DDoS防火牆的引數設定-DDoS防火牆知識

來源：果殼範文吧 2.32W

隨著木馬、病毒的日益氾濫，網際網路拒絕服務攻擊的頻度和攻擊流量也隨之急速增加，在攻擊方式、攻擊技術和攻擊資源不斷成熟的同時，抗拒絕服務的相關軟硬體產品也獲得了長足的發展。下面本站小編為大家收集整理的相關資料。歡迎大家閱讀!!!

DDoS防火牆的引數設定

1、電腦一臺，我選擇的是壓箱底的原來在淘寶淘到的IBM ThinkCentre S50準系統一臺。這是我原來花760元淘到的。準系統自帶了一片Intel的千兆網絡卡，正好用來接外網。

2、 CPU一片，我使用的是用來搭配IBM ThinkCentre S50的P4 2.4G的CPU.400元。

3、記憶體一條。我使用的是威剛1G的記憶體條。

4、 128M DOM電子盤一個。我使用的是PQI的電子盤，沒有電子盤使用硬碟也行，容量>128M就可以了。注意：電子盤或硬碟要安裝到連線到主機板的IDE1的MASTER位置，請參照你使用主機板的說明文件。

5、網絡卡一片。用來接內網，因S50上已經帶了一個千兆網絡卡用來接外網，因手頭上沒有更好的網絡卡，就隨便用了一片8139的網絡卡用來接內網。

6、燒錄光碟一片。用來燒錄網站上下載的核心安裝檔案。

7、燒錄光碟機一個。

安裝好後的防火牆硬體平臺：兩個網口分別用來一個接內網(左上那個8139)，一個接外網(下面那個S50自帶的Intel千兆網絡卡)。

這樣，防火牆硬體平臺就完全安搭建好了。

第二步：準備核心安裝光碟

防火牆硬體平臺準備好後，我們就要著手準備防火牆安裝光碟了。到ChinaDDOS網站上()下載最新版本的核心映象檔案，刻錄成光碟即可。具體步驟如下：

1、開啟ChinaDDOS DIY硬防的核心下載頁面：，下載一個適合的版本，這裡我下載的是V3.1BETA01的最新版本。

PS：本人一直比較喜歡最新的東西。

2、將下載的RAR檔案解壓縮，得到ISO光碟映象檔案。

3、將映象檔案燒錄至光碟。

第三步：安裝防火牆核心

將核心安裝光碟準備好後，確認硬碟或電子盤連線到了IDE1的MASTER位置後，在防火牆平臺上連線好光碟機，接通防火牆平臺電源，把上一步準備好的核心安裝光碟放入光碟機。啟動防火牆平臺。

1、螢幕顯示如下圖，等待核心安裝光碟引導一會後(螢幕上快速閃過整屏的英文)，將停留在下圖的位置：

2、按回車鍵繼續安裝，螢幕顯示如左圖，出現三個選擇專案：

① 安裝防火牆核心，

② 開始一個命令列，

③ 重新啟動系統。

3、這裡我們選擇1並回車。回車後出現如右圖。選擇一個核心安裝原始檔的位置。上面列表中紅色字部分標記出了我的光碟機安裝位置hdc，於是我鍵入hdc後回車。

4、螢幕出現綠色done字樣，表示安裝光碟識別成功。又提示安裝的目標驅動器。上面列表中紫色字部分標記出了系統自動識別的目標安裝位置had，這裡如果系統沒有自動識別到硬碟或電子盤，請檢查電子盤或硬碟是不是正確安裝到了IDE1的MASTER位置。我鍵入had後回車。

5、鍵入had後，螢幕提示"正在將防火牆核心從hdc安裝到had……"，這裡需要等待2分鐘左右。安裝工作正在進行。

6、直到螢幕上出現"Install completed!"字樣，表示安裝已結束。這時按回車鍵返回。

7、重新回到選擇選單後，選擇3重新啟動防火牆平臺，記得將光碟從光碟機中取出。這樣，防火牆的安裝就完成了。

第四步：啟動並配置防火牆

在防火牆安裝完成之後，便可以啟動防火牆並進行防火牆配置工作了。仔細閱讀了在ChinaDDOS網站中下載的"操作手冊"，我按如下步驟進行了防火牆配置：

1、啟動防火牆。ChinaDDOS防火牆是應該是使用更專門改過的Linux系統作為防火牆作業系統的。啟動防火牆時需等待一小會，直到聽到喇叭發出清脆的音樂，表示防火牆已啟動完畢。防火牆啟動完畢後，防火牆顯示器上顯示"OK　Login"字樣，由於網站和手冊中均未提供控制檯登陸的密碼，因此我們只能通過Web介面對防火牆進行管理了。至此，用於防火牆安裝的光碟機和顯示器不再需要了。

2、將防火牆連線至網路，在任意一臺連通內網的電腦瀏覽器中輸入防火牆的初始IP和管理埠：：81 ，輸入初始使用者名稱admin 和密碼123456 即可開啟防火牆的管理介面：

