一 : 自造DDOS硬件防火墙

实例体验自造DDOS硬件防火墙(1)

在木马和病毒日益泛滥的今天，DDOS攻击的频率也随之增加，攻击方式和攻击资源不断地成熟，网络安全产品技术也不断的在进行革新。(www.61k.com)但是一款DDOS防御产品种类繁多，价格差异也很大，往往让企业不知道该如何选择。那作为企业网络安全管理员，有没有想过自己DIY一个DDOS硬件防火墙呢？

近日，本人机房持续遭受DDOS攻击，也遭受了相同的困扰，在安装了各种软防均无法有效防御，硬防价格又过高无法承受，于是在网上搜索了一个 DIY硬件防火墙的网站（www.chinaddos.com），抱着试试看的心态，下载了其提供的防火墙内核，按要求准备了相应硬件，安装配置好后，终于解决了一直困扰我的DDOS攻击，现在把DIYDDOS硬件防火墙安装和设置过程记录如下，希望帮助更多和我同样遭遇的朋友们的问题早日解决。

第一步：准备防火墙硬件平台

按照DIY DDOS硬件防火墙网站上的要求，我准备了如下硬件：

1、 电脑一台，我选择的是压箱底的原来在淘宝淘到的IBM ThinkCentre S50准系统一台。这是我原来花760元淘到的。准系统自带了一片Intel的千兆网卡，正好用来接外网。

2、 CPU一片，我使用的是用来搭配IBM ThinkCentre S50的P4 2.4G的CPU.400元。

3、 内存一条。我使用的是威刚1G的内存条。

4、 128M DOM电子盘一个。我使用的是PQI的电子盘，没有电子盘使用硬盘也行，容量>128M就可以了。注意：电子盘或硬盘要安装到连接到主板的IDE1的MASTER位置，请参照你使用主板的说明文档。

5、 网卡一片。用来接内网，因S50上已经带了一个千兆网卡用来接外网，因手头上没有更好的网卡，就随便用了一片8139的网卡用来接内网。

6、 刻录光盘一片。用来刻录网站上下载的内核安装文件。

7、 刻录光驱一个。

安装好后的防火墙硬件平台：两个网口分别用来一个接内网（左上那个8139），一个接外网（下面那个S50自带的Intel千兆网卡）。

这样，防火墙硬件平台就完全安搭建好了。

第二步：准备内核安装光盘

防火墙硬件平台准备好后，我们就要着手准备防火墙安装光盘了。到ChinaDDOS网站上

（http://www.chinaddos.com）下载最新版本的内核镜像文件，刻录成光盘即可。具体步骤如下：

1、 打开ChinaDDOS DIY硬防的内核下载页面：www.chinaddos.com/news/download.html，下载一个适合的版本，这里我下载的是V3.1BETA01的最新版本。

chinaddos 自造DDOS硬件防火墙

PS：本人一直比较喜欢最新的东西。[www.61k.com]

2、 将下载的RAR文件解压缩，得到ISO光盘镜像文件。

3、 将镜像文件刻录至光盘。

第三步：安装防火墙内核

将内核安装光盘准备好后，确认硬盘或电子盘连接到了IDE1的MASTER位置后，在防火墙平台上连接好光驱，接通防火墙平台电源，把上一步准备好的内核安装光盘放入光驱。启动防火墙平台。

1、 屏幕显示如下图，等待内核安装光盘引导一会后（屏幕上快速闪过整屏的英文），将停留在下图的位置：

2、 按回车键继续安装，出现三个选择项目：

① 安装防火墙内核，

② 开始一个命令行，

③ 重新启动系统。

3、 这里我们选择1并回车。选择一个内核安装源文件的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc，于是我键入hdc后回车。

4、 屏幕出现绿色done字样，表示安装光盘识别成功。又提示安装的目标驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had，这里如果系统没有自动识别到硬盘或电子盘，请检查电子盘或硬盘是不是正确安装到了IDE1的MASTER位置。我键入had后回车。

