《金盾抗拒绝服务攻击系统操作说明.ppt》由会员分享,可在线阅读,更多相关《金盾抗拒绝服务攻击系统操作说明.ppt(45页珍藏版)》请在三一办公上搜索。
1、金盾抗拒绝服务攻击系统操作说明,目录,状态监测,日志分析,攻击防御,系统配置,服务支持,操作说明,登陆Web管理界面,操作说明,状态监控,操作说明,2011-05-16版本 的界面,操作说明,状态监控,状态监控系统负载,操作说明,状态监控主机状态,操作说明,a)主机 显示当前处于防火墙下的主机的IP地址,当墙下主机数量超出100个IP时,地址将根据掩码分段显示,点击进入可查看段内主机,每个主机IP地址也是一个超连接,点击后即可进入主机状态设定页面b)带宽 显示该主机的入口和出口带宽占用,以Mbps为单位。注:若某台主机对外进行伪造源地址的攻击(如SYN Flood),由于其源地址是伪造的,防火
2、墙无法定位到具体的机器,而只会在总流量中显示。c)频率 显示该主机受到攻击的频率,目前主要统计为SYN报文频率,ACK报文频率,UDP报文频率,ICMP报文频率,FRAG报文频率,NonIP报文,NewTCP连接,NewUDP连接。d)连接 显示外部与该主机建立的连接数(in),该主机与外部建立的连接数(out),及UDP连接,in连接远远超过正常值的连接数量表示该主机可能受到代理型攻击,如CC类攻击等,请设置相应的防护模式e)网络地址设置 本防火墙采用基于ARP协议的智能主机发现来识别防火墙下的主机,但某些网络接入环境情况下ARP信息相对较少,则防火墙将无法自动识主机。此时需要手动提交网络地
3、址和子网掩码,提交后即可在状态页面中显示检测到的主机列表。,状态监控主机设置,操作说明,a)主机地址 显示设置的主机地址,“有效”复选框表示该主机是否存在。防火墙的主机自动发现系统有时 会发现一些不存在的IP地址,如果您确定某主机不存在而又出现在列表中的话,请清除“有效”复选框,则该主机将被自动清除。“记录”选择此选项后将记录该主机的分时流量,并在分时流量图中体现。b)网关IP地址 显示设置的主机的网关IP地址,此项可根据网络地址设置识别,也可在该状态下直接进行修改。c)网关MAC地址 显示设置的主机的网关MAC地址,此项可根据网络地址设置识别,也可在该状态下直接进行修改。d)流量策略 用于设
4、置针对某主机的流量限制策略,以Mbps为单位,分为入口流量限制和出口流量限制。本防火墙的流量限制是基于三层交换的流量限制。“忽略所有流量”表示防火墙将完全忽略对该地址主机数据报文的任何处理而只是简单转发;“屏蔽所有流量”表示简单丢弃,这两种流量策略可用于局部调试目的;“流量超出屏蔽”表示超出防火墙流量策略设置值时,防火墙会屏蔽该主机,禁止数据通行;“忽略国外访问”表示屏蔽国外IP所有连接。e)设置集序号 包括规则、TCP端口、UDP端口、主机防护参数,可根据不同需要进行规则、TCP端口、UDP端口、主机防护参数的重叠设置。,新增-自动捕获数据包功能,方便网络管理人员监控、取证等.a)主机列表中
5、的IP在受到各类DDOS攻击时,JDFW/GFW会立即自动捕获10000个数据包,保存下来。放入主机设置下的攻击报文档案下。b)攻击报文最大存放10个包文件/IP,最新的捕获数据包文件会覆盖最老的文件。(目前暂无人为手动删除档案包文件的功能),操作说明,状态监控主机设置,数据包文件以IP加时间命名,使用gzip压缩下保存,Winrar可直接打开此类文件。自动捕获数据包的功能,是在 主机状态 发生改变的情况下执行的,如:100.37当前的主机状态为Normal,这里来了SYN-Flood攻击了,达到主机的SYN触发保护后,主机进入SYN,此时会捕获10000个此主机的数据包,打包压缩保存,正在此
6、时,又来了UDP Flood攻击,也会捕获包下来。如果100.37是受固定源地址攻击,此*.tgz文件里会出现一个*.txt文件,会记录此源地 同时在日志中也可以看到攻击源IP,如下图:,操作说明,状态监控主机设置,状态监控连接监控,操作说明,a)当前状态 显示此远端主机对本地主机的服务端口数据请求建立的连接数量b)控制 包含的“重置”按钮可简单的重置该数据连接;c)选择连接 此项可查询连接列表中地址信息,可针对单一地址设置查询,也可进行模糊查询,如192.168.1.1/24、-61.191.27.235/24模式查询。“重置”可针对选择后的连接进行重置设置;“下载”可下载连接列表中选择连接
