金盾抗DDOS防火墙用户手册
b) 协议分析
本防火墙采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。
c) 主机识别
本防火墙可自动识别其保护的各个主机及其地址。实现某台主机受到攻击不会影响其它主机的正常服务。
d) 连接跟踪
本防火墙针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对TCP协议的各种攻击。
e) 端口防护
本防火墙建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的DOS/DDOS攻击保护。
3) 产品系列
经过多年的研发推广,目前金盾抗DDOS防火墙包含软、硬件两个产品线:
a) 软件产品
主要有JDFW-SW8000及JDFW-SWU两种,按照连接数划分,提供不同的处理能力,分别为8000及无限连接数;
b) 硬件产品
JDFW-100+百兆标准型DDOS防火墙 JDFW-300+百兆高效型DDOS防火墙 JDFW-1000+千兆标准型 JDFW-8000+千兆高效型 JDFW-2000+千兆双路专业型 及相应产品的集群型号
第5页 共42页
金盾抗DDOS防火墙用户手册
三、安装指南
本章首先介绍金盾防火墙的设备类型及其构成,随后讲解具体的硬件安装过程。
1.设备类型及构成
金盾抗DDOS硬件防火墙,根据处理能力及适用环境的不同,分为如下版本:
1)JDFW-100+
百兆型防火墙,适用于百兆接入环境,设备构成如下图所示:
JDFW-100+型系统配置图
默认管理口从左至右标号为2、3,相应地址为192.168.102.1,192.168.103.1 注:JDFW-300+ 结构与JDFW-100+相同。
2)JDFW-1000+
千兆标准型防火墙,适用于千兆接入环境,设备构成如下图所示:
第6页 共42页
金盾抗DDOS防火墙用户手册
JDFW-1000+型系统配置图
默认管理口E0,E1,E2相应地址为192.168.100.1,192.168.101.1,192.168.102.1
3)JDFW-8000+
千兆高效型防火墙,适用于千兆接入环境,设备构成如下图所示:
JDFW-8000+型系统配置图
默认管理口从左至右标号为2、3,相应地址为192.168.102.1,192.168.103.1
4) JDFW-2000+
双路千兆型防火墙,适用于双千兆接入环境,设备构成如下图所示:
JDFW-2000+型系统配置图
默认管理口E3,相应地址为192.168.107.1,扩展口也可做管理使用地址为,E0:
第7页 共42页
金盾抗DDOS防火墙用户手册
192.168.104.1;E1:192.168.105.1;E2:192.168.106.1。
5) 集群型号
以上各个型号均有相应的集群版本,一般来说,集群型金盾防火墙与普通型金盾防火墙相比,主要差别在于增加了心跳功能用于设备之间的信息传输,请咨询金盾售后获得相关资料。
2.硬件设备安装
金盾防火墙硬件安装操作比较简单,根据型号的不同主要分为如下几种安装过程。
1) 单路型防火墙
单路型防火墙的型号为JDFW-100+;JDFW-1000+;JDFW-8000+,其安装步骤如下:
a) 连接数据端口,将外网连接线(数据入线)接入防火墙上标识为“进口”的网口,相应的
内网连接线(数据出线)接入防火墙上标识为“出口”的网口; b) 连接管理接口,将防火墙的任一标识为“管理口”的网口接入外网或内网交换机; c) 启动防火墙,连接电源线并启动电源开关,检查接线的各个网口的指示灯是否正常闪烁; d) 登陆管理机,更改 IP地址为与防火墙管理地址同一网段,随后登陆管理界面,确保可以正常访问;
e) 查看流量,确认数据正常通行,完成安装。
2) 双路型防火墙
双路型防火墙的型号为JDFW-2000+,其安装步骤如下:
a) 连接第一路数据端口,将第一路外网连接线(数据入线)接入防火墙上第一个标识为“进口”的网口,相应的内网连接线(数据出线)接入防火墙上第一个标识为“出口”的网口; b) 连接第二路数据端口,将第二路外网连接线(数据入线)接入防火墙上第二个标识为“进
口”的网口,相应的内网连接线(数据出线)接入防火墙上第二个标识为“出口”的网口; c) 连接管理接口,将防火墙的任一标识为“管理口”的网口接入外网或内网交换机; d) 在外部交换机上,将两组数据入口设置为端口聚合。在内部交换机上同样将两组数据出口
设置为端口聚合(如果采用双路由模式,则不需要设置); e) 启动防火墙,连接电源线并启动电源开关,检查接线的各个网口的指示灯是否正常闪烁; f) 登陆管理机,更改 IP地址为与防火墙管理地址同一网段,随后登陆管理界面,确保可以
正常访问;
g) 查看流量,确认数据正常通行,完成安装。
3) 集群型防火墙
集群型防火墙依靠多台防火墙实现防护带宽及防护能力的叠加,目前可支持多台防火墙形成集群,抵御大的攻击流量。集群型防火墙安装步骤如下:
a) 重新设置防火墙地址,规划集群防火墙的序号(如1-10),随后依次开启防火墙,连接管
理口,配置防火墙的IP地址,将防火墙所有网卡的地址改为与其序号相对应,这样就可
第8页 共42页
金盾抗DDOS防火墙用户手册
以避免集群中的防火墙出现IP地址冲突的情况;
例如,防火墙的默认地址,按端口排序,依次为192.168.100.1,192.168.101.1,192.168.102.1??,而该防火墙的序号规划为2,则将其IP地址设为192.168.100.2,192.168.101.2,192.168.102.2??;
b) 连接数据端口,依次将每条线路的外网连接线(数据入线)接入防火墙上标识为“进口”
的网口,相应的内网连接线(数据出线)接入防火墙上标识为“出口”的网口;
c) 连接心跳线路,依次将每台防火墙的心跳口接入交换机(千兆型集群需接入千兆型交换
机)。如果是两台防火墙形成的集群,则心跳线路可直接利用交叉线对接;
d) 连接管理接口,依次将每台防火墙的任一标识为“管理口”的网口接入内网交换机; e) 在外部交换机上,将数据入口设置为端口聚合。在内部交换机上同样将数据出口设置为端口聚合(如果采用多路由模式,则不需要设置);
f) 登陆管理机,更改 IP地址为与防火墙管理地址同一网段,随后登陆管理界面,进入集群
设置页面,输入防火墙ID所对应的心跳口的IP地址,随后保存; g) 注意,启动防火墙后集群功能自动生效; h) 查看流量,确认数据正常通行,完成安装。
3.注意事项
a) 由于双路模式和集群模式安装设置比较复杂,建议由金盾防火墙技术人员协助完成安装调试工作;
b) 当防火墙管理口无法访问时,请换用其它管理口。如果所有管理口均无法访问,请联系金盾售后人员进行咨询;
c) 安装防火墙时请避免损坏易碎贴及封口标签,否则将无法享受本公司的免费服务承诺; d) 在放置防火墙时,请避开多尘及电磁干扰强的地区。
第9页 共42页