安徽网风科技金盾防火墙设置参数.doc

5.2 状态监控 5.2.1 全局统计 全局统计页面显示当前系统的流量图，及输入输出统计。页面如下图所示： 金盾抗拒绝服务系统状态监控——全局统计页面 其中，上为每小时流量图，左为每天流量图，右为每月流量图； 外网接口为外部网络与设备的接口，即输入流量； 内网接口为内部网络与设备的接口，即输出流量。 5.2.2 系统负载 系统负载页面，提供了即时查看设备当前工作状态的接口。页面如下图所示： 金盾抗拒绝服务系统状态监控——系统负载页面 CPU占用率、内存使用，均为当前设备的即时状态。网络统计，则显示一秒内设备各个网卡收发数据情况。 5.2.3 主机状态 主机状态页面显示了当前设备下主机的基本状态，如主机、带宽、频率、连接、防护模式等。页面如下图所示： 金盾抗拒绝服务系统状态监控——主机状态页面 1）主机 显示当前处于设备下的主机的IP地址，当主机数量超出100个IP时，地址将根据掩码分段显示，点击进入可查看段内主机，每个主机IP地址也是一个超连接，点击后即可进入主机状态设定页面 2）带宽 显示该主机的入口和出口带宽占用，以Mbps为单位。 注：若某台主机对外进行伪造源地址的攻击（如SYN Flood），由于其源地址是伪造的，设备无法定位到具体的机器，而只会在总流量中显示。 3）频率 显示该主机受到攻击的频率，目前主要统计为SYN报文频率、ACK报文频率、UDP报文频率、，ICMP报文频率、FRAG报文频率、NonIP报文频率、NewTCP连接和NewUDP连接。 4）连接 显示外部与该主机建立的连接数（in），该主机与外部建立的连接数（out），及UDP连接。in连接远远超过正常值的连接数量表示该主机可能受到代理型攻击，如CC类攻击等，请设置相应的防护模式或联系金盾售后技术支持。 5）防护模式 显示该主机当前流量图，同时主机状态也显示在左侧，页面如下图所示： 5.2.4 主机设置 主机设置页面显示了当前主机的状态设置参数，包括流量策略及防护策略。页面如下图所示： 主机设备页面 1）主机地址 显示设置的主机地址，“有效”复选框表示该主机是否存在。设备的主机自动发现系统有时会发现一些不存在的IP地址，如果您确定某主机不存在而又出现在列表中的话，请清除“有效”复选框，则该主机将被自动清除。“记录”选择此选项后将记录该主机的分时流量，并在分时流量图中体现。 2）网关IP地址 显示设置主机的网关IP地址，此项可根据网络地址设置识别，也可在该状态下直接进行修改。 3）网关MAC地址 设置主机的网关MAC地址，此项可根据网络地址设置识别，也可在该状态下直接进行修改。 4）流量策略 用于设置针对某主机的流量限制策略，以Mbps为单位，分为入口流量限制和出口流量限制。本设备的流量限制是基于三层交换的流量限制。 “忽略所有流量”表示完全忽略对该地址主机数据报文的任何处理而只是简单转发； “屏蔽所有流量”表示简单丢弃，这两种流量策略可用于局部调试目的； “流量超出屏蔽” 表示超出系统流量策略设置值时,会屏蔽该主机,禁止数据通行； “忽略国外访问”表示屏蔽国外IP所有连接。 5）保护设置集序号 包括规则、TCP端口、UDP端口、防护参数，可根据不同需要进行规则、TCP端口、UDP端口、主机防护参数的重叠设置。 6）分时流量 显示主机流量状态，需要选择“记录”选项后方可显示； 7）防护插件 用来设置针对此主机的特定防护手段，目前只有连接攻击防护一种，表示主机将使用“连接攻击防护策略”（CC防护）。点击“提交”保存当前所做更改。 5.2.5 连接监控 连接监控页面列出当前设备维持的连接，页面如下图所示： 金盾抗拒绝服务系统状态监控——连接监控页面 1）控制 包含的“重置”按钮可简单的重置该数据连接； 2）本地地址 显示了此连接的本地地址及端口，可较方便的定位到具体的服务； 3）远端地址 显示了建立此数据连接的远端主机的地址； 4）端口连接 显示此远端主机对本地主机的服务端口数据请求建立的连接数量； 5）全部连接 显示此远端主机对本地主机的服务端口数据请求建立的全部连接数量； 6）选择连接 此项可查询连接列表中地址信息，可针对单一地址设置查询，也可进行模糊查询，如192.168.1.1/24、-61.191.27.235/24模式查询。