金盾抗DDOS防火墙用户手册
2)版本信息.......................................................................................................................35 3)报文捕捉.......................................................................................................................35 4)产品升级 .........................................................................................................................36
AnHui ZXSoft Co. Ltd.?版权所有 2002-2008
金盾全国技术支持热线:800-868-7722
金盾抗DDOS防火墙用户手册
物品清单
小心打开包装箱,检查包装箱里应有的配件: ? 一台防火墙 ? 一根交流电源线 ? 一根直连网线 ? 一根交叉网线 ? 一份《用户手册》 ? 一份宣传册
? 一对LC-LC光纤线 ? 螺丝若干
第1页 共42页
金盾抗DDOS防火墙用户手册
一、用户手册简介
首先,感谢您购买我公司的防火墙产品!
本防火墙功能实用,性能优秀,配置简单,是您安全链条中不可缺少的一环。
1. 用途
本手册的用途是帮助您熟悉和正确配置使用金盾抗DDOS防火墙。
2. 约定
金盾抗DDOS系列防火墙型号众多,但功能、配置基本相同,因此,本手册内容适用于金盾抗DDOS防火墙全系列产品。
3. 概述
第一章, 用户手册简介。
第二章, 产品概述。描述金盾抗DDOS防火墙的基本特性。 第三章, 安装指南。指导您如何进行安装防火墙。
第四章, 防火墙功能描述。介绍配置防火墙需要了解的一些概念。 第五章, 管理及配置。讲述各个配置页面及其功能。
第2页 共42页
金盾抗DDOS防火墙用户手册
二、产品概述
本防火墙针对目前广泛存在的DOS/DDOS攻击而设计,为您的网站、信息平台、互动娱乐等基于Internet的网络服务提供完善的保护,使其免受恶意的攻击、破坏。
1. DOS/DDOS简介
拒绝服务攻击(DOS/DDOS)是近年来愈演愈烈的一种攻击手段,其主要目的是造成目标主机的TCP/IP协议层拥塞、或者导致应用层异常终止而形成拒绝服务的现象。目前,DOS/DDOS攻击方式主要有以下几种:
a) 利用TCP/IP协议的漏洞,消耗目标主机的系统资源,使其过度负载。此种攻击也是目前十分
普遍存在的一种攻击形式,攻击者动辄发起几十兆甚至上百兆的攻击流量,造成目标的彻底瘫痪。常见的有SYN Flood,UDP Flood,ICMP Flood等等;
b) 利用某些基于TCP/IP协议的软件漏洞,造成应用异常。此种攻击比较单一,通常是针对某个
软件特定版本的攻击,影响范围较小,且具有时限性。但通常此种攻击较难防御,漏洞查找较
困难;
c) 不断尝试,频繁连接的野蛮型攻击。此种攻击早期危害有限,但随着代理型攻击的加入,已渐
有成为主流之势。常见的有WEB Stress,CC Proxy Flood等。 随着网络上各种业务的普遍展开,DOS/DDOS攻击所带来的损失也愈益严重。当前运营商、企业及政府机构等各种用户时刻都面临着被攻击的威胁,而可预期的更加强大的攻击工具也会成批出现,此种攻击只会数量更多、破坏力更强大,更加难以防御。
正是DOS/DDOS攻击难于防御,危害严重,所以如何有效的应对DOS攻击就成为对网络安全工作者的严峻挑战。传统网络设备或者边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DOS攻击完善的防御能力。因此必须采用专门的机制,对攻击进行检测、防护、进而遏制这类不断增长的、复杂的且极具隐蔽性的攻击行为。
2. 金盾抗DDOS防火墙
针对当前的DOS/DDOS攻击现状,安徽中新软件自主研发的抗拒绝服务产品——金盾抗DDOS防火墙,具有很强的DOS/DDOS攻击的防护能力。并可在多种网络环境下轻松部署,保证网络的整体性能和可靠性。
1) 技术优势
金盾抗DDOS防火墙,相比其它DOS/DDOS产品,具有以下优势:
a) DOS/DDOS攻击检测及防护
金盾抗拒绝服务系列产品,应用了自主研发的抗拒绝服务攻击算法,对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断,保护服务主机降低攻击所造成的损失。内建的WEB保护模式及游戏保护模式,彻底解决针对此两种应用的DOS攻击方式。
第3页 共42页
金盾抗DDOS防火墙用户手册
b) 通用方便的报文规则过滤
金盾抗拒绝服务系列产品,除了提供专业的DOS/DDOS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,极大的提高了通用性及防护力度。同时,内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用。
c) 专业的连接跟踪机制
金盾抗拒绝服务系列产品,内部实现了完整的TCP/IP协议栈,具有强大的连接跟踪能力。每个进出的连接,防火墙都会根据其源地址进行分类,并显示出来给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,重置连接等辅助功能,弥补了TCP协议本身的不足,使您的服务器在攻击中游刃有余。
d) 简洁丰富的管理
金盾抗拒绝服务系列产品具有丰富的设备管理功能,基于简洁的WEB管理方式,支持本地或远程升级。同时,丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。
e) 广泛的部署能力
针对不同的客户,抗拒绝服务所面临的网络环境也不同,企业网、IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的部署带来了不同的挑战。金盾抗DDOS防火墙具备了多种环境下的部署能力。
f) 优质的售后服务
您购买本产品后,将终生享有免费升级服务。我们有专门的技术人员为您进行定期更新,使您的网络始终保持在最安全的状态,免除您的后顾之忧。
2) 防护原理
金盾抗拒绝服务产品基于嵌入式系统设计,系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低。并采用自主研发的高效防护算法,效率极高。方案的核心技术架构如下图所示:
金盾防火墙防护原理图
a) 攻击检测
本防火墙利用了多种技术手段对DOS/DDOS攻击进行有效的检测,在针对不同的流量触发不同的保护机制,提高效率的同时确保准确度;
第4页 共42页