下载文档原格式
中新金盾防火墙系统产品安装手册版本号:20130717版权信息©安徽中新软件有限公司,版权所有2002-2013本文件所有内容受版权保护并且归中新软件所有。
未经中新软件明确书面许可,不得以任何形式复制、传播本文件(全部或部分)。
中新软件、JDFW、JDIS、金盾抗拒绝服务系统及其它中新商标均是安徽中新软件有限公司注册商标,本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标,特此鸣谢。
目录1前言 (1)1.1文档的目的 (1)1.2读者对象 (1)1.3约定 (1)1.3.1命令语法全部采用以下约定 (1)1.3.2图形界面操作的描述采用以下约定 (1)1.3.3网络拓扑中设备的约定 (1)1.4技术服务体系 (2)2产品介绍 (3)2.1产品概述 (3)2.2产品型号及参数 (4)2.2.1ZXFW-8110 (4)2.2.2ZXFW-8210 (5)2.2.3ZXFW-8410 (6)2.2.4ZXFW-8610 (7)2.2.5ZXFW-8810 (8)2.2.6ZXFW-8910 (9)3设备的安装 (10)3.1防火墙的硬件安装 (10)3.2登录中新金盾防火墙 (10)3.2.1串口连接 (10)3.2.2WEB方式登录防火墙 (13)3.2.3SSH软件登录 (14)3.3中新金盾防火墙出厂设置 (15)3.3.1恢复出厂设置 (15)4配置案例 (17)4.1案例1:作为路由网关 (17)4.1.1网络拓扑结构如下所示 (17)4.1.2网络拓扑简介 (18)4.1.3用户的配置需求 (18)4.1.4具体的配置步骤 (18)4.2透明模式接入网络 (20)4.2.1网络拓扑结构如下 (20)4.2.2网络拓扑简介 (20)4.2.3用户的配置需求 (21)4.2.4具体的配置步骤 (21)4.3案例三:防火墙作为VPN网关接入网络 (23)4.3.1网络拓扑结构如下 (23)4.3.2网络拓扑简介 (23)4.3.3用户的配置需求 (23)4.3.4具体的配置步骤 (23)4.4案例四:防火墙主备模式接入网络 (26)4.4.1网络拓扑结构如下 (26)4.4.2网络拓扑简介 (26)4.4.3用户的配置要求 (27)4.4.4具体的配置步骤 (27)5常见问题故障处理 (29)5.1口令丢失情况下的处理 (29)5.2电源系统故障处理 (29)5.3配置系统故障处理 (29)1前言本手册主要介绍中新金盾防火墙的安装和使用。
金盾硬件防火墙系列介绍金盾硬件防火墙JDFW-300+目标客户:金盾300+硬件防火墙,千兆电口接入,支持多网段防护,跨路由模式,跨网段模式,跨VLAN等模式的防护,适合百兆环境,小中型企业,IDC服务商及系统集成工程,可支持255台机器有效的防护工作!产品性能:金盾抗DDOS防火墙针对目前广泛存在的DOS, DDOS等攻击而设计,为您的网站、信息平台基于Internet的服务等提供完善的保护使其免受别有用心之人的攻击破坏。
基于各个平台底层的核心模块,提供高效率的防护手段。
优秀的系统核心,使得本产品可抵御大规模的攻击经测试,百兆网络条件,本产品在平均90MBPS的DOS,DDOS攻击流量下仍可保证100%的连接成功率,千兆网络条件,本产品可抗300-500MBPS攻击流量。
1.高效率的核心攻击检测&防护模块2.完善的攻击防护手段3.强大的连接跟踪机制4.独创的端口防护体制5.广泛的平台适应性6.简单的安装与设置7.易于配置的攻击检测&防护参数8.规则设置及日志记录9.完善的售后服务金盾硬件防火墙JDFW-1000+产品发展介绍:2003年02月成立“金盾抗DDOS防火墙”研发项目组2003年11月:“金盾”产品推向市场,并申请国家发明专利2004年03月:“金盾”百兆级产品隆重推出2004年05月:“金盾”千兆级产品隆重推出2004年12月:“金盾”自发布后,成功地为数万个用户抵御了DDOS攻击2005年1月07日:“金盾”顺利通过国家安全产品检测中心检测2005年3月14日:金盾又获“公安部安全产品销售许可证”2005年06月:“金盾”百兆和千兆级产品成功应用于IDC服务商、ICP服务商和ISP运营商2005年10月:“金盾”百兆和千兆产品成功用于政府行业公司简介:安徽中新软件有限公司(简称“中新软件” )创立于2002年,是集网络安全产品、软硬件开发的高科技公司。
