DDoS防火牆的參數設置-DDoS防火牆知識
隨着木馬、病毒的日益氾濫,互聯網拒絕服務攻擊的頻度和攻擊流量也隨之急速增加,在攻擊方式、攻擊技術和攻擊資源不斷成熟的同時,抗拒絕服務的相關軟硬件產品也獲得了長足的發展。下面本站小編為大家收集整理的相關資料。歡迎大家閲讀!!!
DDoS防火牆的參數設置1、 電腦一台,我選擇的是壓箱底的原來在淘寶淘到的IBM ThinkCentre S50準系統一台。這是我原來花760元淘到的。準系統自帶了一片Intel的千兆網卡,正好用來接外網。
2、 CPU一片,我使用的是用來搭配IBM ThinkCentre S50的P4 2.4G的CPU.400元。
3、 內存一條。我使用的是威剛1G的內存條。
4、 128M DOM電子盤一個。我使用的是PQI的電子盤,沒有電子盤使用硬盤也行,容量>128M就可以了。注意:電子盤或硬盤要安裝到連接到主板的IDE1的MASTER位置,請參照你使用主板的説明文檔。
5、 網卡一片。用來接內網,因S50上已經帶了一個千兆網卡用來接外網,因手頭上沒有更好的網卡,就隨便用了一片8139的網卡用來接內網。
6、 刻錄光盤一片。用來刻錄網站上下載的內核安裝文件。
7、 刻錄光驅一個。
安裝好後的防火牆硬件平台:兩個網口分別用來一個接內網(左上那個8139),一個接外網(下面那個S50自帶的Intel千兆網卡)。
這樣,防火牆硬件平台就完全安搭建好了。
第二步:準備內核安裝光盤
防火牆硬件平台準備好後,我們就要着手準備防火牆安裝光盤了。到ChinaDDOS網站上()下載最新版本的內核鏡像文件,刻錄成光盤即可。具體步驟如下:
1、 打開ChinaDDOS DIY硬防的內核下載頁面:,下載一個適合的版本,這裏我下載的是V3.1BETA01的最新版本。
PS:本人一直比較喜歡最新的東西。
2、 將下載的RAR文件解壓縮,得到ISO光盤鏡像文件。
3、 將鏡像文件刻錄至光盤。
第三步:安裝防火牆內核
將內核安裝光盤準備好後,確認硬盤或電子盤連接到了IDE1的MASTER位置後,在防火牆平台上連接好光驅,接通防火牆平台電源,把上一步準備好的內核安裝光盤放入光驅。啟動防火牆平台。
1、 屏幕顯示如下圖,等待內核安裝光盤引導一會後(屏幕上快速閃過整屏的英文),將停留在下圖的位置:
2、 按回車鍵繼續安裝, 屏幕顯示如左圖,出現三個選擇項目:
① 安裝防火牆內核,
② 開始一個命令行,
③ 重新啟動系統。
3、 這裏我們選擇1並回車。回車後出現如右圖。選擇一個內核安裝源文件的位置。上面列表中紅色字部分標記出了我的光驅安裝位置hdc,於是我鍵入hdc後回車。
4、 屏幕出現綠色done字樣,表示安裝光盤識別成功。又提示安裝的目標驅動器。上面列表中紫色字部分標記出了系統自動識別的目標安裝位置had,這裏如果系統沒有自動識別到硬盤或電子盤,請檢查電子盤或硬盤是不是正確安裝到了IDE1的MASTER位置。我鍵入had後回車。
5、 鍵入had後,屏幕提示"正在將防火牆內核從hdc安裝到had……",這裏需要等待2分鐘左右。安裝工作正在進行。
6、 直到屏幕上出現"Install completed!"字樣,表示安裝已結束。這時按回車鍵返回。
7、 重新回到選擇菜單後,選擇3重新啟動防火牆平台,記得將光盤從光驅中取出。這樣,防火牆的安裝就完成了。
第四步:啟動並配置防火牆
在防火牆安裝完成之後,便可以啟動防火牆並進行防火牆配置工作了。仔細閲讀了在ChinaDDOS網站中下載的"操作手冊",我按如下步驟進行了防火牆配置:
1、 啟動防火牆。ChinaDDOS防火牆是應該是使用更專門改過的Linux系統作為防火牆操作系統的。啟動防火牆時需等待一小會,直到聽到喇叭發出清脆的音樂,表示防火牆已啟動完畢。防火牆啟動完畢後,防火牆顯示器上顯示"OK Login"字樣,由於網站和手冊中均未提供控制枱登陸的密碼,因此我們只能通過Web界面對防火牆進行管理了。至此,用於防火牆安裝的光驅和顯示器不再需要了。
2、 將防火牆連接至網絡,在任意一台連通內網的電腦瀏覽器中輸入防火牆的初始IP和管理端口::81 ,輸入初始用户名admin 和密碼123456 即可打開防火牆的管理界面:
3、 啟動防火牆內核模塊。單擊 "安全分析中心",在出現的菜單中選擇"運行信息".出現如圖界面:
在界面中點擊"啟動防火牆模塊",內核模塊運行狀態將變為"啟用",信息窗口中將出現不斷刷新的防火牆內核運行信息。如果點擊"啟用防火牆模塊",內核模塊運行狀態一直不變為"啟用",可能是你的內存沒有1G導致的,筆者在初次試用時被這個問題困擾了很久。
4、 單擊 "網絡參數配置",查看防火牆註冊狀態。在配置界面的左下角,查看防火牆的註冊狀態,我現在的註冊狀態是"未註冊用户".未註冊用户無法啟動防火牆的防禦功能。
5、 註冊防火牆。將上面的認證字複製下來,打開ChinaDDOS的用户防火牆管理平台: .沒有用户的需要先註冊一個用户,這裏我就不説明註冊步驟了,相信大家都會,只是如果希望防火牆的攻擊告警功能起作用,需要填寫正確的'手機號碼。
6、 註冊並登陸之後,點擊 "註冊防火牆管理",在彈出的防火牆管理界面中添加一個新的防火牆。在如圖界面中點擊"新增防火牆"。
7、 在"新增防火牆"窗口中,任意取一個名字,IP地址也可以任意填寫,但認證字填寫第5步中複製下來的認證字,完成後確定即可。註冊類型不可更改,保存後便是註冊用户了,不知道有什麼其他作用沒有。
8、 完成後,重啟防火牆並加載內核模塊,即可看到防火牆的註冊類型為"已註冊防火牆".不過似乎這個驗證只有在公網上才能成功進行,在內網無法驗證成功,所以一定要放在網關的前面。
DDoS防火牆知識防火牆防止DDOS工作原理
分佈式拒絕服務(DDoS)攻擊越來越頻繁,最近發佈的各項相關報告都印證了這一點,而且DDoS變得更加危險,其總流量在不斷創下新高。DDoS攻擊不僅僅是討嫌,而是極具破壞性。離線網站和網絡就是無用的,直接造成經濟損失;而且更嚴重的是現在DDoS攻擊更多的是煙幕彈,背後隱藏着竊取敏感數據這樣更加糟糕的後果。不過也不是毫無應對辦法。
網絡分區。將網絡分成離散的分區,將公共和內部系統彼此分開,每一個都用一個單獨的防火牆防護,在攻擊發生在公共系統時,可以維護內部服務。
限制即將建立的新連接的數量。在具體時間段為新建立的鏈接的數量設定參數,或者從一個用户或者網絡設定參數。
管理負載均衡和帶寬。在業務峯值時期,限制帶寬是最常用的管理合法流量的方式,比如購物狂們的黑五。
考慮使用流量清洗服務。流量清洗服務通過ISP可以轉移流量。
這些都是較為有效的防禦措施,企業需要正確處理並設置。其實從DDoS防禦的觀點看,網絡分區不僅僅是一種防禦措施,比如也能保護網絡對抗APT攻擊。不過隨着DDoS攻擊的增加,我們需要更為專業的防禦措施來對抗,比如選擇雲端衞士這樣專業的DDoS安全防護服務。
知己知彼是亙古不變的道理,在DDoS攻擊領域如是。但是大多數企業經常會犯的最基本的錯誤就是,嘗試用錯誤的技術保護網絡應用安全。網絡防火牆能夠保護Layer 4協議,甚至做深度包檢測。但是真正對抗網絡應用層的攻擊通常需要終止HTTP或者HTTPS協議,而且經常要重寫流量來識別和減緩威脅。就好像網絡防火牆不是用來組織垃圾郵件的,也不是用來組織網絡應用攻擊的。這種誤解經常給管理員一種虛假的安全感。
