2023年DDoS防火墙的参数设置-DDoS防火墙知识.docx

2023年DDoS防火墙的参数设置-DDoS防火墙知识DDoS防火墙的参数设置防火墙防止DD0S工作原理分布式拒绝服务(DDoS)攻击越来越频繁，最近发布的各项相关报告都印证了 这一点，而且DDoS变得更加危险，其总流量在不断创下新高。DDoS攻击不仅仅 是讨嫌，而是极具破坏性。离线和网络就是无用的，直接造成经济损失;而且更 严重的是现在DDoS攻击更多的是烟幕弹，背后隐藏着窃取敏感数据这样更加糟 糕的后果。不过也不是毫无应对办法。网络分区。将网络分成离散的分区，将公共和内部系统彼此分开，每一个都 用一个单独的防火墙防护，在攻击发生在公共系统时，可以维护内部服务。限制即将建立的新连接的数量。在具体时间段为新建立的链接的数量设定参 数，或者从一个用户或者网络设定参数。管理负载均衡和带宽。在业务峰值时期，限制带宽是最常用的管理合法流量 的方式，比如购物狂们的黑五。考虑使用流量清洗服务。流量清洗服务通过ISP可以转移流量。这些都是较为有效的防御措施，企业需要正确处理并设置。其实从DDoS防 御的观点看，网络分区不仅仅是一种防御措施，比如也能保护网络对抗APT攻击。 不过随着DDoS攻击的增加，我们需要更为专业的防御措施来对抗，比如选择云 端卫士这样专业的DDoS安全防护服务。知己知彼是亘古不变的道理，在DDoS攻击领域如是。但是大多数企业经常 会犯的最基本的错误就是，尝试用错误的技术保护网络应用安全。网络防火墙能 够保护Layer 4协议，甚至做深度包检测。但是真正对抗网络应用层的攻击通常 需要终止HTTP或者HTTPS协议，而且经常要重写流量来识别和减缓威胁。就好 像网络防火墙不是用来组织垃圾邮件的，也不是用来组织网络应用攻击的。这种 误解经常给管理员一种虚假的安全感。任何DDoS防护的关键都在于能够从恶意请求中区分中真正的用户，因此可 疑流量会被锁定。但是这一点并不容易实现。在这一点上，云端卫士采用业界领 先的NFV理念、自主研发先进的弹性流量清洗系统，轻松应对来自不同方向的、 最大TB级攻击流量，将攻击流量清洗后，正常的业务访问流量送达客户网络。云端卫士通过采集客户业务的DPI数据，利用成熟的大数据分析平台，实时 分析客户的业务特点，同时根据不同客户的不同业务特点，有针对性制定安全防 护策略，并将相关策略应用到分布于全国各重要节点的防护设备上，对攻击数据 进行精准封杀，保证正常业务可用。无疑，我们还会看到更多的DDoS攻击事件发生，而且网络管理人员也必须 与之打持久战。不过最简单也是第一要务就是要使用正确的工具来干活。延伸阅读DDoS攻击：知己知彼分布式拒绝服务(DDoS)攻击越来越频繁，最近发布的各项相关报告都印证了 这一点，而且DDoS变得更加危险，其总流量在不断创下新高。DDoS攻击不仅仅 是讨嫌，而是极具破坏性。离线和网络就是无用的，直接造成经济损失;而且更 严重的是现在DDoS攻击更多的是烟幕弹，背后隐藏着窃取敏感数据这样更加糟 糕的后果。不过也不是毫无应对办法。网络分区。将网络分成离散的分区，将公共和内部系统彼此分开，每一个都 用一个单独的防火墙防护，在攻击发生在公共系统时，可以维护内部服务。限制即将建立的新连接的数量。在具体时间段为新建立的链接的数量设定参 数，或者从一个用户或者网络设定参数。管理负载均衡和带宽。在业务峰值时期，限制带宽是最常用的管理合法流量 的方式，比如购物狂们的黑五。考虑使用流量清洗服务。流量清洗服务通过ISP可以转移流量。这些都是较为有效的防御措施，企业需要正确处理并设置。其实从DDoS防 御的观点看，网络分区不仅仅是一种防御措施，比如也能保护网络对抗APT攻击。 不过随着DDoS攻击的增加，我们需要更为专业的防御措施来对抗，比如选择云 端卫士这样专业的DDoS安全防护服务。知己知彼是亘古不变的道理，在DDoS攻击领域如是。但是大多数企业经常 会犯的最基本的错误就是，尝试用错误的技术保护网络应用安全。网络防火墙能 够保护Layer 4协议，甚至做深度包检测。但是真正对抗网络应用层的攻击通常 需要终止HTTP或者HTTPS协议，而且经常要重写流量来识别和减缓威胁。就好 像网络防火墙不是用来组织垃圾邮件的，也不是用来组织网络应用攻击的。这种 误解经常给管理员一种虚假的安全感。任何DDoS防护的关键都在于能够从恶意请求中区分中真正的用户，因此可 疑流量会被锁定。但是这一点并不容易实现。在这一点上，云端卫士采用业界领 先的NFV理念、自主研发先进的弹性流量清洗系统，轻松应对来自不同方向的、 最大TB级攻击流量，将攻击流量清洗后，正常的业务访问流量送达客户网络。云端卫士通过采集客户业务的DPI数据，利用成熟的大数据分析平台，实时 分析客户的业务特点，同时根据不同客户的不同业务特点，有针对性制定安全防 护策略，并将相关策略应用到分布于全国各重要节点的防护设备上，对攻击数据 进行精准封杀，保证正常业务可用。无疑，我们还会看到更多的DDoS攻击事件发生，而且网络管理人员也必须 与之打持久战。不过最简单也是第一要务就是要使用正确的工具来干活。DDoS防火墙知识1、电脑一台，我选择的是压箱底的原来在淘宝淘到的IBM ThinkCentre S50 准系统一台。这是我原来花760元淘到的。