公司自2002年已开始针对DDoS攻击的产品研发,次年,“金盾抗DDOS防火墙” 正式推向市场,市场反应强烈。
金盾抗DDOS防火墙用户操作手册选择金盾,铸就成功―――――――――――――――――――――――――――――AnHui ZXSoft Co. Ltd.©版权所有 2002-2008目录物品清单一、用户手册简介 (2)1. 用途 (2)2. 约定 (2)3. 概述 (2)二、产品概述 (3)1. DOS/DDOS简介 (3)2. 金盾抗DDOS防火墙 (3)1) 技术优势 (3)a)DOS/DDOS攻击检测及防护 (3)b)通用方便的报文规则过滤 (4)c)专业的连接跟踪机制 (4)d)简洁丰富的管理 (4)e)广泛的部署能力 (4)f)优质的售后服务 (4)2) 防护原理 (4)a)攻击检测 (4)b)协议分析 (5)c)主机识别 (5)d)连接跟踪 (5)e)端口防护 (5)3) 产品系列 (5)a) 软件产品 (5)b)硬件产品 (5)三、安装指南 (6)1.设备类型及构成 (6)1)JDFW-100+ (6)2)JDFW-1000+ (6)3)JDFW-8000+ (7)4) J DFW-2000+ (7)5) 集群型号 (8)2.硬件设备安装 (8)1) 单路型防火墙 (8)2) 双路型防火墙 (8)3) 集群型防火墙 (8)3.注意事项 (9)四、防火墙功能描述 (10)1.用户登录 (10)2.系统信息 (10)1)内核版本号及构建日期 (10)2)序列号码 (10)AnHui ZXSoft Co. Ltd.©版权所有 2002-20083.规则设置 (10)1)地址 (10)2) 端口 (11)3)标志位 (11)4)模式匹配 (11)5)方向选择 (11)6)规则行为 (11)4.防护状态 (11)1) SYN保护模式 (11)2) SYN危急保护模式 (12)3) ACK&RST保护模式 (12)4) UDP保护模式 (12)5) ICMP保护模式 (12)6)碎片保护模式 (12)7) NonIP保护模式 (13)8) 忽略模式 (13)9) 禁止模式 (13)10) WebCC保护模式 (13)11) GameCC保护模式 (13)12) 高级UDP保护模式 (13)5.参数设置 (13)1) 系统控制 (14)a)系统时间 (14)b) 流量控制 (14)c)策略选项 (14)2)攻击检测 (14)a)SYN Flood保护 (14)b)SYN Flood高压保护 (14)c)SYN Flood单机保护 (14)d)ACK&RST Flood保护 (14)e)TCP端口自动关闭触发 (15)f)UDP保护触发 (15)g ) ICMP保护触发 (15)h) 碎片保护触发 (15)i) NonIP保护触发 (15)3) 流量限制 (15)a)紧急触发状态 (15)b)简单过滤流量限制 (15)c)忽略主机流量限制 (15)d)伪造源流量限制 (15)4) TCP防护 (15)a) 屏蔽持续时间: (16)b) 连接数量保护 (16)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008d) 默认黑名单策略 (16)5) UDP防护设置 (16)a) 请求连接超时 (16)b) 建立连接超时 (16)6) 变量设置 (16)6.端口策略 (16)1)防护类型 (16)a)标准防护(default) (16)b) 动态验证(WEB Service Protection) (17)c) 频率保护(Game Service Protection) (17)2) 连接攻击检测 (17)3) 连接数量限制 (17)4) 端口探测限制 (17)5) 防护标志 (17)a) 超时连接 (17)b) 超出屏蔽 (17)c) 延时提交 (17)d) 接受协议 (18)6)模块参数 (18)五、管理及配置 (18)1.