硬件防火墙怎么做？

第一步：准备防火墙硬件平台 按照DIY防火墙网站上的要求，我准备了如下硬件： 1、 电脑一台，我选择的是压箱底的原来在淘宝淘到的IBM ThinkCentre S50准系统一台。这是我原来花760元淘到的。准系统自带了一片Intel的千兆网卡，正好用来接外网。 2、 CPU一片，我使用的是用来搭配IBM ThinkCentre S50的P4 2.4G的CPU.400元。 3、 内存一条。我使用的是威刚1G的内存条。 4、 128M DOM电子盘一个。我使用的是PQI的电子盘，没有电子盘使用硬盘也行，容量>128M就可以了。注意：电子盘或硬盘要安装到连接到主板的IDE1的MASTER位置，请参照你使用主板的说明文档。 5、 网卡一片。用来接内网，因S50上已经带了一个千兆网卡用来接外网，因手头上没有更好的网卡，就随便用了一片8139的网卡用来接内网。 6、 刻录光盘一片。用来刻录网站上下载的内核安装文件。 7、 刻录光驱一个。 安装好后的防火墙硬件平台：两个网口分别用来一个接内网（左上那个8139），一个接外网（下面那个S50自带的Intel千兆网卡）。 这样，防火墙硬件平台就完全安搭建好了。 第二步：准备内核安装光盘 防火墙硬件平台准备好后，我们就要着手准备防火墙安装光盘了。到ChinaDDOS网站上（ http://www.chinaddos.com ）下载最新版本的内核镜像文件，刻录成光盘即可。具体步骤如下： 1、 打开ChinaDDOS DIY硬防的内核下载页面： www.chinaddos.com/news/download.html ，下载一个适合的版本，这里我下载的是V3.1BETA01的最新版本。 PS：本人一直比较喜欢最新的东西。 2、 将下载的RAR文件解压缩，得到ISO光盘镜像文件。 3、 将镜像文件刻录至光盘。 第三步：安装防火墙内核 将内核安装光盘准备好后，确认硬盘或电子盘连接到了IDE1的MASTER位置后，在防火墙平台上连接好光驱，接通防火墙平台电源，把上一步准备好的内核安装光盘放入光驱。启动防火墙平台。 1、 屏幕显示如下图，等待内核安装光盘引导一会后（屏幕上快速闪过整屏的英文），将停留在下图的位置： 2、 按回车键继续安装， 屏幕显示如左图，出现三个选择项目： ① 安装防火墙内核， ② 开始一个命令行， ③ 重新启动系统。 3、 这里我们选择1并回车。回车后出现如右图。选择一个内核安装源文件的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc，于是我键入hdc后回车。 4、 屏幕出现绿色done字样，表示安装光盘识别成功。又提示安装的目标驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had，这里如果系统没有自动识别到硬盘或电子盘，请检查电子盘或硬盘是不是正确安装到了IDE1的MASTER位置。我键入had后回车。 5、 键入had后，屏幕提示"正在将防火墙内核从hdc安装到had……"，这里需要等待2分钟左右。安装工作正在进行。 6、 直到屏幕上出现"Install completed！"字样，表示安装已结束。这时按回车键返回。 7、 重新回到选择菜单后，选择3重新启动防火墙平台，记得将光盘从光驱中取出。这样，防火墙的安装就完成了。 第四步：启动并配置防火墙 在防火墙安装完成之后，便可以启动防火墙并进行防火墙配置工作了。仔细阅读了在ChinaDDOS网站中下载的"操作手册"，我按如下步骤进行了防火墙配置： 1、 启动防火墙。ChinaDDOS防火墙是应该是使用更专门改过的Linux系统作为防火墙操作系统的。启动防火墙时需等待一小会，直到听到喇叭发出清脆的音乐，表示防火墙已启动完毕。防火墙启动完毕后，防火墙显示器上显示"OK Ｌｏｇｉｎ"字样，由于网站和手册中均未提供控制台登陆的密码，因此我们只能通过Ｗｅｂ界面对防火墙进行管理了。至此，用于防火墙安装的光驱和显示器不再需要了。 2、 将防火墙连接至网络，在任意一台连通内网的电脑浏览器中输入防火墙的初始ＩＰ和管理端口：http://192.168.1.27：81 ，输入初始用户名admin 和密码123456 即可打开防火墙的管理界面： 3、 启动防火墙内核模块。单击 "安全分析中心"，在出现的菜单中选择"运行信息".出现如图界面： 在界面中点击"启动防火墙模块"，内核模块运行状态将变为"启用"，信息窗口中将出现不断刷新的防火墙内核运行信息。如果点击"启用防火墙模块"，内核模块运行状态一直不变为"启用"，可能是你的内存没有1G导致的，笔者在初次试用时被这个问题困扰了很久。 4、 单击 "网络参数配置"，查看防火墙注册状态。在配置界面的左下角，查看防火墙的注册状态，我现在的注册状态是"未注册用户".未注册用户无法启动防火墙的防御功能。 5、 注册防火墙。将上面的认证字复制下来，打开ChinaDDOS的用户防火墙管理平台： http://www.chinaddos.com/members .没有用户的需要先注册一个用户，这里我就不说明注册步骤了，相信大家都会，只是如果希望防火墙的攻击告警功能起作用，需要填写正确的手机号码。 6、 注册并登陆之后，点击 "注册防火墙管理"，在弹出的防火墙管理界面中添加一个新的防火墙。在如图界面中点击"新增防火墙"。 7、 在"新增防火墙"窗口中，任意取一个名字，IP地址也可以任意填写，但认证字填写第5步中复制下来的认证字，完成后确定即可。注册类型不可更改，保存后便是注册用户了，不知道有什么其他作用没有。 8、 完成后，重启防火墙并加载内核模块，即可看到防火墙的注册类型为"已注册防火墙".不过似乎这个验证只有在公网上才能成功进行，在内网无法验证成功，所以一定要放在网关的前面。 第五步：总结 整个安装过程稍嫌复杂，尤其是内核安装部分的人机界面不友好，容易出错。不动英文的朋友上手可能比较困难。 经过了"繁琐"的安装过程后，这才算真正见到了ChinaDDOS DIY硬防平台的庐山真面目。整体看来，操作界面让人看起来很舒服，完全不是以前看到的网络设备的管理界面的样子，整个管理平台应该是使用Flash制作的，操作起来很流畅。尤其是"安全分析中心"中各种数据表和实时图表，应该是每秒刷新的，而且可以按照需要任意拖动和排列，如图： 整个管理平台分为"网络参数配置"、"安全配置中心"、"安全告警中心"、"安全分析中心"、"系统管理"几个大项，管理功能非常全面。 浏览过所有的管理功能后，感觉没有辜负之前繁琐的安装过程所耗费的精力。 系统配置完成后，就要进行详细的防御功能配置了，ChinaDDOS防火墙提供的防御功能太多，篇幅原因无法向各位一一说明，有兴趣请参考网站上提供的使用说明。附：防火墙内核下载地址： www.chinaddos.com/download 官方介绍： www.chinaddos.com/product ChinaDDOS防火墙操作手册下载： www.chinaddos.com/download

