中新网安抗拒绝服务系统产品介绍

1. 防火墙，IPS，WEB防火墙和金盾抗拒绝服务系统的本质区别这四种产品最本质的区别还是在于功能的专业性，简单来说，就类似于智能手机和电脑的区别，智能手机有操作系统，可以看文档，发邮件，玩游戏，但是手机最重要的功能还是电话通讯，根本无法取代不了电脑的地位，因为手机在处理很多程序时没有电脑专业。

防火墙是功能最多的安全设备，很多防火墙自带抗DDOS，IPS，WEB防护，甚至防病毒功能，但是它是取代不了专业产品的，因为附带的功能无论是功能和性能都无法和专业防护设备相比！！（1）防火墙防火墙用专业的概念可以解释成，它一种访问控制设备。

主要是放在用户的内网和互联网出口处，通过制定安全规则，对进出数据进行放行和阻断行为。

举个简单的例子：就类似很多高级饭店，规定客人，需要“穿正装”“打领带”“穿皮鞋”等，这个就是饭店制定的规则，只有满足这个规则的客人才能进去。

防火墙的安全规则也是用户根据自己网络情况制定的，一般定义的规则为，对外开放哪些“端口”，开放哪些“协议”，允许哪些地址上网等简单的策略。

比如，用户内部有对外开放的门户网站，他就必须把80端口，把HTTP协议对外开放。

在这种情况下，如果DDOS攻击针对的就是80端口，HTTP协议，那么防火墙就没办法防护了，对防火墙来说，这种攻击时符合他的安全规则的，因此不会进行处理。

（2）IPS（入侵防御系统）IPS实际上是对防火墙在入侵防护功能上的一个补充，由于防火墙对于那些利用合法的端口和协议的破坏活动无能为力，且防火墙不对数据包进行深层的检测，因此IPS被研发出来，处理这些破坏活动。

实际上所有的防火墙都带有“入侵防护功能”，但是IPS依然得到用户认同，因为它是专业入侵防护设备。

由于IPS是通过对数据包进行深层的检测进行入侵防护的，那么IPS实际上是专门用来防护应用层的各种入侵和破坏行为的。

例如：暴力猜解(Brut-Force-Attack)，埠扫描(Portscan)，嗅探，病毒，蠕虫，垃圾邮件，木马等等，此外还有利用软体的漏洞和缺陷钻空子、干坏事的破坏行为。

等级保护2.0第三级数据中心入侵防范设备类安全防护产品功能指标参考1、入侵防御设备（至少具备4 项功能、支持3 种入侵防御技术、支持2 种抗拒绝服务技术。

）对网络数据流量进行深度检测、实时分析，并对网络中的攻击行为进行主动防御的专用设备。

①具备深层检测、内容识别、即时侦测、主动防御、无线攻击防御、抗拒绝服务、日志审计、身份认证等9项功能。

②支持攻击行为记录（包括攻击源IP、攻击类型、攻击目的、攻击时间等）、协议分析、模式识别、异常流量监视、统计阀值、实时阻断攻击等6 种入侵防御技术。

③支持流量检测与清洗（流量型DDoS 攻击防御、应用型DDoS 攻击防御、DoS 攻击防御、非法协议攻击防御、常用攻击工具防御等）、流量牵引和回注等2 种抗拒绝服务技术。

2、入侵检测设备（满足其中三级要求）通过对网络上的数据包作为数据源，监听所保护网络内的所有数据包并进行分析，从而发现异常行为的入侵检测系统。

参照《信息安全技术网络入侵检测系统技术要求和测评方法》[GBT20275-2013]将网络入侵检测系统技术要求分为一级、二级、三级。

3、网络准入控制设备（推荐要求）屏蔽不安全的设备和人员接入网络，规范用户接入网络行为的专用设备。

①具备网络准入身份认证、合规性健康检查、终端接入管理（包括：PC、移动终端等）、用户管理、准入规则管理、高可用性、日志审计等7 项功能。

②支持pap、chap、md5、tls、peap 等5 种网络准入身份认证方法。

4、防病毒网关设备（至少具备5 项功能。

支持4 种病毒过滤方法。

）病毒防御网关化的专业设备。

①具备病毒过滤、内容过滤、反垃圾邮件、日志审计、身份认证、高可用等6 项功能。

②支持流杀毒、文件型杀毒、常用协议端口病毒扫描、IPv4和IPv6 双协议栈的病毒过滤、病毒隔离等5 种病毒过滤方法。

5、网络安全入侵防范（推荐要求）①在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等；②当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