登录页面 (18)1)语言 (18)2)用户/密码 (18)2.状态监控页面 (19)1)全局统计 (18)2) 系统负载 (19)3) 主机状态 (20)a) 主机 (20)b) 带宽 (21)c) 频率 (21)d) 连接 (21)e) 防护模式 (21)4) 单一主机状态 (21)a)主机地址 (22)b)网关IP地址 (22)c)网关MAC地址 (22)d)流量策略 (22)e) 连接策略 (22)f) 黑名单策略 (22)g) 保护设置集序号 (23)h) 分时流量 (23)i)防护插件 (23)5)连接监控 (23)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008b) 本地地址 (23)c)远端地址 (23)d)当前状态 (23)e)选择连接 (24)6)屏蔽列表 (24)a) 控制 (24)b) 本地地址 (24)c)远端地址 (24)d)当前状态 (24)7) 黑名单管理 (24)3.攻击防御页面 (25)1) 全局参数 (25)2) 规则设置 (25)a)规则设置集 (26)b)控制 (26)c)协议 (26)d)地址 (26)e)细节 (26)f)匹配 (26)3)规则编辑页面 (26)a) 规则序号 (27)b) 规则描述 (27)c) 报文长度 (27)d) 本地地址 (27)e) 远程地址 (27)f)协议类型 (27)g)本地端口/远程端口 (27)h)TCP标志位 (27)i)ICMP类型/ICMP代码 (28)j)模式匹配 (28)k)方向选择 (28)l)规则行为 (28)4.日志记录页面 (29)5.系统配置页面 (30)1)保存配置 (30)2)系统设备 (31)3)集群参数 (31)4)用户管理 (32)5) SNMP系统配置 (33)6) SNMP用户 (33)7)SNMP视图列表 (34)6.服务支持 (35)1) 关于我们 (35)AnHui ZXSoft Co. Ltd.©版权所有 2002-20082)版本信息 (35)3)报文捕捉 (35)4)产品升级 (36)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008物品清单小心打开包装箱,检查包装箱里应有的配件:➢一台防火墙➢一根交流电源线➢一根直连网线➢一根交叉网线➢一份《用户手册》➢一份宣传册➢一对LC-LC光纤线➢螺丝若干一、用户手册简介首先,感谢您购买我公司的防火墙产品!本防火墙功能实用,性能优秀,配置简单,是您安全链条中不可缺少的一环。
Kaspersky Security for Windows Server管理手冊產品版本:10.1.0.622親愛的使用者:感謝您選擇Kaspersky Lab作為您的安全軟體提供商。
我們希望本文件能幫助您使用我們的產品。
注意!本文件歸屬AO Kaspersky Lab(以下簡稱Kaspersky Lab):根據俄羅斯聯邦的版權法和國際條約保留對本文件的所有權利。
根據相關法律,非法複製和散佈本文件或其所含部分需要承擔民事、行政或刑事責任。
使用本文中任何資料進行任何類型的複製或發佈(包括翻譯),必須經過Kaspersky Lab的書面授權之後始可進行。
本文件及其相關圖片影像只能用於資訊參考、非商業和個人用途。
Kaspersky Lab保留在沒有事先通知的情況下修改本文件的權利。
關於本文件中任何協力廠商資源的內容、品質、相關性與準確性,以及使用此類資源而可能導致的任何直接或間接損失,Kaspersky Lab將不承擔任何相關責任與損失。
本文件使用的註冊商標和服務標誌均為其各自所有者擁有的專利權。
文件修訂日期:2018年3月26日© 2018年AO Kaspersky Lab版權所有。
保留擁有權利。
