白色的防火牆

如果沒有安全方面的需求，我大概會使用Juniper SSG5很長的時間，他安靜，穩定，沈著，從來不罷工，但是他支持的VPN加密方式還是略微有些過時，最高只能到AES-CBC，畢竟他是二十年前的產品，雖然AES-CBC把密鑰加長之後，也不是不可以用，但SSG5的ASIC晶片似乎並不能承載過長的密鑰，還有一個問題是他的管理介面，支持的SSL庫無法更新，已經到了可以被溢出攻擊的階段，第三個問題呢就是他雖然有八個端口但都是百兆位，確實有點過時，所以還是要把他汰換掉。

juniper的OS和fortinet的OS都有虛擬化版本，嘗試了一下，覺得並不好用，錢花出去，得到一個並不那麼讓人滿意的付費版，而且虛擬化環境增加了更多的單點故障可能性，所以我最後決定使用商業硬體搭配開源防火牆軟體pfSense，在過去一年多的辦公環境使用中，效果很好，特別是VPN的速度，幾乎可以跑滿帶寬，而其他商用實體或虛擬化產品，對VPN則是施加了各種限制，想方設法的要從企業用戶的錢包裡把錢給摳出來。

pfSense是基於x86架構的軟體，所以我在伺服器的選型上花費了很多時間，他應該滿足以下的特點：

1，低功耗CPU
2，四到八個千兆位rj45端口
3，足夠小的體積
4，退役的工業級產品，有串口

市面上滿足前三點的產品非常多，可以說是玲瑯滿目，在Amazon上，各類中國生產的noname boxes（他們並不是沒有名字，而是生造了許多不存在的英文單字作為名字）幾乎到了傾銷的地步，但是他們都不具備工業級產品的品控，粗製濫造的也不在少數，但是因為銷量實在太大，甚至有youtuber去對這些noname boxes進行評測。

我原本選定的是惠普T620作為伺服器，他無風扇，雙核CPU，商用級別瘦客戶機，唯一的問題是他需要自己來增加一個額外的nic，還有一個小問題，是他主機板上的那顆nic是realtek，由於pfSense是基於FreeBSD設計，realtek的driver在FreeBSD下一向表現不好，當然這並不是什麼大問題，這裡講的表現不好，是realtek在FreeBSD下面不能長期穩定的跑在1000M/s的水平，跑上個七八百兆是沒有問題的，安裝上pfSense的T620伺服器在辦公室運行了一年多時間，非常穩定，沒有任何問題，但我還是需要一台交換機來連結其他的設備。

隨著IT設備的固定更新週期，往往能在網路上找到退役後還很新的工業產品，比如我這次尋覓到的Sophos SG105，低功耗四口千兆位防火牆，Sophos也是一款基於x86的防火牆軟體，他的介面華麗，功能豐富，主要的問題和其他工業防火牆一樣，對於VPN施加了各種限制，就讓你交錢才行，但我只需要用他的硬體，所以直接抹掉SSD，接上串口線，插上隨身碟，裝上pfSense就可以了。

我拿到手發現他的SSD運行時間才6800個小時，SSD啟動次數四十次，作為一台二十四小時開機的防火牆，這個時間才兩百多天，一年時間不到，也太新了點。

這台四個端口的工業級產品配備了atom E3826處理器，從管理介面響應速度來看甚至比我R86s上的N5100還快，這只是處理php的速度，並不是很重要，話說回R86s，也是蠻不錯的選擇，問題是他不是工業級產品，而且也沒有串口。SG105上原配的內存是2G，似乎不太夠用，不過從Google來看，是可以直接替換為更大的內存，不會像Cisco或者Juniper那樣，必須使用專用的內存條。

可惜的是，幾天之前從pfSense發展起來的商業公司Netgate宣布pfSensePlus不再免費提供給家用，所以這台設備只能使用community edition啦，Netgate的理由是，網路上充斥著大量未經授權預裝的pfSensePlus，請注意，是預裝，是的，就是我上面提到的那些Chinese made noname boxes，中國人的智慧總是會用爛很多東西，這個世界很難不被劣幣佔領。