5、 键入had后，屏幕提示"正在将防火墙内核从hdc安装到had……"，这里需要等待2分钟左右。安装工作正在进行。

chinaddos 自造DDOS硬件防火墙

6、直到屏幕上出现"Installcompleted！"字样，表示安装已结束。(www.61k.com]这时按回车键返回。

7、重新回到选择菜单后，选择3重新启动防火墙平台，记得将光盘从光驱中取出。这样，防火墙的安装就完成了。

第四步：启动并配置防火墙

在防火墙安装完成之后，便可以启动防火墙并进行防火墙配置工作了。仔细阅读了在ChinaDDOS网站中下载的"操作手册"，我按如下步骤进行了防火墙配置：

1、启动防火墙。ChinaDDOS防火墙是应该是使用更专门改过的Linux系统作为防火墙操作系统的。启动防火墙时需等待一小会，直到听到喇叭发出清脆的音乐，表示防火墙已启动完毕。防火墙启动完毕后，防火墙显示器上显示"OK Ｌｏｇｉｎ"字样，由于网站和手册中均未提供控制台登陆的密码，因此我们只能通过Ｗｅｂ界面对防火墙进行管理了。至此，用于防火墙安装的光驱和显示器不再需要了。

2、将防火墙连接至网络，在任意一台连通内网的电脑浏览器中输入防火墙的初始ＩＰ和管理端口：Http://192.168.1.27：81，输入初始用户名admin和密码123456即可打开防火墙的管理界面。

3、启动防火墙内核模块。单击"安全分析中心"，在出现的菜单中选择"运行信息"。

在界面中点击"启动防火墙模块"，内核模块运行状态将变为"启用"，信息窗口中将出现不断刷新的防火墙内核运行信息。如果点击"启用防火墙模块"，内核模块运行状态一直不变为"启用"，可能是你的内存没有1G导致的，笔者在初次试用时被这个问题困扰了很久。

4、单击"网络参数配置"，查看防火墙注册状态。在配置界面的左下角，查看防火墙的注册状态，我现在的注册状态是"未注册用户".未注册用户无法启动防火墙的防御功能。

chinaddos 自造DDOS硬件防火墙

5、注册防火墙。(www.61k.com]将上面的认证字复制下来，打开ChinaDDOS的用户防火墙管理平台：

http://www.chinaddos.com/members.没有用户的需要先注册一个用户，这里我就不说明注册步骤了，相信大家都会，只是如果希望防火墙的攻击告警功能起作用，需要填写正确的手机号码。

6、注册并登陆之后，点击"注册防火墙管理"，在弹出的防火墙管理界面中添加一个新的防火墙。

7、在"新增防火墙"窗口中，任意取一个名字，IP地址也可以任意填写，但认证字填写第5步中复制下来的认证字，完成后确定即可。注册类型不可更改，保存后便是注册用户了，不知道有什么其他作用没有。

8、完成后，重启DDOS硬件防火墙并加载内核模块，即可看到防火墙的注册类型为"已注册防火墙".不过似乎这个验证只有在公网上才能成功进行，在内网无法验证成功，所以一定要放在网关的前面。

系统配置完成后，就要进行详细的防御功能配置了，ChinaDDOS防火墙提供的防御功能太多，篇幅原因无法向各位一一说明，有兴趣请参考网站上提供的使用说明。

二 : DDOS防火墙防御功能对比

DDOS防火墙主要分为软件防火墙、硬件防火墙和DIY防火墙三种，本篇文章通过选取这三种DDOS防火墙中比较有代表性的防护产品，在它们的各个功能性方面进行横向对比，使得网络安全管理员能够在DDOS防火墙选择上有着清醒的认识。

功能一：登陆安全性

由于DDOS防火墙是工作在互联网上的安全设备，其登陆的安全性是其整体安全性的重要一环，对于登陆这个环节，主流硬件防火墙表现如下：

·基于SSL的HTTP协议登陆

由于现在的DDOS防御硬件设备都是通过Web进行管理，针对Web用户名密码的安全策略就显得尤为重要，但我们对比的几款主流硬件防火墙都没有相应的基于SSL加密协议的管理界面，这无疑给黑客利用中间人进行密码嗅探提供了条件。

·多层密码验证

遐迩防火墙特别支持多层密码验证功能，分别基于FreeBSD系统下Apache访问控制的密码验证和管理界面自身的密码验证，这样为安全性提供了额外的保护。其他硬件防火墙没有提供此功能。