https://https://內容關於本手冊 (11)本手冊說明主題 (11)文件說明 (13)有關Kaspersky Security10.1for Windows Server的資訊來源 (14)可供自行查詢的資料來源 (14)在網路論壇上討論Kaspersky Lab的應用程式 (15)Kaspersky Security10.1for Windows Server (16)關於Kaspersky Security10.1for Windows Server (16)新增功能 (18)分發套件 (20)硬體和軟體需求 (22)佈署Kaspersky Security10.1for Windows Server的伺服器需求 (22)網路附加儲存防護的需求 (24)對安裝Kaspersky Security10.1主控台的電腦需求 (25)功能要求和限制 (26)安裝和移除 (26)流量安全 (27)檔案完整性監控 (27)防火牆管理 (28)其他限制 (29)安裝和移除應用程式 (31)Kaspersky Security10.1for Windows Server軟體元件及對應的Windows Installer服務代碼 (31)Kaspersky Security10.1for Windows Server軟體元件 (32)軟體元件的“管理工具”集 (34)Kaspersky Security10.1for Windows Server安裝後的系統變更 (34)Kaspersky Security10.1for Windows Server處理程序 (38)Windows Installer服務的安裝和移除設定及命令列選項 (38)Kaspersky Security10.1for Windows Server安裝和移除記錄 (43)安裝排程 (43)選擇管理工具 (44)選擇安裝類型 (45)基於精靈安裝和移除應用程式 (46)使用安裝精靈進行安裝 (46)Kaspersky Security10.1for Windows Server安裝 (47)Kaspersky Security10.1主控台安裝 (49)在其他電腦上安裝Kaspersky Security10.1主控台的進階設定 (50)在安裝Kaspersky Security10.1for Windows Server後執行的操作 (53)修改元件集和復原Kaspersky Security10.1for Windows Server (55)使用安裝精靈移除 (56)Kaspersky Security10.1for Windows Server移除 (57)Kaspersky Security10.1主控台移除 (58)透過命令列安裝或移除應用程式 (58)關於從命令列安裝和移除Kaspersky Security10.1for Windows Server (59)安裝Kaspersky Security10.1for Windows Server的指令範例 (59)在安裝Kaspersky Security10.1for Windows Server後執行的操作 (60)新增/移除元件。
中新金盾抗拒绝服务系统攻击监控软件版本号:201101A中新金盾抗拒绝服务系统攻击监控软件使用说明版本V1.1.0.2为便于客户管理多台以及集群抗拒绝服务系统,我们为您提供了金盾抗拒绝服务系统管理软件。
可针对金盾抗拒绝服务系统进行实时监控,根据流量和连接设置报警参数。
一、软件下载:下载地址:/services_06.html文件名称:中新金盾抗拒绝服务系统监控软件下载jdfwmon.rar 后解压缩到 jdfwmon. 目录,可看到 config.ini fwmon.exe hosts.ini 和说明四个文件 config.ini 为配置文件(请不要修改) fwmon.exe 为控制器主文件 hosts.ini为单一IP监控报警配置文件jdfwmon文件注:在使用过软件的流量牵引功能后,会自动在目录下生成一个日志文件flowdiv.log二、使用说明:运行 fwmon.exe 文件,界面如图一:(图一)1、攻击监控界面:(图二)1.1设备管理设备地址:通过此项设置抗拒绝服务系统管理地址,设置格式为:*.*.*.*:28099(*.*.*.