笔者公司共有10台Web服务器，使用Redhat Linux 9作为操作系统，分布在全国各大城市，主要为用户提供HTTP服务。曾经有一段时间不少用户反映有的服务器访问速度缓慢，甚至不能访问，检查后发现是受到了DDoS攻击(分布式拒绝服务攻击)。由于服务器分布太散，不能采用硬件防火墙的方案，虽然IPtables功能很强大，足以应付大部分的攻击，但Linux系统自身对DDoS攻击的防御力本来就弱，只好另想办法了。

一、Freebsd的魅力

发现Freebsd的好处是在一次偶然的测试中，在LAN里虚拟了一个Internet，用一台Windows客户端分别向一台Windows Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn Flood数据包(常见的DDoS攻击主要靠向服务器发送Syn Flood数据完成)。Windows在达到10个包的时候就完全停止响应了，Linux在达到10个数据包的时候开始连接不正常，而Freebsd却能承受达100个以上的Syn Flood数据包。笔者决定将公司所有的Web服务器全换为Freebsd平台。

在使用Freebsd后，的确过了一段时间的安稳日子。不过近日又有用户再次反映网站不能正常访问，表现症状为用户打开网页速度缓慢，或者直接显示为找不到网站。用netstat ?a查看到来自某IP的连接刚好50个，状态均为FIN_WAIT 1，这是属于明显的DDoS攻击，看来Freebsd没有防火墙也不是万能的啊，于是就想到了装防火墙。

看了N多资料，了解到Freebsd下最常见的防火墙叫IP FireWall，中文字面意思叫IP防火墙，简称IPFW。但如果要使用IPFW则需要编译Freebsd系统内核。出于安全考虑，在编译结束后，IPFW是默认拒绝所有网络服务，包括对系统本身都会拒绝，这下我就彻底“寒”了，我放在外地的服务器可怎么弄啊?

大家这里一定要小心，配置稍不注意就可能让你的服务器拒绝所有的服务。笔者在一台装了Freebsd 5.0 Release的服务器上进行了测试。

二、配置IPFW

其实我们完全可以把安装IPFW看作一次软件升级的过程，在Windows里面，如果要升级一款软件，则需要去下载升级包，然后安装;在Freebsd中升级软件过程也是如此，但我们今天升级的这个功能是系统本身已经内置了的，我们只需要利用这个功能即可。打开这个功能之前，我们还要做一些准备工作。

下面开始配置IPFW的基本参数。

Step1:准备工作

在命令提示符下进行如下操作:

#cd /sys/i386/conf

如果提示没有这个目录，那说明你的系统没有安装ports服务，要记住装上。

#cp GENERIC ./kernel_IPFW

Step2:内核规则

用编辑器打开kernel_IPFW这个文件，在该文件的末尾加入以下四行内容:

options IPFIREWALL

将包过滤部分的代码编译进内核。

options IPFIREWALL_VERBOSE

启用通过Syslogd记录的日志;如果没有指定这个选项，即使你在过滤规则中指定了记录包，也不会真的记录它们。

options IPFIREWALL_VERBOSE_LI

MIT=10

限制通过Syslogd记录的每项包规则的记录条数。如果你受到了大量的攻击，想记录防火墙的活动，但又不想由于Syslog洪水一般的记录而导致你的日记写入失败，那么这个选项将会很有用。有了这条规则，当规则链中的某一项达到限制数值时，它所对应的日志将不再记录。

options IPFIREWALL_DEFAULT_TO

_ACCEPT

这句是最关键的。将把默认的规则动作从 “deny” 改为 “allow”。这句命令的作用是，在默认状态下，IPFW会接受任何的数据，也就是说服务器看起来像没有防火墙一样，如果你需要什么规则，在安装完成后直接添加就可以了。

输入完成后保存kernel_IPFW文件并退出。

三、编译系统内核

由于Freebsd和Linux一样，都是公开源代码的操作系统，不像Windows那样代码是封装了的，出了问题我们只能猜测，或者咨询微软公司;由于Freebsd系统内核在不断升级，我们为了使用新版本中的功能，或者定制一个更高效、更稳定的系统，通常需要编译系统内核。

当然，我们在这里编译内核，是为了能得到一个更高效的系统，而不是使用新版本的功能;

在编译的过程中，可能会提示一些错误，为了尽可能减少错误提示，我们已将配置文件缩减到了最少，如果再出现什么错误提示，请仔细检查是否有输入错误等细小问题。

Step1:编译所需的命令

在命令行上执行如下命令:

#/usr/sbin/config kernel_IPFW

执行结束后会出现如下提示:Kernel build directory is ../compile/kernel_IPFW Don`t forget to do a make depend`

#cd ../compile/kernel_IPFW

在这个地方注意一下，Freebsd 4.X版本是../../compile/kernel_IPFW，但Freebsd 5.0版本却是../compile/kernel_IPFW。

#make

#make install

Step2:开始编译内核

根据系统性能差异，时间也有不同，普通双P4 XEON 1GB内存的服务器大约5分钟左右即可完成。

四、加载启动项

编译完成了，我们要让系统自动启动IPFW并记录日志，需要进行如下操作:

