我第一次亲手那到的防火墙是Cisco Firewall Pix 525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco 路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩展口。
如何开始Cisco Firewall Pix呢?我想应该是跟Cisco 路由器使用差不多吧,于是用配置线从电脑的COM2连到PIX 525的console口,进入PIX *** 作系统采用windows系统里的“超级终端”,通讯参数设置为默然。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。
进入Pix 525采用超级用户(enable),默然密码为空,修改密码用passwd 命令。一般情况下Firewall配置,我们需要做些什么呢?当时第一次接触我也不知道该做些什么,随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用,用于几个小时把几百面的英文书看完了,对命令的使用的知道了一点了,但是对如何配置PIX还是不大清楚该从何入手,我想现在只能去找cisco了,于是在 >ddos攻击防御:ddos攻击是什么,如何防御
主要通过大量合法的请求占用大量网络资源,从而使合法用户无法得到服务的响应,是目前最强大、最难防御的攻击之一。
ddos攻击最大的难点在于攻击者发起的攻击的成本远低于防御的成本。比如黑客可以轻易的控制大量肉鸡发起10G,100G的攻击。而要防御这样的攻击10G,100G带宽的成本却是100W,1000W…
防御手段:
总体来说,从下面几个方面考虑:
硬件
单个主机
整个服务器系统
硬件:
1增加带宽
带宽直接决定了承受攻击的能力,增加带宽硬防护是理论最优解,只要带宽大于攻击流量就不怕了,但成本非常高。
2、提升硬件配置
在有网络带宽保证的前提下,尽量提升CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置,选用知名度高、口碑好的产品。
3、硬件防火墙
将服务器放到具有DDoS硬件防火墙的机房。专业级防火墙通常具有对异常流量的清洗过滤功能,可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击
单个主机:
1、及时修复系统漏洞,升级安全补丁。
2、关闭不必要的服务和端口,减少不必要的系统加载项及自启动项,尽可能减少服务器中执行较少的进程,更改工作模式
3、iptables
4、严格控制账户权限,禁止root登录,密码登录,修改常用服务的默认端口
整个服务器系统:
1负载均衡
使用负载均衡将请求被均衡分配到各个服务器上,减少单个服务器的负担。
2、CDN
CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率,因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制,CDN则更加理智,多节点分担渗透流量,目前大部分的CDN节点都有200G的流量防护功能,再加上硬防的防护,可以说能应付目绝大多数的DDoS攻击了。
3分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)