*表示外网管理IP地址)用户名:输入抗拒绝服务系统管理用户名密码:输入抗拒绝服务系统管理控制密码设置:输入抗拒绝服务系统管理地址、用户名和密码后,点击“设置”即可添加受监控抗拒绝服务系统删除:选中受监控抗拒绝服务系统后点击“删除”可取消该台抗拒绝服务系统的监控注: 双击流量记录下的列表,会出来这台抗拒绝服务系统的主机列表1.2流量记录设备信息:显示管理地址、用户、状态当前状态:显示流量、连接详细统计:显示攻击频率2、参数设置:(图三)设备查询间隔:默认值60秒,即监控器对于设备进行查询的间隔时间为60秒查询一次,可根据客户需要调整数值重复报警间隔:默认值300秒,即当首次报警后如仍符合报警条件会在300秒后进行二次报警,可根据客户需要调整数值主机显示数量:默认值10个,即在主机列表中显示最大流量的前10台主机状态,可根据客户需要调整数值流量统计方式:表示进行流量报警设置时可选择IN、OUT或IN+OUT形式进行流量计算连接统计方式:表示进行连接报警设置时可选择TCP in、TCP out、TCP(TCP总连接)、UDP(总连接)、及TCP+UDP形式进行连接计算SYSLOG服务器:设置SYSLOG服务器报警方式,通过添加SYSLOG服务器地址,便于客户对日志信息进行管理3、报警设置:(图四)3.1报警条件总流量报警:指受监控抗拒绝服务系统的流量和,即所有受监控抗拒绝服务系统的流量(in流量和out流量和)达到此设置数值时,开始报警,单位为MBPS。
中新金盾防火墙攻击监控软件使用说明为便于客户管理多台以及集群防火墙,我们为您提供了金盾防火墙管理器。
可针对金盾防火墙进行实时监控,根据流量和连接设置报警参数。
一、软件下载:下载地址: :8022/jdfwmon.rar文件名称:中新金盾防火墙管理器下载jdfwmon.rar 后解压缩到jdfwmon. 目录,可看到 config.ini fwmon.exe ringin.wav 三个文件其中 config.ini 为配置文件(请不要修改) fwmon.exe 为控制器主文件 ringin.wav 为声音文件。
jdfwmon文件AnHui ZXSoft Co. Ltd.©版权所有 2002-20081 页AnHui ZXSoft Co. Ltd.©版权所有 2002-20082 页二、 使用说明:运行 fwmon.exe 文件,界面如图一:(图一)1、攻击监控界面:AnHui ZXSoft Co. Ltd.©版权所有 2002-20083 页(图二) ¾ 设备管理设备地址:通过此项设置防火墙管理地址,设置格式为:*.*.*.*:28099(*.*.*.*表示外网管理IP 地址)用户名:输入防火墙管理用户名 密码:输入防火墙管理控制密码设置:输入防火墙管理地址、用户名和密码后,点击“设置”即可添加受监控防火墙删除:选中受监控防火墙后点击“删除”可取消该台防火墙的监控¾ 流量记录设备信息:显示管理地址、用户、状态 当前状态:显示流量、连接 详细统计:显示攻击频率2、参数设置:(图三)设备查询间隔:默认值60秒,即监控器对于设备进行查询的间隔时间为60秒查询一次,可根据客户需要调整数值重复报警间隔:默认值300秒,即当首次报警后如仍符合报警条件会在300秒后进行二次报警,可根据客户需要调整数值主机显示数量:默认值10个,即在主机列表中显示最大流量的前10台主机状态,可根据客户需要调整数值流量统计方式:表示进行流量报警设置时可选择IN、OUT 或IN+OUT 形式进AnHui ZXSoft Co. Ltd.©版权所有 2002-20084 页行流量计算连接统计方式:表示进行连接报警设置时可选择TCP in、TCP out、TCP (TCP 总连接)、UDP(总连接)、及TCP+UDP 形式进行连接计算SYSLOG 服务器:设置SYSLOG 服务器报警方式,通过添加SYSLOG 服务器地址 ,便于客户对日志信息进行管理3、 告警设置:¾ 报警条件(图四)总流量报警:指受监控防火墙的流量和,即所有受监控防火墙的流量(in 流量和out 流量和)达到此设置数值时,开始报警,单位为MBPS。
