金盾防火墙使用说明书

更新时间:2023-12-06 19:23:01 阅读量: 教育文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

金盾抗DDOS防火墙用户手册

金盾抗DDOS防火墙

用 户 操 作 手 册

选 择 金 盾 ,铸 就 成 功

―――――――――――――――――――――――――――――

AnHui ZXSoft Co. Ltd.?版权所有 2002-2008

金盾全国技术支持热线:800-868-7722

金盾抗DDOS防火墙用户手册

目 录

物品清单 一、

1. 2. 3. 二、

1. 2.

用户手册简介 ............................................................................................................... 2 用途 .................................................................................................................................... 2 约定 .................................................................................................................................... 2 概述 .................................................................................................................................... 2

产品概述 ...................................................................................................................... 3 DOS/DDOS简介 ................................................................................................................. 3 金盾抗DDOS防火墙........................................................................................................... 3 1)技术优势 .......................................................................................................................... 3

a) DOS/DDOS攻击检测及防护 ...................................................................................... 3

b) 通用方便的报文规则过滤 ....................................................................................... 4 c) 专业的连接跟踪机制 .............................................................................................. 4 d) 简洁丰富的管理 ..................................................................................................... 4 e) 广泛的部署能力 ..................................................................................................... 4 f) 优质的售后服务 ..................................................................................................... 4 2)防护原理 .......................................................................................................................... 4

a) 攻击检测 ................................................................................................................ 4 b) 协议分析 ................................................................................................................ 5

c) 主机识别 ................................................................................................................ 5 d) 连接跟踪 ................................................................................................................ 5 e) 端口防护 ................................................................................................................ 5 3)产品系列 .......................................................................................................................... 5

a) 软件产品.................................................................................................................. 5 b) 硬件产品 ................................................................................................................ 5

三、 安装指南 ...................................................................................................................... 6

1.设备类型及构成......................................................................................................................... 6

1)JDFW-100+....................................................................................................................... 6 2)JDFW-1000+ ..................................................................................................................... 6 3)JDFW-8000+ ..................................................................................................................... 7 4)JDFW-2000+ ..................................................................................................................... 7 5)集群型号 .......................................................................................................................... 8 2.硬件设备安装 ............................................................................................................................ 8

1)单路型防火墙 ................................................................................................................... 8

2)双路型防火墙 ................................................................................................................... 8 3)集群型防火墙 ................................................................................................................... 8

3.注意事项 ................................................................................................................................... 9 四、 防火墙功能描述 ..........................................................................................................10

1.用户登录 ..................................................................................................................................10

2.系统信息 ..................................................................................................................................10

1)内核版本号及构建日期 ....................................................................................................10

2)序列号码 .........................................................................................................................10

AnHui ZXSoft Co. Ltd.?版权所有 2002-2008

金盾全国技术支持热线:800-868-7722

金盾抗DDOS防火墙用户手册

3)设备连接状态及地址 .......................................................................................................10 3.规则设置 ..................................................................................................................................10

1)地址 ................................................................................................................................10 2)端口 .............................................................................................................................. 11 3)标志位 ............................................................................................................................. 11 4)模式匹配 .......................................................................................................................... 11 5)方向选择 .......................................................................................................................... 11 6)规则行为 .......................................................................................................................... 11 4.防护状态 .................................................................................................................................. 11

1) SYN保护模式................................................................................................................. 11 2) SYN危急保护模式..........................................................................................................12 3) ACK&RST保护模式 .......................................................................................................12 4) UDP保护模式.................................................................................................................12 5) ICMP保护模式 ...............................................................................................................12 6)碎片保护模式 ..................................................................................................................12 7) NonIP保护模式...............................................................................................................13 8) 忽略模式........................................................................................................................13 9) 禁止模式........................................................................................................................13 10) WebCC保护模式 ...........................................................................................................13 11) GameCC保护模式 .........................................................................................................13 12) 高级UDP保护模式 ......................................................................................................13 5.参数设置 ..................................................................................................................................13

1) 系统控制........................................................................................................................14 a)系统时间 ..................................................................................................................14 b) 流量控制 .................................................................................................................14 c)策略选项 .................................................................................................................14 2)攻击检测 .........................................................................................................................14

a) SYN Flood保护 .....................................................................................................14 b)SYN Flood高压保护................................................................................................14 c)SYN Flood单机保护 ................................................................................................14 d)ACK&RST Flood保护 .............................................................................................14 e)TCP端口自动关闭触发............................................................................................15 f)UDP保护触发 .........................................................................................................15 g ) ICMP保护触发 ........................................................................................................15 h) 碎片保护触发 ..........................................................................................................15 i) NonIP保护触发 .........................................................................................................15 3) 流量限制 .......................................................................................................................15

a)紧急触发状态 ..........................................................................................................15

b)简单过滤流量限制...................................................................................................15 c)忽略主机流量限制 ...................................................................................................15 d)伪造源流量限制 ......................................................................................................15 4) TCP防护 .......................................................................................................................15

a) 屏蔽持续时间: .......................................................................................................16

b) 连接数量保护 ..........................................................................................................16

AnHui ZXSoft Co. Ltd.?版权所有 2002-2008

金盾全国技术支持热线:800-868-7722

金盾抗DDOS防火墙用户手册

c) 连接空闲超时 ............................................................................................................16 d) 默认黑名单策略 ........................................................................................................16 5) UDP防护设置 ................................................................................................................16 a) 请求连接超时 ............................................................................................................16 b) 建立连接超时............................................................................................................16 6) 变量设置.......................................................................................................................16 6.端口策略 ..................................................................................................................................16