Step1:编辑器编辑/etc/rc.conf

加入如下参数:

firewall_enable=`YES`

激活Firewall防火墙

firewall_script=`/etc/rc.firewall`

Firewall防火墙的默认脚本

firewall_type=`/etc/ipfw.conf`

Firewall自定义脚本

firewall_quiet=`NO`

启用脚本时，是否显示规则信息;假如你的防火墙脚本已经不会再有修改，那么就可以把这里设置成“YES”了。

firewall_logging_enable=`YES`

启用Firewall的Log记录

Step2:编辑/etc/syslog.conf文件

在文件最后加入如下内容:

!ipfw

*.* /var/log/ipfw.log

这行的作用是将IPFW的日志写到/var/log/ipfw.log文件里，当然，你也可以为日志文件指定其他目录。

以上步骤完成后重启电脑。

五、使用并保存规则

完成后，你就会发现你能用SSH登录你的远程服务器了。

Step1:测试

刚登录的时候你不会发现你的系统发生了什么变化，但你可以试试以下这个命令:#ipfw show，将输出以下结果:65535 322 43115 allow ip from any to any。它告诉我们，IPFW已经成功启用，而且允许任何的连接。

Step2:使用

在命令提示符下输入如下命令:#ipfw add 10001 deny all from 218.249.20.135 to any。

拒绝来自218.249.20.135的任何服务，执行完成后，你就会发现来自IP218.249.20.135的所有服务都会被拒绝。

Step3:保存

把这句代码加在/etc/rc.firewall文件里:ipfw add 10001 deny all from 218.249.20.135 to any，运行如下这个命令:#sh /etc/rc.firew

all

表示保存到rc.firewall里面时，不需要前面的#号，然后重新载入IPFW规则。

或者重启一次你的系统，你的IPFW就生效了，只要你不手动解除，来自218.249.20.135的所有信息全部都会被拒绝。

cd /usr/ports/www/apache22

make install clean

等待.............

ee /usr/local/etc/apache22/httpd.conf

修改servername x.x.x.x:80

启动

/usr/local/sbin/apachectl start

如果出错！faild to enable the 'httpready'之类
那么ee /boot/loader.conf和 /etc/loader.conf
里面都添加
accf_http_load="YES"

然后启动apache就ok了
============================

3
安装gd。libxml和t1lib
cd /usr/ports/graphics/gd && make install clean


cd /usr/ports/textproc/libxml2 && make install clean

cd /usr/ports/devel/t1lib/ && make install clean

其余的要安装freetype
jpeg
png
等！那么用whereis xxx
查找目录，然后登陆进去安装！
==================================

4
安装php5


 cd /usr/ports/lang/php5


make install clean

[X] CLI Build CLI version
[X] CGI Build CGI version
[X] APACHE Build Apache module
[ ] DEBUG Enable debug
[X]] SUHOSIN Enable Suhosin protection system
[X] MULTIBYTE Enable zend multibyte support
[ ] IPV6 Enable ipv6 support
[ ] REDIRECT Enable force-cgi-redirect support (CGI only)
[ ] DISCARD Enable discard-path support (CGI only)
[X] FASTCGI Enable fastcgi support (CGI only)
[X] PATHINFO Enable path-info-check support (CGI only)
然后
cd /usr/local/etc

cp php.ini-recommended /usr/local/lib/php.ini


安装PHP 扩展
% cd /usr/ports/lang/php5-extensions/
%make install clean

======================================
5配置apache支持php

ee /usr/local/etc/apache22/httpd.conf

添加 AddType application/x-httpd-php .php
AddType application/x-httpd-source .phps

找到index.html,后面添加index.php index.phps

保存退出！！！

重新启动apache

/usr/local/sbin/apachectl restart
=======================

我们来建立一个测试页面

ee /usr/local/www/apache22/data/test.php

里面写 <?
phpinfo();
?>

然后保存退出！

测试结果~~~~~~~~~~~

=======================================

安装Zend

# cd /usr/ports/devel/ZendOptimizer/
#make install clean
如果这个时候出错！说让你下载zend并且放在/usr/ports/distfiles/

那么去下载
%fetch http://downloads.zend.com/optimizer/3.0.1/ZendOptimizer-3.0.1-freebsd6.0-i386.tar.gz

然后放在那个目录下！然后再make install clean

%ee /usr/local/etc/php.ini
//如果你打开是空白.那一定是忘了
%cp /usr/local/etc/php.ini-dist /usr/local/etc/php.ini//
//然后再
%ee /usr/local/etc/php.ini
//在最下边加上.
[Zend]
zend_optimizer.optimization_level=15
zend_extension_manager.optimizer="/usr/local/lib/php/20050922-zts/Optimizer"
zend_extension_manager.optimizer_ts="/usr/local/lib/php/20050922-zts/Optimizer_TS"
zend_extension="/usr/local/lib/php/20050922-zts/ZendExtensionManager.so"
zend_extension_ts="/usr/local/lib/php/20050922-zts/ZendExtensionManager_TS.so"


然后重新启动apache