最新v20.18ss跨平台版,一劳永逸的视频加密解决方案!只需加密一次就可以实现跨平台播放,支持手机和平板,支持Windows、Android安卓、苹果IOS、Mac* 加密视频可以设置保留原始格式,也可以自定义格式,加密后的视频杀毒软件永不误报 !* 单个视频支持无穷大,逐帧加密,加密后的视频可以在1秒钟左右打开播放,边解密边播放;* 有三种加密算法可以选择,几乎可以加密所有常见或不常见的视频格式;* 加密后的视频可以采用各种灵活调用方式,可以命令行调用播放、插件方式调用播放、双击播放等等;* 非对称加密算法采用国际上最高强度加密算法,技术上领先国内和国外其他软件整整两代,可谓视频加密领域的第五代战机!* 可启用高清播放,图像放大播放边缘依然平滑,不产生锯齿,颜色不失真;* 酷炫视频水印功能,真正透明水印,可以设置水印颜色、大小、旋转角度、浮动范围,防翻录水印可以设置透明度,不影响用户播放!* 快进播放不影响音质,快进播放时声音依然是高保真原声效果;官方网站地址:试用版软件下载地址:/products/JDVideoEnc.rar软件使用流程简介:1.在文件加密选项卡中,通过选择&添加文件按钮,选择要添加的视频文件,金盾支持所有可播放的视频文件格式。
在加密输出格式中还可自定义加密后的格式哦。
1. 选择加密算法,不同算法的加密强度不同,选择适合自己的机密算法。
1. 选择适合自己的加密模式,不同加密模式一目了然,无需多做讲解。
1. 设置与硬件绑定的方式,建议默认选项。
1. 可以上传一张自定义的认证界面图,尺寸要求748*500。
1. 点击开始加密按钮,即可完成对视频的加密。
业务配置选项卡介绍:播放比例与效果:用于设置播放窗口的比例大小播放前弹出的网页和退出时弹出的网页可用于在视频播放前以及退出时自动弹出设定好的网页页面。
窗口标题与验证窗口设计:自定义窗口标题与验证窗口中的相应信息。
设置好后可以通过预览验证窗口按钮看到设计好的验证窗口。
金盾抗DDOS防火墙用户操作手册选择金盾,铸就成功―――――――――――――――――――――――――――――AnHui ZXSoft Co. Ltd.©版权所有 2002-2008目录一、产品概述 (1)1. DOS/DDOS简介 (1)2. 金盾抗DDOS防火墙 (1)1) 技术优势 (1)a) DOS/DDOS攻击检测及防护 (1)b) 通用方便的报文规则过滤 (2)c) 专业的连接跟踪机制 (2)d) 简洁丰富的管理 (2)e) 广泛的部署能力 (2)f) 优质的售后服务 (2)2) 防护原理 (2)a) 攻击检测 (2)b) 协议分析 (3)c) 主机识别 (3)d) 连接跟踪 (3)e) 端口防护 (3)3) 软件产品系列 (3)4) 售后服务政策 (3)二、防火墙功能描述 (4)1.用户登录 (4)2.规则设置 (4)1)地址 (4)2)端口 (4)3)标志位 (4)4)模式匹配 (4)5)方向选择 (4)6)匹配行为 (5)3.防护状态 (5)1) SYN保护模式 (5)2) ACK保护模式 (5)3) UDP保护模式 (5)4) ICMP保护模式 (5)5) 碎片保护模式 (6)6) 忽略模式 (6)7) 禁止模式 (6)8) WebCC保护模式 (6)9) GameCC保护模式 (6)10) 高级UDP保护模式 (6)4.参数设置 (7)1) 预定规则 (7)a) 屏蔽135-139端口,阻止异域网及信息泄露 (7)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008b) 允许自己用ping命令探测其他机器 (7)c)防止别人用ping命令探测 (7)d)<<传奇>>攻击防护 (7)e)<<魔域>>攻击防护 (7)2) 攻击检测 (7)a)SYN保护触发 (7)b)SYN单机屏蔽 (7)c)ACK保护触发 (8)d)UDP保护触发 (8)f) ICMP保护触发 (8)g) 碎片保护触发 (8)3) 防护设置 (8)a) 地址屏蔽时间: (8)b) 连接数量保护 (8)c) 连接空闲超时 (8)4) 黑名单策略 (8)5.