金盾抗DDOS防火墙用户手册
机将进入ACK保护模式;
e)TCP端口自动关闭触发
用户设置空端口自动关闭的触发参数,当某个空端口接收数据每秒达到触发值此端口将会
被禁止,当攻击量小于设置值之后,3分钟后将会被释放;
f)UDP保护触发
用于防护UDP Flood攻击的触发参数,当某台主机承受的UDP报文频率超过该数值时,该主机将进入UDP保护模式。此后如果该主机承受的UDP报文频率低于该数值,并保持一段时间后,该主机将脱离UDP保护模式;
g ) ICMP保护触发
用于防护ICMP Flood攻击的触发参数,当某台主机承受的ICMP报文频率超过该数值时,该主机将进入ICMP保护模式。此后如果该主机承受的ICMP报文频率低于该数值,并保持一段时间后,该主机将脱离ICMP保护模式;
h) 碎片保护触发
用于防护Fragment Flood攻击的触发参数,当某台主机承受的碎片报文频率超过该数值时,该主机将进入碎片保护模式(详见保护模式)。此后如果该主机承受的碎片报文频率低于该数值,并保持一段时间后,该主机将脱离碎片保护模式。
i) NonIP保护触发
用于防护ip协议族的其它不常用的协议的攻击类型,当某台主机承受的NonIP报文频率超过该数值时,该主机将进入NonIP保护模式
3) 流量限制
流量限制策略主要是针对一些攻击流量做限制:
a)紧急触发状态
针对攻击频率较高的攻击防护模式,此模式将更为严格过滤攻击;
b)简单过滤流量限制
是针对某些显见的攻击报文做的一种过滤模式,目前可以过滤内容完全相同的报文,及使用真实地址进行攻击的报文; c)忽略主机流量限制
用于限制忽略主机的流量,当某个忽略主机的流量超过设置值,超过的流量将被丢弃;
d)伪造源流量限制
用于限制内网攻击。当某数据包的原MAC地址不同于防火墙记录到的MAC地址,该数据包将被认为是伪造源流量,超过设置值的伪造源流量将被丢弃;
4) TCP防护
第15页 共42页
金盾抗DDOS防火墙用户手册
防护设置参数用于指导防火墙DDOS防御模块的防护行为,详述如下:
a) 屏蔽持续时间:
防火墙在检测到某一IP对主机的攻击行为后,将自动将该IP加入到屏蔽列表,不再继续处理来自该IP的任何请求,直到经过指定时间后才会解封。如果该值为0,则不使用自动屏蔽规则;
b) 连接数量保护
用来设置针对连接数量控制方式,指一台受保护的服务器与某个客户端之间建立的连接数达到设定数值,将会对客户端地址进行屏蔽。
c) 连接空闲超时
防火墙确认一个连接可信任后,如果这个连接在大于此数值的时间内持续空闲,则防火墙认为该连接无效,将重置该连接;
d) 默认黑名单策略
用来设置针对特殊性肉鸡及代理攻击。
5) UDP防护设置
a) 请求连接超时
防火墙在接收到来自某地址报文后,如果在大于此数值的时间内没有接收到响应报文,则认为此连接请求不被信任,防火墙将丢弃该请求。
b) 建立连接超时
防火墙在信任并建立一个连接后,如果“验证时间”内没有收到数据报文,则防火墙认为连接为空连接,将重置该连接,此参数可有效防护空连接攻击。
6) 变量设置
Web.Special 针对特殊WEB页面的设置模式。
6.端口策略
某些特殊应用,如Web服务、游戏服务、语音服务等,针对性的防护策略可以使得这些应用具有更好的服务品质,彻底隔绝恶意客户及攻击工具造成的损害。因此,金盾防火墙内建了端口防御体系,根据不同的应用采取独立设置端口策略,防护能力更胜一筹。
1)防护类型
端口防护类型是针对特殊应用而开发的防护手段,目前,端口防护类型主要包含三种:标准防护、动态验证及频率保护:
a) 标准防护(default)
标准防护策略为所有端口默认的防护措施,不对应用做特殊处理,具有最好的兼容性;
第16页 共42页
金盾抗DDOS防火墙用户手册
b) 动态验证(WEB Service Protection)
