DIY硬件防火墙设置方法

876581197

近年来，跟着木马、病毒的日益众多，互联网拒绝服务进犯的频度和进犯流量也随之急速增加，在进犯方式、进犯技能和进犯资源不断老练的一起，抗拒绝服务的关联软硬件产物也获得了长足的开展。如今的IDC商场基本上现已到了缺少有用的拒绝服务进犯防护手法将无法进行安稳的IDC事务运营的地步。
    但拒绝服务防护产物品种繁复，价钱差异也十分大，从几百元装置在方针服务器上对单台服务器进行维护的软件防火墙到几万乃至十几万元的百兆、千兆硬件防火墙，包罗新呈现的供给硬件防火墙计划并帮忙客户DIY硬件防火墙的实惠的代替计划等，客户往往莫衷一是，特别对DIY硬件防火墙所运用的关联技能、防护能力等不知道，使其在挑选时往往莫衷一是。
    近来，自己机房持续遭受DDOS进犯，也遭受了一样的困惑，在装置了各种软防均无法有用防护，硬防价钱又过高无法接受，所以在网上查找了一个 DIY硬件防火墙的网站抱着试试看的心态，下载了其供给的防火墙内核，按需求预备了相应硬件，装置装备好后，总算处理了一向困惑我的DDOS进犯，如今把DIY防火墙装置和设置进程记载如下，期望协助更多和我相同遭受的兄弟们的问题提前处理。
    第一步：预备防火墙硬件平台
    依照DIY防火墙网站上的需求，我预备了如下硬件：

    1、 电脑一台，我挑选的是压箱底的本来在淘宝淘到的IBM ThinkCentre S50准体系一台。这是我本来花760元淘到的。准体系自带了一片Intel的千兆网卡，正巧用来接外网。
    2、 CPU一片，我运用的是用来调配IBM ThinkCentre S50的P4 2.4G的CPU.400元。
    3、 内存一条。我运用的是威刚1G的内存条。
    4、 128M DOM电子盘一个。我运用的是PQI的电子盘，没有电子盘运用硬盘也行，容量>128M就可以了。注重：电子盘或硬盘要装置到衔接到主板的IDE1的MASTER方位，请参照你运用主板的阐明文档。

    5、 网卡一片。用来接内网，因S50上现已带了一个千兆网卡用来接外网，因手头上没有更好的网卡，就随意用了一片8139的网卡用来接内网。

    6、 刻录光盘一片。用来刻录网站上下载的内核装置文件。
    7、 刻录光驱一个。
    装置好后的防火墙硬件平台：两个网口别离用来一个接内网（左上那个8139），一个接外网（下面那个S50自带的Intel千兆网卡）。


    这样，防火墙硬件平台就彻底安建立好了。
    第二步：预备内核装置光盘
    防火墙硬件平台预备好后，咱们就要着手预备防火墙装置光盘了。到ChinaDDOS网站上下载最新版别的内核镜像文件，刻录成光盘即可。具体步调如下：
    1、 翻开ChinaDDOS DIY硬防的内核下载页面：，下载一个合适的版别，这里我下载的是V3.1BETA01的最新版别。
    PS：自己一向比拟喜爱最新的东西。
    2、 将下载的RAR文件解压缩，得到ISO光盘镜像文件。
    3、 将镜像文件刻录至光盘。
   第三步：装置防火墙内核
    将内核装置光盘预备好后，承认硬盘或电子盘衔接到了IDE1的MASTER方位后，在防火墙平台上衔接好光驱，接通防火墙平台电源，把上一步预备好的内核装置光盘放入光驱。发动防火墙平台。
    1、 屏幕显现如下图，等候内核装置光盘引导一会后（屏幕上疾速闪过整屏的英文），将停留在下图的方位：


    2、 按回车键持续装置， 屏幕显现如左图，呈现三个挑选项目：
    ① 装置防火墙内核，
    ② 开端一个命令行，
    ③ 从头发动体系。


    3、 这里咱们挑选1并回车。回车后呈现如右图。挑选一个内核装置源文件的方位。上面列表中赤色字有些符号出了我的光驱装置方位hdc，所以我键入hdc后回车。

    4、 屏幕呈现绿色done字样，表明装置光盘辨认成功。又提示装置的方针驱动器。上面列表中紫色字有些符号出了体系自动辨认的方针装置方位had，这里若是体系没有自动辨认到硬盘或电子盘，请检查电子盘或硬盘是不是正确装置到了IDE1的MASTER方位。我键入had后回车。
5、 键入had后，屏幕提示"正在将防火墙内核从hdc装置到had……"，这里需求等候2分钟左右。装置作业正在进行。
    6、 直到屏幕上呈现"Install completed！"字样，表明装置已结束。这时按回车键回来。


