DDOS硬件防火墙ＤＩＹ技术揭密

lvlifeng1217

近日，本人机房持续遭受DDOS攻击，也遭受了相同的困扰，在安装了各种软防均无法有效防御，硬防价格又过高无法承受，于是在网上搜索了一个 DIY硬件防火墙的网站（www.chinaddos.com），抱着试试看的心态，下载了其提供的防火墙内核，按要求准备了相应硬件，安装配置好后，终于解决了一直困扰我的DDOS攻击，现在把DIY防火墙安装和设置过程记录如下，希望帮助更多和我同样遭遇的朋友们的问题早日解决。
    第一步：准备防火墙硬件平台
    按照DIY防火墙网站上的要求，我准备了如下硬件：
http://security.chinaitlab.com/UploadFiles_2323/200704/20070427165803501.jpg
6 B3 ~. W9 ^$ M9 c/ P    1、 电脑一台，我选择的是压箱底的原来在淘宝淘到的IBM ThinkCentre S50准系统一台。这是我原来花760元淘到的。准系统自带了一片Intel的千兆网卡，正好用来接外网。
    2、 CPU一片，我使用的是用来搭配IBM ThinkCentre S50的P4 2.4G的CPU.400元。
7 C. j/ ~) J0 ]4 R9 I- v    3、 内存一条。我使用的是威刚1G的内存条。
4 k8 c0 J# E1 P; n; k/ A) j    4、 128M DOM电子盘一个。我使用的是PQI的电子盘，没有电子盘使用硬盘也行，容量>128M就可以了。注意：电子盘或硬盘要安装到连接到主板的IDE1的MASTER位置，请参照你使用主板的说明文档。
6 J1 W- `/ x+ h4 Bhttp://security.chinaitlab.com/UploadFiles_2323/200704/20070427165845198.jpg
    5、 网卡一片。用来接内网，因S50上已经带了一个千兆网卡用来接外网，因手头上没有更好的网卡，就随便用了一片8139的网卡用来接内网。
http://security.chinaitlab.com/UploadFiles_2323/200704/20070427165909814.jpg
    6、 刻录光盘一片。用来刻录网站上下载的内核安装文件。
    7、 刻录光驱一个。
% v5 \0 t6 V8 i1 C3 I9 R    安装好后的防火墙硬件平台：两个网口分别用来一个接内网（左上那个8139），一个接外网（下面那个S50自带的Intel千兆网卡）。
% k5 I+ ^% d* G4 C( U0 u
http://security.chinaitlab.com/UploadFiles_2323/200704/20070427165939900.jpg
2 x; v# B* t2 L; a9 h  A2 l) Qhttp://security.chinaitlab.com/UploadFiles_2323/200704/20070427165955995.jpg
    这样，防火墙硬件平台就完全安搭建好了。
# p3 V' U) C0 K    第二步：准备内核安装光盘
! H, P3 E( I9 n) T; ]6 v" ?    防火墙硬件平台准备好后，我们就要着手准备防火墙安装光盘了。到ChinaDDOS网站上（http://www.chinaddos.com）下载最新版本的内核镜像文件，刻录成光盘即可。具体步骤如下：
    1、 打开ChinaDDOS DIY硬防的内核下载页面：www.chinaddos.com/news/download.html，下载一个适合的版本，这里我下载的是V3.1BETA01的最新版本。
    PS：本人一直比较喜欢最新的东西。
6 |5 c8 ]  Y- p. |! T6 p7 L    2、 将下载的RAR文件解压缩，得到ISO光盘镜像文件。
    3、 将镜像文件刻录至光盘。
" q3 {6 V! M8 G. `    第三步：安装防火墙内核
  R, e+ y$ p' ^! q4 ^) w' t    将内核安装光盘准备好后，确认硬盘或电子盘连接到了IDE1的MASTER位置后，在防火墙平台上连接好光驱，接通防火墙平台电源，把上一步准备好的内核安装光盘放入光驱。启动防火墙平台。
3 g) d4 B; \  D: s; N    1、 屏幕显示如下图，等待内核安装光盘引导一会后（屏幕上快速闪过整屏的英文），将停留在下图的位置：