中新金盾抗拒绝服务系统使用说明书版本号：201001A目录一、用户手册简介 (5)1.1用途 (5)1.2约定 (5)1.3概述 (5)二、安装指南 (6)2．1设备类型及构成 (6)2.1.1 JDFW-500+ (6)2.1.2 JDFW-1000+ (6)2.1.3 JDFW-8000+ (7)2.1.4 JDFW-2000+ (7)2.1.5 JDFW-4000+ (8)2.1.6集群型号 (9)2.2硬件设备安装 (9)2.2.1 单路型 (9)2.2.2双路 (9)2.2.3集群型 (10)2.3注意事项 (10)三、产品概述 (11)3.1DOS/DDOS简介 (11)3.2金盾抗拒绝服务系统 (11)3.2.1技术优势 (11)3.2.2防护原理 (12)3.2.3产品系列 (14)四、功能描述 (15)4.1用户登录 (15)4.2系统信息 (15)4.2.1 内核版本号 (15)4.2.2 序列号码 (15)4.2.3 设备连接状态及地址 (15)4.3规则设置 (15)4.3.1 地址 (15)4.3.2 端口 (16)4.3.3 模式匹配 (16)4.3.4 方向选择 (16)4.3.5 规则行为 (16)4.4防护状态 (16)4.4.1 SYN保护模式 (16)4.4.3 ACK&RST保护模式 (16)4.4.4 UDP保护模式 (16)4.4.5 ICMP保护模式 (17)4.4.6 碎片保护模式 (17)4.4.7 NonIP保护模式 (17)4.4.8 忽略模式 (17)4.4.9 禁止模式 (17)4.4.10 WebCC保护模式 (17)4.4.11 GameCC保护模式 (17)4.4.12 高级UDP保护模式 (17)4.5参数设置 (18)4.5.1 系统操作环境 (18)4.5.2 主机防护参数 (18)4.5.3 系统防护参数 (18)4.5.4变量设置 (19)4.6端口策略 (19)4.6.1 TCP端口保护 (19)4.6.2 UDP端口保护 (20)五、管理及配置 ............................................................... . 215.1登录页面 (21)5.1.1 语言 (21)5.1.2 用户/密码 (21)5.1.3 修改密码 (22)5.1.4 重置 (22)5.2状态监控 (22)5.2.1 全局统计 (22)5.2.2 系统负载 (23)5.2.3 主机状态 (24)5.2.4 主机设置 (25)5.2.5 连接监控 (26)5.2.6 屏蔽列表 (27)5.2.7 黑名单管理 (28)5.2.8 域名管理 (29)5.3 攻击防御 (31)5.3.1 全局参数 (31)5.3.2 规则设置 (34)5.3.3 TCP端口保护 (36)5.3.4 UDP端口保护 (39)5.4 日志分析 (40)5.4.1日志列表 (40)5.4.2 分析报告 (41)5.5 系统配置 (42)5.5.2 系统设备 (43)5.5.3 集群参数 (44)5.5.4 用户管理 (45)5.5.5 SNMP系统配置 (46)5.5.6 SNMP用户 (46)5.5.7 SNMP视图列表 (48)5.6 服务支持 (48)5.6.1 关于我们 (48)5.6.2 版本信息 (49)5.6.3 报文捕捉 (50)5.6.4 产品升级 (50)一、用户手册简介首先，感谢您购买中新金盾抗拒绝服务系统产品！本设备功能实用，性能优秀，配置简单，是您安全链条中不可缺少的一环。

中新金盾抗拒绝服务系统攻击监控软件版本号：201101A中新金盾抗拒绝服务系统攻击监控软件使用说明版本V1.1.0.2为便于客户管理多台以及集群抗拒绝服务系统，我们为您提供了金盾抗拒绝服务系统管理软件。

可针对金盾抗拒绝服务系统进行实时监控，根据流量和连接设置报警参数。

一、软件下载：下载地址：/services_06.html文件名称：中新金盾抗拒绝服务系统监控软件下载jdfwmon.rar 后解压缩到 jdfwmon. 目录，可看到 config.ini fwmon.exe hosts.ini 和说明四个文件 config.ini 为配置文件（请不要修改） fwmon.exe 为控制器主文件 hosts.ini为单一IP监控报警配置文件jdfwmon文件注：在使用过软件的流量牵引功能后，会自动在目录下生成一个日志文件flowdiv.log二、使用说明：运行 fwmon.exe 文件，界面如图一：（图一）1、攻击监控界面：（图二）1.1设备管理设备地址：通过此项设置抗拒绝服务系统管理地址，设置格式为：*.*.*.*：28099（*.*.*.*表示外网管理IP地址）用户名：输入抗拒绝服务系统管理用户名密码：输入抗拒绝服务系统管理控制密码设置：输入抗拒绝服务系统管理地址、用户名和密码后，点击“设置”即可添加受监控抗拒绝服务系统删除：选中受监控抗拒绝服务系统后点击“删除”可取消该台抗拒绝服务系统的监控注: 双击流量记录下的列表，会出来这台抗拒绝服务系统的主机列表1.2流量记录设备信息：显示管理地址、用户、状态当前状态：显示流量、连接详细统计：显示攻击频率2、参数设置：（图三）设备查询间隔：默认值60秒，即监控器对于设备进行查询的间隔时间为60秒查询一次，可根据客户需要调整数值重复报警间隔：默认值300秒，即当首次报警后如仍符合报警条件会在300秒后进行二次报警，可根据客户需要调整数值主机显示数量：默认值10个，即在主机列表中显示最大流量的前10台主机状态，可根据客户需要调整数值流量统计方式：表示进行流量报警设置时可选择IN、OUT或IN+OUT形式进行流量计算连接统计方式：表示进行连接报警设置时可选择TCP in、TCP out、TCP（TCP总连接）、UDP（总连接）、及TCP+UDP形式进行连接计算SYSLOG服务器：设置SYSLOG服务器报警方式，通过添加SYSLOG服务器地址，便于客户对日志信息进行管理3、报警设置：（图四）3.1报警条件总流量报警：指受监控抗拒绝服务系统的流量和，即所有受监控抗拒绝服务系统的流量（in流量和out流量和）达到此设置数值时，开始报警，单位为MBPS。

