DDoS防火牆的參數設置-DDoS防火牆知識

隨着木馬、病毒的日益氾濫，互聯網拒絕服務攻擊的頻度和攻擊流量也隨之急速增加，在攻擊方式、攻擊技術和攻擊資源不斷成熟的同時，抗拒絕服務的相關軟硬件產品也獲得了長足的發展。下面本站小編為大家收集整理的相關資料。歡迎大家閲讀!!!

DDoS防火牆的參數設置

1、 電腦一台，我選擇的是壓箱底的原來在淘寶淘到的IBM ThinkCentre S50準系統一台。這是我原來花760元淘到的。準系統自帶了一片Intel的千兆網卡，正好用來接外網。

2、 CPU一片，我使用的是用來搭配IBM ThinkCentre S50的P4 2.4G的CPU.400元。

3、 內存一條。我使用的是威剛1G的內存條。

4、 128M DOM電子盤一個。我使用的是PQI的電子盤，沒有電子盤使用硬盤也行，容量>128M就可以了。注意：電子盤或硬盤要安裝到連接到主板的IDE1的MASTER位置，請參照你使用主板的説明文檔。

5、 網卡一片。用來接內網，因S50上已經帶了一個千兆網卡用來接外網，因手頭上沒有更好的網卡，就隨便用了一片8139的網卡用來接內網。

6、 刻錄光盤一片。用來刻錄網站上下載的內核安裝文件。

7、 刻錄光驅一個。

安裝好後的防火牆硬件平台：兩個網口分別用來一個接內網(左上那個8139)，一個接外網(下面那個S50自帶的Intel千兆網卡)。

這樣，防火牆硬件平台就完全安搭建好了。

第二步：準備內核安裝光盤

防火牆硬件平台準備好後，我們就要着手準備防火牆安裝光盤了。到ChinaDDOS網站上()下載最新版本的內核鏡像文件，刻錄成光盤即可。具體步驟如下：

1、 打開ChinaDDOS DIY硬防的內核下載頁面：，下載一個適合的版本，這裏我下載的是V3.1BETA01的最新版本。

PS：本人一直比較喜歡最新的東西。

2、 將下載的RAR文件解壓縮，得到ISO光盤鏡像文件。

3、 將鏡像文件刻錄至光盤。

第三步：安裝防火牆內核

將內核安裝光盤準備好後，確認硬盤或電子盤連接到了IDE1的MASTER位置後，在防火牆平台上連接好光驅，接通防火牆平台電源，把上一步準備好的內核安裝光盤放入光驅。啟動防火牆平台。

1、 屏幕顯示如下圖，等待內核安裝光盤引導一會後(屏幕上快速閃過整屏的英文)，將停留在下圖的位置：

2、 按回車鍵繼續安裝， 屏幕顯示如左圖，出現三個選擇項目：

① 安裝防火牆內核，

② 開始一個命令行，

③ 重新啟動系統。

3、 這裏我們選擇1並回車。回車後出現如右圖。選擇一個內核安裝源文件的位置。上面列表中紅色字部分標記出了我的光驅安裝位置hdc，於是我鍵入hdc後回車。

4、 屏幕出現綠色done字樣，表示安裝光盤識別成功。又提示安裝的目標驅動器。上面列表中紫色字部分標記出了系統自動識別的目標安裝位置had，這裏如果系統沒有自動識別到硬盤或電子盤，請檢查電子盤或硬盤是不是正確安裝到了IDE1的MASTER位置。我鍵入had後回車。

5、 鍵入had後，屏幕提示"正在將防火牆內核從hdc安裝到had……"，這裏需要等待2分鐘左右。安裝工作正在進行。

6、 直到屏幕上出現"Install completed!"字樣，表示安裝已結束。這時按回車鍵返回。

7、 重新回到選擇菜單後，選擇3重新啟動防火牆平台，記得將光盤從光驅中取出。這樣，防火牆的安裝就完成了。

第四步：啟動並配置防火牆

在防火牆安裝完成之後，便可以啟動防火牆並進行防火牆配置工作了。仔細閲讀了在ChinaDDOS網站中下載的"操作手冊"，我按如下步驟進行了防火牆配置：

1、 啟動防火牆。ChinaDDOS防火牆是應該是使用更專門改過的Linux系統作為防火牆操作系統的。啟動防火牆時需等待一小會，直到聽到喇叭發出清脆的音樂，表示防火牆已啟動完畢。防火牆啟動完畢後，防火牆顯示器上顯示"OK　Login"字樣，由於網站和手冊中均未提供控制枱登陸的密碼，因此我們只能通過Web界面對防火牆進行管理了。至此，用於防火牆安裝的光驅和顯示器不再需要了。