7、及所有连接。,状态监控屏蔽列表,操作说明,状态监控黑名单管理,主要针对游戏被大量肉鸡和代理攻击进行防御。,操作说明,状态监控域名管理,操作说明,目录,状态监测,日志分析,攻击防御,系统配置,服务支持,操作说明,操作说明,攻击防御全局参数,攻击防御全局参数,操作说明,金盾防火墙内设置了一组参数设置接口,用于调整防火墙工作状态,使其在特殊网络环境下也可保持最佳处理效率及防护能力。1.系统操作环境系统控制参数提供防火墙全局范围的参数设置,主要包括系统时间和流量控制:a)系统时间 一组数字,用于显示或设置防火墙的系统时间。格式为“年-月-日 时:分:秒”例如,“2008-10-1 12:01:32”,
8、表示2008年10月1日,12点01分32秒;b)流量控制 全局型的流量控制,包括透明直通、网络断开及攻击过滤。透明直通模式下,防火墙相当于一根导线,只是简单的转发数据而不进行处理;网络断开模式下,防火墙只把数据简单的丢弃而不进行处理及转发;攻击过滤为防火墙的默认模式,此模式下,防火墙运行完整的攻击过滤流程,过滤攻击保证正常流量到达主机;c)策略选项 服务器自动发现模式 启用此选择可有效识别到防火墙下的主机地址,操作说明,2.系统防护参数a)报文频率紧急状态 攻击频率超过此设置值时,防火墙会进入紧急状态,该状态下会严格过滤攻击包.不建议改大此值,会导致攻击影响整个网络.b)简单过滤流量限制 是
9、针对某些显见的攻击报文做的一种过滤模式,目前可以过滤内容完全相同的报文,及使用真实地址进行攻击的报文。d)忽略主机流量限制 用于限制忽略主机的流量,当某个忽略主机的流量超过设置值,超过的流量将被丢弃。d)屏蔽持续时间 防火墙在检测到某一IP对主机的攻击行为后,将自动将该IP加入到屏蔽列表,不再继续处理来自该IP的任何请求,直到经过指定时间后才会解封。如果该值为0,则不使用自动屏蔽规则。,攻击防御全局参数,操作说明,攻击防御全局参数(5-16版本),伪造源流量限制此参数已经不存在了,由 内网匿名流量限制参数替代 匿名流量(针对下面内网匿名流量限制和外网匿名流量限制的说明)指不在主机列表中的IP地
10、址。如当前主机列表中有 192.168.1.2 192.168.1.3 如果1.4 也在墙下,1.4即为匿名IP。注:下面的 内网匿名流量限制、外网匿名流量限制 均是以匿名流量而言的。a)内网匿名流量限制 可按IP或MAC地址来限制匿名流量,值小优先。外网攻击内网的固定IP,或者内网用固定的IP攻击外网,或内网伪造源流量,起作用的是此参数。(前提条件:内网匿名流量限制 设置的值 小于外网匿名流量限制)如果此流量有300M,那么会放行100M。b)外网匿名流量限制 外网用固定源IP攻击墙下主机,或内网攻击外网的固定IP地址,此参数会限制流量。如果此流量有300M,那么会放行100M。如果 JDF
11、W/GFW外网正常IP与内网正常匿名IP 正常传输数据(如FTP)等,因为这个流量会同时有进流量和出流量。此时两参数中设置值小的优先影响这个FTP传输的总流量。这个总流量不能超过外网匿名流量限制或内网匿名流量限制设置的值。,操作说明,攻击防御全局参数,3.攻击检测 攻击检测参数提供了对防火墙DDOS防御模块的调整接口,包含一系列的攻击触发值及防护解除时间:a)SYN Flood保护 用于防护SYN Flood攻击的触发参数,当某台主机承受的SYN报文频率超过该数值时,该主机将进入SYN保护模式。此后如果该主机承受的SYN报文频率低于该数值,并保持一段时间后,该主机将脱离SYN保护模式;b)SY
