DDoS防火牆的參數設置-DDoS防火牆知識
隨着木馬、病毒的日益氾濫,互聯網拒絕服務攻擊的頻度和攻擊流量也隨之急速增加,在攻擊方式、攻擊技術和攻擊資源不斷成熟的同時,抗拒絕服務的相關軟硬件產品也獲得了長足的發展。下面本站小編爲大家收集整理的相關資料。歡迎大家閱讀!!!
DDoS防火牆的參數設置1、 電腦一臺,我選擇的是壓箱底的原來在淘寶淘到的IBM ThinkCentre S50準系統一臺。這是我原來花760元淘到的。準系統自帶了一片Intel的千兆網卡,正好用來接外網。
2、 CPU一片,我使用的是用來搭配IBM ThinkCentre S50的P4 2.4G的CPU.400元。
3、 內存一條。我使用的是威剛1G的內存條。
4、 128M DOM電子盤一個。我使用的是PQI的電子盤,沒有電子盤使用硬盤也行,容量>128M就可以了。注意:電子盤或硬盤要安裝到連接到主板的IDE1的MASTER位置,請參照你使用主板的說明文檔。
5、 網卡一片。用來接內網,因S50上已經帶了一個千兆網卡用來接外網,因手頭上沒有更好的網卡,就隨便用了一片8139的網卡用來接內網。
6、 刻錄光盤一片。用來刻錄網站上下載的內核安裝文件。
7、 刻錄光驅一個。
安裝好後的防火牆硬件平臺:兩個網口分別用來一個接內網(左上那個8139),一個接外網(下面那個S50自帶的Intel千兆網卡)。
這樣,防火牆硬件平臺就完全安搭建好了。
第二步:準備內核安裝光盤
防火牆硬件平臺準備好後,我們就要着手準備防火牆安裝光盤了。到ChinaDDOS網站上()下載最新版本的內核鏡像文件,刻錄成光盤即可。具體步驟如下:
1、 打開ChinaDDOS DIY硬防的內核下載頁面:,下載一個適合的版本,這裏我下載的是V3.1BETA01的最新版本。
PS:本人一直比較喜歡最新的東西。
2、 將下載的RAR文件解壓縮,得到ISO光盤鏡像文件。
3、 將鏡像文件刻錄至光盤。
第三步:安裝防火牆內核
將內核安裝光盤準備好後,確認硬盤或電子盤連接到了IDE1的MASTER位置後,在防火牆平臺上連接好光驅,接通防火牆平臺電源,把上一步準備好的內核安裝光盤放入光驅。啓動防火牆平臺。
1、 屏幕顯示如下圖,等待內核安裝光盤引導一會後(屏幕上快速閃過整屏的英文),將停留在下圖的位置:
2、 按回車鍵繼續安裝, 屏幕顯示如左圖,出現三個選擇項目:
① 安裝防火牆內核,
② 開始一個命令行,
③ 重新啓動系統。
3、 這裏我們選擇1並回車。回車後出現如右圖。選擇一個內核安裝源文件的位置。上面列表中紅色字部分標記出了我的光驅安裝位置hdc,於是我鍵入hdc後回車。
4、 屏幕出現綠色done字樣,表示安裝光盤識別成功。又提示安裝的目標驅動器。上面列表中紫色字部分標記出了系統自動識別的目標安裝位置had,這裏如果系統沒有自動識別到硬盤或電子盤,請檢查電子盤或硬盤是不是正確安裝到了IDE1的MASTER位置。我鍵入had後回車。
5、 鍵入had後,屏幕提示"正在將防火牆內核從hdc安裝到had……",這裏需要等待2分鐘左右。安裝工作正在進行。
6、 直到屏幕上出現"Install completed!"字樣,表示安裝已結束。這時按回車鍵返回。
7、 重新回到選擇菜單後,選擇3重新啓動防火牆平臺,記得將光盤從光驅中取出。這樣,防火牆的安裝就完成了。
第四步:啓動並配置防火牆
在防火牆安裝完成之後,便可以啓動防火牆並進行防火牆配置工作了。仔細閱讀了在ChinaDDOS網站中下載的"操作手冊",我按如下步驟進行了防火牆配置:
1、 啓動防火牆。ChinaDDOS防火牆是應該是使用更專門改過的Linux系統作爲防火牆操作系統的。啓動防火牆時需等待一小會,直到聽到喇叭發出清脆的音樂,表示防火牆已啓動完畢。防火牆啓動完畢後,防火牆顯示器上顯示"OK Login"字樣,由於網站和手冊中均未提供控制檯登陸的密碼,因此我們只能通過Web界面對防火牆進行管理了。至此,用於防火牆安裝的光驅和顯示器不再需要了。
