Aodun硬件防火墙培训教材

1、KFW-1500安装使用手册北京傲盾软件有限责任公司电话 82898745版 权所有 1999-2005,北京傲盾软件有限责任公司傲盾 ®KFW 傲盾为北京傲盾软件有限责任公司所注册或授权使用商标。 本文中出现的任何文字 叙述、文档格式、插图、方法、过程等内容,均受到有关产权及版权保护。任何个人、机构 未经北京傲盾软件有限公司的书面授权许可,不得以任何形式的复制和引用本文档的任何片 断 。 第一章 简介1.1 产品信息KFW 傲盾 ®防火墙是一款针对各种网站、信息平台、 Internet 服务等,集成多种功能模块的安 全平台。本产品是具有完全知识

2、版权的防火墙,使用了目前最先进的第三代防火墙技术 DataStream Fingerprint Inspection 数据流指纹检测技术,与企业级防火墙 Check Point 和 Cisco 相同,能够检测网络协议中所有层的状态,有效阻止 DoS 、 DDoS 等各种攻击,保护 您的服务器免受来自 Internet 上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙 的技术,提供各种企业级功能,功能强大、齐全,价格低廉,是目前世界上性能价格比最高 的网络防火墙产品。1.2 功能列表1 数据包规则过滤2 数据流指纹检测过滤3 数据包内容定制过滤防护利用网络服务端漏洞进行攻击4 透明模式5

3、NAT 功能 (支持 FTP PASV 和 port, 支持 irc 的 ddc 等动态端口模式,安装防火墙后不用设 置 PASV 之类的端口 6 端口映射功能7 流量控制8 采用最先进的数据流指纹技术, 提供强大的 DOS(拒绝服务 攻击防护, 彻底防护各种已知 和未知的 DOS 攻击。9 流量分析监测10 实时访问连接监控11 支持 dmz 区的建立12 账号,权限管理13 分布式管理14 漏洞防护15 数据包分析16 网络内部服务器 IP 流量以及连接监控全国免费客服电话:8009905568 手机用户请拨打11.3 技术优势和特点KFW 傲盾防火墙系统是一套

4、全面、创新、 高安全性、 高性能的网络安全系统。 它根据系统管理 者设定的安全规则(Security Rules把守企业网络,提供强大的访问控制、状态检测、网 络地址转换(Network Address Translation、信息过滤、流量控制等功能。提供完善的安 全性设置,通过高性能的网络核心进行访问控制。与国内外的防火墙产品所比较,傲盾防火墙有以下突出的技术优势和特点:1 特有的 DdoS 、 Dos 攻击防御DoS 攻击 (Denial of Service 拒绝服务攻击 或着是 DDoS 攻击 (Distribute Denial of Service 分布式拒绝服务攻击是近年来流行

5、的一种危害极大的网络攻击方式。当 DoS 攻击发动的时 候,有时甚至可以完全使网络服务器所提供的服务失效。DoS 攻击的原理,简而言之,就是针对 TCP/IP协议的薄弱环节,利用 IP 欺骗技术, 对要攻击 的节点疯狂地发出数据包;使得被攻击节点忙于处理这些虚假来源的数据包,从而使合法的 使用者无法正常的连接到被攻击的节点。而且由于 DoS 攻击的发动者采用 IP 地址欺骗,使得 很难对攻击来源进行定位。由于 DoS 攻击的这些特点,使它成为最有效,也最难防护的攻击 手段之一。针对 DoS 攻击的这些特点, KFW 傲盾防火墙专门设计了特有的 DoS 防御网关, 可以有效的抵御 各种 DoS

6、、 DDoS 攻击。这里简要叙述 KFW 傲盾防火墙 DoS 防御网关的原理: KFW傲盾防火墙所采用的特有专利技术, 使得防火墙本身是不受 DoS 攻击的,这也是 KFW 傲盾防火墙能够有效防护需要保护的站点免 受 DoS 攻击的先决条件。 在这个条件的基础上, KFW 傲盾防火墙采用经过优化的 TCP 连接监控 方式来保护防火墙内的脆弱机器。这种算法的特点是在处理 TCP 连接请求的时候,在确定连 接请求是否合法以前,用户端与服务端是隔断的。这就令到 DoS 攻击者在发动攻击的时候并 不能直接连接到防火墙内部的机器,所以攻击者所发出的所有 DoS 攻击包只能到达防火墙, 从而保护了防火墙内

7、部的机器不受到 DoS 攻击。 而且, KFW 傲盾防火墙通过高效的离散算法 提供了超过 60万以上的同时连接数的容量,为数据传输的高效和可靠提供了强有力地保障。2 世界领先 DataStream Fingerprint Inspection数据流指纹检测技术传统的包过滤防火墙只是通过检测 IP 包头的相关信息来决定数据流的通过还是拒绝, KFW 傲 盾防火墙独创的 DataStream Fingerprint Inspection数据流指纹检测技术采用的是一种 基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接 状态表,通过规则表与状态表的共同配合,对表中的各个