准系统自带了一片Intel的千兆网卡, 正好用来接外网。2、CPU 一片，我使用的是用来搭配IBM ThinkCentre S50的P4 2. 4G的 CPU. 400 元。3、内存一条。我使用的是威刚1G的内存条。4、128M D0M电子盘一个。我使用的是PQI的电子盘，没有电子盘使用硬 盘也行，容量128M就可以了。注意：电子盘或硬盘要安装到连接到主板的IDE1 的MASTER位置，请参照你使用主板的说明文档。5、网卡一片。用来接内网，因S50上已经带了一个千兆网卡用来接外网， 因手头上没有更好的网卡，就随便用了一片8139的网卡用来接内网。6、刻录光盘一片。用来刻录上下载的内核安装文件。7、刻录光驱一个。安装好后的防火墙硬件平台：两个网口分别用来一个接内网（左上那个 8139）, 一个接外网（下面那个S50自带的Intel千兆网卡）。这样，防火墙硬件平台就完全安搭建好了。第二步：准备内核安装光盘防火墙硬件平台准备好后，我们就要着手准备防火墙安装光盘了。到 ChinaDDOS上（chinaddos）下载最新版本的内核镜像文件，刻录成光盘即可。具 体步骤如下：1、打开ChinaDDOS DIY硬防的内核下载页面: chinaddos/news/download. html,下载一个适合的版本，这里我下载的是 V3. 1BETA01的最新版本。PS：本人一直比较喜欢最新的东西。2、将下载的RAR文件解压缩，得到ISO光盘镜像文件。3、将镜像文件刻录至光盘。第三步：安装防火墙内核将内核安装光盘准备好后，确认硬盘或电子盘连接到了 IDE1的MASTER位置 后，在防火墙平台上连接好光驱，接通防火墙平台电源，把上一步准备好的内核 安装光盘放入光驱。启动防火墙平台。1、屏幕显示如下图，等待内核安装光盘引导一会后（屏幕上快速闪过整屏 的英文），将停留在下图的位置：2、按回车键继续安装，屏幕显示如左图，出现三个选择项目：安装防火墙内核，开始一个命令行，重新启动系统。3、这里我们选择1并回车。回车后出现如右图。选择一个内核安装源文件 的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc,于是我键入hdc 后回车。4、屏幕出现绿色done字样，表示安装光盘识别成功。又提示安装的目标 驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had,这 里如果系统没有自动识别到硬盘或电子盘，请检查电子盘或硬盘是不是正确安装 到了 IDE1的MASTER位置。我键入had后回车。5、键入had后，屏幕提示正在将防火墙内核从hdc安装到had，这 里需要等待2分钟左右。安装工作正在进行。6、直到屏幕上出现"Install completed! 字样，表示安装已结束。这时按 回车键返回。7、重新回到选择菜单后，选择3重新启动防火墙平台，记得将光盘从光驱 中取出。这样，防火墙的安装就完成了。第四步：启动并配置防火墙在防火墙安装完成之后，便可以启动防火墙并进行防火墙配置工作了。仔细 阅读了在ChinaDDOS中下载的操作手册，我按如下步骤进行了防火墙配置：1、启动防火墙。ChinaDDOS防火墙是应该是使用更专门改过的Linux系统 作为防火墙操作系统的。启动防火墙时需等待一小会，直到听到喇叭发出清脆的 音乐，表示防火墙已启动完毕。防火墙启动完毕后，防火墙显示器上显示 “OKLogin字样，由于和手册中均未提供控制台登陆的密码，因此我们只能通过 Web界面对防火墙进行管理了。至此，用于防火墙安装的光驱和显示器不再需要 了。2、将防火墙连接至网络，在任意一台连通内网的电脑浏览器中输入防火墙 的初始IP和管理端口： . 168. 1.27： 81 ,输入初始用户名admin和 密码123456即可打开防火墙的管理界面：3、启动防火墙内核模块。单击安全分析中心，在出现的菜单中选择 运行信息.出现如图界面：在界面中点击启动防火墙模块，内核模块运行状态将变为启用，信息窗 口中将出现不断刷新的防火墙内核运行信息。如果点击启用防火墙模块，内核模块运行状态一直不变为启用，可能是你的内存没有1G导致的，笔者在初次 试用时被这个问题困扰了很久。4、单击网络参数配置，查看防火墙注册状态。在配置界面的左下角， 查看防火墙的注册状态，我现在的注册状态是未注册用户.未注册用户无法启 动防火墙的防御功能。5、注册防火墙。将上面的认证字复制下来，打开ChinaDDOS的用户防火墙 管理平台：chinaddos/members .没有用户的需要先注册一个用户，这里我就不 说明注册步骤了，相信大家都会，只是如果希望防火墙的攻击告警功能起作用， 需要填写正确的'手机号码。6、注册并登陆之后，点击注册防火墙管理，在弹出的防火墙管理界面 中添加一个新的防火墙。在如图界面中点击新增防火墙。7、在新增防火墙窗口中，任意取一个名字，IP地址也可以任意填写， 但认证字填写第5步中复制下来的认证字，完成后确定即可。注册类型不可更改, 保存后便是注册用户了，不知道有什么其他作用没有。8、完成后，重启防火墙并加载内核模块，即可看到防火墙的注册类型为 已注册防火墙.不过似乎这个验证只有在公网上才能成功进行，在内网无法验证 成功，所以一定要放在网关的前面。