您好,欢迎来到九壹网。
科技 教育 生活 旅游 时尚 美容 美食 健康 体育 游戏 汽车 家电
搜索
您的当前位置:首页金盾抗DDOS防火墙用户操作手册

金盾抗DDOS防火墙用户操作手册

来源:九壹网
安 徽 中 新 软 件 有 限 公 司——www.zxfirewall.com

金盾抗DDOS防火墙

用 户 操 作 手 册

选 择 金 盾 ,铸 就 成 功

―――――――――――――――――――――――――――――

AnHui ZXSoft Co. Ltd.©版权所有 2002-2006

金盾全国技术支持热线:800-868-7722

安 徽 中 新 软 件 有 限 公 司——www.zxfirewall.com

目 录

物品清单 ------------------------------------------------------------------------------------------------------------ 1 一、 用户手册简介 ------------------------------------------------------------------------------------------ 2

1. 用途 ------------------------------------------------------------------------------------------------------ 2 2. 约定 ------------------------------------------------------------------------------------------------------ 2 3. 概述 ------------------------------------------------------------------------------------------------------ 2 二、 产品概述 ------------------------------------------------------------------------------------------------ 3

1. DOS/DDOS简介 -------------------------------------------------------------------------------------- 3 2. 金盾抗DDOS防火墙 -------------------------------------------------------------------------------- 3

1) 技术优势 ------------------------------------------------------------------------------------------ 3

a) DOS/DDOS攻击检测及防护 ---------------------------------------------------------- 3 b) 通用方便的报文规则过滤 -------------------------------------------------------------- 3 c) 专业的连接跟踪机制 -------------------------------------------------------------------- 4 d) 简洁丰富的管理 -------------------------------------------------------------------------- 4 e) 广泛的部署能力 -------------------------------------------------------------------------- 4 f) 优质的售后服务 -------------------------------------------------------------------------- 4 2) 防护原理 ------------------------------------------------------------------------------------------ 4

a) 攻击检测 ----------------------------------------------------------------------------------- 4 b) 协议分析 ----------------------------------------------------------------------------------- 4 c) 主机识别 ----------------------------------------------------------------------------------- 4 d) 连接跟踪 ----------------------------------------------------------------------------------- 5 e) 端口防护 ----------------------------------------------------------------------------------- 5 3) 产品系列 ------------------------------------------------------------------------------------------ 5

a) 软件产品 ----------------------------------------------------------------------------------- 5 b) 硬件产品 ----------------------------------------------------------------------------------- 5

三、 安装指南 ------------------------------------------------------------------------------------------------ 6

3. 设备类型及构成 --------------------------------------------------------------------------------------- 6

4) JDFW-100 ---------------------------------------------------------------------------------------- 6 5) JDFW-200 ---------------------------------------------------------------------------------------- 6 6) JDFW-1000 --------------------------------------------------------------------------------------- 6 7) JDFW-2000 --------------------------------------------------------------------------------------- 7 8) 集群型号 ------------------------------------------------------------------------------------------ 7 9) 其它型号 ------------------------------------------------------------------------------------------ 7 4. 硬件设备安装 ------------------------------------------------------------------------------------------ 7

1) 单路型防火墙 ----------------------------------------------------------------------------------- 7 2) 双路型防火墙 ----------------------------------------------------------------------------------- 8 3) 集群型防火墙 ----------------------------------------------------------------------------------- 8 5. 注意事项 ------------------------------------------------------------------------------------------------ 9 四、 防火墙功能描述 ------------------------------------------------------------------------------------ 10

1. 用户登录 ---------------------------------------------------------------------------------------------- 10

AnHui ZXSoft Co. Ltd.©版权所有 2002-2006

金盾全国技术支持热线:800-868-7722

安 徽 中 新 软 件 有 限 公 司——www.zxfirewall.com

2. 系统信息 ---------------------------------------------------------------------------------------------- 10

1) 内核版本号及构建日期 --------------------------------------------------------------------- 10 2) 序列号码 ---------------------------------------------------------------------------------------- 10 3) 设备连接状态及地址 ------------------------------------------------------------------------ 10 3. 规则设置 ---------------------------------------------------------------------------------------------- 10

1) 地址 ---------------------------------------------------------------------------------------------- 10 2) 端口 ----------------------------------------------------------------------------------------------- 11 3) 标志位 -------------------------------------------------------------------------------------------- 11 4) 模式匹配 ----------------------------------------------------------------------------------------- 11 5) 规则时限 ----------------------------------------------------------------------------------------- 11 6) 方向选择 ----------------------------------------------------------------------------------------- 11 7) 规则行为 ----------------------------------------------------------------------------------------- 11 4. 防护状态 ----------------------------------------------------------------------------------------------- 11

1) SYN保护模式 ---------------------------------------------------------------------------------- 11 2) UDP保护模式 --------------------------------------------------------------------------------- 12 3) ICMP保护模式 ------------------------------------------------------------------------------- 12 4) IGMP保护模式 ------------------------------------------------------------------------------- 12 5) 碎片保护模式 --------------------------------------------------------------------------------- 12 6) 忽略模式 ---------------------------------------------------------------------------------------- 12 7) 禁止模式 ---------------------------------------------------------------------------------------- 12 8) WebCC保护模式 ----------------------------------------------------------------------------- 13 9) GameCC保护模式 --------------------------------------------------------------------------- 13 10) 高级UDP保护模式 ------------------------------------------------------------------- 13 5. 参数设置 ---------------------------------------------------------------------------------------------- 13

1) 全局控制 ---------------------------------------------------------------------------------------- 13

c) 系统时间 --------------------------------------------------------------------------------- 13 d) 流量控制 --------------------------------------------------------------------------------- 13 2) 攻击检测 ---------------------------------------------------------------------------------------- 13

a) SYN保护触发 -------------------------------------------------------------------------- 14 b) SYN危急保护触发 -------------------------------------------------------------------- 14 c) UDP保护触发 -------------------------------------------------------------------------- 14 d) ICMP保护触发 ------------------------------------------------------------------------- 14 e) IGMP保护触发 ------------------------------------------------------------------------- 14 f) 碎片保护触发 --------------------------------------------------------------------------- 14 g) 防护解除 --------------------------------------------------------------------------------- 14 3) 防护设置 ---------------------------------------------------------------------------------------- 14

a) 请求延时应答 --------------------------------------------------------------------------- 14 b) 单IP代理 -------------------------------------------------------------------------- 14 c) 单IP屏蔽时间 -------------------------------------------------------------------------- 14 d) 连接空闲超时 --------------------------------------------------------------------------- 14 4) 变量设置 ---------------------------------------------------------------------------------------- 15 6. 端口策略 ---------------------------------------------------------------------------------------------- 15

1) 防护类型 ---------------------------------------------------------------------------------------- 15

AnHui ZXSoft Co. Ltd.©版权所有 2002-2006

金盾全国技术支持热线:800-868-7722

安 徽 中 新 软 件 有 限 公 司——www.zxfirewall.com

7. 五、

1. 2. 3.

