金盾抗DDOS防火墙用户手册
四、防火墙功能描述
本章主要介绍配置和管理防火墙时涉及到的一些基本概念。
1.用户登录
本防火墙通过系统管理权限登陆,允许更改密码,以达到限制非法人员进入防火墙管理界面的目的。
2.系统信息
防火墙系统信息主要包括:内核版本号及构建日期、序列号码、设备连接状态及地址等。
1)内核版本号
表示当前防火墙的内核的版本Build Number及其构建日期。一般来说,较大的版本号或较新日期的内核版本,具有更好的防护效率、更完善的抵御措施。
2)序列号码
一组明文表示的字符串,用于唯一的标识一台防火墙。当寻求技术支持时,需要向金盾客服提供该序列号码。
3)设备连接状态及地址
连接状态表示当前防火墙的线路连接情况,每个端口均有状态显示,具体为: 10 Half :10MBps半双工连接 10 Full :10MBps全双工连接 100 Half:100MBps半双工连接
100 Full:100MBps全双工连接 1000 Full:1000MBps全双工连接
当防火墙上显示的连接状态与您的接入环境不符时,请检查或更换相应的端口连接线(100Mbps以上速率的环境需要5类以上UTP线或光纤连接)。
设备地址表示当前防火墙各个端口的地址设置,包括IP地址,子网掩码及网关地址。正确的设置可以使防火墙具有跨网段远程管理的能力。
3.规则设置
金盾防火墙提供了通用规则设置接口,功能强大,设置简便。规则细节描述如下:
1)地址
第10页 共42页
金盾抗DDOS防火墙用户手册
指定规则匹配的地址,包括本地地址和远端地址。可指定的地址类型可以为IP地址范围,如“192.168.1.1-192.168.1.255”,也可指定IP子网,如“192.168.1.1:255.255.255.0”。
2) 端口
当规则为TCP/UDP协议时,可指定相应的端口域。可指定的端口类型可以为单一端口,如“80”;也可为端口范围,如“135-445”;还可以为离散端口,如“7000, 7100, 7200”。
3)标志位
当规则为TCP协议时,可指定相应的标志位,包括FIN,SYN,RST,PSH,ACK,URG。
4)模式匹配
指定规则匹配包含的关键字。本防火墙内建高效的模式匹配算法,可快速、批量的进行数据匹配,从原始报文中找出某一组关键字用于规则模式匹配。指定的关键字,可以是单一关键字,如“haha”;也可以是一组关键字,如“haha heihei hoho”;如果关键字包含不可见字符,还可以通过“\\”进行代码转义,如“\\a8\\aa”。并可通过“顺序匹配”和“忽略大小写”来自定义需要匹配内容。
5)方向选择
指定规则匹配的数据方向,包括发送数据和接收数据。
6)规则行为
当规则被匹配后,需要对此报文执行的行为,包括过滤、拦截、放行和屏蔽,并且还可以在规则匹配的同时在日志记录中产生一条日志。
4.防护状态
目前防火墙自动防护状态主要分为SYN保护模式,SYN危急保护模式,ACK&RST保护模式,UDP保护模式,ICMP保护模式,NonIP保护模式,碎片保护模式。此外需手动设置的模式还包括忽略模式,禁止模式,WebCC保护模式,GameCC保护模式及高级UDP保护模式:
1) SYN保护模式
此模式由防火墙自动设置,用于防护SYN Flood攻击,当每秒SYN报文的数量超过设置值(详见参数设置:SYN保护触发)时即满足触发条件。此模式下防火墙将应用延时应答模式,即在接收到连接请求后,延迟一段时间后发送相应的回应报文。此模式可有效抑制攻击量过大导致的回应报
第11页 共42页
金盾抗DDOS防火墙用户手册
文数量过大的情况,节约带宽成本,但会造成新访问客户建立连接的短暂延时,而已访问过的客户则不受影响。
而当攻击量超过危急设置值(详见参数设置:SYN危急保护触发),则防火墙将应用更加保守的策略,在确保防护大量攻击的同时,保证正常数据流量的通行。而相应的代价,则是造成所有连接建立时的延时(2-3秒)。
此模式在攻击量小于设置值一段时间后即自动释放。
2) SYN危急保护模式
此模式由防火墙自动设置,用于SYN攻击危急防护,当每秒SYN报文的数量超过设置值(详见参数设置:SYN危急保护触发)时即满足触发条件。此模式下防火墙将采用一种保守的防护策略,保护主机不受该攻击的影响。
此模式在攻击量小于设置值一段时间后即自动释放。
3) ACK&RST保护模式
此模式由防火墙自动设置,用于防护ACK&RST攻击,当每秒ACK&RST报文的数量超过设置值(详见参数设置:ACK&RST保护触发)时即满足触发条件。此模式下防火墙将禁止所有的ACK&RST通信,保护主机不受该攻击的影响。
4) UDP保护模式