1)防护类型 .........................................................................................................................16

a) 标准防护(default) ...............................................................................................16

b) 动态验证(WEB Service Protection) ............................................................................17 c) 频率保护(Game Service Protection) ............................................................................17 2) 连接攻击检测 ................................................................................................................17 3) 连接数量限制 ................................................................................................................17 4) 端口探测限制 ................................................................................................................17 5) 防护标志........................................................................................................................17

a) 超时连接.................................................................................................................17

b) 超出屏蔽.................................................................................................................17 c) 延时提交.................................................................................................................17 d) 接受协议.................................................................................................................18 6)模块参数 .........................................................................................................................18

管理及配置 .................................................................................................................18 1)语言 ................................................................................................................................18 2)用户/密码 ........................................................................................................................18 2.状态监控页面.............................................................................................................................19

1)全局统计 .........................................................................................................................18 2) 系统负载 .......................................................................................................................19

3) 主机状态 .......................................................................................................................20

a) 主机 ........................................................................................................................20

b) 带宽 ........................................................................................................................21 c) 频率 ........................................................................................................................21 d) 连接 ........................................................................................................................21 e) 防护模式 .................................................................................................................21 4) 单一主机状态 ................................................................................................................21

a)主机地址 ...................................................................................................................22 b)网关IP地址 ..............................................................................................................22 c)网关MAC地址 .........................................................................................................22 d)流量策略 ...................................................................................................................22 e) 连接策略 .................................................................................................................22 f) 黑名单策略 ..............................................................................................................22 g) 保护设置集序号.......................................................................................................23 h) 分时流量 .................................................................................................................23 i)防护插件....................................................................................................................23 5)连接监控 .........................................................................................................................23

AnHui ZXSoft Co. Ltd.?版权所有 2002-2008

金盾全国技术支持热线:800-868-7722

五、

1.登录页面 ..................................................................................................................................18

金盾抗DDOS防火墙用户手册

a) 控制 ........................................................................................................................23 b) 本地地址 .................................................................................................................23 c)远端地址 ...................................................................................................................23 d)当前状态 ...................................................................................................................23 e)选择连接 ...................................................................................................................24 6)屏蔽列表 .........................................................................................................................24

a) 控制 ........................................................................................................................24

b) 本地地址 .................................................................................................................24 c)远端地址 ...................................................................................................................24 d)当前状态 ...................................................................................................................24 7) 黑名单管理....................................................................................................................24 3.攻击防御页面 ...........................................................................................................................25

1) 全局参数 .......................................................................................................................25

2) 规则设置 .......................................................................................................................25

a)规则设置集................................................................................................................26 b)控制 ..........................................................................................................................26 c)协议 ..........................................................................................................................26 d)地址 ..........................................................................................................................26 e)细节 ..........................................................................................................................26 f)匹配...........................................................................................................................26 3)规则编辑页面 ..................................................................................................................26

a) 规则序号 .................................................................................................................27 b) 规则描述 .................................................................................................................27 c) 报文长度 .................................................................................................................27 d) 本地地址 .................................................................................................................27 e) 远程地址 .................................................................................................................27 f)协议类型....................................................................................................................27 g)本地端口/远程端口 ....................................................................................................27 h)TCP标志位 ...............................................................................................................27 i)ICMP类型/ICMP代码 ................................................................................................28 j)模式匹配....................................................................................................................28 k)方向选择 ...................................................................................................................28

l)规则行为....................................................................................................................28

4.日志记录页面..........................................................................................................................29 5.系统配置页面..........................................................................................................................30

1)保存配置.......................................................................................................................30

2)系统设备.......................................................................................................................31 3)集群参数 .........................................................................................................................31 4)用户管理 .........................................................................................................................32 5) SNMP系统配置..............................................................................................................33 6) SNMP用户......................................................................................................................33 7)SNMP视图列表 ................................................................................................................34 6.服务支持.................................................................................................................................35

1) 关于我们 .......................................................................................................................35

AnHui ZXSoft Co. Ltd.?版权所有 2002-2008

金盾全国技术支持热线:800-868-7722

金盾抗DDOS防火墙用户手册

2)版本信息.......................................................................................................................35 3)报文捕捉.......................................................................................................................35 4)产品升级 .........................................................................................................................36

AnHui ZXSoft Co. Ltd.?版权所有 2002-2008

金盾全国技术支持热线:800-868-7722

金盾抗DDOS防火墙用户手册

物品清单

小心打开包装箱,检查包装箱里应有的配件: ? 一台防火墙 ? 一根交流电源线 ? 一根直连网线 ? 一根交叉网线 ? 一份《用户手册》 ? 一份宣传册

? 一对LC-LC光纤线 ? 螺丝若干

第1页 共42页

金盾抗DDOS防火墙用户手册

一、用户手册简介

首先,感谢您购买我公司的防火墙产品!

本防火墙功能实用,性能优秀,配置简单,是您安全链条中不可缺少的一环。

1. 用途

本手册的用途是帮助您熟悉和正确配置使用金盾抗DDOS防火墙。

2. 约定

金盾抗DDOS系列防火墙型号众多,但功能、配置基本相同,因此,本手册内容适用于金盾抗DDOS防火墙全系列产品。

3. 概述

第一章, 用户手册简介。

第二章, 产品概述。描述金盾抗DDOS防火墙的基本特性。 第三章, 安装指南。指导您如何进行安装防火墙。

第四章, 防火墙功能描述。介绍配置防火墙需要了解的一些概念。 第五章, 管理及配置。讲述各个配置页面及其功能。

第2页 共42页

金盾抗DDOS防火墙用户手册

二、产品概述

本防火墙针对目前广泛存在的DOS/DDOS攻击而设计,为您的网站、信息平台、互动娱乐等基于Internet的网络服务提供完善的保护,使其免受恶意的攻击、破坏。

1. DOS/DDOS简介

拒绝服务攻击(DOS/DDOS)是近年来愈演愈烈的一种攻击手段,其主要目的是造成目标主机的TCP/IP协议层拥塞、或者导致应用层异常终止而形成拒绝服务的现象。目前,DOS/DDOS攻击方式主要有以下几种:

a) 利用TCP/IP协议的漏洞,消耗目标主机的系统资源,使其过度负载。此种攻击也是目前十分

普遍存在的一种攻击形式,攻击者动辄发起几十兆甚至上百兆的攻击流量,造成目标的彻底瘫痪。常见的有SYN Flood,UDP Flood,ICMP Flood等等;

b) 利用某些基于TCP/IP协议的软件漏洞,造成应用异常。此种攻击比较单一,通常是针对某个

软件特定版本的攻击,影响范围较小,且具有时限性。但通常此种攻击较难防御,漏洞查找较

困难;

c) 不断尝试,频繁连接的野蛮型攻击。此种攻击早期危害有限,但随着代理型攻击的加入,已渐

有成为主流之势。常见的有WEB Stress,CC Proxy Flood等。 随着网络上各种业务的普遍展开,DOS/DDOS攻击所带来的损失也愈益严重。当前运营商、企业及政府机构等各种用户时刻都面临着被攻击的威胁,而可预期的更加强大的攻击工具也会成批出现,此种攻击只会数量更多、破坏力更强大,更加难以防御。

正是DOS/DDOS攻击难于防御,危害严重,所以如何有效的应对DOS攻击就成为对网络安全工作者的严峻挑战。传统网络设备或者边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DOS攻击完善的防御能力。因此必须采用专门的机制,对攻击进行检测、防护、进而遏制这类不断增长的、复杂的且极具隐蔽性的攻击行为。

2. 金盾抗DDOS防火墙

针对当前的DOS/DDOS攻击现状,安徽中新软件自主研发的抗拒绝服务产品——金盾抗DDOS防火墙,具有很强的DOS/DDOS攻击的防护能力。并可在多种网络环境下轻松部署,保证网络的整体性能和可靠性。

1) 技术优势

金盾抗DDOS防火墙,相比其它DOS/DDOS产品,具有以下优势:

a) DOS/DDOS攻击检测及防护

金盾抗拒绝服务系列产品,应用了自主研发的抗拒绝服务攻击算法,对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断,保护服务主机降低攻击所造成的损失。内建的WEB保护模式及游戏保护模式,彻底解决针对此两种应用的DOS攻击方式。

第3页 共42页

金盾抗DDOS防火墙用户手册

b) 通用方便的报文规则过滤

金盾抗拒绝服务系列产品,除了提供专业的DOS/DDOS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,极大的提高了通用性及防护力度。同时,内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用。

c) 专业的连接跟踪机制

金盾抗拒绝服务系列产品,内部实现了完整的TCP/IP协议栈,具有强大的连接跟踪能力。每个进出的连接,防火墙都会根据其源地址进行分类,并显示出来给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,重置连接等辅助功能,弥补了TCP协议本身的不足,使您的服务器在攻击中游刃有余。

d) 简洁丰富的管理

金盾抗拒绝服务系列产品具有丰富的设备管理功能,基于简洁的WEB管理方式,支持本地或远程升级。同时,丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。

e) 广泛的部署能力

针对不同的客户,抗拒绝服务所面临的网络环境也不同,企业网、IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的部署带来了不同的挑战。金盾抗DDOS防火墙具备了多种环境下的部署能力。

f) 优质的售后服务

您购买本产品后,将终生享有免费升级服务。我们有专门的技术人员为您进行定期更新,使您的网络始终保持在最安全的状态,免除您的后顾之忧。

2) 防护原理

金盾抗拒绝服务产品基于嵌入式系统设计,系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低。并采用自主研发的高效防护算法,效率极高。方案的核心技术架构如下图所示:

金盾防火墙防护原理图

a) 攻击检测

本防火墙利用了多种技术手段对DOS/DDOS攻击进行有效的检测,在针对不同的流量触发不同的保护机制,提高效率的同时确保准确度;

第4页 共42页

金盾抗DDOS防火墙用户手册

b) 协议分析

本防火墙采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。

c) 主机识别

本防火墙可自动识别其保护的各个主机及其地址。实现某台主机受到攻击不会影响其它主机的正常服务。

d) 连接跟踪

本防火墙针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对TCP协议的各种攻击。

e) 端口防护

本防火墙建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的DOS/DDOS攻击保护。

3) 产品系列

经过多年的研发推广,目前金盾抗DDOS防火墙包含软、硬件两个产品线:

a) 软件产品

主要有JDFW-SW8000及JDFW-SWU两种,按照连接数划分,提供不同的处理能力,分别为8000及无限连接数;

b) 硬件产品

JDFW-100+百兆标准型DDOS防火墙 JDFW-300+百兆高效型DDOS防火墙 JDFW-1000+千兆标准型 JDFW-8000+千兆高效型 JDFW-2000+千兆双路专业型 及相应产品的集群型号

第5页 共42页

金盾抗DDOS防火墙用户手册

三、安装指南

本章首先介绍金盾防火墙的设备类型及其构成,随后讲解具体的硬件安装过程。

1.设备类型及构成

金盾抗DDOS硬件防火墙,根据处理能力及适用环境的不同,分为如下版本:

1)JDFW-100+

百兆型防火墙,适用于百兆接入环境,设备构成如下图所示:

JDFW-100+型系统配置图

默认管理口从左至右标号为2、3,相应地址为192.168.102.1,192.168.103.1 注:JDFW-300+ 结构与JDFW-100+相同。

2)JDFW-1000+

千兆标准型防火墙,适用于千兆接入环境,设备构成如下图所示:

第6页 共42页

金盾抗DDOS防火墙用户手册

JDFW-1000+型系统配置图

默认管理口E0,E1,E2相应地址为192.168.100.1,192.168.101.1,192.168.102.1

3)JDFW-8000+

千兆高效型防火墙,适用于千兆接入环境,设备构成如下图所示:

JDFW-8000+型系统配置图

默认管理口从左至右标号为2、3,相应地址为192.168.102.1,192.168.103.1

4) JDFW-2000+

双路千兆型防火墙,适用于双千兆接入环境,设备构成如下图所示:

JDFW-2000+型系统配置图

默认管理口E3,相应地址为192.168.107.1,扩展口也可做管理使用地址为,E0:

第7页 共42页

金盾抗DDOS防火墙用户手册

192.168.104.1;E1:192.168.105.1;E2:192.168.106.1。

5) 集群型号

以上各个型号均有相应的集群版本,一般来说,集群型金盾防火墙与普通型金盾防火墙相比,主要差别在于增加了心跳功能用于设备之间的信息传输,请咨询金盾售后获得相关资料。

2.硬件设备安装

金盾防火墙硬件安装操作比较简单,根据型号的不同主要分为如下几种安装过程。

1) 单路型防火墙

单路型防火墙的型号为JDFW-100+;JDFW-1000+;JDFW-8000+,其安装步骤如下:

a) 连接数据端口,将外网连接线(数据入线)接入防火墙上标识为“进口”的网口,相应的

内网连接线(数据出线)接入防火墙上标识为“出口”的网口; b) 连接管理接口,将防火墙的任一标识为“管理口”的网口接入外网或内网交换机; c) 启动防火墙,连接电源线并启动电源开关,检查接线的各个网口的指示灯是否正常闪烁; d) 登陆管理机,更改 IP地址为与防火墙管理地址同一网段,随后登陆管理界面,确保可以正常访问;

e) 查看流量,确认数据正常通行,完成安装。

2) 双路型防火墙

双路型防火墙的型号为JDFW-2000+,其安装步骤如下:

a) 连接第一路数据端口,将第一路外网连接线(数据入线)接入防火墙上第一个标识为“进口”的网口,相应的内网连接线(数据出线)接入防火墙上第一个标识为“出口”的网口; b) 连接第二路数据端口,将第二路外网连接线(数据入线)接入防火墙上第二个标识为“进

口”的网口,相应的内网连接线(数据出线)接入防火墙上第二个标识为“出口”的网口; c) 连接管理接口,将防火墙的任一标识为“管理口”的网口接入外网或内网交换机; d) 在外部交换机上,将两组数据入口设置为端口聚合。在内部交换机上同样将两组数据出口

设置为端口聚合(如果采用双路由模式,则不需要设置); e) 启动防火墙,连接电源线并启动电源开关,检查接线的各个网口的指示灯是否正常闪烁; f) 登陆管理机,更改 IP地址为与防火墙管理地址同一网段,随后登陆管理界面,确保可以

正常访问;

g) 查看流量,确认数据正常通行,完成安装。

3) 集群型防火墙

集群型防火墙依靠多台防火墙实现防护带宽及防护能力的叠加,目前可支持多台防火墙形成集群,抵御大的攻击流量。集群型防火墙安装步骤如下:

a) 重新设置防火墙地址,规划集群防火墙的序号(如1-10),随后依次开启防火墙,连接管

理口,配置防火墙的IP地址,将防火墙所有网卡的地址改为与其序号相对应,这样就可

第8页 共42页

金盾抗DDOS防火墙用户手册

以避免集群中的防火墙出现IP地址冲突的情况;

例如,防火墙的默认地址,按端口排序,依次为192.168.100.1,192.168.101.1,192.168.102.1??,而该防火墙的序号规划为2,则将其IP地址设为192.168.100.2,192.168.101.2,192.168.102.2??;

b) 连接数据端口,依次将每条线路的外网连接线(数据入线)接入防火墙上标识为“进口”

的网口,相应的内网连接线(数据出线)接入防火墙上标识为“出口”的网口;

c) 连接心跳线路,依次将每台防火墙的心跳口接入交换机(千兆型集群需接入千兆型交换

机)。如果是两台防火墙形成的集群,则心跳线路可直接利用交叉线对接;

d) 连接管理接口,依次将每台防火墙的任一标识为“管理口”的网口接入内网交换机; e) 在外部交换机上,将数据入口设置为端口聚合。在内部交换机上同样将数据出口设置为端口聚合(如果采用多路由模式,则不需要设置);

f) 登陆管理机,更改 IP地址为与防火墙管理地址同一网段,随后登陆管理界面,进入集群

设置页面,输入防火墙ID所对应的心跳口的IP地址,随后保存; g) 注意,启动防火墙后集群功能自动生效; h) 查看流量,确认数据正常通行,完成安装。

3.注意事项

a) 由于双路模式和集群模式安装设置比较复杂,建议由金盾防火墙技术人员协助完成安装调试工作;

b) 当防火墙管理口无法访问时,请换用其它管理口。如果所有管理口均无法访问,请联系金盾售后人员进行咨询;

c) 安装防火墙时请避免损坏易碎贴及封口标签,否则将无法享受本公司的免费服务承诺; d) 在放置防火墙时,请避开多尘及电磁干扰强的地区。

第9页 共42页

金盾抗DDOS防火墙用户手册

机将进入ACK保护模式;

e)TCP端口自动关闭触发

用户设置空端口自动关闭的触发参数,当某个空端口接收数据每秒达到触发值此端口将会

被禁止,当攻击量小于设置值之后,3分钟后将会被释放;

f)UDP保护触发

用于防护UDP Flood攻击的触发参数,当某台主机承受的UDP报文频率超过该数值时,该主机将进入UDP保护模式。此后如果该主机承受的UDP报文频率低于该数值,并保持一段时间后,该主机将脱离UDP保护模式;

g ) ICMP保护触发

用于防护ICMP Flood攻击的触发参数,当某台主机承受的ICMP报文频率超过该数值时,该主机将进入ICMP保护模式。此后如果该主机承受的ICMP报文频率低于该数值,并保持一段时间后,该主机将脱离ICMP保护模式;