端口策略 (8)1) 端口范围 (9)2) 连接数量限制 (9)3) 连接频率限制 (9)4) 协议类型 (9)5) 防护标志 (9)a) 超时连接 (9)b) 延时提交 (9)c) 超时屏蔽 (9)d) 接受协议 (9)6) 防护模块 (9)a) 标准防护(default) (9)b) 动态验证(WEB Service Protection) (9)c) 频率保护(Game Service Protection) (10)5)模块参数 (10)三、页面管理 (11)1.登录页面 (11)2.关于页面 (11)3.状态监控页面 (12)1) 主机 (12)2) 带宽 (12)3)攻击频率 (12)4) 连接 (12)5) 状态 (13)4.连接监控页面 (13)1) 本地地址 (13)2) 远端地址 (13)3) 连接总数 (13)AnHui ZXSoft Co. Ltd.©版权所有 2002-20085.屏蔽列表页面 (13)1) 本地地址 (14)2) 远端地址 (14)3) 屏蔽时间 (14)6.黑名单列表页面 (14)1) 黑名单地址 (15)2) 访问次数 (15)3)设置黑名单 (15)4)清除黑名单 (15)7.规则设置页面 (15)8.参数设置页面 (16)9.端口保护设置页面 (17)10.日志记录页面 (18)11. 帮助-关于页面 (19)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008一、产品概述本防火墙针对目前广泛存在的DOS/DDOS攻击而设计,为您的网站、信息平台、互动娱乐等基于Internet的网络服务提供完善的保护,使其免受恶意的攻击、破坏。
1.DOS/DDOS简介拒绝服务攻击(DOS/DDOS)是近年来愈演愈烈的一种攻击手段,其主要目的是造成目标主机的TCP/IP协议层拥塞、或者导致应用层异常终止而形成拒绝服务的现象。
目前,DOS/DDOS攻击方式主要有以下几种:a)利用TCP/IP协议的漏洞,消耗目标主机的系统资源,使其过度负载。
此种攻击也是目前很普遍存在的一种攻击形式,攻击者动辄发起几十兆甚至上百兆的攻击流量,造成目标的彻底瘫痪。
常见的有SYN Flood,UDP Flood,ICMP Flood等等;b)利用某些基于TCP/IP协议的软件漏洞,造成应用异常。
此种攻击比较单一,通常是针对某个软件特定版本的攻击,影响范围较小,且具有时限性。
但通常此种攻击较难防御,漏洞查找较困难;c)不断尝试,频繁连接的野蛮型攻击。
此种攻击早期危害有限,但随着代理型攻击的加入,已渐有成为主流之势。
常见的有WEB Stress,CC Proxy Flood等。
随着网络上各种业务的普遍展开,DOS/DDOS攻击所带来的损失也愈益严重。
当前运营商、企业及政府机构等各种用户时刻都面临着被攻击的威胁,而可预期的更加强大的攻击工具也会成批出现,此种攻击只会数量更多、破坏力更强大,更加难以防御。
正是DOS/DDOS攻击难于防御,危害严重,所以如何有效的应对DOS攻击就成为对网络安全工作者的严峻挑战。
传统网络设备或者边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DOS攻击完善的防御能力。
因此必须采用专门的机制,对攻击进行检测、防护、进而遏制这类不断增长的、复杂的且极具隐蔽性的攻击行为。
2.金盾抗DDOS防火墙针对当前的DOS/DDOS攻击现状,安徽中新软件自主研发的抗拒绝服务产品——金盾抗DDOS防火墙,具有很强的DOS/DDOS攻击的防护能力。
并可在多种网络环境下轻松部署,保证网络的整体性能和可靠性。
1)技术优势金盾抗DDOS防火墙,相比其它DOS/DDOS产品,具有以下优势:a)DOS/DDOS攻击检测及防护金盾抗拒绝服务系列产品,应用了自主研发的抗拒绝服务攻击算法,对SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,Fragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各种常见的攻击行为均可有效识别,并通过集成的机制实时对这些攻击流量进行处理及阻断,保护服务主机降低攻击所造成的损失。