此模式由防火墙自动设置,用于防护UDP Flood攻击,当每秒UDP报文的数量超过设置值(详见参数设置:UDP保护触发)时即满足触发条件。此模式下防火墙将禁止所有的UDP通信,保护主机不受该攻击的影响。
此模式在攻击量小于设置值一段时间后即自动释放。
5) ICMP保护模式
此模式由防火墙自动设置,用于防护ICMP Flood攻击,当每秒ICMP报文的数量超过设置值(详见参数设置:ICMP保护触发)时即满足触发条件。此模式下防火墙将禁止所有的ICMP通信,保护主机不受该攻击的影响。
此模式在攻击量小于设置值一段时间后即自动释放。
6)碎片保护模式
此模式由防火墙自动设置,用于防护Fragment Flood攻击,当每秒碎片报文的数量超过设置值(详见参数设置:碎片保护触发)时即满足触发条件。此模式下防火墙将禁止所有的碎片报文,保护主机不受该攻击的影响。
此模式在攻击量小于设置值一段时间后即自动释放。
第12页 共42页
金盾抗DDOS防火墙用户手册
7) NonIP保护模式
用于防护ip协议族的其它不常用的协议的攻击类型,当某台主机承受的NonIP报文频率超过该数值时,该主机将进入NonIP保护模式。
8) 忽略模式
此模式由用户手动设置,防火墙对于该模式下主机的所有流量采取直通策略,数据不经过防火墙处理而直接转发。
9) 禁止模式
此模式由用户手动设置,防火墙对于该模式下主机的所有流量采取禁止策略,数据不经过防火墙处理而直接丢弃。
10) WebCC保护模式
此模式由用户手动设置,当某一主机运行Web服务并且连接数量大大超过正常值,网站无法访问或访问很慢时,建议设置此模式(同时还需设置相应端口的策略,详见端口保护设置)。此模式下,防火墙将对进入的HTTP请求进行验证操作,确保该请求来自正常的客户浏览行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单进行屏蔽。
11) GameCC保护模式
此模式由用户手动设置,当某一主机运行游戏服务并且连接数量大大超过正常值,客户无法登陆或频繁掉线时,建议设置此模式(同时还需设置相应的端口策略,详见端口保护设置)。
此模式下,防火墙将对连入的客户端进行频率限制及验证操作,确保该客户端的行为属于正常的客户端行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单进行屏蔽。
12) 高级UDP保护模式
此模式由用户手动设置,当某一主机运行基于UDP协议的语音聊天室,当受到UDP FLOOD攻击导致聊天室无法登陆,语音或视频频繁卡断时,建议设置此模式。
此模式下,防火墙将对进入的UDP报文进行缓存验证,确认一组报文来自正常的客户端后才会提交给主机,保证语音服务的正常运行。
5.参数设置
金盾防火墙内设置了一组参数设置接口,用于调整防火墙工作状态,使其在特殊网络环境下也
第13页 共42页
金盾抗DDOS防火墙用户手册
可保持最佳处理效率及防护能力。
1) 系统控制
系统控制参数提供防火墙全局范围的参数设置,主要包括系统时间和流量控制:
a)系统时间
一组数字,用于显示或设置防火墙的系统时间。格式为“年-月-日 时:分:秒” 例如,“2008- 10- 1 12:01:32”,表示2008年10月1日,12点01分32秒;
b) 流量控制
全局型的流量控制,包括透明直通、网络断开及攻击过滤。透明直通模式下,防火墙相当于一根导线,只是简单的转发数据而不进行处理;网络断开模式下,防火墙只把数据简单的丢弃而不进行处理及转发;攻击过滤为防火墙的默认模式,此模式下,防火墙运行完整的攻击过滤流程,过滤攻击保证正常流量到达主机;
c)策略选项
服务器自动发现模式
启用此选择可有效识别到防火墙下的主机地址;
TCP严格序列号检测
启用此选择防御异常协议栈的攻击;
2)攻击检测
攻击检测参数提供了对防火墙DDOS防御模块的调整接口,包含一系列的攻击触发值及防护解除时间:
a) SYN Flood保护
用于防护SYN Flood攻击的触发参数,当某台主机承受的SYN报文频率超过该数值时,该主机将进入SYN保护模式。此后如果该主机承受的SYN报文频率低于该数值,并保持一段时间后,该主机将脱离SYN保护模式;
b)SYN Flood高压保护
用于防护海量型SYN Flood攻击的触发参数,当某台主机承受的SYN报文频率超过该数值时,该主机将采用保守SYN保护模式。如果该主机承受的SYN报文频率低于该数值时,该主机将脱离保守SYN保护模式;
c)SYN Flood单机保护
用于防护单IP发送SYN频率高的攻击,当单IP发送的SYN频率超过设置值时,防火墙将屏蔽该地址;
d)ACK&RST Flood保护
用于防护ACK&RST攻击的触发参数,当某台主机承受的ACK&RST数据超过该数值时,该主
第14页 共42页