功能二：针对单个IP设定防御策略

因为机房内有各种各样的服务器，例如WEB网站服务器、游戏服务器、数据库服务器等等，每个服务器的正常流量也不同，针对单个服务器的攻击判定设置就成了重要的设置项目之一，一个完善的防火墙系统应该能针对不同的防御IP设置对应的防御策略。

本次评测的几种主流硬件防火墙，ChinaDDOS的硬防DIY和遐迩硬件防火墙具有针对单个IP设置防御策略的功能，金盾在防御策略设置上，针对所有防御IP均采用同样的防御策略。

功能三：多级别防御

多级别防御是现有DDOS防火墙普遍采用的防御策略之一，通过多种防御级别，能够让硬件防火墙在不同的攻击流量下提供不同的防御策略，在低攻击流量时，充分保障正常应用不受影响，在高攻击流量时，达到更高的防御效果。

本次评测的几款硬件防火墙均提供了多级别防御的功能，例如遐迩提供了三级保护"普通"、"危急"、"高危"，金盾提供了二级保护"普通"、"危急"，ChinaDDOSDIY硬防提供了二级保护"普通"、"二级防御"等。

功能四：智能化及主动黑白名单管理

在现有攻击防御体系中，针对真实源址的攻击（例如利用僵尸肉鸡发起的攻击）防御一般由DNA甄别、行为甄别来实现，加上智能化黑名单管理，将甄别出的攻击地址放入黑名单中进行防御。所以智能黑名单特性是有效防御此类攻击的主要特性之一。另外，所有的甄别行为都会产生一定的误判，所以黑名单中攻击源的屏蔽时间管理和手动对黑名单中地址进行添加和删除的功能也十分重要。

在本次测试的硬件防火墙中，金盾硬防和ChinaDDOSDIY硬防都具有黑名单的特性，遐迩没有黑名单方面的管理特性。ChinaDDOSDIY硬防设置的"智能黑名单"延时功能，有利于在黑名单中主机再次发起攻击包时，自动延长其屏蔽时间，这样可以设置一个更短的屏蔽时间，有利于保障正常访问。

手动管理黑白名单方面，只有ChinaDDOSDIY硬防有这方面的功能。

功能五：模块化防御特性

模块化防御是针对特殊的防御目标所定义的特殊防御策略，这些防御策略一般通过通用的防御策略设置无法起到有效的防御效果。针对特殊防御目标，各硬件防火墙厂商均开发了特殊的防御模块来实现攻击防御，如针对聊天室和传奇高级攻击的防御等。

金盾在模块化防御上是领先开发的，也做得比较成熟，所有的防御功能均是基于模块化实现，现有的防御模块相对而言比较多样化，各种防御模块能够灵活搭配。遐迩硬防在模块化防御上没有相应的功能。ChinaDDOSDIY硬防也具有简单模块化防御的特点。

功能六：切断访问，保护整体网络

现今网络拒绝服务攻击流量不断增加，而IDC机房总体带宽增加较慢，这就使得不管采用何种防御手段和防御硬件，都无法100％的阻止所有的拒绝服务攻击。当攻击流量达到甚至超过机房总体带宽较大时，被攻击的目标主机及整个机房网络都会延迟甚至中断。如何在攻击流量达到机房总体带宽时，切断被攻击目标主机的网络流量，或者将发往该主机的网络流量导入黑洞路由，这是保护机房网络稳定的重要一环。

所幸目前大部分硬防都提供切断主机的功能，放弃遭受超高流量攻击的主机保护整个网络运营稳定。例如遐迩硬防和ChinaDDOSDIY硬防提供切断单台服务器保护整个网络的功能。金盾DDOS防火墙没有提供这样的功能。

功能七：流量控制

流量控制功能作为为IDC运营商所喜欢的贴心功能，在多数硬件防火墙上都已经实现，例如遐迩硬件防火墙和ChinaDDOSDIY硬件防火墙。通过设置IP的允许出口流量，能够防止单台主机占用过多的网络带宽，保护整个带宽内所有机器的访问速度，另外也可有效遏制机房内主机对外攻击的情况。