3、啟動防火牆核心模組。單擊 "安全分析中心"，在出現的選單中選擇"執行資訊".出現如圖介面：

在介面中點選"啟動防火牆模組"，核心模組執行狀態將變為"啟用"，資訊視窗中將出現不斷重新整理的防火牆核心執行資訊。如果點選"啟用防火牆模組"，核心模組執行狀態一直不變為"啟用"，可能是你的記憶體沒有1G導致的，筆者在初次試用時被這個問題困擾了很久。

4、單擊 "網路引數配置"，檢視防火牆註冊狀態。在配置介面的左下角，檢視防火牆的註冊狀態，我現在的註冊狀態是"未註冊使用者".未註冊使用者無法啟動防火牆的防禦功能。

5、註冊防火牆。將上面的認證字複製下來，開啟ChinaDDOS的使用者防火牆管理平臺： .沒有使用者的需要先註冊一個使用者，這裡我就不說明註冊步驟了，相信大家都會，只是如果希望防火牆的攻擊告警功能起作用，需要填寫正確的'手機號碼。

6、註冊並登陸之後，點選 "註冊防火牆管理"，在彈出的防火牆管理介面中新增一個新的防火牆。在如圖介面中點選"新增防火牆"。

7、在"新增防火牆"視窗中，任意取一個名字，IP地址也可以任意填寫，但認證字填寫第5步中複製下來的認證字，完成後確定即可。註冊型別不可更改，儲存後便是註冊使用者了，不知道有什麼其他作用沒有。

8、完成後，重啟防火牆並載入核心模組，即可看到防火牆的註冊型別為"已註冊防火牆".不過似乎這個驗證只有在公網上才能成功進行，在內網無法驗證成功，所以一定要放在閘道器的前面。

DDoS防火牆知識

防火牆防止DDOS工作原理

分散式拒絕服務(DDoS)攻擊越來越頻繁，最近釋出的各項相關報告都印證了這一點，而且DDoS變得更加危險，其總流量在不斷創下新高。DDoS攻擊不僅僅是討嫌，而是極具破壞性。離線網站和網路就是無用的，直接造成經濟損失;而且更嚴重的是現在DDoS攻擊更多的是煙幕彈，背後隱藏著竊取敏感資料這樣更加糟糕的後果。不過也不是毫無應對辦法。

網路分割槽。將網路分成離散的分割槽，將公共和內部系統彼此分開，每一個都用一個單獨的防火牆防護，在攻擊發生在公共系統時，可以維護內部服務。

限制即將建立的新連線的數量。在具體時間段為新建立的連結的數量設定引數，或者從一個使用者或者網路設定引數。

管理負載均衡和頻寬。在業務峰值時期，限制頻寬是最常用的管理合法流量的方式，比如購物狂們的黑五。

考慮使用流量清洗服務。流量清洗服務通過ISP可以轉移流量。

這些都是較為有效的防禦措施，企業需要正確處理並設定。其實從DDoS防禦的觀點看，網路分割槽不僅僅是一種防禦措施，比如也能保護網路對抗APT攻擊。不過隨著DDoS攻擊的增加，我們需要更為專業的防禦措施來對抗，比如選擇雲端衛士這樣專業的DDoS安全防護服務。

知己知彼是亙古不變的道理，在DDoS攻擊領域如是。但是大多數企業經常會犯的最基本的錯誤就是，嘗試用錯誤的技術保護網路應用安全。網路防火牆能夠保護Layer 4協議，甚至做深度包檢測。但是真正對抗網路應用層的攻擊通常需要終止HTTP或者HTTPS協議，而且經常要重寫流量來識別和減緩威脅。就好像網路防火牆不是用來組織垃圾郵件的，也不是用來組織網路應用攻擊的。這種誤解經常給管理員一種虛假的安全感。

任何DDoS防護的關鍵都在於能夠從惡意請求中區分中真正的使用者，因此可疑流量會被鎖定。但是這一點並不容易實現。在這一點上，雲端衛士採用業界領先的NFV理念、自主研發先進的彈性流量清洗系統，輕鬆應對來自不同方向的、最大TB級攻擊流量，將攻擊流量清洗後，正常的業務訪問流量送達客戶網路。

雲端衛士通過採集客戶業務的DPI資料，利用成熟的大資料分析平臺，實時分析客戶的業務特點，同時根據不同客戶的不同業務特點，有針對性制定安全防護策略，並將相關策略應用到分佈於全國各重要節點的防護裝置上，對攻擊資料進行精準封殺，保證正常業務可用。

無疑，我們還會看到更多的DDoS攻擊事件發生，而且網路管理人員也必須與之打持久戰。不過最簡單也是第一要務就是要使用正確的工具來幹活。

延伸閱讀

DDoS攻擊：知己知彼

限制即將建立的新連線的數量。在具體時間段為新建立的連結的數量設定引數，或者從一個使用者或者網路設定引數。

管理負載均衡和頻寬。在業務峰值時期，限制頻寬是最常用的管理合法流量的方式，比如購物狂們的黑五。

考慮使用流量清洗服務。流量清洗服務通過ISP可以轉移流量。

無疑，我們還會看到更多的DDoS攻擊事件發生，而且網路管理人員也必須與之打持久戰。不過最簡單也是第一要務就是要使用正確的工具來幹活。

DDoS 防火牆引數設定