4.

5.

6.

7.

a) 标准防护 --------------------------------------------------------------------------------- 15 b) 动态验证 --------------------------------------------------------------------------------- 15 c) 频率保护 --------------------------------------------------------------------------------- 15 2) 连接数量 --------------------------------------------------------------------------------- 15 3) 防护标志 ---------------------------------------------------------------------------------------- 15

a) 允许屏蔽 --------------------------------------------------------------------------------- 15 b) 允许超时 --------------------------------------------------------------------------------- 16 c) 允许HTTP ------------------------------------------------------------------------------- 16 4) 其它端口参数 --------------------------------------------------------------------------------- 16 防火墙集群 ------------------------------------------------------------------------------------------- 16 管理及配置 ------------------------------------------------------------------------------------------- 17 登录页面 ---------------------------------------------------------------------------------------------- 17 欢迎页面 ---------------------------------------------------------------------------------------------- 17 状态监控页面 ---------------------------------------------------------------------------------------- 18 1) 主机 ---------------------------------------------------------------------------------------------- 18 2) 带宽 ---------------------------------------------------------------------------------------------- 18 3) 攻击频率 ---------------------------------------------------------------------------------------- 18 4) 连接 ---------------------------------------------------------------------------------------------- 19 5) 防护模式 ---------------------------------------------------------------------------------------- 19 6) 网络地址及子网掩码 ------------------------------------------------------------------------ 19 主机状态设定页面 --------------------------------------------------------------------------------- 19 1) 主机地址 ---------------------------------------------------------------------------------------- 19 2) 流量策略 ---------------------------------------------------------------------------------------- 20 3) 防护策略 ---------------------------------------------------------------------------------------- 20 连接监控页面 ---------------------------------------------------------------------------------------- 20 1) 控制 ---------------------------------------------------------------------------------------------- 20 2) 本地地址 ---------------------------------------------------------------------------------------- 20 3) 远端地址 ---------------------------------------------------------------------------------------- 20 4) 当前状态 ---------------------------------------------------------------------------------------- 20 规则设置页面 ---------------------------------------------------------------------------------------- 20 1) 控制 ---------------------------------------------------------------------------------------------- 21 2) 协议 ---------------------------------------------------------------------------------------------- 21 3) 地址 ---------------------------------------------------------------------------------------------- 21 4) 细节 ---------------------------------------------------------------------------------------------- 21 5) 延时/统计 --------------------------------------------------------------------------------------- 21 规则编辑页面 ---------------------------------------------------------------------------------------- 21 1) 规则描述 ---------------------------------------------------------------------------------------- 22 2) 本地地址设置 --------------------------------------------------------------------------------- 22 3) 远程地址设置 --------------------------------------------------------------------------------- 22 4) 协议类型 ---------------------------------------------------------------------------------------- 22 5) 本地端口/远程端口 -------------------------------------------------------------------------- 22 6) TCP标志位 ------------------------------------------------------------------------------------ 23 7) ICMP类型/ICMP代码 ---------------------------------------------------------------------- 23

AnHui ZXSoft Co. Ltd.©版权所有 2002-2006

金盾全国技术支持热线:800-868-7722

安 徽 中 新 软 件 有 限 公 司——www.zxfirewall.com

8. 9. 10. 11. 12. 13. 14. 六、

1. 2. 3. 4. 5. 6.

8) 模式匹配 ---------------------------------------------------------------------------------------- 23 9) 规则时限 ---------------------------------------------------------------------------------------- 23 10) 方向选择 --------------------------------------------------------------------------------- 23 11) 规则行为 --------------------------------------------------------------------------------- 23 参数设置页面 ---------------------------------------------------------------------------------------- 23 端口保护设置页面 --------------------------------------------------------------------------------- 24

日志记录页面 --------------------------------------------------------------------------------- 25 设备配置页面 --------------------------------------------------------------------------------- 25 工作状态页面 --------------------------------------------------------------------------------- 26 内核升级页面 --------------------------------------------------------------------------------- 26 集群设置页面 --------------------------------------------------------------------------------- 27 常见应用设置 ---------------------------------------------------------------------------------------- 28 Web服务器 ------------------------------------------------------------------------------------------- 28 FTP服务器 ------------------------------------------------------------------------------------------- 28 终端服务器 ------------------------------------------------------------------------------------------- 28 蓝天语音聊天室 ------------------------------------------------------------------------------------- 29 讯通语音平台 ---------------------------------------------------------------------------------------- 29 传奇服务器 ------------------------------------------------------------------------------------------- 30

AnHui ZXSoft Co. Ltd.©版权所有 2002-2006

金盾全国技术支持热线:800-868-7722

金盾抗DDOS防火墙用户手册

物品清单

小心打开包装箱,检查包装箱里应有的配件:

 一台防火墙  一根交流电源线  一根交叉对连网线  一份《用户手册》  一份宣传册  一张保修卡

 两个用来固定在机架上的L型支架及螺丝若干

如果发现包装箱内有任何物品的缺失或损坏,请立即与销售该产品的经销商或者与最近的本公司的销售人员联系。

第1页 共35页

金盾抗DDOS防火墙用户手册

一、 用户手册简介

首先,感谢您购买我公司的防火墙产品!

本防火墙功能实用,性能优秀,配置简单,是您安全链条中不可缺少的一环。

1. 用途

本手册的用途是帮助您熟悉和正确配置使金盾抗DDOS防火墙。

2. 约定

金盾抗DDOS系列防火墙型号众多,但功能、配置基本相同,因此,本手册内容适用于金盾抗DDOS防火墙全系列的产品。

3. 概述

第一章, 第二章, 第三章, 第四章, 第五章, 第六章,

用户手册简介。

产品概述。描述金盾抗DDOS防火墙的基本特性。 安装指南。指导您进行防火墙的硬件安装步骤。

防火墙功能描述。介绍配置防火墙需有了解的一些概念。 管理及配置。讲述各个配置页面及其功能。

常见应用设置。列举一些常见应用及其标准配置参数。

第2页 共35页

金盾抗DDOS防火墙用户手册

二、 产品概述

本防火墙针对目前广泛存在的DOS/DDOS攻击而设计,为您的网站、信息平台、互动娱乐等基于Internet的网络服务提供完善的保护,使其免受恶意的攻击、破坏。

1. DOS/DDOS简介

拒绝服务攻击(DOS/DDOS)是近年来愈演愈烈的一种攻击手段,其主要目的是造成目标主机的TCP/IP协议层拥塞、或者导致应用层异常终止而形成拒绝服务现象。目前,DOS/DDOS攻击方式主要有以下几种:

a) 利用TCP/IP协议的漏洞,消耗目标主机的系统资源,使其过度负载。此种攻击也是目前最普

遍存在的一种攻击形式,攻击者动辄发起几十兆甚至上百兆的攻击流量,造成目标的彻底瘫痪。常见的有SYN Flood,UDP Flood,ICMP Flood等等;

b) 利用某些基于TCP/IP协议的软件漏洞,造成应用异常。此种攻击比较单一,通常是针对某个

软件的特定版本的攻击,影响范围较小,且具有时限性。但通常此种攻击较难防治,漏洞查找较困难;

c) 不断尝试,频繁连接的野蛮型攻击。此种攻击早期危害有限,但随着代理型攻击的加入,已渐

有成为主流之势。常见的有web stress,CC Proxy Flood等。

随着网络上各种业务的普遍展开,DOS/DDOS攻击所带来的损失也愈益严重。当前运营商、企业及机构的各种用户时刻都面临着攻击的威胁,而可预期的更加强大的攻击工具也会成批出现,此种攻击只会数量更多、破坏力更强大,更加难以防御。

正是DOS/DDOS攻击难于防御,危害严重,所以如何有效的应对DOS攻击就成为对网络安全工作者的严峻挑战。传统网络设备或者边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DOS攻击完善的防御能力。因此必须采用专门的机制,对攻击进行检测、防护、进而遏制这类不断增长的、复杂的且极具隐蔽性的攻击形为。

2. 金盾抗DDOS防火墙

针对当前的DOS/DDOS攻击现状,安徽中新软件自主研发的抗拒绝服务产品——金盾抗DDOS防火墙,具有很强的DOS/DDOS攻击的防护能力。并可在多种网络环境下轻松部署,保证网络的整体性能和可靠性。

1) 技术优势

金盾抗DDOS防火墙,相比其它DOS/DDOS产品,具有以下优势:

a) DOS/DDOS攻击检测及防护

金盾抗拒绝服务系列产品,应用了自主研发的抗拒绝服务攻击算法,对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断,保护服务主机免于攻击所造成的损失。内建的WEB保护模式及游戏保护模式,彻底解决针对此两种应用的DOS攻击方式。

b) 通用方便的报文规则过滤

金盾抗拒绝服务系列产品,除了提供专业的DOS/DDOS攻击检测及防护外,还提供了面

第3页 共35页

金盾抗DDOS防火墙用户手册

向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,极大的提高了通用性及防护力度。同时,内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用。

c) 专业的连接跟踪机制

金盾抗拒绝服务系列产品,内部实现了完整的TCP/IP协议栈,具有强大的连接跟踪能力。每个进出的连接,防火墙都会根据其源地址进行分类,并显示给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,重置连接等辅助功能,弥补了TCP协议本身的不足,使您的服务器在攻击中游刃有余。

d) 简洁丰富的管理

金盾抗拒绝服务系列产品具有丰富的设备管理功能,基于简洁的WEB的管理方式,支持本地或远程的升级。同时,丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。

e) 广泛的部署能力

针对不同的客户,抗拒绝服务所面临的网络环境也不同,企业网、IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的部署带来了不同的挑战。金盾抗DDOS防火墙具备了多种环境下的部署能力。

f) 优质的售后服务

您购买本产品后,将终生享有免费升级服务。我们有专门的技术人员为您进行定期更新,使您的网络始终保持在最安全的状态,免除您的后顾之忧。

2) 防护原理

金盾抗拒绝服务产品基于嵌入式系统设计,在系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低。并采用自主研发的高效的防护算法,效率极高。方案的核心技术架构如下图所示:

金盾防火墙防护原理图

a) 攻击检测

本防火墙利用了多种技术手段对DOS/DDOS攻击进行有效的检测,在不同的流量触发不同的保护机制,在提高效率的同时确保准确度;

b) 协议分析

本防火墙采用了协议的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。

c) 主机识别

第4页 共35页

金盾抗DDOS防火墙用户手册

本防火墙可自动识别其保护的各个主机及其地址。某些主机受到攻击不会影响其它主机的正常服务。

d) 连接跟踪

本防火墙针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对TCP协议的各种攻击。

e) 端口防护

本防火墙建立在连接跟踪模块上的端口防护,针对不同的端口应用,提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的DOS/DDOS攻击保护。

3) 产品系列

经过多年的研发推广,目前金盾抗DDOS防火墙包含软、硬件两个产品线:

a) 软件产品

主要有JDFW-SW8000及JDFW-SWU两种,按照连接数划分,提供不同的处理能力,分别为8000及无限连接数;

b) 硬件产品

JDFW-100百兆标准型DDOS防火墙 JDFW-100百兆双路型DDOS防火墙

JDFW-1000千兆标准型及JDFW-1000+千兆高效型 JDFW-2000千兆专业型 及相应产品的集群型号

第5页 共35页

金盾抗DDOS防火墙用户手册

三、 安装指南

本章首先介绍金盾防火墙的设备类型及其构成,随后讲解具体的硬件安装过程。

3. 设备类型及构成

金盾抗DDOS硬件防火墙,根据处理能力及适用环境的不同,分为如下版本:

4) JDFW-100

百兆型防火墙,适用于百兆接入环境,设备构成如下图所示:

1、JDFW-100型系统配置图

默认管理口从左至右标号为2、3,相应地址为192.168.102.1,192.168.103.1

5) JDFW-200

双路百兆型防火墙,适用于双百兆接入环境,设备构成如下图所示:

2、JDFW-200型系统配置图

默认管理口从左至右标号为4、5,相应地址为192.168.104.1,192.168.105.1

6) JDFW-1000

千兆型防火墙,适用于千兆接入环境,设备构成如下图所示:

第6页 共35页

金盾抗DDOS防火墙用户手册

3、JDFW-1000型系统配置图

默认管理口从左至右标号为2、3,相应地址为192.168.102.1,192.168.103.1

7) JDFW-2000

双路千兆型防火墙,适用于双千兆接入环境,设备构成如下图所示:

4、JDFW-2000型系统配置图

默认管理口从上至下、从左至右分别为3、2、1、0,相应地址为192.168.103.1,192.168.102.1,192.168.101.1,192.168.100.1

8) 集群型号

以上各个型号均具有相应的集群版本,最多可形成四台金盾防火墙集群。一般来说,集群型金盾防火墙与普通型金盾防火墙相比,主要差别在于增加了两个心跳口用于设备间信息的传输,请咨询金盾客服获得相关资料。