2、 將防火牆連接至網絡，在任意一台連通內網的電腦瀏覽器中輸入防火牆的初始IP和管理端口：：81 ，輸入初始用户名admin 和密碼123456 即可打開防火牆的管理界面：

3、 啟動防火牆內核模塊。單擊 "安全分析中心"，在出現的菜單中選擇"運行信息".出現如圖界面：

在界面中點擊"啟動防火牆模塊"，內核模塊運行狀態將變為"啟用"，信息窗口中將出現不斷刷新的防火牆內核運行信息。如果點擊"啟用防火牆模塊"，內核模塊運行狀態一直不變為"啟用"，可能是你的內存沒有1G導致的，筆者在初次試用時被這個問題困擾了很久。

4、 單擊 "網絡參數配置"，查看防火牆註冊狀態。在配置界面的左下角，查看防火牆的註冊狀態，我現在的註冊狀態是"未註冊用户".未註冊用户無法啟動防火牆的防禦功能。

5、 註冊防火牆。將上面的認證字複製下來，打開ChinaDDOS的用户防火牆管理平台： .沒有用户的需要先註冊一個用户，這裏我就不説明註冊步驟了，相信大家都會，只是如果希望防火牆的攻擊告警功能起作用，需要填寫正確的'手機號碼。

6、 註冊並登陸之後，點擊 "註冊防火牆管理"，在彈出的防火牆管理界面中添加一個新的防火牆。在如圖界面中點擊"新增防火牆"。

7、 在"新增防火牆"窗口中，任意取一個名字，IP地址也可以任意填寫，但認證字填寫第5步中複製下來的認證字，完成後確定即可。註冊類型不可更改，保存後便是註冊用户了，不知道有什麼其他作用沒有。

8、 完成後，重啟防火牆並加載內核模塊，即可看到防火牆的註冊類型為"已註冊防火牆".不過似乎這個驗證只有在公網上才能成功進行，在內網無法驗證成功，所以一定要放在網關的前面。

DDoS防火牆知識

防火牆防止DDOS工作原理

分佈式拒絕服務(DDoS)攻擊越來越頻繁，最近發佈的各項相關報告都印證了這一點，而且DDoS變得更加危險，其總流量在不斷創下新高。DDoS攻擊不僅僅是討嫌，而是極具破壞性。離線網站和網絡就是無用的，直接造成經濟損失;而且更嚴重的是現在DDoS攻擊更多的是煙幕彈，背後隱藏着竊取敏感數據這樣更加糟糕的後果。不過也不是毫無應對辦法。

網絡分區。將網絡分成離散的分區，將公共和內部系統彼此分開，每一個都用一個單獨的防火牆防護，在攻擊發生在公共系統時，可以維護內部服務。

限制即將建立的新連接的數量。在具體時間段為新建立的鏈接的數量設定參數，或者從一個用户或者網絡設定參數。

管理負載均衡和帶寬。在業務峯值時期，限制帶寬是最常用的管理合法流量的方式，比如購物狂們的黑五。

考慮使用流量清洗服務。流量清洗服務通過ISP可以轉移流量。

這些都是較為有效的防禦措施，企業需要正確處理並設置。其實從DDoS防禦的觀點看，網絡分區不僅僅是一種防禦措施，比如也能保護網絡對抗APT攻擊。不過隨着DDoS攻擊的增加，我們需要更為專業的防禦措施來對抗，比如選擇雲端衞士這樣專業的DDoS安全防護服務。