http://security.chinaitlab.com/UploadFiles_2323/200704/20070427170245644.jpg
$ o+ [% P- p2 D* M# }# s' C" Hhttp://security.chinaitlab.com/UploadFiles_2323/200704/20070427170257381.jpg
2 k4 I) l  ~9 T- Q+ k    2、 按回车键继续安装， 屏幕显示如左图，出现三个选择项目：
    ① 安装防火墙内核，
    ② 开始一个命令行，
    ③ 重新启动系统。
* Q! u. o" J  s4 bhttp://security.chinaitlab.com/UploadFiles_2323/200704/20070427170359225.jpg
3 _0 O8 q6 W  u1 V7 X$ {4 c9 |http://security.chinaitlab.com/UploadFiles_2323/200704/20070427170409294.jpg
    3、 这里我们选择1并回车。回车后出现如右图。选择一个内核安装源文件的位置。上面列表中红色字部分标记出了我的光驱安装位置hdc，于是我键入hdc后回车。
5 K# w, o: O; E% ^( Y- @" zhttp://security.chinaitlab.com/UploadFiles_2323/200704/20070427170456413.jpg
    4、 屏幕出现绿色done字样，表示安装光盘识别成功。又提示安装的目标驱动器。上面列表中紫色字部分标记出了系统自动识别的目标安装位置had，这里如果系统没有自动识别到硬盘或电子盘，请检查电子盘或硬盘是不是正确安装到了IDE1的MASTER位置。我键入had后回车。
6 A" f2 p. i' a3 q! u    5、 键入had后，屏幕提示"正在将防火墙内核从hdc安装到had……"，这里需要等待2分钟左右。安装工作正在进行。
http://security.chinaitlab.com/UploadFiles_2323/200704/20070427170523842.jpg
    6、 直到屏幕上出现"Install completed！"字样，表示安装已结束。这时按回车键返回。
+ c0 z# F/ I" [+ W' whttp://security.chinaitlab.com/UploadFiles_2323/200704/20070427170542289.jpg
http://security.chinaitlab.com/UploadFiles_2323/200704/20070427170552779.jpg
    7、 重新回到选择菜单后，选择3重新启动防火墙平台，记得将光盘从光驱中取出。这样，防火墙的安装就完成了。
    第四步：启动并配置防火墙
    在防火墙安装完成之后，便可以启动防火墙并进行防火墙配置工作了。仔细阅读了在ChinaDDOS网站中下载的"操作手册"，我按如下步骤进行了防火墙配置：
    1、 启动防火墙。ChinaDDOS防火墙是应该是使用更专门改过的Linux系统作为防火墙操作系统的。启动防火墙时需等待一小会，直到听到喇叭发出清脆的音乐，表示防火墙已启动完毕。防火墙启动完毕后，防火墙显示器上显示"OK　Ｌｏｇｉｎ"字样，由于网站和手册中均未提供控制台登陆的密码，因此我们只能通过Ｗｅｂ界面对防火墙进行管理了。至此，用于防火墙安装的光驱和显示器不再需要了。
+ n. _0 x3 W+ i' `( d' Phttp://security.chinaitlab.com/UploadFiles_2323/200704/20070427170650295.jpg
    2、 将防火墙连接至网络，在任意一台连通内网的电脑浏览器中输入防火墙的初始ＩＰ和管理端口：Http://192.168.1.27：81 ，输入初始用户名admin 和密码123456 即可打开防火墙的管理界面：
http://security.chinaitlab.com/UploadFiles_2323/200704/20070427170714195.jpg
( B5 r4 B- C) r/ J! t( yhttp://security.chinaitlab.com/UploadFiles_2323/200704/20070427170728136.jpg