金盾防火墙和ChinaDDOSDIY硬件防火墙在流量控制方面均有相应设置选项。虽然现在金盾和ChinaDDOS的带宽控制粒度为1Mbytes，但多少为机房管理提供了便利。而遐迩硬件防火墙在这方面没有相应设置界面。

功能八：自定义规则过滤

自定义规则作为高级DDOS防火墙的防御功能，为阻止新出现的攻击提供了有效手段，金盾硬防和ChinaDDOSDIY硬防在自定义防御规则方面实现了相应功能。遐迩防火墙没有实现这些方面的功能。

金盾防火墙允许按照源、目的IP地址（或地址段），协议类型，匹配规则，时限，连接方向自定义防御行为，功能较为强大，而ChinaDDOSDIY硬防允许按照协议类型，源、目的IP地址（不支持地址段），包DNA特性及匹配规则设置防御行为，没有时限和连接方向等方面设置。

各项防御功能综合对比表：

三 : 看我利用PHP建立防DDOS防火墙

　　我今天要来谈谈一些高深的技术问题。话说，兄弟我之前也经常被DDOS处理DDOS的方法则是求助于大内高手帮忙处理，但是老是求助人家，也会不好意思，况且DDOS也永远会有，所以只能自己解决：买防火墙。

　　防火墙很多种，各有各的不同，唯一的相同点，就是一个字“贵”，且防火墙的设置也是一个很大的繁琐问题，设置好了之后，对于程序产生的负面的影响，也算一个大问题。所以，我在考虑能否不用钱，用简单的方法实现PHP防火墙的编写。

　　于是编写出了第一个版本：“鬼见愁一型”PHP防火墙，这个防火墙的原理很简单，记录IP的次数，一旦30秒内超过300次访问，自动跳出程序。这个防火墙被我自己测试的时候，完美的屏蔽了肉鸡的IP，本来以为很简单的完成了任务了。结果发现忽然连续三天网站被人攻陷。

　　查了原因，并非鬼见愁一型的毛病，而是鬼见愁一型需要用MYSQL来记录这些DDOS的肉鸡IP。而在大规模攻击下，MYSQL会崩溃掉，于是PHP防火墙也随之崩溃。出于这个原因，周同学我就编写了“鬼见愁2型PHP防火墙”。

　　鬼见愁二型专门围绕的MYSQL崩溃的保护进行了一个比较强悍的设计。首先它第一步不记录IP，这么一来就无需insert (插入)数据库的操作了，由于没有插入操作，因此数据库的崩溃概率小了很多。其次，它记录了总访问的数量以及运算出前10秒的访问总量。

　　当大规模DDOS攻击来临的时候，访问总量会超过临界值。于是PHP系统就会启动一级防护，一级防护启动之后，系统会启动“识别是肉鸡还是活人”的流程，任何一个IP都会转移到一个页面上面，叫你输入验证码，以证明是活人。活人输入之后，可以正常访问，而肉鸡不输入，则被挡在程序的外围。由于一级防护无需插入数据库，因此也不会导致数据库崩溃。

　　当更大规模的DDOS来临的时候，超过一个临界值，系统就会拒绝所有的服务，显示：本站暂停服务，请2小时后再来。然后跳出程序，对于极大规模的DDOS，系统就不再以服务为主了，而是重要的是保护数据库不再崩溃了。

　　现在遇上DDOS啊，防火墙又繁琐又麻烦，又贵。我们劳动人民应该用新型的PHP防火墙来防护DDOS，我自己亲自实践来看，只要不是“国家级”黑客，普通中小黑客完全是没啥大的问题的。

四 : DDoS防火墙的参数设置

大家知道ddos防火墙怎么设置吗?不知道?下面就让我们教大家DDoS防火墙的参数设置吧。

(www.61k.com。

DDoS防火墙参数设置方法

防护日志

DDOS防火墙

DDOS防火墙开启

DDOS防火墙参数设置

IP冻结时间设置

单个IP单位时间相应连接请求设置

扫描攻击参数设置

流量攻击参数设置

保存，设置成功

DDo

本文标题：ddos防火墙-自造DDOS硬件防火墙
本文地址： http://www.61k.com/1094667.html