h) 碎片保护触发

用于防护Fragment Flood攻击的触发参数,当某台主机承受的碎片报文频率超过该数值时,该主机将进入碎片保护模式(详见保护模式)。此后如果该主机承受的碎片报文频率低于该数值,并保持一段时间后,该主机将脱离碎片保护模式。

i) NonIP保护触发

用于防护ip协议族的其它不常用的协议的攻击类型,当某台主机承受的NonIP报文频率超过该数值时,该主机将进入NonIP保护模式

3) 流量限制

流量限制策略主要是针对一些攻击流量做限制:

a)紧急触发状态

针对攻击频率较高的攻击防护模式,此模式将更为严格过滤攻击;

b)简单过滤流量限制

是针对某些显见的攻击报文做的一种过滤模式,目前可以过滤内容完全相同的报文,及使用真实地址进行攻击的报文; c)忽略主机流量限制

用于限制忽略主机的流量,当某个忽略主机的流量超过设置值,超过的流量将被丢弃;

d)伪造源流量限制

用于限制内网攻击。当某数据包的原MAC地址不同于防火墙记录到的MAC地址,该数据包将被认为是伪造源流量,超过设置值的伪造源流量将被丢弃;

4) TCP防护

第15页 共42页

金盾抗DDOS防火墙用户手册

防护设置参数用于指导防火墙DDOS防御模块的防护行为,详述如下:

a) 屏蔽持续时间:

防火墙在检测到某一IP对主机的攻击行为后,将自动将该IP加入到屏蔽列表,不再继续处理来自该IP的任何请求,直到经过指定时间后才会解封。如果该值为0,则不使用自动屏蔽规则;

b) 连接数量保护

用来设置针对连接数量控制方式,指一台受保护的服务器与某个客户端之间建立的连接数达到设定数值,将会对客户端地址进行屏蔽。

c) 连接空闲超时

防火墙确认一个连接可信任后,如果这个连接在大于此数值的时间内持续空闲,则防火墙认为该连接无效,将重置该连接;

d) 默认黑名单策略

用来设置针对特殊性肉鸡及代理攻击。

5) UDP防护设置

a) 请求连接超时

防火墙在接收到来自某地址报文后,如果在大于此数值的时间内没有接收到响应报文,则认为此连接请求不被信任,防火墙将丢弃该请求。

b) 建立连接超时

防火墙在信任并建立一个连接后,如果“验证时间”内没有收到数据报文,则防火墙认为连接为空连接,将重置该连接,此参数可有效防护空连接攻击。

6) 变量设置

Web.Special 针对特殊WEB页面的设置模式。

6.端口策略

某些特殊应用,如Web服务、游戏服务、语音服务等,针对性的防护策略可以使得这些应用具有更好的服务品质,彻底隔绝恶意客户及攻击工具造成的损害。因此,金盾防火墙内建了端口防御体系,根据不同的应用采取独立设置端口策略,防护能力更胜一筹。

1)防护类型

端口防护类型是针对特殊应用而开发的防护手段,目前,端口防护类型主要包含三种:标准防护、动态验证及频率保护:

a) 标准防护(default)

标准防护策略为所有端口默认的防护措施,不对应用做特殊处理,具有最好的兼容性;

第16页 共42页

金盾抗DDOS防火墙用户手册

b) 动态验证(WEB Service Protection)

动态验证策略是金盾防火墙独有的、适用于Web服务的一种防护策略,是针对目前愈演愈烈的CC-HTTP Proxy类攻击而开发的。应用此种策略的端口,防火墙将对进入的HTTP请求进行验证操作,确保该请求来自正常的客户浏览行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单进行屏蔽。

防火墙的动态验证模块,只对设置了WebCC保护模式的主机采用该验证策略,没有设置该保护模式的主机不受影响;

c) 频率保护(Game Service Protection)

频率保护策略是金盾防火墙独有的、适用于游戏服务的一种防护策略,是针对目前流行的代理型攻击器、木马型攻击器、BotNet等而开发的。应用此种策略的端口,防火墙将对连入的客户端进入频率限制及验证操作,确保该客户端的行为属于正常的客户端行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单进行屏蔽。

防火墙的频率保护模块,只对设置了GameCC保护模式的主机采用该限制及验证策略,没有设置该保护模式的主机不受影响。

2) 连接攻击检测

用于自动启用TCP防护插件。设置该参数后,当主机与该端口范围的TCP连接频率超过设置数值,该主机将自动进入TCP防护模式,设置的插件将被启用,当连接频率小于该数值后一段时

间,该主机将自动取消TCP防护模式。

注:在主机设置页面手工设置TCP防护不会自动取消。

3) 连接数量限制

限制每个客户端允许与主机建立的连接数量,超出设置数量该连接被屏蔽。一般来说,Web服务应将此数值保持为空(无限),而其它对连接数量依赖较小的服务可设置合适的数值来避免主机在单一客户上耗费过多资源。

4) 端口探测限制

限制每个客户端允许与主机建立空连接的数量,超出设置限制该连接被屏蔽。

5) 防护标志

目前防护标志有四种,超时连接; 超出屏蔽;延时提交;接受协议

a)超时连接

设置超时连接标志后,此端口建立的连接如果持续一段时间保持空闲,则该连接将被重置以释放资源。此种策略对于某些应用可能造成连接数据中断的情况,此时应把相应端口设

为禁止屏蔽;

b) 超出屏蔽

设置超出屏蔽标志后,客户端在此端口进行的访问如果无法通过防火墙的验证模块,则此客户端将被加入黑名单而屏蔽;

c) 延时提交

设置此选项的端口,防火墙将无限缓存该连接,除非客户端有数据发送,或者该连接被防

第17页 共42页

金盾抗DDOS防火墙用户手册

火墙重置;

d) 接受协议

设置接受协议表示该端口接受该项协议。

6)模块参数

一组用于控制防火墙具体的防护模式及策略的参数,其设置比较固定,详细请咨询金盾售后技术。

五、管理及配置

金盾防火墙集成了简洁高效的Web管理界面,可以方便的使用普通浏览器进行管理设置。本章将详细介绍各个界面及其功能,由此您将觉得配置金盾防火墙是一件轻松的事。

1.登录页面

在浏览器地址栏输入http://192.168.107.1:28099,将进入金盾防火墙登陆页面(具体需要看防火墙的管理口接入情况,本章防火墙的管理地址为192.168.107.1)。登录页面如下图所示:2000+为例