任何DDoS防護的關鍵都在於能夠從惡意請求中區分中真正的用户,因此可疑流量會被鎖定。但是這一點並不容易實現。在這一點上,雲端衞士採用業界領先的NFV理念、自主研發先進的彈性流量清洗系統,輕鬆應對來自不同方向的、最大TB級攻擊流量,將攻擊流量清洗後,正常的業務訪問流量送達客户網絡。
雲端衞士通過採集客户業務的DPI數據,利用成熟的大數據分析平台,實時分析客户的業務特點,同時根據不同客户的不同業務特點,有針對性制定安全防護策略,並將相關策略應用到分佈於全國各重要節點的防護設備上,對攻擊數據進行精準封殺,保證正常業務可用。
無疑,我們還會看到更多的DDoS攻擊事件發生,而且網絡管理人員也必須與之打持久戰。不過最簡單也是第一要務就是要使用正確的工具來幹活。
延伸閲讀
DDoS攻擊:知己知彼
分佈式拒絕服務(DDoS)攻擊越來越頻繁,最近發佈的各項相關報告都印證了這一點,而且DDoS變得更加危險,其總流量在不斷創下新高。DDoS攻擊不僅僅是討嫌,而是極具破壞性。離線網站和網絡就是無用的,直接造成經濟損失;而且更嚴重的是現在DDoS攻擊更多的是煙幕彈,背後隱藏着竊取敏感數據這樣更加糟糕的後果。不過也不是毫無應對辦法。
網絡分區。將網絡分成離散的分區,將公共和內部系統彼此分開,每一個都用一個單獨的防火牆防護,在攻擊發生在公共系統時,可以維護內部服務。
限制即將建立的新連接的數量。在具體時間段為新建立的鏈接的數量設定參數,或者從一個用户或者網絡設定參數。
管理負載均衡和帶寬。在業務峯值時期,限制帶寬是最常用的管理合法流量的方式,比如購物狂們的黑五。
考慮使用流量清洗服務。流量清洗服務通過ISP可以轉移流量。
這些都是較為有效的防禦措施,企業需要正確處理並設置。其實從DDoS防禦的觀點看,網絡分區不僅僅是一種防禦措施,比如也能保護網絡對抗APT攻擊。不過隨着DDoS攻擊的增加,我們需要更為專業的防禦措施來對抗,比如選擇雲端衞士這樣專業的DDoS安全防護服務。
知己知彼是亙古不變的道理,在DDoS攻擊領域如是。但是大多數企業經常會犯的最基本的錯誤就是,嘗試用錯誤的技術保護網絡應用安全。網絡防火牆能夠保護Layer 4協議,甚至做深度包檢測。但是真正對抗網絡應用層的攻擊通常需要終止HTTP或者HTTPS協議,而且經常要重寫流量來識別和減緩威脅。就好像網絡防火牆不是用來組織垃圾郵件的,也不是用來組織網絡應用攻擊的。這種誤解經常給管理員一種虛假的安全感。
任何DDoS防護的關鍵都在於能夠從惡意請求中區分中真正的用户,因此可疑流量會被鎖定。但是這一點並不容易實現。在這一點上,雲端衞士採用業界領先的NFV理念、自主研發先進的彈性流量清洗系統,輕鬆應對來自不同方向的、最大TB級攻擊流量,將攻擊流量清洗後,正常的業務訪問流量送達客户網絡。
雲端衞士通過採集客户業務的DPI數據,利用成熟的大數據分析平台,實時分析客户的業務特點,同時根據不同客户的不同業務特點,有針對性制定安全防護策略,並將相關策略應用到分佈於全國各重要節點的防護設備上,對攻擊數據進行精準封殺,保證正常業務可用。
無疑,我們還會看到更多的DDoS攻擊事件發生,而且網絡管理人員也必須與之打持久戰。不過最簡單也是第一要務就是要使用正確的工具來幹活。
相關文章
-
關於Windows 7系統防火牆操作全攻略參考