9) 其它型号

其它OEM型号,请咨询金盾客服获得相关资料

4. 硬件设备安装

金盾防火墙硬件安装操作比较简单,根据型号的不同主要分为如下几种安装过程。

1) 单路型防火墙

第7页 共35页

金盾抗DDOS防火墙用户手册

单路型防火墙的型号为JDFW-100及JDFW-1000,其安装步骤如下:

a) 连接数据端口,将连接线(数据入线)接入防火墙上标识为“入口”的网口,相应的

内网连接线(数据出线)接入防火墙上标识为“出口”的网口;

b) 连接管理接口,将防火墙的任一标识为“管理口”的网口接入内网交换机;

c) 启动防火墙,连接电源线并启动电源开关,检查接线的各个网口的指示灯是否正常闪烁; d) 登陆管理机,更改 IP地址为与防火墙管理地址同一网段,随后登陆管理界面,确保可以

正常访问;

e) 查看流量,确认数据正常通行,完成安装。

2) 双路型防火墙

双路型防火墙的型号为JDFW-200及JDFW-2000,其安装步骤如下:

a) 连接第一路数据端口,将第一路连接线(数据入线)接入防火墙上第一个标识为“入

口”的网口,相应的内网连接线(数据出线)接入防火墙上第一个标识为“出口”的网口; b) 连接第二路数据端口,将第二路连接线(数据入线)接入防火墙上第二个标识为“入

口”的网口,相应的内网连接线(数据出线)接入防火墙上第二个标识为“出口”的网口; c) 连接管理接口,将防火墙的任一标识为“管理口”的网口接入内网交换机;

d) 在外部交换机上,将两组数据入口设置为端口聚合。在内部交换机上同样将两组数据出口

设置为端口聚合(如果采用双路由模式,则不需要设置);

e) 启动防火墙,连接电源线并启动电源开关,检查接线的各个网口的指示灯是否正常闪烁; f) 登陆管理机,更改 IP地址为与防火墙管理地址同一网段,随后登陆管理界面,确保可以

正常访问;

g) 查看流量,确认数据正常通行,完成安装。

3) 集群型防火墙

集群型防火墙依靠多台防火墙实现防护带宽及防护能力的叠加,目前最多可支持四台防火墙形成集群,抵御近4GB的攻击流量。集群型防火墙安装步骤如下:

a) 重新设置防火墙地址,规划集群防火墙的序号(如1-4),随后依次开启防火墙,连接管理

口,配置防火墙的IP地址,将防火墙所有网卡的地址改为与其序号相对应,这样就可以避免集群中的防火墙出现IP地址冲突的情况。

a) 例如,防火墙的默认地址,按端口排序,依次为192.168.100.1,192.168.101.1,

192.168.102.1„„,而该防火墙的序号规划为2,则将其IP地址设为192.168.100.2,192.168.101.2,192.168.102.2„„。

b) 连接数据端口,依次将每条线路的连接线(数据入线)接入防火墙上标识为“入口”

的网口,相应的内网连接线(数据出线)接入防火墙上标识为“出口”的网口;

c) 连接心跳线路,依次将每台防火墙的心跳口接入交换机(千兆型集群需接入千兆型交换

机)。如果是两台防火墙形成的集群,则心跳线路可直接利用交叉线对接;

d) 连接管理接口,依次将每台防火墙的任一标识为“管理口”的网口接入内网交换机; e) 在外部交换机上,将数据入口设置为端口聚合。在内部交换机上同样将数据出口设置为端

口聚合(如果采用多路由模式,则不需要设置);

f) 登陆管理机,更改 IP地址为与防火墙管理地址同一网段,随后登陆管理界面,进入集群

设置页面,输入防火墙ID所对应的心跳口的IP地址,随后保存并启动。

g) 注意,启动前应确保所有的防火墙均已启动且已工作,成功启动后集群设置页面将出现目

标心跳口的MAC地址;

h) 查看流量,确认数据正常通行,完成安装。

第8页 共35页

金盾抗DDOS防火墙用户手册

5. 注意事项

1) 由于双路模式和集群模式安装设置比较复杂,推荐由金盾防火墙技术人员协助完成安装调试工

作;

2) 当防火墙管理端口无法访问时,请换用其它端口。如果所有管理端均无法访问,请联系金盾客

服人员咨询;

3) 安装防火墙时请避免损坏易碎贴及封口标签,否则将无法享受本公司的免费服务承诺; 4) 在放置防火墙时,请避开多尘及电磁干扰强的地区。

第9页 共35页

金盾抗DDOS防火墙用户手册

四、 防火墙功能描述

本章主要介绍配置和管理防火墙时将涉及到的一些基本概念。

1. 用户登录

本防火墙假定有一名管理人员操作,允许更改密码,以达到非法人员进入防火墙管理界面的目的。

2. 系统信息

防火墙系统信息主要包括:内核版本号及构建日期、序列号码、设备连接状态及地址等。

1) 内核版本号及构建日期

表示当前防火墙的内核的版本Build Number及其构建日期。一般来说,较大的版本号或较新的日期的内核版本,具有更好的防护效率、更完善的抵御措施。

2) 序列号码

一组明文表示的字符串,用于唯一的标识一台防火墙。当寻求技术支持时,需要向金盾客服出示该序列号码。

3) 设备连接状态及地址

连接状态表示当前防火墙的线路连接情况,每个端口均有状态显示,具体为: 10 Half : 10MBps半双工连接 10 Full : 10MBps全双工连接 100 Half : 100MBps半双工连接 100 Full : 100MBps全双工连接 1000 Full : 1000MBps全双工连接

当防火墙上显示的连接状态与您的接入环境不符时,请检查或更换相应的端口连接线(100Mbps以上速率的环境需要5类以上UTP线或光纤连接)。

设备地址表示当前防火墙各个端口的地址设置,包括IP地址,子网掩码及网关地址。正确的设置可以使防火墙具有跨网段远程管理的能力。

3. 规则设置

金盾防火墙提供了通用规则设置接口,功能强大,设置简便。规则细节描述如下:

1) 地址

第10页 共35页

金盾抗DDOS防火墙用户手册

指定规则匹配的地址,包括本地地址和远端地址。可指定的地址类型可以为IP地址范围,如“192.168.1.1-192.168.1.255”,也可指定IP子网,如“192.168.1.1:255.255.255.0”。并且,远端地址还可设置URL形式,这样设置后相应规则将变为对DNS域名解析的过滤规则;

2) 端口

当规则为TCP/UDP协议时,可指定相应的端口域。可指定的端口类型可以为单一端口,如“80”;也可为端口范围,如“135-139”;还可以为离散端口,如“7000, 7100, 7200”;

3) 标志位

当规则为TCP协议时,可指定相应的标志位,包括FIN,SYN,RST,PSH,ACK,URG。具体含义,请参看相应TCP协议技术文档;