中新金盾抗拒绝服务系统安装指南金盾JDFW-500+电口ETH0-ETH3所对应的地址是：ETH0 ----192.168.100.1（数据进口，此地址不可修改）ETH1 ----192.168.101.1（数据出口，此地址不可修改）ETH2 ----192.168.102.1（管理口，可修改）输入默认用户名admin和密码123，即可进入设备的管理界面。

3.公网管理配置方法，内网配置好以后，进入管理页面，选择“系统配置”，进入系统设备配置。

将设备2或设备3的地址修改为可用的外网7个接口及其对应地址由左至右依次是：F1 ---- 192.168.106.1（外网数据接口，光口）F0 ---- 192.168.105.1（内网数据接口，光口）E4 ---- 192.168.104.1（外网数据接口，电口）E3 ---- 192.168.103.1（内网数据接口，电口）3.公网管理配置方法，内网配置好以后，进入设备管理页面，选择“系统配置”，进入系统设备配置。

将设备1或设备2的地址修改为可用的外网IP地址，并输入正确的子网掩码和网关，点击“提交”，用普通网线将设备E1口或E2口与外网交换机相连。

这样您在任何联网的地方，只要输8个接口对应地址由左至右依次是：（F为光纤口，E为心跳、管理口）F0 ---- 192.168.100.1 E0 ---- 192.168.104.1F1 ---- 192.168.101.1 E1 ---- 192.168.105.1F2 ---- 192.168.102.1 E2 ---- 192.168.106.1F3 ---- 192.168.103.1 E3 ---- 192.168.107.11．接入网络，将设备通电，一分钟后，将上层的两根光纤线分别接到设备的F0，F2，下层的的进出口是在桥接模式下，此时加入到现有网络中，不需要更改网络结构。

输入设备的默认用户名admin和密码123就可以进入设备的管理界面了。

技术白皮书网神SecSIS 3600安全隔离与信息交换系统本文档解释权归网神信息技术（北京）股份有限公司产品部所有目录1.产品概述 (3)2.产品原理 (4)3.产品说明 (5)4.产品功能说明 (6)4.1丰富的应用模块 (6)4.2访问控制 (7)4.3地址绑定 (7)4.4内容检查 (7)4.5高安全的文件交换 (8)4.6内置的数据库同步模块 (8)4.7融合加密、认证、授权多安全技术于一身 (9)4.8高可用设计 (9)4.9轻松的管理 (9)4.10传输方向控制 (9)4.11协议分析能力 (9)4.12完善的安全审计 (10)4.13强大的抗攻击能力 (10)4.14多样化的身份认证 (10)4.15负载均衡解决方案 (11)1.产品概述随着网络技术的不断应用和完善，Internet正在越来越多地渗透到社会的各个方面。

一方面，企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展，人们的日常生活与网络的关系日益密切；另一方面，网络用户组成越来越多样化，出于各种目的的网络入侵和攻击越来越频繁。

人们在享受互联网所带来的丰富、便捷的信息同时，也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。

传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要，但不可能完全解决网络间信息的安全交换问题，因为各种安全技术都有其局限性。

为保护重要内部系统的安全，2000年1月，国家保密局发布实施《计算机信息系统国际互联网保密管理规定》，明确要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连，必须实行物理隔离。

”中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调：“政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。

”在不同安全等级的网络及系统之间实施安全隔离是一个行之有效的安全保密措施，可切断信息泄漏的途径。

中新金盾抗拒绝服务系统技术白皮书版本号：201101A文档信息版权声明本文件所有内容受版权保护并且归中新软件所有。

未经中新软件明确书面许可，不得以任何形式复制、传播本文件（全部或部分）。

中新软件、JDFW、金盾抗拒绝服务系统是安徽中新软件有限公司注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。