“重置”可针对选择后的连接进行重置设置；“下载”可下载连接列表中选择连接及所有连接。 5.2.6 屏蔽列表 屏蔽列表页面显示被系统所屏蔽的连接。 金盾抗拒绝服务系统状态监控——屏蔽列表页面 1）控制 包含的“重置”按钮可简单的重置该数据连接； 2）本地地址 显示了此连接的本地地址，可通过此页面查询被屏蔽主机状态； 3）远端地址 显示了建立此数据连接的远端主机的地址； 4）当前状态 显示了远端主机对本地主机请求被屏蔽的剩余时间； 5）屏蔽原因 显示了远端主机对本地主机请求被屏蔽的原因，可通过此项定位到攻击类型。 5.2.8 域名管理 域名管理页面可进行域名黑名单、白名单设置。 金盾抗拒绝服务系统状态监控——域名管理页面 1）域名管理 域名管理中的“+”表示白名单，即可信任通过的域名；“-”表示黑名单，即需要屏蔽的域名；“+.”表示放行所有域名；“-.”表示禁止所有域名。图中域名设置含义为仅允许 和及的二级或三级域名通过，禁止其他所有域名，（）中的数字表示域名匹配的数量。 3）关键字-查询 此项用于查询该域名在域名管理中是否有匹配项，如输入“”查询便可查看到该域名的状态。此处支持模糊查询，如输入“s”便可查询到所有包含“s”的域名信息。 5）域名列表 用于设置域名管理策略。通过将需要设置的域名以+（白名单）-（黑名单）的格式设置至txt文件，浏览导入后便能够在系统显示并生效。 6）导出 用于导入已设置域名管理中的域名地址，选择“导出”并指定保存路径便可完成该项操作。 以下内容仅供查看参数，公司统一进行配置，杜绝防火墙任何人私自进行操作和设置 5.3 攻击防御 5.3.1.1 系统操作环境 系统操作环境提供系统全局范围的主机防护参数，主要包括流量控制、系统时间和策略选项： 1) 流量控制 全局型的流量控制，包括透明直通、网络断开及攻击过滤。 透明直通模式下，设备相当于一根导线，只是简单的转发数据而不进行处理； 网络断开模式下，设备只把数据简单的丢弃而不进行处理及转发； 攻击过滤为默认模式，此模式下，系统运行完整的攻击过滤流程，过滤攻击保证正常流量到达主机； 2）系统时间 一组数字，用于显示或设置设备的系统时间。格式为“年-月-日 时:分:秒” 例如，“2010- 1- 2 12:01:32”，表示2010年1月2日，12点01分32秒； 3）策略选项 自动获取主机地址：启用此选择可有效识别到设备下的主机地址； 记录主机路由选择：启用此选择会对墙下每台主机的路由进行记录； 5.3.3 TCP端口保护 TCP端口保护设置页面提供了针对每个端口的独立设置参数，用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示： 金盾抗拒绝服务系统攻击防御—TCP端口保护页面 5.3.3.1 TCP端口保护列表 1）端口保护设置集 对于一台主机可适用多项端口防护设置，也可用于同一端口的重叠设置，通过主机状态中的TCP端口保护集选择某台主机的生效端口防护。 2）端口起始/终止 显示设置防护的端口范围,默认针对“0-65535”端口进行防护。 3）攻击检测 显示设置端口的连接攻击检测频率数值，max表示无限大。 4）连接限制 显示设置端口的连接数量限制数值，max表示无限大。 5）检测权重 显示设置端口的踢出/探测权重的数值。 6）防护模块 显示设置端口启用的防护模块类型，default为默认防护。 7）防护模式 显示设置端口启用的防护标志有哪些，默哀仅启用“超时连接”模式。 5.3.3.2 TCP端口保护设置 1）端口范围 用于设置指定端口，可以是一个端口也可以是一个端口段。 