金盾防火墙登陆页面

1)语言

设置登陆界面格式,可设置为简体中文和English两种登陆界面;

2)用户/密码

输入管理用户名和密码,并点击“提交”,即可进入防火墙欢迎页面。如果密码不正确,将进入验证失败页面,此时需返回并重新输入密码。

注:金盾防火墙出厂默认用户名为:admin密码为:123,请登陆防火墙后第一时间更改为复杂密码

第18页 共42页

金盾抗DDOS防火墙用户手册

(推荐包含字母、数字、符号的任意组合)。

金盾防火墙验证失败页面

2.状态监控页面

1)全局统计

全局统计页面显示当前系统的流量图,及输入输出统计。页面如下图所示:

金盾防火墙状态监控——全局统计页面

其中,上为每分钟流量图,左为每天流量图,右为每月流量图

外网接口为外部网络与防火墙的接口,即输入流量 内网接口为内部网络与防火墙的接口,即输出流量

2) 系统负载

系统负载页面,提供了即时查看防火墙当前工作状态的接口。页面如下图所示:

第19页 共42页

金盾抗DDOS防火墙用户手册

金盾防火墙系统负载页面

CPU占用率、内存使用,均为当前防火墙的即时状态。网络统计,则显示一秒内防火墙各个网卡收发数据情况,一般来说,进口和出口设备的频率应该较高。

3) 主机状态

主机状态页面显示了当前防火墙下的主机的基本状态,如主机、带宽、频率、连接、防护模式等。页面如下图所示:

金盾防火墙主机状态页面

a) 主机

显示当前处于防火墙下的主机的IP地址,当墙下主机数量超出100个IP时,地址将根据掩码分段显示,点击进入可查看段内主机,每个主机IP地址也是一个超连接,点击后即可进入主机状

第20页 共42页

金盾抗DDOS防火墙用户手册

态设定页面

b) 带宽

显示该主机的入口和出口带宽占用,以Mbps为单位。

注:若某台主机对外进行伪造源地址的攻击(如SYN Flood),由于其源地址是伪造的,防火墙无法定位到具体的机器,而只会在总流量中显示。

c) 频率

显示该主机受到攻击的频率,目前主要统计为SYN报文频率,ACK报文频率,UDP报文频率,ICMP报文频率,FRAG报文频率,NonIP报文,NewTCP连接,NewUDP连接。

d) 连接

显示外部与该主机建立的连接数(in),该主机与外部建立的连接数(out),及UDP连接,in连接远远超过正常值的连接数量表示该主机可能受到代理型攻击,如CC类攻击等,请设置相应的防护模式(详见主机状态设定页面)或联系金盾防火墙客服人员。

e) 防护模式

显示该主机当前流量图,同时主机状态也显示在左侧,页面如下图所示:

f) 网络地址设置

本防火墙采用基于ARP协议的智能主机发现来识别防火墙下的主机,但某些网络接入环境情况下ARP信息相对较少,则防火墙将无法自动识主机。此时需要手动提交网络地址和子网掩码,提交后即可在状态页面中显示检测到的主机列表。

4) 单一主机状态

主机状态设定页面显示了当前主机的一些状态设置参数,包括流量策略及防护策略。页面如下图所示:

第21页 共42页

金盾抗DDOS防火墙用户手册

金盾防火墙单一主机状态设定页面

a)主机地址

显示设置的主机地址,“有效”复选框表示该主机是否存在。防火墙的主机自动发现系统有时 会发现一些不存在的IP地址,如果您确定某主机不存在而又出现在列表中的话,请清除“有效”复选框,则该主机将被自动清除。“记录”选择此选项后将记录该主机的分时流量,并在分时流量图中体现。

b)网关IP地址

显示设置的主机的网关IP地址,此项可根据网络地址设置识别,也可在该状态下直接进行修改。

c)网关MAC地址

显示设置的主机的网关MAC地址,此项可根据网络地址设置识别,也可在该状态下直接进行修改。

d)流量策略

用于设置针对某主机的流量限制策略,以Mbps为单位,分为入口流量限制和出口流量限制。本防火墙的流量限制是基于三层交换的流量限制。

“忽略所有流量”表示防火墙将完全忽略对该地址主机数据报文的任何处理而只是简单转发; “屏蔽所有流量”表示简单丢弃,这两种流量策略可用于局部调试目的;

“流量超出屏蔽” 表示超出防火墙流量策略设置值时,防火墙会屏蔽该主机,禁止数据通行; “忽略国外访问”表示屏蔽国外IP所有连接。

e) 连接策略

用来设置针对此主机的连接数量控制方式,指一台受保护的服务器与某个客户端之间建立的连接数超出设定数值,将丢弃超出的连接。

f) 黑名单策略

第22页 共42页

金盾抗DDOS防火墙用户手册

用来设置针对肉鸡及代理攻击;

g) 保护设置集序号

包括规则、TCP端口、UDP端口,可根据不同需要进行规则、TCP端口、UDP端口的重叠设置。

h)分时流量

显示主机流量状态,需要选择“记录”选项后方可显示;

i)防护插件

用来设置针对此主机的特定防护手段,目前只有连接攻击防护一种,表示主机将使用“连接攻击防护策略”(CC防护)。点击“提交”保存当前所做更改。

5)连接监控

连接监控页面列出当前防火墙维持的连接,页面如下图所示:

金盾防火墙连接监控页面

a) 控制

包含的“重置”按钮可简单的重置该数据连接;

b) 本地地址

显示了此连接的本地地址,可较方便的定位到具体的服务;

c)远端地址

显示了建立此数据连接的远端主机的地址;

d)当前状态

显示此远端主机对本地主机的服务端口数据请求建立的连接数量;

第23页 共42页

金盾抗DDOS防火墙用户手册

e)选择连接

此项可查询连接列表中地址信息,可针对单一地址设置查询,也可进行模糊查询,如192.168.1.1/24、-61.191.27.235/24模式查询。“重置”可针对选择后的连接进行重置设置;“下载”可下载连接列表中选择连接及所有连接。

6)屏蔽列表

屏蔽列表页面显示被防火墙所屏蔽的连接。

金盾防火墙屏蔽列表页面

a) 控制

包含的“重置”按钮可简单的重置该数据连接;

b) 本地地址

显示了此连接的本地地址,可较方便的定位到具体的服务;

c)远端地址

显示了建立此数据连接的远端主机的地址;

d)当前状态

显示了远端主机对本地主机请求被防火墙屏蔽的剩余时间。

7) 黑名单管理

黑名单管理页面显示肉鸡及代理攻击数据。

第24页 共42页

金盾抗DDOS防火墙用户手册

金盾防火墙黑名单管理页面

注:此项请咨询金盾售后人员帮助设置

3.攻击防御页面

1) 全局参数

全局参数设置页面,提供了防火墙一些通用参数的设置接口,用户可方便的配置防火墙的通用防护行为。页面如下图所示:

金盾防火墙全局参数设置页面

关于本页面中设置的详细信息,请参看第四章参数设置节。

点击“提交”将将更改过的表单提交给防火墙,“默认”则使用默认值来设置防火墙。

2) 规则设置

第25页 共42页

金盾抗DDOS防火墙用户手册

规则设置页面显示了当前防火墙系统中的规则,包括系统规则及用户定义规则。页面如下图所示:

金盾防火墙规则设置页面

点击“新建”按钮者某规则的“编辑”操作,将进入规则编辑页面。点击“重置所有”按钮则将规则默认。显示内容描述如下:

a)规则设置集

对于一台主机可适用多项规则,也可用于规则的重叠设置,通过主机状态中的规则设置集选择某台主机的生效规则。

b)控制

对于该规则进行控制操作,可进行规则的编辑或删除操作。数字0-6表示规则序号,设置编辑更改规则序号可调整规则位置及生效次序;

c)协议

表示该规则的协议域,如TCP,UDP,ICMP等;

d)地址

表示该规则的地址域;

e)细节

该规则的其它细节性的描述,根据规则不同内容也不同。如果规则包含描述域,则显示该规则的描述文本;

f)匹配

规则匹配的次数;

3)规则编辑页面

规则编辑页面用于编辑或添加某个用户定义规则。页面如下图所示:

第26页 共42页

金盾抗DDOS防火墙用户手册

金盾防火墙规则编辑页面

各个参数简述如下,更具体的信息及含义,可参看第四章中的规则设置节:

a) 规则序号

设置此规则在规则列表中的位置,可通过自定义设置规则生效顺序;

b) 规则描述

此规则以文本形式描述,使用户快速理解规则的用途;

c) 报文长度

指定该规则匹配的报文的长度范围;

d) 本地地址

选项“所有地址”,表明此规则匹配所有的本地地址;“地址范围”指定一个地址的范围用于规则的本地地址匹配;“网络掩码”指定一个网络地址范围用于规则的本地地址匹配;

e) 远程地址

选项“所有地址”,表明此规则匹配所有的远程地址;“地址范围”指定一个地址的范围用于规则的远程地址匹配;“网络掩码”指定一个网络地址范围用于规则的远程地址匹配;“指定域名”表明此规则的远程地址将匹配对该域名的地址解析请求(若选择此项,则“协议”域自动设为UDP,远程端口自动设成53);

f)协议类型

指示规则匹配的报文的协议类型,分为IP,TCP,UDP,ICMP等几种。其中,TCP、UDP及ICMP协议将各自激活相应的系列规则设置;

g)本地端口/远程端口

TCP及UDP协议的规则,将激活此设置域,指示规则的端口匹配值,为空则表示匹配所有端口;

h)TCP标志位

第27页 共42页

金盾抗DDOS防火墙用户手册

TCP协议设置的特定域,指示规则匹配报文的TCP标志位;

i)ICMP类型/ICMP代码

ICMP协议设置的特定域,指示规则匹配报文的ICMP数值;

j)模式匹配

指示该规则匹配的关键字,可选项还包括“顺序匹配”和“忽略大小写”;

k)方向选择

指示该规则匹配的数据流方向;

l)规则行为

指示该规则被某个报文匹配后,防火墙将对该报文所做的处理;

4) TCP端口保护

TCP端口保护设置页面提供了针对每个端口的独立设置参数,用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示:

金盾防火墙TCP端口保护页面

端口保护列表列出了当前已配置的端口设置参数,关于本页面中设置的详细信息,请参看第四章端口策略节。

点击“提交”,将修改后的端口保护数据提交给防火墙;“默认”防火墙使用默认端口保护设置;“重置”可重新进行设置操作;“协议”可自定义添加或修改协议类型。

5) UDP端口保护

UDP端口保护设置页面提供了针对每个端口的独立设置参数,用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示:

第28页 共42页

金盾抗DDOS防火墙用户手册

金盾防火墙UDP端口保护页面

端口保护列表列出了当前已配置的端口设置参数,关于本页面中设置的详细信息,请参看第四章端口策略节。

点击“提交”,将修改后的端口保护数据提交给防火墙;“默认”防火墙使用默认端口保护设置;“重置”可重新进行设置操作;“协议”可自定义添加或修改协议类型。

4.日志记录页面

1)日志列表

日志列表列出系统中所有的日志项,并可按优先级分类。页面如下图所示::