步骤一：布局网络足够性能的设备：

硬件设备建设运用最基础的网络架构、设施设备：扩充带宽硬抗、使用硬件防火墙、选用高性能设备，有了它们整个系统可以顺畅运作，充分利用网络设备足够的容量去承受攻击，是一种较为理想的保护网络资源的应对策略，在对方攻击的时候他们同时也是在消耗，这时候谁的资源强大，谁就能得到最后的胜利。当然大家需要根据自身情况作出平衡的选择。

步骤二：有效的抗DDOS攻击方案：

只有高性能的服务器是远远是不够的，而且高性能的服务器和防火墙投入的资金也不小，一旦遭受攻击后会出现不同的问题，这样成本就更高了。这时就需要重新调整架构布局，整合资源来提高网络的负载能力、分摊局部过载的流量，同时要借助高防来清洗流量，过滤识别并拦截恶意行为，实施分布式集群防御，这样就可以降低成本而且对抗效果也会明显提高。

步骤三：提前做好预防，保安全：

之前说DdoS攻击的发生是无法预知的，在你没有反应的时候突然来临，就会造成服务器瘫痪打不开，无法正常访问，数据被窃取丢失，泄露，勒索等等。因此网站的预防措施和应急预案就显得特别重要。形成良好的运维操作习惯，定期筛查系统漏洞，做到资源优化，过滤不必要的服务和端口，限制特定的流量，让系统稳固没有漏洞可钻，降低服务器被攻陷的可能，将攻击带来的损失降低到最小。

清洗流量，过滤恶意访问

DDOS攻击可以利用的漏洞、攻击方式有很多，我们需要一个有效的机制。在企业还没有遇到攻击时大家应该具备足够强的安全意识，完善各自企业的安全防护体系。针对网络安全和信息安全是一项长期持续性坚持的工作，凡是从事在这份工作岗位上的站长及网络管理员们，一定要保持警惕，不可以放松忽视掉这份安全，以免给企业和自己带来不必要的损失。

大家众所周知，随着互联网的高速发展，然而国内的服务器已经无法满足客户的需求。面临着灰色产品的蓬勃发展。为了逃避国内的一些打击。选择海外机房才是日后的王道！

如何选购合适的抗攻击服务器，这是很多站长都比较迷茫的一个问题，下面为您详细解说一下具体的选购方法：

1.机房总硬防多少，单台提供多大防护是衡量抗攻击效果的一个重要因素.

机房总硬防的大小，决定着机房防御能力的强弱，在租用海外服务器的时候。首先ping一下，如果能ping通 80%的服务器抗攻击能力不行。这个只是一些经验，不代表ping不同就防护高！最后在通过DDOS压力测试。测试一下。真金不怕火炼。测试是很有必要的！

2.如果超过防护能力，机房的处理办法是什么，这个是最重要的因素.

国内客户，动辄几十G流量攻击。这样的攻击，不论在哪个机房，都会受到影响的。所以，在攻击超过防火墙的防御能力之后，我们就需要了解机房的处理方式了。一般的美国机房，遇到这种情况，都是封IP，或者直接拔线关机，更甚者直接没收服务器。所以；在租用服务器的时候，一定要选择被攻击不关机不拔线，这样的话，即使超过防御能力，也会在攻击停止的第一时间恢复正常。当然，如何去知道机房不拔线。前面说到的测试就可以来证明！

3.机器的价格很重要，不能一味求低，理性看待服务器价格.

硬件防火墙造价非常昂贵，而且，在运行防护的时候，都是要消耗大量的带宽和流量资源，所以，一般防御能力较强的服务器，价格方面都会比没有硬防的服务器要高一些。这也就是一分价钱一分货的道理。

最好选择租用一些集群抗DDOS防御体系的机房。

举个例子，10G攻击，如果单独攻击一台服务器的话，那么这台服务器死掉的可能性在90%以上，但是如果它攻击的是10台服务器呢?平均一下每台承受1G，这样一来死掉的可能性就不是那么大了，进一步说，如果是20台服务器呢？一台服务器只有一个点，多台服务器集群，就能实现多点构成的一个防御网面，这样一来，防御能力就能大大提升，攻击所带来的影响也会大大降低。

---