現在互聯網上是越來越重視“安全”這方面的問題了,為了安全,防火牆也是用户在用户的裝機必備軟件名單中。而各大安全廠商為了基因用户們的眼球,也將自己的防火牆做的花樣百出。相比之下Windows 7系統自帶的防火牆,在外觀 -
Godaddy如何導入導出MSSQL數據庫
1.夢見交警,代表着你最近有些行為侵犯了他人,或者惹了他人而自己沒有察覺。2.夢見交警罰款,提醒着你最近會有小麻煩,會破點小財。3.夢見男交警衝你笑,暗示着你會升官,你會得到領導或上司的賞識。4.夢見女交警向你打招呼,代表 -
Windows10系統無法安裝solidworks怎麼辦
在現實生活或工作學習中,許多人都有過寫作文的經歷,對作文都不陌生吧,作文是通過文字來表達一個主題意義的記敍方法。你寫作文時總是無從下筆?下面是小編為大家整理的樂於助人的我作文,歡迎大家分享。樂於助人的我作文1我 -
Windows下Redis安裝配置的教程方法
本文為大家分享了Redis安裝教程,供大家參考,具體內容如下 1.安裝Redis通過以上路徑下載後解壓到具體文件夾,解壓後的文件如下:通過cmd切換到解壓的文件夾目錄,然後鍵入如下命令:redis-server --service-install 既可以安 -
寬帶adsl modem是什麼及基礎知識
ADSL MODEM為ADSL(非對稱用户數字環路)提供調製數據和解調數據的機器,最高支持8Mbps/s(下行)和1Mbps/s(上行)的速率,抗干擾能力強,適於普通家庭用户使用。寬帶adsl modem是什麼Modem,其實是Modulator(調製器)與Demodulato -
ssid是指什麼意思-怎樣設置SSID
SSID是Service Set Identifier的縮寫,意思是:服務集標識。SSID技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡,每一個子網絡都需要獨立的身份驗證,只有通過身份驗證的用户才可以進入相應的子網絡,防止未被授 -
Today is Children‘s Day英語作文
簡簡單單的手作,希望大家喜歡🌸主要材料:棉布 表布23×18 表布23×18蕾絲 18cm(2條)所需工具:剪刀縫紉機水消筆尺子製作步驟:第1步:準備好材料第2步:表布和里布正面相對,車縫兩條短邊,(邊距1cm)縫好並翻回正面第3步:縫好翻 -
分享[哈佛校長的演講]Goodbyeandgoodluc
[哈佛校長的演講]Goodbyeandgoodluctoday, i speak from this podium a final time as your president. as i depart, i want to thank all of you - students, faculty, alumni and staff - with whom i have been p -
蘋果MAC電腦安裝Android sdk圖文教程
1.首先應該準備好mac平台的eclipse2.下載mac版本的android sdk,解壓到指定的目錄(其實這個只是個SDK與AVD配置的.管理軟件);3.安裝Fastboot for Mac OS插件,這個最難找了.fastboot是刷系統ROM的一種工具,刷系統img和射頻 -
Windows XP怎樣關閉華醫生Dr.Watson
on是Windows XP的`一個崩潰分析工具,它會在應用程序崩潰的時候自動彈出,並且在默認情況下,它會將與出錯有關的內存存為DUMP文件以供程序員分析。步驟/方法1打開開始菜單,單擊“運行”命令2在“運行”窗口的“打開”框中輸