4) 模式匹配

指定规则匹配包含的关键字。本防火墙内建高效的模式匹配算法,可快速、批量的进行数据匹配,从原始报文中找出某一组关键字用于规则模式匹配。可指定的关键字,可以是单一关键字,如“haha”;也可以是一组关键字,如“haha heihei hoho”;如果关键字包含不可见字符,还可以通过“\\”进行代码转义,如“\\a8\\aa”;

5) 规则时限

每个规则均设置了激活时间,如果超过此时间,规则将自动被禁用。时限为0则表示激活时间无限;

6) 方向选择

指定规则匹配的数据方向,包括发送数据和接收数据;

7) 规则行为

当规则被匹配后,需要对此报文执行的行为,包括丢弃和放行,并且还可以在规则匹配的同时在日志记录中产生一条日志。

4. 防护状态

目前防火墙自动防护状态主要分为五种,分别为SYN保护模式,UDP保护模式,ICMP保护模式,IGMP保护模式,碎片保护模式。此外需手动设置的模式还包括忽略模式,禁止模式,WebCC保护模式,GameCC保护模式及高级UDP保护模式:

1) SYN保护模式

此模式由防火墙自动设置,用于防护SYN Flood攻击,当每秒SYN报文的数量超过设置值(详见参数设置:SYN保护触发)时即满足触发条件。此模式下防火墙将应用延时应答模式,即在接收

第11页 共35页

金盾抗DDOS防火墙用户手册

到连接请求后,延迟一段时间后发送相应的回应报文。此模式可有效抑制攻击量过大导致的回应报文数量过大的情况,节约带宽成本,但会造成新访问客户建立连接的短暂延时,而已访问过的客户则不受影响。

而当攻击量超过危急设置值(详见参数设置:SYN危急保护触发),则防火墙将应用更加保守的策略,在确保防护大量攻击的同时,保证正常数据流量的通行。而相应的代价,则是造成所有连接建立时的延时(2-3秒)。

此模式在攻击量小于设置值后一段时间后(详见参数设置:防护解除)即自动释放;

2) UDP保护模式

此模式由防火墙自动设置,用于防护UDP Flood攻击,当每秒UDP报文的数量超过设置值(详见参数设置:UDP保护触发)时即满足触发条件。此模式下防火墙将禁止所有的UDP通信,保护主机不受该攻击的影响。

此模式在攻击量小于设置值后一段时间后(详见参数设置:防护解除)即自动释放;

3) ICMP保护模式

此模式由防火墙自动设置,用于防护ICMP Flood攻击,当每秒ICMP报文的数量超过设置值(详见参数设置:ICMP保护触发)时即满足触发条件。此模式下防火墙将禁止所有的ICMP通信,保护主机不受该攻击的影响。

此模式在攻击量小于设置值后一段时间后(详见参数设置:防护解除)即自动释放;

4) IGMP保护模式

此模式由防火墙自动设置,用于防护IGMP Flood攻击,当每秒IGMP报文的数量超过设置值(详见参数设置:IGMP保护触发)时即满足触发条件。此模式下防火墙将禁止所有的IGMP通信,保护主机不受该攻击的影响。

此模式在攻击量小于设置值后一段时间后(详见参数设置:防护解除)即自动释放;

5) 碎片保护模式

此模式由防火墙自动设置,用于防护Fragment Flood攻击,当每秒碎片报文的数量超过设置值(详见参数设置:碎片保护触发)时即满足触发条件。此模式下防火墙将禁止所有的碎片报文,保护主机不受该攻击的影响。

此模式在攻击量小于设置值后一段时间后(详见参数设置:防护解除)即自动释放;

6) 忽略模式

此模式由用户手动设置,防火墙对于该模式下的主机的所有流量采取直通策略,数据不经过防火墙处理而直接转发;

7) 禁止模式

此模式由用户手动设置,防火墙对于该模式下的主机的所有流量采取禁止策略,数据不经过防火墙处理而直接丢弃;

第12页 共35页

金盾抗DDOS防火墙用户手册

8) WebCC保护模式

此模式由用户手动设置,当某一主机运行Web服务并且连接数量大大超过正常值,网站无法访问或访问很慢时,建议设置此模式(同时还需设置相应端口的策略,详见端口保护设置)。此模式下,防火墙将对进入的HTTP请求进行验证操作,确保该请求来自正常的客户浏览行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单而屏蔽;

9) GameCC保护模式

此模式由用户手动设置,当某一主机运行游戏服务并且连接数量大大超过正常值,客户无法登陆或频繁掉线时,建议设置此模式(同时还需设置相应的端口策略,详见端口保护设置)。

此模式下,防火墙将对连入的客户端进行频率及验证操作,确保该客户端的行为属于正常的客户端行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单而屏蔽;

10) 高级UDP保护模式

此模式由用户手动设置,当某一主机运行基于UDP协议的语音聊天室,并且数据量大大超过正常值,聊天室语音或视频频繁卡断时,建议设置此模式(同时还需设置相应的防护变量,详见变量设置)。

此模式下,防火墙将对进入的UDP报文进行缓存验证,确认一组报文来自正常的客户端后才会提交给主机,保证语音服务的正常运行。

5. 参数设置

金盾防火墙内设置了一组参数设置接口,用于调整防火墙工作状态,使其在特殊网络环境下也可保持最佳处理效率及防护能力。

1) 全局控制

全局控制参数提供防火墙全局范围的参数设置,主要包括系统时间和流量控制:

c) 系统时间

一组数字,用于显示或设置防火墙的系统时间。格式为 “年-月-日 小时:分:秒” 例如,“2005- 10- 1 12:01:32”,表示2005年10月1日,12点01分32秒;

d) 流量控制

全局型的流量控制,包括透明直通、网络断开及攻击过滤。透明直通模式下,防火墙相当于一根导线,只是简单的转发数据而不进行处理;网络断开模式下,防火墙只把数据简单的丢弃而不进行处理及转发;攻击过滤为防火墙的默认模式,此模式下,防火墙运行完整的攻击过滤流程,剔除攻击,还原正常流量。

2) 攻击检测

攻击检测参数提供了对防火墙DDOS防御模块的调整接口,包含一系列的攻击触发值及防护解除时间:

第13页 共35页

金盾抗DDOS防火墙用户手册

a) SYN保护触发

用于防护SYN Flood攻击的触发参数,当某台主机承受的SYN报文频率超过该数值时,该主机将进入SYN保护模式(详见保护模式)。此后如果该主机承受的SYN报文频率低于该数值,并保持一段时间后,该主机将脱离SYN保护模式;

b) SYN危急保护触发

用于防护海量型SYN Flood攻击的触发参数,当某台主机承受的SYN报文频率超过该数值时,该主机将采用保守SYN保护模式(详见保护模式)。如果该主机承受的SYN报文频率低于该数值时,该主机将脱离保守SYN保护模式;

c) UDP保护触发

用于防护UDP Flood攻击的触发参数,当某台主机承受的UDP报文频率超过该数值时,该主机将进入UDP保护模式(详见保护模式)。此后如果该主机承受的UDP报文频率低于该数值,并保持一段时间后,该主机将脱离UDP保护模式;

d) ICMP保护触发

用于防护ICMP Flood攻击的触发参数,当某台主机承受的ICMP报文频率超过该数值时,该主机将进入ICMP保护模式(详见保护模式)。此后如果该主机承受的ICMP报文频率低于该数值,并保持一段时间后,该主机将脱离ICMP保护模式;

e) IGMP保护触发

用于防护IGMP Flood攻击的触发参数,当某台主机承受的IGMP报文频率超过该数值时,该主机将进入IGMP保护模式(详见保护模式)。此后如果该主机承受的IGMP报文频率低于该数值,并保持一段时间后,该主机将脱离IGMP保护模式;

f) 碎片保护触发

用于防护Fragment Flood攻击的触发参数,当某台主机承受的碎片报文频率超过该数值时,该主机将进入碎片保护模式(详见保护模式)。此后如果该主机承受的碎片报文频率低于该数值,并保持一段时间后,该主机将脱离碎片保护模式;

g) 防护解除

用于防止离散型攻击造成的某主机频繁进入、脱离保护模式而设置的延时。当某主机承受的攻击量低于相应的触发值,并保持此设置时间后,该主机将脱离相应的保护模式。

3) 防护设置

防护设置参数用于指导防火墙DDOS防御模块的防护行为,详述如下:

a) 请求延时应答

表示处于SYN保护模式的主机,对于新客户的建立连接请求,进行延时的时间。为0表示不进行延时,而此时将使防火墙的负载过重。默认值为2,表示新客户建立的连接需要进行一次重传;

b) 单IP代理

单一客户访问防火墙内主机时,使用HTTP代理的数量,此数值对于发现真实攻击者有效。当遇到通过HTTP代理形成的大连接量攻击时,防火墙有一定的机率发现发动攻击的真实攻击者。如果某个客户端利用的代理数量超过此设置值,防火墙将认为此客户端为真实攻击者而屏蔽,相应的代理也将加入黑名单;

c) 单IP屏蔽时间

设置黑名单内地址的屏蔽时间,超过此时间后相应地址将被从黑名单中释放;

d) 连接空闲超时

防火墙监控的连接如果持续一段时间保持空闲,且相应的端口允许超时(详见端口策略:允许超时),则该连接将被重置以释放资源。

第14页 共35页

金盾抗DDOS防火墙用户手册

4) 变量设置

变量是防火墙内导出的,用于对特定插件模块进行配置的参数形式。为了区别于其它参数形式,而采用防火墙内部变量的原始名称来命名。不同版本的防火墙变量列表也不尽相同,因此,请使用第六章中的特定设置进行配置,或联系金盾防火墙客服人员。

6. 端口策略

某些特殊应用,如Web服务、游戏服务、语音服务等,针对性的防护策略可以使得这些应用具有更好的服务品质(QoS),彻底隔绝恶意客户及攻击工具造成的损害。因此,金盾防火墙内建了端口防御体系,根据不同的应用设置设置端口策略,防护能力更胜一筹。

1) 防护类型

端口防护类型是针对特殊应用而开发的防护手段,目前,端口防护类型主要包含三种:标准防护、动态验证及频率保护:

a) 标准防护

标准防护策略为所有端口默认的防护措施,不对应用做特殊处理,具有最好的兼容性;

b) 动态验证

动态验证策略是金盾防火墙独有的、适用于Web服务的一种防护策略,是针对目前愈演愈烈的CC-HTTP Proxy类攻击而开发的。应用此种策略的端口,防火墙将对进入的HTTP请求进行验证操作,确保该请求来自正常的客户浏览行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单而屏蔽。

防火墙的动态验证模块,只对设置了WebCC保护模式的主机采用该验证策略,没有设置该保护模式的主机不受影响;

c) 频率保护

频率保护策略是金盾防火墙独有的、适用于游戏服务的一种防护策略,是针对目前流行的代理型攻击器、木马型攻击器、BotNet等而开发的。应用此种策略的端口,防火墙将对连入的客户端进入频率及验证操作,确保该客户端的行为属于正常的客户端行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单而屏蔽。

防火墙的频率保护模块,只对设置了GameCC保护模式的主机采用该及验证策略,没有设置该保护模式的主机不受影响。

2) 连接数量

每个客户端允许与主机建立的连接数量,超过的连接将丢失。一般来说,Web服务应将此数值保持为空(无限),而其它对连接数量依赖较小的服务可设置合适的数值来避免主机在单一客户上耗费过多资源。

3) 防护标志

目前防护标志有三种,允许屏蔽,允许超时,允许HTTP:

a) 允许屏蔽

设置允许屏蔽标志后,客户端在此端口进行的访问如果无法通过防火墙的验证模块,则此客户端将被加入黑名单而屏蔽;

第15页 共35页

金盾抗DDOS防火墙用户手册

b) 允许超时

设置允许超时标志后,此端口建立的连接如果持续一段时间保持空闲(详见参数设置:连接空闲超时),则该连接将被重置以释放资源。此种策略对于某些应用可能造成连接数据中断的情况,此时应把相应端口设为禁止屏蔽;

c) 允许HTTP

设置允许HTTP标志后,此端口将允许HTTP协议连接的建立。对于运行非HTTP协议的端口,可将相应端口禁止HTTP,防护代理攻击效果明显。

4) 其它端口参数

一组用于控制防火墙具体的防护模式及策略的参数,其设置比较固定,详见推荐设置。

7. 防火墙集群

第16页 共35页

金盾抗DDOS防火墙用户手册

五、 管理及配置

金盾防火墙集成了简洁高效的Web管理界面,可以方便的使用普通浏览器进行管理设置。本章将详细介绍各个界面及其功能,由此您将觉得配置金盾防火墙是一件轻松的事。

1. 登录页面

在浏览器地址栏输入http://192.168.100.1:28099,将进入金盾防火墙登陆页面(具体需要看防火墙的管理口接入情况,本章假定本章假定防火墙的管理地址为192.168.103.1)。登录页面如下图所示:

金盾防火墙登陆页面

在其中输入管理密码,并点击“提交”,即可进入防火墙欢迎页面。如果密码不正确,将进入验证失败页面,此时需返回并重新输入密码。

注:金盾防火墙出厂默认密码为123,请登陆防火墙后第一时间更改为复杂密码(推荐包含字母、数字、符号的任意组合)。

金盾防火墙验证失败页面

2. 欢迎页面

欢迎页面是登录防火墙后的默认页面,显示了本防火墙的简介,及相应内核版本号、内核编译时间、当前防火墙序列号码。点击导航栏上的“关于”也可以进入该页面。页面如下图所示:

第17页 共35页

金盾抗DDOS防火墙用户手册

金盾防火墙欢迎页面

3. 状态监控页面

状态监控页面显示了当前防火墙下的主机的基本状态,如主机、带宽、攻击频率、连接、防护模式等。页面如下图所示:

金盾防火墙状态监控页面

显示内容描述如下:

1) 主机

显示当前处于防火墙下的主机的IP地址,同时该地址也是一个超连接,点击后即可进入主机状态设定页面。

2) 带宽

显示该主机的入口和出口带宽占用,以Mbps为单位。

注:若某台主机对外进行伪造源地址的攻击(如SYN Flood),由于其源地址是伪造的,防火墙无法定位到具体的机器,而只会在总流量中显示。

3) 攻击频率

第18页 共35页

金盾抗DDOS防火墙用户手册

显示该主机受到的攻击的频率,目前主要统计为SYN报文频率,UDP报文频率,ICMP报文频率,IGMP报文频率,碎片报文频率及非法连接的频率。

4) 连接

显示外部与该主机建立的连接数(in),及该主机与外部建立的连接数(out),远远超过正常值的连接数量表示该主机可能受到代理型攻击,如CC类攻击等,请设置相应的防护模式(详见主机状态设定页面)或联系金盾防火墙客服人员。

5) 防护模式

表示该主机当前所处的防护模式,详见第四章 防护状态节。

6) 网络地址及子网掩码

本防火墙采用基于ARP协议的智能主机发现来识别防火墙下的主机,但某些网络接入环境情况下ARP信息相对较少,则防火墙将无法自动识主机。此时需要手动提交网络地址和子网掩码,提交后即可在状态页面中显示检测到的主机列表。

4. 主机状态设定页面

主机状态设定页面显示了当前主机的一些状态设置参数,包括流量策略及防护策略。页面如下所示:

金盾防火墙主机状态设定页面

1) 主机地址

显示设置的主机地址,“有效”复选框表示该主机是否存在。防火墙的主机自动发现系统有时会发现一些不存在的IP地址,如果您确定某主机不存在而又出现在列表中的话,请清除“有效”复选框,则该主机将被自动清除。

第19页 共35页

金盾抗DDOS防火墙用户手册

2) 流量策略

用于设置针对某主机的流量策略,以MBps为单位,分为入口流量和出口流量。忽略流量和屏蔽流量对应于防护模式的忽略和禁止模式。

本防火墙的流量是基于三层交换的流量。

3) 防护策略

三种防护策略,对应于相应的防护模式:。

5. 连接监控页面

连接监控页面显示了外部网络与受防火墙保护的主机之间建立的连接的细节,同时,黑名单列表也

在本页的首部显示。页面如下图所示:

金盾防火墙连接监控页面

系统中的连接以列表形式分页显示(每页100个连接条目),此列表的含义如下:

1) 控制

包含的“重置”按钮可简单的重置该数据连接;

2) 本地地址

显示了此连接的本地地址及端口,可较方便的定位到具体的服务;

3) 远端地址

显示了建立此数据连接的远端主机的地址;

4) 当前状态

显示了此远端主机对本地主机的服务端口数据请求的状态,若该远端地址被防火墙屏蔽,则此列显示的是屏蔽的剩余时间。否则此列显示的是客户端与该主机:端口建立的连接数量。

6. 规则设置页面

规则设置页面显示了当前防火墙系统中的规则,包括系统规则及用户定义规则。页面如下图所示:

第20页 共35页

金盾抗DDOS防火墙用户手册

金盾防火墙规则设置页面

点击“提交”按钮,将提交当前的选单给防火墙;点击“添加”按钮者某规则的“编辑”操作,将进入规则编辑页面。

显示内容描述如下:

1) 控制

对于该规则进行控制操作。对于系统规则,可能的操作仅包含启用和禁用;而对于用户定义规则,则可进行编辑或删除操作;

2) 协议

表示该规则的协议域,如TCP,UDP,ICMP等;

3) 地址

表示该规则的地址域;

4) 细节

该规则的其它细节性的描述,根据规则不同内容也不同。如果规则包含描述域,则本列显示该规则的描述文本;

5) 延时/统计

规则的剩余时间计数/规则匹配的次数。

7. 规则编辑页面

规则编辑页面用于编辑或添加某个用户定义规则。页面如下图所示:

第21页 共35页

金盾抗DDOS防火墙用户手册

金盾防火墙规则编辑页面

各个参数简述如下,更具体的信息及含义,可参看第四章中的规则设置节:

1) 规则描述

此规则的文本形式的描述,使用户快速理解规则的用途;

2) 本地地址设置

选项“所有地址”,表明此规则匹配所有的本地地址;“地址范围”指定一个地址的范围用于规则的本地地址匹配;“网络掩码”指定一个网络地址范围用于规则的本地地址匹配;

3) 远程地址设置

选项“所有地址”,表明此规则匹配所有的远程地址;“地址范围”指定一个地址的范围用于规则的远程地址匹配;“网络掩码”指定一个网络地址范围用于规则的远程地址匹配;“指定域名”表明此规则的远程地址将匹配对该域名的地址解析请求(若选择此项,则“协议”域自动设为UDP,远程端口自动设成53);

4) 协议类型

指示规则匹配的报文的协议类型,分为IP,TCP,UDP,ICMP等几种。其中,TCP、UDP及ICMP协议将各自激活相应的系列规则设置;

5) 本地端口/远程端口

TCP及UDP协议的规则,将激活此设置域,指示规则的端口匹配值,为空则表示匹配所有端口;

第22页 共35页

金盾抗DDOS防火墙用户手册

6) TCP标志位

TCP协议设置的特定域,指示规则匹配报文的TCP标志位;

7) ICMP类型/ICMP代码

ICMP协议设置的特定域,指示规则匹配报文的ICMP数值;

8) 模式匹配

指示该规则匹配的关键字,可选项还包括“顺序匹配”和“忽略大小写”;

9) 规则时限

指示该规则激活的时间,以秒计数;

10) 方向选择

指示该规则匹配的数据流方向;

11) 规则行为

指示该规则被某个报文匹配后,防火墙将对该报文所做的处理;

8. 参数设置页面

参数设置页面,提供了防火墙一些通用参数的设置接口,用户可方便的配置防火墙的通用防护行为。

页面如下图所示:

第23页 共35页

金盾抗DDOS防火墙用户手册

金盾防火墙参数设置页面

关于本页面中设置的详细信息,请参看第四章参数设置节。 点击“提交”将将更改过的表单提交给防火墙,“默认”则使用默认值来设置防火墙。

9. 端口保护设置页面

端口保护设置页面提供了针对每个端口的设置参数,用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示:

第24页 共35页

金盾抗DDOS防火墙用户手册

金盾防火墙端口保护设置页面

端口保护列表列出了当前已配置的端口设置参数,随后的表单给出了具体的设置方式。关于本页面中设置的详细信息,请参看第四章端口策略节。

点击“提交”,将修改后的端口保护数据提交给防火墙,而“默认”则令防火墙使用默认端口保护设置。

10. 日志记录页面

日志记录页面显示了防火墙启动后一些关键事件的记录信息(最后4096条),方便用户查看系统发生事件的历史记录。页面如下图所示。点击“清除日志”清除日志的历史记录。

金盾防火墙日志记录页面

11. 设备配置页面

设备配置界面,提供了一个对防火墙硬件相关的配置接口。页面如下图所示:

第25页 共35页

金盾抗DDOS防火墙用户手册

金盾防火墙设备配置页面

“设备配置”主要对防火墙系统的网卡接口的地址进行配置,灰色的项表示为防火墙的数据入口和数据出口,不需要IP地址;而其它项均为防火墙的配置接口,用户可更改这些网卡的IP地址,方便访问。同时,还可将某些网卡接入,并配置IP地址,这样就无须控制机的中转。关于本页面中设置的详细信息,请参看第四章系统信息节。

“提交”将更改的配置提交给防火墙,“默认”使得防火墙使用默认配置。另外,为了防止错误配置导致防火墙的永久损坏,防火墙重起后将恢复默认设置。“重起”按钮将重起防火墙,用于某些特殊情况(如防火墙异常)。

12. 工作状态页面

工作状态页面,提供了即时查看防火墙当前工作状态的接口。页面如下图所示:

金盾防火墙工作状态页面

CPU占用率、内存使用,均为当前防火墙的即时状态。网络统计,则显示一秒内防火墙各个网卡收发数据情况,一般来说,入口和出口设备的频率应该较高。

13. 内核升级页面

本页面用于防火墙的升级,通过此页面提交包含新版本内核的升级包给防火墙,由防火墙自动完成升级工作。提交错误的升级包可能对防火墙造成永久损害,所以本页面仅授权金盾客服人员使用。页面如下图所示:

第26页 共35页

金盾抗DDOS防火墙用户手册

金盾防火墙更新系统页面

14. 集群设置页面

本页面用于防火墙集群系统的配置及启动,由于集群模式安装的复杂性,本页面由金盾防火墙技术人员使用。页面如下图所示:

金盾防火墙集群设置页面

第27页 共35页

金盾抗DDOS防火墙用户手册

六、 常见应用设置

本章将针对目前常见的一些应用服务器,给出一系列标准的参数设置。如果这些标准参数不适合您的服务器,请联系金盾防火墙客服人员进行咨询及技术支持。

1. Web服务器

假设Web服务器运行于80端口,为了使防火墙对该端口进行验证行为,则需要设置端口策略如下: 防护类型 : 动态验证 端口范围 : 80 连接数量 : (表示不填写,下同) 允许屏蔽 : 选择 允许超时 : 选择 允许HTTP : 选择 连接频率保护 : 300,5, , , 频率保护 : 当网站连接数过多,网页无法打开或打开缓慢时,请在相应主机上设置WebCC保护,使该端口策略生效;

2. FTP服务器

假设FTP服务器运行于21端口,且每个IP允许一个连接,则需要设置端口策略如下: 防护类型 : 标准防护 端口范围 : 21 连接数量 : 1 允许屏蔽 : 选择 允许超时 : 不选择 允许HTTP : 不选择 连接频率保护 : , , , , 频率保护 :

3. 终端服务器

假设终端服务器运行于33端口,且每个IP允许一个连接,则需要设置端口策略如下: 防护类型 : 标准防护 端口范围 : 33 连接数量 : 1 允许屏蔽 : 选择 允许超时 : 不选择 允许HTTP : 不选择 连接频率保护 : , , , ,

第28页 共35页

金盾抗DDOS防火墙用户手册

频率保护 :

4. 蓝天语音聊天室

本设置只针对Bluesky Voice的语音平台。假设聊天室HTTP端口为2000-3000,UDP语音端口为2000-3000,UDP视频端口为12000-13000,则需要设置端口策略如下: 防护类型 : 动态验证 端口范围 : 2000-3000 连接数量 : 允许屏蔽 : 选择 允许超时 : 选择 允许HTTP : 选择 连接频率保护 : 300,5, , , 频率保护 :

随后,需要设置变量如下: Tuple_OpenTimeout : 4 Tuple_LinkTimeout : 30

Tuple_Methods : Cmvftlz!Ifbsucfbu SPPNJE VTFSOBNF QBTTXPSE Tuple_Ports : 2000-3000 12000-13000

当聊天室网页无法打开或打开缓慢时,请在相应主机设置WebCC保护;当聊天室语音、视频频繁卡断时,请在相应主机上设置高级UDP保护,使该设置生效。

5. 讯通语音平台

本设置只针对讯通视频语音系统。假设聊天室HTTP端口为80,UDP语音端口为8000,则需要设置端口策略如下: 防护类型 : 动态验证 端口范围 : 80 连接数量 : 允许屏蔽 : 选择 允许超时 : 选择 允许HTTP : 选择 连接频率保护 : 300,5, , , 频率保护 :

随后,需要设置变量如下: Tuple_OpenTimeout : 4 Tuple_LinkTimeout : 30 Tuple_Methods : Tuple_Ports : 0 8000

当聊天室网页无法打开或打开缓慢时,请在相应主机设置WebCC保护;当聊天室语音、视频频繁卡

第29页 共35页

金盾抗DDOS防火墙用户手册

断时,请在相应主机上设置高级UDP保护,使该设置生效。

6. 传奇服务器

假设传奇服务器网关运行于7000端口,为了防护通过代理或者网络僵尸进行的攻击,需要设置端口策略如下: 防护类型 : 频率保护 端口范围 : 7000 连接数量 : 5 允许屏蔽 : 选择 允许超时 : 选择 允许HTTP : 不选择 连接频率保护 : 300,5,10,10,2 频率保护一 : 2秒内至多允许接收0个报文,失败则重置连接 频率保护二 : 20秒内至多允许接收20个报文,失败则重置连接 频率保护三 : 40 秒内至少需要接收100个报文,失败不重置连接 频率保护四 : 当游戏网关连接数过多,导致客户无法正常登陆或频繁掉线,请在相应主机上设置GameCC保护,使该端口策略生效。

第30页 共35页

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文

Copyright © 2019- 91gzw.com 版权所有 湘ICP备2023023988号-2

违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务