2、 將防火牆連接至網絡,在任意一臺連通內網的電腦瀏覽器中輸入防火牆的初始IP和管理端口::81 ,輸入初始用戶名admin 和密碼123456 即可打開防火牆的管理界面:
3、 啓動防火牆內核模塊。單擊 "安全分析中心",在出現的菜單中選擇"運行信息".出現如圖界面:
在界面中點擊"啓動防火牆模塊",內核模塊運行狀態將變爲"啓用",信息窗口中將出現不斷刷新的防火牆內核運行信息。如果點擊"啓用防火牆模塊",內核模塊運行狀態一直不變爲"啓用",可能是你的內存沒有1G導致的,筆者在初次試用時被這個問題困擾了很久。
4、 單擊 "網絡參數配置",查看防火牆註冊狀態。在配置界面的左下角,查看防火牆的註冊狀態,我現在的註冊狀態是"未註冊用戶".未註冊用戶無法啓動防火牆的防禦功能。
5、 註冊防火牆。將上面的認證字複製下來,打開ChinaDDOS的用戶防火牆管理平臺: .沒有用戶的需要先註冊一個用戶,這裏我就不說明註冊步驟了,相信大家都會,只是如果希望防火牆的攻擊告警功能起作用,需要填寫正確的'手機號碼。
6、 註冊並登陸之後,點擊 "註冊防火牆管理",在彈出的防火牆管理界面中添加一個新的防火牆。在如圖界面中點擊"新增防火牆"。
7、 在"新增防火牆"窗口中,任意取一個名字,IP地址也可以任意填寫,但認證字填寫第5步中複製下來的認證字,完成後確定即可。註冊類型不可更改,保存後便是註冊用戶了,不知道有什麼其他作用沒有。
8、 完成後,重啓防火牆並加載內核模塊,即可看到防火牆的註冊類型爲"已註冊防火牆".不過似乎這個驗證只有在公網上才能成功進行,在內網無法驗證成功,所以一定要放在網關的前面。
DDoS防火牆知識防火牆防止DDOS工作原理
分佈式拒絕服務(DDoS)攻擊越來越頻繁,最近發佈的各項相關報告都印證了這一點,而且DDoS變得更加危險,其總流量在不斷創下新高。DDoS攻擊不僅僅是討嫌,而是極具破壞性。離線網站和網絡就是無用的,直接造成經濟損失;而且更嚴重的是現在DDoS攻擊更多的是煙幕彈,背後隱藏着竊取敏感數據這樣更加糟糕的後果。不過也不是毫無應對辦法。
網絡分區。將網絡分成離散的分區,將公共和內部系統彼此分開,每一個都用一個單獨的防火牆防護,在攻擊發生在公共系統時,可以維護內部服務。
限制即將建立的新連接的數量。在具體時間段爲新建立的鏈接的數量設定參數,或者從一個用戶或者網絡設定參數。
管理負載均衡和帶寬。在業務峯值時期,限制帶寬是最常用的管理合法流量的方式,比如購物狂們的黑五。
考慮使用流量清洗服務。流量清洗服務通過ISP可以轉移流量。
這些都是較爲有效的防禦措施,企業需要正確處理並設置。其實從DDoS防禦的觀點看,網絡分區不僅僅是一種防禦措施,比如也能保護網絡對抗APT攻擊。不過隨着DDoS攻擊的增加,我們需要更爲專業的防禦措施來對抗,比如選擇雲端衛士這樣專業的DDoS安全防護服務。
知己知彼是亙古不變的道理,在DDoS攻擊領域如是。但是大多數企業經常會犯的最基本的錯誤就是,嘗試用錯誤的技術保護網絡應用安全。網絡防火牆能夠保護Layer 4協議,甚至做深度包檢測。但是真正對抗網絡應用層的攻擊通常需要終止HTTP或者HTTPS協議,而且經常要重寫流量來識別和減緩威脅。就好像網絡防火牆不是用來組織垃圾郵件的,也不是用來組織網絡應用攻擊的。這種誤解經常給管理員一種虛假的安全感。
任何DDoS防護的關鍵都在於能夠從惡意請求中區分中真正的用戶,因此可疑流量會被鎖定。但是這一點並不容易實現。在這一點上,雲端衛士採用業界領先的NFV理念、自主研發先進的彈性流量清洗系統,輕鬆應對來自不同方向的、最大TB級攻擊流量,將攻擊流量清洗後,正常的業務訪問流量送達客戶網絡。
雲端衛士通過採集客戶業務的DPI數據,利用成熟的大數據分析平臺,實時分析客戶的業務特點,同時根據不同客戶的不同業務特點,有針對性制定安全防護策略,並將相關策略應用到分佈於全國各重要節點的防護設備上,對攻擊數據進行精準封殺,保證正常業務可用。
