。

VyOS官方網站：https://vyos.io/
VyOS官方下載：https://downloads.vyos.io/?dir=rolling/current/amd64
VyOS GitHub網站：https://github.com/vyos

下載vyos-rolling-latest.iso文件，使用Rufus製作安裝U盤，通過U盤啟動來安裝VyOS。

VyOS不支持通過瀏覽器進行設置管理。安裝完成後，使用默認用戶名vyos密碼vyos登錄，通過命令行管理配置。

Endian Firewall Community (EFW)（開源）

Endian Firewall Community (EFW)是一款基於Linux的安全軟件產品，專為家庭設計，可將任何未使用的硬件設備轉換為全功能的統一威脅管理（UTM）解決方案。Endian社區旨在通過使用開源的強大功能簡化安全性並幫助保護家庭網絡。免費用於家庭（無支持），適用於大多數X86硬件的裸機安裝。

Endian Firewall Community (EFW)官方網站：https://www.endian.com/community/overview/
Endian Firewall Community (EFW)下載網站：https://sourceforge.net/projects/efw/

下載系統映像文件，使用Rufus製作安裝U盤，通過U盤啟動來安裝Endian Firewall Community (EFW)。

安裝完成後，可以通過瀏覽器進行設置管理。默認IP地址是192.168.0.15，默認用戶名admin密碼自行設置。

Untangle NG Firewall（開源）

Untangle NG Firewall是基於Debian的網關係統，它帶有可插拔的模塊以支持各種網絡應用，這包括垃圾郵件阻擋、網頁過濾、反病毒、反間諜軟件、入侵阻止、虛擬專用網、SSL虛擬專用網、防火牆等等。

Untangle NG Firewall官方網站：https://www.untangle.com/get-untangle/

下載系統映像文件，使用Win32 Disk Imager製作安裝U盤，通過U盤啟動來安裝Untangle NG Firewall。

安裝完成後，可以通過瀏覽器進行設置管理。無默認IP地址，安裝過程中自行設置IP，無默認用戶名和密碼，均需自行設置。

Smoothwall（開源）

Smoothwall開源項目成立於2000年，旨在開發和維護Smoothwall Express–一種免費的防火牆，包括自己的安全加固的GNU/Linux操作系統和易於使用的Web界面。

Smoothwall GPL項目由Lawrence Manning（原則代碼作者）和Richard Morrell（項目經理）於2000年夏天成立。他們的目標是創建一個Linux發行版，可以將冗餘PC轉換為強化的互聯網防火牆設備。在其他早期貢獻者的幫助下; Jon Fautley和Tom Ellis，第一個Smoothwall防火牆於2000年8月底發布到sourceforge.net。該項目立即受歡迎並迅速發展。幾周之內，已經下載了數千份拷貝，並且Smoothwall定期出現在英國和海外的雜誌封面CD上。許多開發人員加入了團隊，幾乎每周都會發布新版本，其中包含基於全球軟件貢獻的新功能。

Smoothwall官方網站：http://www.smoothwall.org/和https://smoothwall.com/
Smoothwall下載網站：https://sourceforge.net/projects/smoothwall/

下載ISO系統映像文件，刻錄至光盤，通過光盤啟動來安裝Smoothwall。

安裝完成後，可以通過瀏覽器進行設置管理。無默認IP地址，安裝過程中自行設置IP，默認用戶名admin密碼自行設置。

Sophos XG Firewall Home Edition（封閉源代碼、非開源、官方中文）

Sophos XG Firewall Home Edition是一個功能齊全的Sophos XG防火牆軟件版本，免費供家庭用戶使用，沒有任何附加條件。其功能充分保護您的家庭網絡，包括反惡意軟件、網絡安全、URL過濾、應用程序控制、IPS、流量定形、VPN、報告和監測等等。

注意: Sophos XG免費家用防火牆包括它自己的操作系統，在其安裝過程中將覆蓋電腦上的所有數據。因此，需要單獨的專用計算機，該計算機將變為功能齊全的安全設備。您放於角落裡的備用 PC 計算機剛好適合！

特徵：
增加你的互聯網帶寬——你可以簡單使用流量定形來讓應用程序優先使用互聯網連接，甚至訂閱多個ISP連接來獲得更多的帶寬或韌性（在其中之一出現停機事件時）。
監視和控制家庭上網——使用網絡過濾阻止網站病毒和間諜軟件感染您的電腦，讓您的孩子不能瀏覽不良網站，並獲得您家庭網絡活動的完整報告。還對可能會在網上浪費太多的時間的家庭成員設置了訪問時間表或配額使用。
從任何地方訪問您的家庭網絡，在世界任何地方，使用VPN遠程訪問您的網絡。
阻止病毒——雙反病毒掃描引擎停止病毒文件、郵件附件、嵌入在web站點的下載。Sophos在他們進入網關攻擊您的電腦前，捕獲它們。