9 y- R% H/ n9 N    3、 启动防火墙内核模块。单击 "安全分析中心"，在出现的菜单中选择"运行信息".出现如图界面：
; b. y" O9 S' @3 _/ k: v* P6 w8 t/ Zhttp://security.chinaitlab.com/UploadFiles_2323/200704/20070427170811665.jpg
    在界面中点击"启动防火墙模块"，内核模块运行状态将变为"启用"，信息窗口中将出现不断刷新的防火墙内核运行信息。如果点击"启用防火墙模块"，内核模块运行状态一直不变为"启用"，可能是你的内存没有1G导致的，笔者在初次试用时被这个问题困扰了很久。
6 |  b1 c* f- }' n0 J    4、 单击 "网络参数配置"，查看防火墙注册状态。在配置界面的左下角，查看防火墙的注册状态，我现在的注册状态是"未注册用户".未注册用户无法启动防火墙的防御功能。
http://security.chinaitlab.com/UploadFiles_2323/200704/20070427170835417.jpg
+ I* }( U# F' x' T! y; G, E2 |    5、 注册防火墙。将上面的认证字复制下来，打开ChinaDDOS的用户防火墙管理平台：http://www.chinaddos.com/members .没有用户的需要先注册一个用户，这里我就不说明注册步骤了，相信大家都会，只是如果希望防火墙的攻击告警功能起作用，需要填写正确的手机号码。
# M9 S5 l3 x5 W    6、 注册并登陆之后，点击 "注册防火墙管理"，在弹出的防火墙管理界面中添加一个新的防火墙。在如图界面中点击"新增防火墙"。
   http://security.chinaitlab.com/UploadFiles_2323/200704/20070427170929495.jpg
" X" p# l! `3 E" F+ d    7、 在"新增防火墙"窗口中，任意取一个名字，IP地址也可以任意填写，但认证字填写第5步中复制下来的认证字，完成后确定即可。注册类型不可更改，保存后便是注册用户了，不知道有什么其他作用没有。
. v) I7 a/ Y: [" W9 {http://security.chinaitlab.com/UploadFiles_2323/200704/20070427170950358.jpg
% H. X0 ]5 ?/ G8 g! N- `    8、 完成后，重启防火墙并加载内核模块，即可看到防火墙的注册类型为"已注册防火墙".不过似乎这个验证只有在公网上才能成功进行，在内网无法验证成功，所以一定要放在网关的前面。
    第五步：总结
    整个安装过程稍嫌复杂，尤其是内核安装部分的人机界面不友好，容易出错。不动英文的朋友上手可能比较困难。
6 f4 n; ^9 q) j    经过了"繁琐"的安装过程后，这才算真正见到了ChinaDDOS DIY硬防平台的庐山真面目。整体看来，操作界面让人看起来很舒服，完全不是以前看到的网络设备的管理界面的样子，整个管理平台应该是使用Flash制作的，操作起来很流畅。尤其是"安全分析中心"中各种数据表和实时图表，应该是每秒刷新的，而且可以按照需要任意拖动和排列，如图：
http://security.chinaitlab.com/UploadFiles_2323/200704/20070427171027763.jpg
    整个管理平台分为"网络参数配置"、"安全配置中心"、"安全告警中心"、"安全分析中心"、"系统管理"几个大项，管理功能非常全面。
' S2 ~+ c( r0 {$ s) L    浏览过所有的管理功能后，感觉没有辜负之前繁琐的安装过程所耗费的精力。
    系统配置完成后，就要进行详细的防御功能配置了，ChinaDDOS防火墙提供的防御功能太多，篇幅原因无法向各位一一说明，有兴趣请参考网站上提供的使用说明。
. E) S( }9 ], B6 J3 i附：
防火墙内核下载地址：www.chinaddos.com/download
官方介绍：www.chinaddos.com/product
ChinaDDOS防火墙操作手册下载：www.chinaddos.com/download
7 S% M2 _! T9 B, X) W2 S7 x. b+ A该贴在 2007年04月29日 01:53:56 被 农夫33拳 修改过!