本文件仅供技术学习参考，安徽中新软件不对本文件的内容及使用负任何责任或保证。

另外，安徽中新软件对本文件保留修改权利。

目录概述 (4)产品概况 (5)金盾JDFW-500+ (5)金盾JDFW-1000+ (6)金盾JDFW-2000+ (7)金盾JDFW-4000+ (8)金盾JDFW-8000+ (9)金盾NP-10000 (10)产品技术规范和标准 (11)金盾抗拒绝服务系统技术创新 (12)金盾抗拒绝服务系统防护功能介绍 (13)产品功能 (13)防护原理 (14)部署方式 (16)单机串联 (16)双机热备 (17)串联集群 (18)旁路（回流模式） (19)旁路（注入模式） (20)概述拒绝服务攻击（DOS/DDOS）是近年来愈演愈烈的一种攻击手段，其主要目的是造成目标主机的TCP/IP协议层拥塞、或者导致应用层异常终止而形成拒绝服务现象。

目前，DOS/DDOS 攻击方式主要有以下几种：◆利用TCP/IP协议的漏洞，消耗目标主机的系统资源，使其过度负载。

此种攻击也是目前最普遍存在的一种攻击形式，攻击者动辄发起几十兆甚至上百兆的攻击流量，造成目标的彻底瘫痪。

常见的有SYN Flood，UDP Flood，ICMP Flood等等；◆利用某些基于TCP/IP协议的软件漏洞，造成应用异常。

此种攻击比较单一，通常是针对某个软件的特定版本的攻击，影响范围较小，且具有时限性。

但通常此种攻击较难防治，漏洞查找较困难；◆不断尝试，频繁连接的野蛮型攻击。

此种攻击早期危害有限，但随着代理型攻击的加入，已渐有成为主流之势。

网络卫士抗拒绝服务系统产品白皮书天融信TOPSEC®北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印 © 2011 天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1.1 关于网络安全 (2)1.2 产品实现概述 (2)1.3 关于数据流指纹 (2)2 系统组成 (4)3 产品描述 (4)3.1 性能 (4)3.2 高效的DD O S防护功能 (5)3.2.1 阻止DoS攻击 (5)3.2.2 抵御DDoS攻击 (5)3.2.3 拒绝TCP全连接攻击 (7)3.2.4 防止Script脚本攻击 (8)3.2.5 对付DDoS工具 (8)3.2.6 对付CC攻击 (9)3.2.7 过滤关键字 (9)3.2.8 支持大规模部署和集群管理 (10)3.2.9 支持连接状态监控 (10)3.2.10 支持SSL3.0 1024位加密 (10)3.2.11 完善的用户管理 (10)3.2.12 支持 radius ,syslog, snmp (10)3.2.13 支持在线抓包并导出，支持第三方分析工具 (11)3.2.14 支持端口汇聚，有效地扩大带宽 (11)3.2.15 支持负载均衡 (11)3.2.16 双机热备 (11)3.2.17 完善的日志和审计功能 (12)3.2.18 安全方便的管理界面 (12)4 功能描述 (12)4.1 设备管理 (12)4.2 用户管理 (12)4.3 系统参数 (13)4.4 状态 (13)4.4.1 流量牵引 (14)4.4.2 配置 (14)4.5 规则 (14)4.6 日志 (15)4.7 插件管理 (15)1.1关于网络安全随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。

天融信异常流量管理与抗拒绝服务系统（TopADS系列）技术白皮书天融信TOPSEC®市海淀区上地东路1号华控大厦100085：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: //目录1拒绝服务攻击背景 (1)1.1拒绝服务攻击定义 (1)1.2分布式拒绝服务攻击现状 (2)1.3僵尸网络现状 (3)1.4典型DD O S攻击原理 (4)2产品概述 (8)3产品技术架构 (9)4产品主要功能 (10)5产品优势与特点 (11)5.1先进的新一代S MART AMP并行处理技术架构 (12)5.2全面的拒绝服务攻击防御能力 (13)5.3全64位的原生IPV6支持 (13)5.4完善的应用层攻击防御功能 (13)5.5灵活多样的部署方式 (14)5.6针对运营需求的大客户两级保护对象策略 (14)5.7高可靠的业务保障能力 (15)5.8可视化的实时报表功能 (15)6产品典型部署方案 (15)6.1在线串接部署方式 (16)6.2旁路部署方式 (16)7产品型号和规格 (17)8产品资质 (18)1拒绝服务攻击背景1.1拒绝服务攻击定义拒绝服务攻击(DOS)定义。

DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

最常见的DoS 攻击有计算机网络带宽攻击和连通性攻击。

带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。

连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

分布式拒绝服务(DDoS: Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。