12、N Flood高压保护 用于防护海量型SYN Flood攻击的触发参数,当某台主机承受的SYN报文频率超过该数值时,该主机将采用保守SYN保护模式。如果该主机承受的SYN报文频率低于该数值时,该主机将脱离保守SYN保护模式;c)SYN Flood单机保护 用于防护单IP发送SYN频率高的攻击,当单IP发送的SYN频率超过设置值时,防火墙将屏蔽该地址;d)ACK&RST Flood保护 用于防护ACK&RST攻击的触发参数,当某台主机承受的ACK&RST数据超过该数值时,该主机将进入ACK保护模式e)UDP保护触发 用于防护UDP Flood攻击的触发参数,当某台主机承受的UDP报文频率超过该数
13、值时,该主机将进入UDP保护模式。此后如果该主机承受的UDP报文频率低于该数值,并保持一段时间后,该主机将脱离UDP保护模式;f)ICMP保护触发 用于防护ICMP Flood攻击的触发参数,当某台主机承受的ICMP报文频率超过该数值时,该主机将进入ICMP保护模式。此后如果该主机承受的ICMP报文频率低于该数值,并保持一段时间后,该主机将脱离ICMP保护模式;g)碎片保护触发 用于防护Fragment Flood攻击的触发参数,当某台主机承受的碎片报文频率超过该数值时,该主机将进入碎片保护模式(详见保护模式)。此后如果该主机承受的碎片报文频率低于该数值,并保持一段时间后,该主机将脱离碎片保护
14、模式。,操作说明,攻击防御全局参数,3.攻击检测h)NonIP保护触发 用于防护ip协议族的其它不常用的协议的攻击类型。i)关闭端口触发某个空端口每秒达到触发值此端口将会被禁止,当攻击量小于设置值之后,3分钟后将会被释放。4。TCP防护a)连接数量保护 用来设置针对连接数量控制方式,指一台受保护的服务器与某个客户端之间建立的连接数达到设定数值,将会对客户端地址进行屏蔽;b)连接空闲超时 防火墙确认一个连接可信任后,如果这个连接在大于此数值的时间内持续空闲,则防火墙认为该连接无效,将重置该连接;c)默认黑名单策略 用来设置针对特殊性肉鸡及代理攻击。,操作说明,攻击防御全局参数,5。udp防护a)
15、请求连接超时 防火墙在接收到来自某地址报文后,如果在大于此数值的时间内没有接收到响应报文,则认为此连接请求不被信任,防火墙将丢弃该请求。b)建立连接超时 防火墙在信任并建立一个连接后,如果“验证时间”内没有收到数据报文,则防火墙认为连接为空连接,将重置该连接,此参数可有效防护空连接攻击。6。变量设置Web.Special 针对特殊WEB页面的设置模式。WEB.AuthorizePage 针对传奇攻击的外部验证服务器设置模式 例:googlebot baiduspider slurp msnbot sogou sosospider yodaobot,攻击防御规则设置,操作说明,a)控制:编辑、删
16、除、移动规则;b)协议:表示该规则的协议域,如TCP,UDP,ICMP等c)地址:表示该规则的地址域;d)细节:该规则的其它细节性的描述,根据规则不同内容也不同。如果规则包含描述域,则显示该规则的描述文本;e)匹配:规则匹配的次数;f)规则设置集:对于一台主机可适用多项规则,也可用于规则的重叠设置,通过主机状态中的规则设置集选择某台主机的生效规则。,操作说明,a)规则序号:设置此规则在规则列表中的位置,可通过自定义设置规则生效顺序;b)规则描述:此规则以文本形式描述,使用户快速理解规则的用途;c)报文长度:指定该规则匹配的报文的长度范围;d)本地地址:此规则匹配服务器地址;可以填写某一个地址或
17、者某一段地址;e)程地址:指定一个地址(一段地址)匹配此规则;f)协议类型:指示规则匹配的报文的协议类型,分为IP,TCP,UDP,ICMP等几种。其中,TCP、UDP及ICMP协议将各自激活相应的系列规则设置;g)本地端口/远程端口:TCP及UDP协议的规则,将激活此设置域,指示规则的端口匹配值,为空则表示匹配所有端口;h)标志位:当规则为TCP协议时,可指定相应的标志位,包括FIN,SYN,RST,PSH,ACK,URG。i)模式匹配:指定规则匹配包含的关键字。本防火墙内建高效的模式匹配算法,可快速、批量的进行数据匹配,从原始报文中找出某一组关键字用于规则模式匹配。指定的关键字,可以是单一
