实例体验自造DDOS硬件防火墙

安全
DDOS防御产品从几百元安装在目标服务器上对单台服务器进行保护的软件防火墙到几万甚至十几万元的百兆、千兆硬件防火墙,包括新出现的提供硬件防火墙方案并协助客户DIY硬件防火墙的实惠的替代方案等。

在木马和病毒日益泛滥的今天,DDOS攻击的频率也随之增加,攻击方式和攻击资源不断地成熟,网络安全产品技术也不断的在进行革新。但是一款DDOS防御产品种类繁多,价格差异也很大,往往让企业不知道该如何选择。那作为企业网络安全管理员,有没有想过自己DIY一个DDOS硬件防火墙呢?

近日,本人机房持续遭受DDOS攻击,也遭受了相同的困扰,在安装了各种软防均无法有效防御,硬防价格又过高无法承受,于是在网上搜索了一个 DIY硬件防火墙的网站(www.chinaddos.com),抱着试试看的心态,下载了其提供的防火墙内核,按要求准备了相应硬件,安装配置好后,终于解决了一直困扰我的DDOS攻击,现在把DIYDDOS硬件防火墙安装和设置过程记录如下,希望帮助更多和我同样遭遇的朋友们的问题早日解决。

第一步:准备防火墙硬件平台

按照DIY DDOS硬件防火墙网站上的要求,我准备了如下硬件:

1、 电脑一台,我选择的是压箱底的原来在淘宝淘到的IBM ThinkCentre S50准系统一台。这是我原来花760元淘到的。准系统自带了一片Intel的千兆网卡,正好用来接外网。

2、 CPU一片,我使用的是用来搭配IBM ThinkCentre S50的P4 2.4G的CPU.400元。

3、 内存一条。我使用的是威刚1G的内存条。

4、 128M DOM电子盘一个。我使用的是PQI的电子盘,没有电子盘使用硬盘也行,容量>128M就可以了。注意:电子盘或硬盘要安装到连接到主板的IDE1的MASTER位置,请参照你使用主板的说明文档。

5、 网卡一片。用来接内网,因S50上已经带了一个千兆网卡用来接外网,因手头上没有更好的网卡,就随便用了一片8139的网卡用来接内网。

6、 刻录光盘一片。用来刻录网站上下载的内核安装文件。

7、 刻录光驱一个。

安装好后的防火墙硬件平台:两个网口分别用来一个接内网(左上那个8139),一个接外网(下面那个S50自带的Intel千兆网卡)。
 
这样,防火墙硬件平台就完全安搭建好了。

第二步:准备内核安装光盘

防火墙硬件平台准备好后,我们就要着手准备防火墙安装光盘了。到ChinaDDOS网站上(http://www.chinaddos.com)下载最新版本的内核镜像文件,刻录成光盘即可。具体步骤如下:

1、 打开ChinaDDOS DIY硬防的内核下载页面:www.chinaddos.com/news/download.html,下载一个适合的版本,这里我下载的是V3.1BETA01的最新版本。

PS:本人一直比较喜欢最新的东西。

2、 将下载的RAR文件解压缩,得到ISO光盘镜像文件。

3、 将镜像文件刻录至光盘。

第三步:安装防火墙内核

将内核安装光盘准备好后,确认硬盘或电子盘连接到了IDE1的MASTER位置后,在防火墙平台上连接好光驱,接通防火墙平台电源,把上一步准备好的内核安装光盘放入光驱。启动防火墙平台。

1、 屏幕显示如下图,等待内核安装光盘引导一会后(屏幕上快速闪过整屏的英文),将停留在下图的位置:
 

 

实例体验自造DDOS硬件防火墙 

2、 按回车键继续安装,出现三个选择项目:

① 安装防火墙内核,

② 开始一个命令行,

③ 重新启动系统。#p#

3、 这里我们选择1并回车。选择一个内核安装源文件的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc,于是我键入hdc后回车。

4、 屏幕出现绿色done字样,表示安装光盘识别成功。又提示安装的目标驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had,这里如果系统没有自动识别到硬盘或电子盘,请检查电子盘或硬盘是不是正确安装到了IDE1的MASTER位置。我键入had后回车。

5、 键入had后,屏幕提示"正在将防火墙内核从hdc安装到had……",这里需要等待2分钟左右。安装工作正在进行。

 