第29页 共42页

金盾抗DDOS防火墙用户手册

金盾防火墙日志列表页面

可根据客户需要设置日志服务器或下载全部及单一主机的日志记录,点击“清除”则清除日志的历史记录。当显示日志包括某个主机的状态改变时,可以点击该主机地址,进入该主机的分析报告页面。

防火墙日志记录可全面记录产品系统运行及防护状态,并对不同操作权限的操作进行记录。

2) 分析报告

分析报告查询某个主机的相关记录,并对其流量进行分析,生成报告。页面如下图所示

注:若主机地址为空,则对全局数据进行分析

5.系统配置页面

1)保存配置

用于对防火墙的相关设置进行保存,可按网络设备地址、全局防护参数、TCP/UDP端口保护参数、主机及配置参数、规则列表进行选择性保存,并可进行规则设置的导入和导出操作。

金盾防火墙保存配置页面

第30页 共42页

金盾抗DDOS防火墙用户手册

2)系统设备

系统设备界面,提供了一个对防火墙硬件相关的配置接口。页面如下图所示:

金盾防火墙系统设备页面

“系统设备”主要对防火墙系统的网卡接口的地址进行配置,灰色的项表示为防火墙的数据入口和数据出口,不需要IP地址;而其它项均为防火墙的配置接口,用户可更改这些网卡的IP地址,方便访问。同时,还可将某些网卡接入外网,并配置外网IP地址,这样就无须控制机的中转。关于本页面中设置的详细信息,请参看第四章系统信息节。

“提交”将更改的配置提交给防火墙。

“默认”使得防火墙默认配置。另外,为了防止错误配置导致防火墙的永久损坏,防火墙重启后将恢复默认设置。

注:保存后重启防火墙相关设置将不会恢复默认值,请确定设置无误后选择保存。 “重启系统”按钮将重起防火墙,用于某些特殊情况(如防火墙异常)。

3)集群参数

本页面用于防火墙集群系统的配置及启动,由于集群模式安装的复杂性,本页面由金盾防火墙技术人员使用。页面如下图所示:

第31页 共42页

金盾抗DDOS防火墙用户手册

金盾防火墙集群参数页面

a) 集群配置:

集群配置用于设置集群心跳地址及启动集群设置,心跳模式分为转发模式和同步模式,集群参数里设置两个心跳卡和两组心跳地址则启用转发模式,只设置一组为同步模式。

b) 热备配置:

防火墙提供了双机热备份功能,即在同一个网络节点使用两个配置相同的防火墙,设置主-备模式实现数据自动切换,保证网络正常使用。

4)用户管理

该页面具有设置用户分级管理功能,方便网络监控及管理。页面如下图所示:

金盾防火墙用户管理页面

第32页 共42页

金盾抗DDOS防火墙用户手册

5) SNMP系统配置

SNMP系统页面,用于配置SNMP的一些全局信息。页面如下图所示:

金盾防火墙SNMP系统配置页面

当对SNMP用户或SNMP视图页面修改后,需要在SNMP系统页面提交一次,使更改的配置生效。

6) SNMP用户

SNMP用户页面,可创建、修改用于SNMP协议的用户名及相应的验证模式。页面如下图所示:

金盾防火墙SNMP用户页面

第33页 共42页

金盾抗DDOS防火墙用户手册

SNMP版本:指定该用户适用的SNMP查询版本。v1不需要验证,v2c使用团体名称作为验证码,

v3则使用强加密方式进行认证。推荐SNMP v3

当版本号为v1或v2c时,如下项可用:

团体名称:用于SNMP协议的团体名称 访问源地址:SNMP v1/v2c模式下,执行SNMP操作的源地址范围。可指定单个IP,或某个网段。如192.168.1.10,192.168.1.1/24等

当版本号为v3时,如下项可用:

用户名称:用于SNMP v3的用户名

认证算法/认证密码:用于SNMP v3的认证方式。密码最小长度为8 加密算法/加密密码:用于SNMP v3的加密方式。密码最小长度为8 访问视图:该用户/团体可访问的视图子树。由SNMP视图页面创建。 访问权限:SNMP v1/v2c模式下,对某个视图的访问权限

当访问视图为“全视图”时,点击“删除”,则同时删除该用户/团体。否则只将该视图从该用户/团体中删除。

7)SNMP视图列表

SNMP用户页面,可创建、修改用于SNMP协议的视图。页面如图所示

金盾防火墙SNMP视图列表页面

视图名称:视图的字符串形式描述 视图规则:“包含”或“排除”,用于向该视图中包含,或从某个视图中排除某个MIB子树

第34页 共42页

金盾抗DDOS防火墙用户手册

MIB子树:SNMP协议中定义的管理信息块。可以是字符串形式,或数字形式。如: 1.3.6.1.2.1.25.1.1或iso.org.dod.internet.mgmt.mib-2.host.hrSystem.hrSystemUptime

6.服务支持

1) 关于我们

本页面用于介绍公司相关信息。页面如下图所示:

金盾防火墙服务支持页面

2)版本信息

版本信息页面显示了内核版本号、内核编译时间、当前防火墙序列号码。页面如下图所示:

金盾防火墙版本信息页面

3)报文捕捉

报文捕捉页面可以根据客户的需要捕捉相关网络报文,可以全局捕捉也可以单一主机捕捉。页面如

第35页 共42页

金盾抗DDOS防火墙用户手册

下图所示:

金盾防火墙报文捕捉页面

4)产品升级

本页面用于防火墙的升级,通过此页面提交包含新版本内核的升级包给防火墙,由防火墙自动完成升级工作。提交错误的升级包可能对防火墙造成永久损害,所以本页面仅授权金盾技术人员使用。 页面如下图所示:

金盾防火墙更新系统页面

第36页 共42页

本文来源:https://www.bwwdw.com/article/b6pt.html

Top