無疑,我們還會看到更多的DDoS攻擊事件發生,而且網絡管理人員也必須與之打持久戰。不過最簡單也是第一要務就是要使用正確的工具來幹活。
延伸閱讀
DDoS攻擊:知己知彼
分佈式拒絕服務(DDoS)攻擊越來越頻繁,最近發佈的各項相關報告都印證了這一點,而且DDoS變得更加危險,其總流量在不斷創下新高。DDoS攻擊不僅僅是討嫌,而是極具破壞性。離線網站和網絡就是無用的,直接造成經濟損失;而且更嚴重的是現在DDoS攻擊更多的是煙幕彈,背後隱藏着竊取敏感數據這樣更加糟糕的後果。不過也不是毫無應對辦法。
網絡分區。將網絡分成離散的分區,將公共和內部系統彼此分開,每一個都用一個單獨的防火牆防護,在攻擊發生在公共系統時,可以維護內部服務。
限制即將建立的新連接的數量。在具體時間段爲新建立的鏈接的數量設定參數,或者從一個用戶或者網絡設定參數。
管理負載均衡和帶寬。在業務峯值時期,限制帶寬是最常用的管理合法流量的方式,比如購物狂們的黑五。
考慮使用流量清洗服務。流量清洗服務通過ISP可以轉移流量。
這些都是較爲有效的防禦措施,企業需要正確處理並設置。其實從DDoS防禦的觀點看,網絡分區不僅僅是一種防禦措施,比如也能保護網絡對抗APT攻擊。不過隨着DDoS攻擊的增加,我們需要更爲專業的防禦措施來對抗,比如選擇雲端衛士這樣專業的DDoS安全防護服務。
知己知彼是亙古不變的道理,在DDoS攻擊領域如是。但是大多數企業經常會犯的最基本的錯誤就是,嘗試用錯誤的技術保護網絡應用安全。網絡防火牆能夠保護Layer 4協議,甚至做深度包檢測。但是真正對抗網絡應用層的攻擊通常需要終止HTTP或者HTTPS協議,而且經常要重寫流量來識別和減緩威脅。就好像網絡防火牆不是用來組織垃圾郵件的,也不是用來組織網絡應用攻擊的。這種誤解經常給管理員一種虛假的安全感。
任何DDoS防護的關鍵都在於能夠從惡意請求中區分中真正的用戶,因此可疑流量會被鎖定。但是這一點並不容易實現。在這一點上,雲端衛士採用業界領先的NFV理念、自主研發先進的彈性流量清洗系統,輕鬆應對來自不同方向的、最大TB級攻擊流量,將攻擊流量清洗後,正常的業務訪問流量送達客戶網絡。
雲端衛士通過採集客戶業務的DPI數據,利用成熟的大數據分析平臺,實時分析客戶的業務特點,同時根據不同客戶的不同業務特點,有針對性制定安全防護策略,並將相關策略應用到分佈於全國各重要節點的防護設備上,對攻擊數據進行精準封殺,保證正常業務可用。
無疑,我們還會看到更多的DDoS攻擊事件發生,而且網絡管理人員也必須與之打持久戰。不過最簡單也是第一要務就是要使用正確的工具來幹活。
-
製作的作文[集錦8篇]
在我們平凡的日常裏,大家都寫過作文,肯定對各類作文都很熟悉吧,作文是通過文字來表達一個主題意義的記敘方法。你所見過的作文是什麼樣的呢?以下是小編幫大家整理的製作的作文8篇,僅供參考,歡迎大家閱讀。製作的作文篇1著名的科學家哥白尼有一句名言;“人的天職在勇於...
-
【精】實用的製作燈籠作文7篇
在平平淡淡的學習、工作、生活中,大家都不可避免地要接觸到作文吧,寫作文是培養人們的觀察力、聯想力、想象力、思考力和記憶力的重要手段。那麼你知道一篇好的作文該怎麼寫嗎?下面是小編整理的製作燈籠作文8篇,歡迎大家借鑑與參考,希望對大家有所幫助。製作燈籠作...
-
綜評社會實踐設計製作心得體會通用
心中有不少心得體會時,通常就可以寫一篇心得體會將其記下來,這樣我們可以養成良好的總結方法。那麼好的心得體會是什麼樣的呢?下面是小編爲大家整理的綜評社會實踐設計製作心得體會通用,供大家參考借鑑,希望可以幫助到有需要的朋友。綜評社會實踐設計製作心得體會通...
-
小製作作文(範例8篇)
無論是在學校還是在社會中,大家都有寫作文的經歷,對作文很是熟悉吧,作文是通過文字來表達一個主題意義的記敘方法。那麼你有了解過作文嗎?以下是小編精心整理的小製作作文8篇,僅供參考,大家一起來看看吧。小製作作文篇1我做的手工是蝴蝶,用的材料:“兩張A4紙,兩個硬幣、...