动态验证策略是金盾防火墙独有的、适用于Web服务的一种防护策略,是针对目前愈演愈烈的CC-HTTP Proxy类攻击而开发的。应用此种策略的端口,防火墙将对进入的HTTP请求进行验证操作,确保该请求来自正常的客户浏览行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单进行屏蔽。
防火墙的动态验证模块,只对设置了WebCC保护模式的主机采用该验证策略,没有设置该保护模式的主机不受影响;
c) 频率保护(Game Service Protection)
频率保护策略是金盾防火墙独有的、适用于游戏服务的一种防护策略,是针对目前流行的代理型攻击器、木马型攻击器、BotNet等而开发的。应用此种策略的端口,防火墙将对连入的客户端进入频率限制及验证操作,确保该客户端的行为属于正常的客户端行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单进行屏蔽。
防火墙的频率保护模块,只对设置了GameCC保护模式的主机采用该限制及验证策略,没有设置该保护模式的主机不受影响。
2) 连接攻击检测
用于自动启用TCP防护插件。设置该参数后,当主机与该端口范围的TCP连接频率超过设置数值,该主机将自动进入TCP防护模式,设置的插件将被启用,当连接频率小于该数值后一段时
间,该主机将自动取消TCP防护模式。
注:在主机设置页面手工设置TCP防护不会自动取消。
3) 连接数量限制
限制每个客户端允许与主机建立的连接数量,超出设置数量该连接被屏蔽。一般来说,Web服务应将此数值保持为空(无限),而其它对连接数量依赖较小的服务可设置合适的数值来避免主机在单一客户上耗费过多资源。
4) 端口探测限制
限制每个客户端允许与主机建立空连接的数量,超出设置限制该连接被屏蔽。
5) 防护标志
目前防护标志有四种,超时连接; 超出屏蔽;延时提交;接受协议
a)超时连接
设置超时连接标志后,此端口建立的连接如果持续一段时间保持空闲,则该连接将被重置以释放资源。此种策略对于某些应用可能造成连接数据中断的情况,此时应把相应端口设
为禁止屏蔽;
b) 超出屏蔽
设置超出屏蔽标志后,客户端在此端口进行的访问如果无法通过防火墙的验证模块,则此客户端将被加入黑名单而屏蔽;
c) 延时提交
设置此选项的端口,防火墙将无限缓存该连接,除非客户端有数据发送,或者该连接被防
第17页 共42页
金盾抗DDOS防火墙用户手册
火墙重置;
d) 接受协议
设置接受协议表示该端口接受该项协议。
6)模块参数
一组用于控制防火墙具体的防护模式及策略的参数,其设置比较固定,详细请咨询金盾售后技术。
五、管理及配置
金盾防火墙集成了简洁高效的Web管理界面,可以方便的使用普通浏览器进行管理设置。本章将详细介绍各个界面及其功能,由此您将觉得配置金盾防火墙是一件轻松的事。
1.登录页面
在浏览器地址栏输入http://192.168.107.1:28099,将进入金盾防火墙登陆页面(具体需要看防火墙的管理口接入情况,本章防火墙的管理地址为192.168.107.1)。登录页面如下图所示:2000+为例
金盾防火墙登陆页面
1)语言
设置登陆界面格式,可设置为简体中文和English两种登陆界面;
2)用户/密码
输入管理用户名和密码,并点击“提交”,即可进入防火墙欢迎页面。如果密码不正确,将进入验证失败页面,此时需返回并重新输入密码。
注:金盾防火墙出厂默认用户名为:admin密码为:123,请登陆防火墙后第一时间更改为复杂密码
第18页 共42页
金盾抗DDOS防火墙用户手册
(推荐包含字母、数字、符号的任意组合)。
金盾防火墙验证失败页面
2.状态监控页面
1)全局统计
全局统计页面显示当前系统的流量图,及输入输出统计。页面如下图所示:
金盾防火墙状态监控——全局统计页面
其中,上为每分钟流量图,左为每天流量图,右为每月流量图
外网接口为外部网络与防火墙的接口,即输入流量 内网接口为内部网络与防火墙的接口,即输出流量
2) 系统负载
系统负载页面,提供了即时查看防火墙当前工作状态的接口。页面如下图所示:
第19页 共42页