硬件需求：
英特爾兼容電腦具有雙網絡界面(安裝XG防火牆家庭版時，任何電腦上以往的操作系統或文件將被覆蓋)
家庭版僅限於4核和6 GB的內存。電腦可以比這配置更高，但XG防火牆家庭版將不能使用它。

Sophos XG Firewall Home Edition官方網站（英文）：https://www.sophos.com/en-us/products/free-tools/sophos-xg-firewall-home-edition.aspx
Sophos XG Firewall Home Edition官方網站（中文）：https://www.sophos.com/zh-cn/products/free-tools/sophos-xg-firewall-home-edition.aspx

首先在Sophos官網輸入姓名和電子郵箱，確認後查看郵箱，可以收到一個Sophos XG Firewall Home Edition的序列號（Serial Number）。

然後下載ISO系統映像文件，使用Rufus以DD模式製作安裝U盤，通過U盤啟動來安裝Sophos XG Firewall Home Edition。

安裝完成後，可以輸入密碼admin來進行基本設置（如IP地址），也可以通過瀏覽器進行設置管理。默認IP地址是https://172.16.16.16:4444，默認用戶名admin密碼自行設置。登錄後需要輸入從Sophos官網取得的Sophos XG Firewall Home Edition的序列號（Serial Number）。

ClearOS Community Edition（開源、官方中文）

ClearOS是一個開源軟件平台，利用開源模型為中小企業提供簡化的低成本混合IT體驗。ClearOS的價值在於免費開源技術的集成，使其更易於使用。通過不收取開源費用，ClearOS專註於中小企業從集成中獲得的價值，因此中小企業只需支付他們所需的產品和服務的價值。

ClearOS是一個簡單、開放且價格合理的操作系統，具有直觀的基於Web的圖形用戶界面和應用程序市場，有超過100個應用程序可供選擇，每天都有更多應用程序可供選擇。利用開源軟件，您可以決定所需的應用程序，並且只需為所需的應用程序和支持付費。

ClearOS Community Edition是一個開源的Linux服務器操作系統。此版本專為喜歡尖端代碼的Linux專家和愛好者而設計，並通過建議和論壇支持為全球用戶社區做出貢獻。所有更新、錯誤修復、補丁和安全修復程序均免費提供（儘管未經測試）來自上游源。功能涵蓋75％以上的IT功能，包括域控制，網絡和帶寬控制，消息傳遞等等！

ClearOS官方網站：https://www.clearos.com/
ClearOS官方下載地址：https://www.clearos.com/products/purchase/clearos-downloads

下載ClearOS-DVD-x86_64.iso文件，使用Rufus製作安裝U盤，通過U盤啟動來安裝ClearOS。

安裝過程中自行root密碼，設置安裝完成後，屏幕上會給出管理IP地址（如https://192.168.0.100:81），可以通過瀏覽器進行設置管理。默認用戶名root密碼自行設置。登錄後需要註冊一個clearos.com賬號才可以使用。

RouterOS（封閉源代碼、非開源）

MikroTik是一家拉脫維亞公司，成立於1996年，致力於開發路由器和無線ISP系統。MikroTik現在為世界上大多數國家/地區的互聯網連接提供硬件和軟件。在使用行業標準PC硬件和完整路由系統方面的經驗，使MikroTik在1997年創建了RouterOS軟件系統，該系統為各種數據接口和路由提供了廣泛的穩定性，控制和靈活性。

RouterOS官方網站：https://mikrotik.com/

寫入RouterOS固件需要使用physdiskwrite。
使用U盤PE環境啟動電腦，在 cmd 下面進入physdiskwrite程序目錄，輸入命令 physdiskwrite.exe –u 鏡像名字.img 進行寫盤。 其中-u 參數為目標磁盤大於 800M 時需要附加的。
接下來會提示你選擇需要寫入磁盤。請注意選擇，不要選錯了。重啟電腦後就會進入RouterOS的界面。註：如果在SATA模式或者AHCI模式下無法啟動成功請將硬盤類型修改成IDE。

安裝完成後，可以通過WinBox進行設置管理。無默認IP地址，安裝過程中自行設置IP，默認用戶名admin無密碼。