IDC机房托管需要自己配置防火墙（idc机房托管方案）

IDC机房里面都需要放置什么东西？

你是要自建机房，还是租了机柜在机房。

两种分别需要放置内容如下：

自建机房：不间断电源系统，空调系统，消防系统，监控系统，防火墙（主要看你财力及机房规而定）

租机柜：

路由(交换机)

插线板

机架隔板

网线数条

（有些机房也会配给你一些，你要放的机器多的话，还是自己多准备点好）

建议：如果是自建机房，就多看看同行机房，最好是多参观几家就知道放什么了。租机柜也一样，在租前先问好机房会提供你那些设备或服务便利。不用机房或运营商，给的东西都不同的，重点是看哪些你觉得很有必要了。

idc机房遇到网络攻击怎么处理

机房管理人员应对DDoS攻击措施

如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。

（1）检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。

（2）找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DDoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

（3）最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

一般的数据中心机房都配备硬件防火墙。但是针对互联网数据中心机房而言，这个硬件防火墙普通情况下是没有为企业用户的服务器进行防护的，只是对互联网数据中心机房本身的网络核心设备进行防护。根据DDoS攻击的原理和类型，根据DDoS攻击的流量，也同时根据机房所配备的硬件防火墙的功能和过滤带宽，1G-3G的流量机房本身及上游的运营商还是能把这个流量转移掉的。只是如果是机房里的某个企业用户的服务器受到DDoS攻击，机房管理人员所能做的，也就是把这个受到攻击的服务器IP关掉，或者是把受攻击的服务器的网线拔掉。但这不是解决问题的根本的办法。

数据中心机房如何加强防范DDoS攻击

互联网数据中心机房本身是提供服务器托管业务的，如何为企业用户提供更好的服务是很有必要的。试想，你的服务器花了钱托管到某个数据中心机房，但是这个数据中心机房在你的服务器受到DDoS攻击的时候也无能为力只能牺牲你的服务器的时候，你剩下的只有失望。

在机房管理的角度，不仅仅是在机房里的企业用户服务器受到DDoS攻击了之后才去考虑我是否应该升级硬件防火墙。为了更好的预防和防范DDoS攻击，也为了能给企业用户一个安全的保障，机房在综合了受攻击的次数和流量统计后，也是必须去考虑升级硬件防火墙的，甚至可以临时把受攻击的服务器通过硬件防火墙进行防护。

如果你需要用户单独去花费几十万去增加一个千兆以上的硬件防火墙，用户会想，我为什么不能多花几万去选择一个更好服务的数据中心机房。

其实，DDoS攻击是无法避免的，对于数据中心机房来说，升级硬件防火墙是一大成本问题。为了保障自己的服务器的安全，在数据中心机房无法对硬件防火墙进行升级的时候，用户本身也只能采用其他的方式去防范。

用户如何加强防范DDoS攻击

（1）定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

（2）在骨干节点配置防火墙

防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

（3）用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

（4）充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DDoS的攻击。

（5）过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

（6）检查访问者的来源

使用UnicastReversePathForwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用UnicastReversePathForwarding可减少假IP地址的出现，有助于提高网络安全性。

（7）过滤所有RFC1918IP地址

RFC1918IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

（8）限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。

目前网络安全界对于DdoS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果，DDoS攻击只能被减弱，无法被彻底消除。不过如果我们按照本文的方法和思路去防范DDoS的话，收到的效果还是非常显著的，可以将攻击带来的损失降低到最小。

防火墙如何设置 可以让内网使用外网IP访问内网服务器

方法1：域名重定向。 不知道你的设备支持不 。 让你内网的电脑访问那个域名 通过出口设备 做dns重定向 指向内网这个电脑 。

方法二：换设置，你的那个华为不支持地址回访，意思就是内网电脑访问这个内网的公网可以返回。 这样是特别的设备支持的 。

巡路安全网关支持。 这个是欣向免疫墙的高端设备 带硬防的。

同时这个网关也支持 dns重定向， 看你喜好用什么方法了。 最好的就是这个了。

IDC机房内的防火墙怎么布置的？

硬件防火墙是放在局域网的出口上的，具体放在路由器的前后要看具体需求，一般是放前面。

在安全策略中，要写明修改硬件防火墙配置的步骤，如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。安全策略还应该写明责任的划分，如某人具体做修改，另一人负责记录，第三个人来检查和测试修改后的设置是否正确。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化，并能尽量避免因修改配置所造成的错误和安全漏洞。

如果有必要，管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否，甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击，以考核硬件防火墙的能力。

软件防火墙也是要根据具体需求，如果要求比较严格，建议安装杀毒软件企业版的网络套装。

所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，

防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

软件防火墙单独使用软件系统来完成防火墙功能，将软件部署在系统主机上，其安全性较硬件防火墙差，同时占用系统资源，在一定程度上影响系统性能。其一般用于单机系统或是极少数的个人计算机，很少用于计算机网络中。

在大部分企业中,防火墙都是网络与应用服务的第一道防线。防火墙一直是构建传统网络安全架构的首要基础。

服务器托管安全吗

大致有四点优点：

一、服务器托管可以节约成本

大多数的创业型企业在网站建设前期资金方面可能比较紧张，并希望能够在满足服务器稳定运行的前提下尽可能的节约成本的投入，我们知道企业使用服务器有两种三种方式，第一是自己架设服务器以及机房;第二是服务器租用;第三是服务器托管。对于前两种方式要么需要投入大量的资金，要么就是对服务器的配置不了解，而服务器托管则不需要组建机房和通讯路线，并对服务器的相关配置比较了解，兼容性高。只需要租用服务器托管商的机房以及贷款等，所以可以为企业省去不少的资金。

二、服务器托管省去专业数据中心人员的支出

对于创业型网站前期不仅资金紧张，还存在各项专业人员的缺失等问题，而服务器是需要24小时全天开机的，所以需要专业的技术人员7*24小时值班，以解决服务器运行过程中出现的各种故障。而服务器托管则是由IDC中心专业技术人员全天候咨询维护，省去了对维护人员的支出。IDC机房有着完善的电力、监控、空调等设备保证企业服务器的正常运转，节省了大量建设机房的费用。并且也可以灵活性比较高，用户根据需要灵活选择数据中心提供的线路、端口以及增值服务。无须受虚拟主机服务的功能限制，可以根据实际需要灵活配置服务器，以达到充分应用的目的。

三、服务器托管可以独享服务器资源

共享主机就是和主机内的其他站点共享同一主机内的所有资源，因此，当主机内的某一站点占用资源过高时，影响其他站点的访问速度。而服务器托管可以自己选择足够的网络带宽、独立IP等资源，从而提高了主机响应速度和网络的高速性。

四、服务器托管提高服务器的稳定性和安全性

服务器托管不会因为共享主机，而引起的主机负载过重，导致服务器性能下降或瘫痪。在独立主机的环境下，可以对自己的行为和程序严密把关、精密测试，将服务器的稳定性提升到最高。共享主机时，对于不同的用户会有不同的权限，这就存在安全隐患。在独立主机的环境下，可以自己设置主机权限，自由选择防火墙和防病毒设施。