2）连接攻击频率 用于自动启用TCP防护插件。设置该参数后，当主机与该端口范围的TCP连接频率超过设置数值，该主机将自动进入TCP防护模式，设置的插件将被启用，当连接频率小于该数值后一段时间，该主机将自动取消TCP防护模式。 注：在主机设置页面手工设置TCP防护不会自动取消。 3）连接数量限制 限制每个客户端允许与主机建立的连接数量，超出设置数量该连接被屏蔽。一般来说，Web服务应将此数值保持为空（无限），而其它对连接数量依赖较小的服务可设置合适的数值来避免主机在单一客户上耗费过多资源。 4）踢出/控测权限 限制每个客户端允许与主机建立空连接的数量，超出设置限制该连接被屏蔽。建议设置值20/10。 5）协议类型选择 用于设置指定协议类型，可设定接收或拒绝某端口的访问协议。如对于某些需要拒绝HTTP协议的端口（如受代理攻击的某些游戏），则应该在协议类型里选择HTTP，然后不选择“接受协议”，则该端口将拒绝HTTP协议的访问，相反如果选择了“接受协议”则表示接收HTTP协议。 6）防护标志 防护标志有五种：超时连接、 超出屏蔽、延时提交、域名审计和接受协议。 a）超时连接 设置超时连接标志后，此端口建立的连接如果持续一段时间保持空闲，则该连接将被重置以释放资源。此种策略对于某些应用可能造成连接数据中断的情况，此时应把相应端口设为禁止屏蔽； b）超出屏蔽 设置超出屏蔽标志后，客户端在此端口进行的访问如果无法通过验证模块，则此客户端将被加入黑名单而屏蔽； c）延时提交 设置此选项的端口，系统将无限缓存该连接，除非客户端有数据发送，或者该连接被重置； d）域名审计 设置启用域名管理黑、白名单策略。 e）接受协议 可用于设置各端口指定接受的协议类型。 7）防护模块 TCP端口防护模块是针对特殊应用而开发的防护手段，主要包含三种： a）标准防护(default） 标准防护策略为所有端口默认的防护措施，不对应用做特殊处理，具有最好的兼容性； b）动态验证(WEB Service Protection） 动态验证策略是金盾抗拒绝服务系统独有的、适用于Web服务的一种防护策略，是针对目前愈演愈烈的CC-HTTP Proxy类攻击而开发的。应用此种策略的端口，系统将对进入的HTTP请求进行验证操作，确保该请求来自正常的客户浏览行为，而非正常的访问行为（如通过代理进行攻击等）将被加入黑名单进行屏蔽。 动态验证模块，只对设置了WebCC保护模式的主机采用该验证策略，没有设置该保护模式的主机不受影响； c）频率保护(Game Service Protection） 频率保护策略是金盾抗拒绝服务系统独有的、适用于游戏服务的一种防护策略，是针对目前流行的代理型攻击器、木马型攻击器、BotNet等而开发的。应用此种策略的端口，系统将对连入的客户端进入频率限制及验证操作，确保该客户端的行为属于正常的客户端行为，而非正常的访问行为（如通过代理进行攻击等）将被加入黑名单进行屏蔽。 频率保护模块，只对设置了GameCC保护模式的主机采用该限制及验证策略，没有设置该保护模式的主机不受影响。 8）模块参数 该项参数是一组用于控制特定端口防护模式及策略的参数，不同版本及不同的防护插件的参数值不同，设置时可与金盾售后技术支持联系。 点击“提交”，将修改后的端口保护数据提交给本设备；“默认”系统使用默认端口保护设置；“重置”可重新进行设置操作；“协议”可自定义添加或修改协议类型。 5.3.4 UDP端口保护 UDP端口保护设置页面提供了针对每个端口的独立设置参数，用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示： 金盾抗拒绝服务系统攻击防御—UDP端口保护页面 该防护页面中各项参数含义同“TCP端口保护”设置页面。 点击“提交”，将修改后的端口保护数据提交给系统；“默认”系统使用默认端口保护设置；“重置”可重新进行设置操作；“协议”可自定义添加或修改协议类型。 金盾抗拒绝服务系统使用说明 12