18、关键字,也可以是一组关键字,如果关键字包含不可见字符,还可以通过“”进行代码转义,如“a8aa”。并可通过“顺序匹配”和“忽略大小写”来自定义需要匹配内容。,攻击防御规则设置,操作说明,攻击防御规则设置,操作说明,攻击防御规则设置,操作说明,攻击防御规则设置,攻击防御TCP端口保护,操作说明,a)连接攻击检测 用于自动启用TCP防护插件。设置该参数后,当客户端与该端口范围的TCP连接频率超过设置数值,该主机将自动进入TCP防护模式,设置的插件将被启用,当连接频率小于该数值后一段时间,该主机将自动取消TCP防护模式。注:在主机设置页面手工设置TCP防护不会自动取消b)连接数量限制 限制每个客户端
19、允许与主机建立的连接数量,超出设置数量该连接被屏蔽。对连接数量依赖较小的服务可设置合适的数值来避免主机在单一客户上耗费过多资源。c)踢出/探测 权重限制 限制每个客户端允许与主机建立空连接的数量,超出设置限制该连接被屏蔽。,攻击防御TCP端口保护,操作说明,d)超时连接 设置超时连接标志后,此端口建立的连接如果持续一段时间保持空闲,则该连接将被重置以释放资源。此种策略对于某些应用可能造成连接数据中断的情况,此时应把相应端口设为禁止屏蔽;e)超出屏蔽 设置超出屏蔽标志后,客户端在此端口进行的访问如果无法通过防火墙的验证模块,则此客户端将被加入黑名单而屏蔽;f)延时提交 设置此选项的端口,防火墙将
20、无限缓存该连接,除非客户端有数据发送,或者该连接被防火墙重置;g)域名审计获取并审计主机域名,只限于HTTP协议h)接受协议 设置接受协议表示该端口接受该项协议,攻击防御UDP端口保护,开放端口:指防火墙会允许此端口的连接,如果没有选,防火墙就拦截外网进来的连接此端口的数据同步连接:选中后,此端口或范围先得有TCP连接才会接受UDP连接,否则拦截UDP的数据包延时提交:丢弃client发过来的第一次DNS请求,这个和TCP延时提交的意思不一样验证TTL:检测UDP包中的TTL值是否不一样对udp数据的ip头部ttl进行统计,如果某个数值的ttl频率过高会进行屏蔽,可在一定程度上防御udp类攻击
21、,操作说明,目录,状态监测,日志分析,攻击防御,系统配置,服务支持,操作说明,日志分析日志列表,操作说明,作用:记录墙的重要事件,包括发生时间,防火墙各项状态,某个ip对墙做了什么操作。,日志分析分析报告,操作说明,最大值:这里的值是按天或安月,但只记录时间内最大连接数或最大流量值,才会把此时的时间点记录在这里。平均值:时间内的平均连接数或流量,操作说明,日志分析连接分析,目录,状态监测,日志分析,攻击防御,系统配置,服务支持,操作说明,系统配置系统设备,操作说明,100 Half:100MBps半双工连接 100 Full:100MBps全双工连接 1000 Full:1000MBps全双工
22、连接 no link:当前无数据接入提交:将更改的配置提交给防火墙。默认:使得防火墙默认配置。另外,为了防止错误配置导致防火墙的永久损坏,防火墙重启后将恢复默认设置。保存后重启防火墙相关设置将不会恢复默认值,请确定设置无误后选择保存。重启系统:将重起防火墙,用于某些特殊情况(如防火墙异常)。,系统配置保存配置,操作说明,网络设备地址-系统设备地址全局防护参数-全局参数TCP/UDP端口保护参数-端口保护主机及配置参数-主机状态规则列表规则设置中的列表项导入配置:将同版本其他墙设置导入此墙保存配置:保存当前设置,默认最后一次保存下载配置:将当前设置下载以文本形式保存,系统配置集群设置,操作说明,
23、a)集群配置:集群配置用于设置集群心跳地址及启动集群设置,心跳模式分为转发模式和同步模式,集群参数里设置两个心跳卡和两组心跳地址则启用转发模式,只设置一组为同步模式。b)热备配置:防火墙提供了双机热备份功能,即在同一个网络节点使用两个配置相同的防火墙,设置主-备模式实现数据自动切换,保证网络正常使用。,系统配置用户管理,操作说明,系统配置SNMP,操作说明,用SNMP协议实时地查看所有的网络设置的运行状况,如当前网络流量是多少,cpu占用率是多少,内存使用了多少等。SNMP配置顺序:SNMP视图SNMP用户SNMP系统,目录,状态监测,日志分析,攻击防御,系统配置,服务支持,操作说明,服务支持版本信息,操作说明,服务支持报文捕捉,操作说明,服务支持产品升级,操作说明,Thanks!,