内建的WEB保护模式及游戏保护模式,b)通用方便的报文规则过滤金盾抗拒绝服务系列产品,除了提供专业的DOS/DDOS攻击检测及防护外,还提供了面向报文的通用规则匹配功能,可设置的域包括地址、端口、标志位,关键字等,极大的提高了通用性及防护力度。
同时,内置了若干预定义规则,涉及局域网防护、漏洞检测等多项功能,易于使用。
c)专业的连接跟踪机制金盾抗拒绝服务系列产品,内部实现了完整的TCP/IP协议栈,具有强大的连接跟踪能力。
每个进出的连接,防火墙都会根据其源地址进行分类,并显示出来给用户,方便用户对受保护主机状态的监控。
同时还提供连接超时,重置连接等辅助功能,弥补了TCP协议本身的不足,使您的服务器在攻击中游刃有余。
d)简洁丰富的管理金盾抗拒绝服务系列产品具有丰富的设备管理功能,基于简洁的WEB管理方式,支持本地或远程升级。
同时,丰富的日志和审计功能也极大地增强了设备的可用性,不仅能够针对攻击进行实时监测,还能对攻击的历史日志进行方便的查询和统计分析,便于对攻击事件进行有效的跟踪和追查。
e)广泛的部署能力针对不同的客户,抗拒绝服务所面临的网络环境也不同,企业网、IDC、ICP或是城域网等多种网络协议并存,给抗拒绝服务系统的部署带来了不同的挑战。
金盾抗DDOS防火墙具备了多种环境下的部署能力。
f)优质的售后服务您购买本产品后,将终生享有免费升级服务。
我们有专门的技术人员为您进行定期更新,使您的网络始终保持在最安全的状态,免除您的后顾之忧。
2)防护原理金盾抗拒绝服务产品基于嵌入式系统设计,系统核心实现了防御拒绝服务攻击的算法,创造性地将算法实现在协议栈的最底层,避开了IP/TCP/UDP等高层系统网络堆栈的处理,使整个运算代价大大降低。
并采用自主研发的高效防护算法,效率极高。
方案的核心技术架构如下图所示:金盾防火墙防护原理图a)攻击检测本防火墙利用了多种技术手段对DOS/DDOS攻击进行有效的检测,在针对不同的流量触发不同的保护机制,提高效率的同时确保准确度;b)协议分析本防火墙采用了协议独立的处理方法,对于TCP协议报文,通过连接跟踪模块来防护攻击;而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。
c)主机识别本防火墙可自动识别其保护的各个主机及其地址。
实现某台主机受到攻击不会影响其它主机的正常服务。
d)连接跟踪本防火墙针对进出的连接均进行连接跟踪,并在跟踪的同时进行防护,彻底解决针对TCP 协议的各种攻击。
e)端口防护本防火墙建立在连接跟踪模块上的端口防护体制,针对不同的端口应用,提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的DOS/DDOS攻击保护。
3)软件产品系列主要有JDFW-SW8000及JDFW-SWU两种,按照连接数划分,提供不同的处理能力,分别为8000及无限连接数;4)售后服务政策金盾在维护责任期内,按照合同要求提供技术支持服务,保障金盾产品的正常运行。
享有终生免费升级和一年免费维护软件安装后,用户重装必须保证防火墙绑定信息有一项固定不变二、防火墙功能描述本章主要介绍配置和管理防火墙时涉及到的一些基本概念。
1.用户登录本防火墙安装后会在桌面形成快捷方式,通过密码登陆,初始密码为zxsoft,允许更改密码,为达到限制非法人员进入防火墙管理界面的目的。
2.规则设置金盾防火墙提供了通用规则设置接口,功能强大,设置简便。
规则细节描述如下:1)地址指定规则目标地址。
可指定的地址类型包括:所有地址,指定URL,指定IP段,指定网络地址。
其中设置指定URL,设置后相应规则将变为对DNS域名解析的过滤规则;2)端口当规则为TCP/UDP协议时,可指定相应的端口域。
可指定的端口类型可以为单一端口,如“80”;也可为端口范围,如“135-139”;还可以为离散端口,如“7000, 7100, 7200”;3)标志位当规则为TCP协议时,可指定相应的标志位,包括FIN,SYN,RST,PSH,ACK,URG。
4)模式匹配指定规则匹配包含的关键字。
本防火墙内建高效的模式匹配算法,可快速、批量的进行数据匹配,从原始报文中找出某一组关键字用于规则模式匹配。