实例体验自造DDOS硬件防火墙 

6、直到屏幕上出现"Installcompleted!"字样,表示安装已结束。这时按回车键返回。

7、重新回到选择菜单后,选择3重新启动防火墙平台,记得将光盘从光驱中取出。这样,防火墙的安装就完成了。

第四步:启动并配置防火墙

在防火墙安装完成之后,便可以启动防火墙并进行防火墙配置工作了。仔细阅读了在ChinaDDOS网站中下载的"操作手册",我按如下步骤进行了防火墙配置:

1、启动防火墙。ChinaDDOS防火墙是应该是使用更专门改过的Linux系统作为防火墙操作系统的。启动防火墙时需等待一小会,直到听到喇叭发出清脆的音乐,表示防火墙已启动完毕。防火墙启动完毕后,防火墙显示器上显示"OK Login"字样,由于网站和手册中均未提供控制台登陆的密码,因此我们只能通过Web界面对防火墙进行管理了。至此,用于防火墙安装的光驱和显示器不再需要了。

2、将防火墙连接至网络,在任意一台连通内网的电脑浏览器中输入防火墙的初始IP和管理端口:Http://192.168.1.27:81,输入初始用户名admin和密码123456即可打开防火墙的管理界面。

3、启动防火墙内核模块。单击"安全分析中心",在出现的菜单中选择"运行信息"。

在界面中点击"启动防火墙模块",内核模块运行状态将变为"启用",信息窗口中将出现不断刷新的防火墙内核运行信息。如果点击"启用防火墙模块",内核模块运行状态一直不变为"启用",可能是你的内存没有1G导致的,笔者在初次试用时被这个问题困扰了很久。

4、单击"网络参数配置",查看防火墙注册状态。在配置界面的左下角,查看防火墙的注册状态,我现在的注册状态是"未注册用户".未注册用户无法启动防火墙的防御功能。

5、注册防火墙。将上面的认证字复制下来,打开ChinaDDOS的用户防火墙管理平台:http://www.chinaddos.com/members.没有用户的需要先注册一个用户,这里我就不说明注册步骤了,相信大家都会,只是如果希望防火墙的攻击告警功能起作用,需要填写正确的手机号码。

6、注册并登陆之后,点击"注册防火墙管理",在弹出的防火墙管理界面中添加一个新的防火墙。

7、在"新增防火墙"窗口中,任意取一个名字,IP地址也可以任意填写,但认证字填写第5步中复制下来的认证字,完成后确定即可。注册类型不可更改,保存后便是注册用户了,不知道有什么其他作用没有。

8、完成后,重启DDOS硬件防火墙并加载内核模块,即可看到防火墙的注册类型为"已注册防火墙".不过似乎这个验证只有在公网上才能成功进行,在内网无法验证成功,所以一定要放在网关的前面。

系统配置完成后,就要进行详细的防御功能配置了,ChinaDDOS防火墙提供的防御功能太多,篇幅原因无法向各位一一说明,有兴趣请参考网站上提供的使用说明。
 

 

【编辑推荐】

  1. DDoS拒绝服务攻击和安全防范技术
  2. ROS防止外网的DDOS的好办法
  3. 揭秘黑客手中DDoS攻击利器——黑色能量2代
  4. DDoS deflate:自动屏蔽DDOS攻击者IP
  5. DDoS防御进入“云”清洗阶段
责任编辑:张启峰 来源: IT168
相关推荐

2009-07-16 22:39:11

2010-09-29 14:49:37

2010-09-30 16:57:32

2010-09-30 14:55:39

2011-03-11 14:52:47

2011-07-30 12:57:24

2010-09-09 17:22:36

2010-09-14 12:19:02

2010-09-14 13:10:36

2010-09-16 11:18:01

2010-09-13 16:32:58

2014-08-05 09:50:40

CentOS防火墙

2010-09-14 13:34:03

2010-09-27 13:52:09

2009-12-07 10:08:03

2013-01-21 10:17:27

防火墙恶意IP

2011-05-18 11:06:46

2010-09-29 14:28:07

2010-09-25 16:55:05

防火墙选购

2010-09-14 10:14:15

点赞
收藏

51CTO技术栈公众号