    7、 从头回到挑选菜单后，挑选3从头发动防火墙平台，记住将光盘从光驱中取出。这样，防火墙的装置就完结了。
第四步：发动并装备防火墙
    在防火墙装置完结之后，便可以发动防火墙并进行防火墙装备作业了。仔细阅读了在ChinaDDOS网站中下载的"操作手册"，我按如下步调进行了防火墙装备：
    1、 发动防火墙。ChinaDDOS防火墙是应该是运用更专门改正的Linux体系作为防火墙操作体系的。发动防火墙时需等候一小会，直到听到喇叭宣布洪亮的音乐，表明防火墙已发动结束。防火墙发动结束后，防火墙显现器上显现"OK　Ｌｏｇｉｎ"字样，因为网站和手册中均未供给控制台登入的暗码，因而咱们只能经过Ｗｅｂ界面临防火墙进行办理了。至此，用于防火墙装置的光驱和显现器不再需求了。


    2、 将防火墙衔接至网络，在恣意一台连通内网的电脑阅读器中输入防火墙的初始ＩＰ和办理端口：Http://192.168.1.27：81 ，输入初始用户名admin 和暗码12***56 即可翻开防火墙的办理界面：


    3、 发动防火墙内核模块。单击 "安全剖析中间"，在呈现的菜单中挑选"运转信息".呈现如图界面：

    在界面中点击"发动防火墙模块"，内核模块运转状况将变为"启用"，信息窗口中将呈现不断改写的防火墙内核运转信息。若是点击"启用防火墙模块"，内核模块运转状况一向不变为"启用"，能够是你的内存没有1G招致的，笔者在初度试用时被这个问题困惑了好久。
    4、 单击 "网络参数装备"，检查防火墙注册状况。在装备界面的左下角，检查防火墙的注册状况，我如今的注册状况是"未注册用户".未注册用户无法发动防火墙的防护功用。

    5、 注册防火墙。将上面的认证字仿制下来，翻开ChinaDDOS的用户防火墙办理平台：.没有用户的需求先注册一个用户，这里我就不阐明注册步调了，信任我们城市，仅仅若是期望防火墙的进犯告警功用起效果，需求填写正确的手机号码。
    6、 注册并登入之后，点击 "注册防火墙办理"，在弹出的防火墙办理界面中增加一个新的防火墙。在如图界面中点击"新增防火墙"。


    7、 在"新增防火墙"窗口中，恣意取一个姓名，IP地址也可以恣意填写，但认证字填写第5步中仿制下来的认证字，完结后断定即可。注册类型不行更改，保管后就是注册用户了，不知道有什么其他效果没有。

    8、 完结后，重启防火墙并加载内核模块，即可看到防火墙的注册类型为"已注册防火墙".不过好像这个验证只要在公网上才干成功进行，在内网无法验证成功，所以一定要放在网关的前面。
   第五步：总结
    整个装置进程稍嫌杂乱，特别是内核装置有些的人机界面不友好，简单犯错。不动英文的兄弟上手能够比拟艰难。
    经过了"繁琐"的装置进程后，这才算真实见到了ChinaDDOS DIY硬防平台的庐山真面目。全体看来，操作界面让人看起来很舒畅，彻底不是曾经看到的网络设备的办理界面的姿态，整个办理平台应该是运用Flash制造的，操作起来很流通。特别是"安全剖析中间"中各种数据表和实时图表，应该是每秒改写的，并且可以依照需求恣意拖动和摆放，如图：

    整个办理平台分为"网络参数装备"、"安全装备中间"、"安全告警中间"、"安全剖析中间"、"体系办理"几个大项，办理功用十分全部。
    阅读过所有的办理功用后，感受没有孤负之前繁琐的装置进程所消耗的精力。
    体系装备完结后，就要进行具体的防护功用装备了，ChinaDDOS防火墙供给的防护功用太多，篇幅缘由无法向各位逐个阐明，有爱好请参阅网站上供给的运用阐明。