知己知彼是亙古不變的道理，在DDoS攻擊領域如是。但是大多數企業經常會犯的最基本的錯誤就是，嘗試用錯誤的技術保護網絡應用安全。網絡防火牆能夠保護Layer 4協議，甚至做深度包檢測。但是真正對抗網絡應用層的攻擊通常需要終止HTTP或者HTTPS協議，而且經常要重寫流量來識別和減緩威脅。就好像網絡防火牆不是用來組織垃圾郵件的，也不是用來組織網絡應用攻擊的。這種誤解經常給管理員一種虛假的安全感。

任何DDoS防護的關鍵都在於能夠從惡意請求中區分中真正的用户，因此可疑流量會被鎖定。但是這一點並不容易實現。在這一點上，雲端衞士採用業界領先的NFV理念、自主研發先進的彈性流量清洗系統，輕鬆應對來自不同方向的、最大TB級攻擊流量，將攻擊流量清洗後，正常的業務訪問流量送達客户網絡。

雲端衞士通過採集客户業務的DPI數據，利用成熟的大數據分析平台，實時分析客户的業務特點，同時根據不同客户的不同業務特點，有針對性制定安全防護策略，並將相關策略應用到分佈於全國各重要節點的防護設備上，對攻擊數據進行精準封殺，保證正常業務可用。

無疑，我們還會看到更多的DDoS攻擊事件發生，而且網絡管理人員也必須與之打持久戰。不過最簡單也是第一要務就是要使用正確的工具來幹活。

延伸閲讀

DDoS攻擊：知己知彼

分佈式拒絕服務(DDoS)攻擊越來越頻繁，最近發佈的各項相關報告都印證了這一點，而且DDoS變得更加危險，其總流量在不斷創下新高。DDoS攻擊不僅僅是討嫌，而是極具破壞性。離線網站和網絡就是無用的，直接造成經濟損失;而且更嚴重的是現在DDoS攻擊更多的是煙幕彈，背後隱藏着竊取敏感數據這樣更加糟糕的後果。不過也不是毫無應對辦法。

網絡分區。將網絡分成離散的分區，將公共和內部系統彼此分開，每一個都用一個單獨的防火牆防護，在攻擊發生在公共系統時，可以維護內部服務。

限制即將建立的新連接的數量。在具體時間段為新建立的鏈接的數量設定參數，或者從一個用户或者網絡設定參數。

管理負載均衡和帶寬。在業務峯值時期，限制帶寬是最常用的管理合法流量的方式，比如購物狂們的黑五。

考慮使用流量清洗服務。流量清洗服務通過ISP可以轉移流量。

這些都是較為有效的防禦措施，企業需要正確處理並設置。其實從DDoS防禦的觀點看，網絡分區不僅僅是一種防禦措施，比如也能保護網絡對抗APT攻擊。不過隨着DDoS攻擊的增加，我們需要更為專業的防禦措施來對抗，比如選擇雲端衞士這樣專業的DDoS安全防護服務。

知己知彼是亙古不變的道理，在DDoS攻擊領域如是。但是大多數企業經常會犯的最基本的錯誤就是，嘗試用錯誤的技術保護網絡應用安全。網絡防火牆能夠保護Layer 4協議，甚至做深度包檢測。但是真正對抗網絡應用層的攻擊通常需要終止HTTP或者HTTPS協議，而且經常要重寫流量來識別和減緩威脅。就好像網絡防火牆不是用來組織垃圾郵件的，也不是用來組織網絡應用攻擊的。這種誤解經常給管理員一種虛假的安全感。

任何DDoS防護的關鍵都在於能夠從惡意請求中區分中真正的用户，因此可疑流量會被鎖定。但是這一點並不容易實現。在這一點上，雲端衞士採用業界領先的NFV理念、自主研發先進的彈性流量清洗系統，輕鬆應對來自不同方向的、最大TB級攻擊流量，將攻擊流量清洗後，正常的業務訪問流量送達客户網絡。

雲端衞士通過採集客户業務的DPI數據，利用成熟的大數據分析平台，實時分析客户的業務特點，同時根據不同客户的不同業務特點，有針對性制定安全防護策略，並將相關策略應用到分佈於全國各重要節點的防護設備上，對攻擊數據進行精準封殺，保證正常業務可用。

無疑，我們還會看到更多的DDoS攻擊事件發生，而且網絡管理人員也必須與之打持久戰。不過最簡單也是第一要務就是要使用正確的工具來幹活。