8、连接状态因素加以识别。这里动态 连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与 传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。KFW 傲盾防火墙的核心数据流指纹检测技术, 可以确保每个进入的数据包都是合法有效的, 一 旦确认连接的合法性防火墙就会信任这个连接,不在对后续包进行复杂的处理,从而大大提 高了效率3 特有的 TCP 标志位检测功能全国免费客服电话:8009905568 手机用户请拨打2在大多数的防火墙里,都缺少对连接是从哪方主动发起进行判断的选项,这将导致一个潜在 的安全隐患是攻击者可能可以从一个外部主

9、机的某个常用服务端口连入内部主机的高端口。 例如,如果允许内部主机访问外部主机的 telnet 服务, 这个方向连接的所有包应该是必须包 含 ACK 位的,也就是说,不是主动发起的连接。但通常的防火墙的包过滤功能里并没有检查 ACK 位的设置,因此,攻击者就可以从外部主机的源 23端口发起连接到内部主机的高端口 (>1023。 KFW 傲盾防火墙系统通过在安全规则上的设置对数据包的 SYN/ACK等标志位进行合 法性检测和判断,防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接,从而 攻击内部主机。国内包括国外的许多防火墙系统都无此防护功能。4 强大的 NAT 地址转换功能当 I

10、nternet 技术变成热门技术,获取有效 IP 地址的热潮即将耗尽有限的网络地址空间,因此 有关地址扩展的建议如 IPng 已被确定为一个新 IP 编址标准 -IPv6。所有的标准需要一定时间 被广为接收和实现,在这之前,我们必须有一个代替的方法。另一方面,在网络安全问题上, 能够隐蔽的私有地址会提供更为理想的安全性。由此, NAT 技术应运而生。 在 KFW 傲盾防 火墙里, 我们可以方便地应用 NAT 的方式使具备私有地址编址方式的机器能够安全的连上外 部网络, 并且应用 INTERNET 所提供的多姿多彩的生活; NAT 的重定向功能使得即便是私有 地址空间的机器也能够在公有网络上提供

11、 INTERNET 服务,这对那些想在网上安个 " 家 " ,而 又只能用私有地址的用户来说再合适不过了, 通过 NAT 功能可以方便的建立起 dmz 区, 把服 务器和 Interenet 隔离开。使服务器免受黑客的攻击。5 独立开发的高效率系统核心KFW 傲盾防火墙采用专门设计、 自行开发的独立操作系统的网络核心。使得它有着最贴近系 统底层的高效率。并且,由于完全是自行开发的系统,使得它可以告别一切不稳定的因素。全国免费客服电话:8009905568 手机用户请拨打3第二章 安装 2. 1 拓朴结构 三层交换机 省枢纽三层交换机 三层交换机

12、三层交换机 三层交换机 三层交换机图 2.1KFW-1500 为单台 2G 集群抗拒绝服务系统,可单台或多台集群架设在城域网出口以及机房带 宽出口用于保护其下面的整个网络,在攻击包进入下层网络前将其过滤。连接方式如图 2.1所示:架设傲盾集群防火墙之前必须在上层路由(交换机和下层路由(交换机相应网口设置端 口的链路聚合(Trunk ,相应端口链路聚合(Trunk 设置好后,从上层路由(交换机下 来的光纤(lc 多模光纤,如是其他接口,请先转换为多模光纤 lc 接口接入 KFW-1500的外全国免费客服电话:8009905568 手机用户请拨打4网口,从 KFW-15

13、00的内网口接出多模光纤到下层的路由(网络交换机,再从路由到下面的 三层交换机,这样整个防火墙集群系统下面的内网都受保护了。2.2测试及安装如上一节所描述的方法将 KFW-1500接入网络中, 接上电源线, 打开电源, 等待防火墙启动 (大 约一分钟左右,分别从 KFW-1500一端 Ping 测试另一端。如果都能 Ping 通,说明防火墙已 经正常工作, 就可以开始使用了, KFW -1500为单台 2G 抗 DDOS 攻击防火墙, adeth0、 adeth2为外网口, adeth1、 adeth3为内网口, adeth4为防火墙系统同步口, adeth5为防火墙内外网 登陆管理口。网口分

14、布如图 2.2所示: 图 2.2全国免费客服电话:8009905568 手机用户请拨打5第三章 配置3.1 登录如果机房只装一台防火墙,那这台防火墙 IP 和端口对应为每个网口 对应 一个内部 ip,如果是多台 1500防火墙做集群,那对应的第二台防火墙的相应端口 IP 地址为全国免费客服电话:8009905568 手机用户请拨打6全国免费客服电话:8009905568 手机用户请拨打7第一次登录会提示你下载 ActiveX 控件, 请下载安装。如果不能清楚显示登陆页面,请点击 IE 的 工具 ->Int

15、ernet 选项 ->安全 ->自定义选项 ->启动所有的 ActiveX 控件和插件 点击登录 KFW 管理器进入管理器: 输入正确信息后,点击“登录”进入管理。进入管理界面后点击防火墙的 设置 ->防火墙基本参数 进入防火墙网口配置界面全国免费客服电话:8009905568 手机用户请拨打8这里的 “运行模式” 我们选择 “透明防火墙模式” , 然后将相应的网络网口分别添加到 “外 部网络网口列表”和“内部网络网口列表”里面 . 在通常 情况下我们默认的配置为 adeth0、 adeth2为外网口; adeth1、 adeth3为内网口;

16、 adeth4为防火墙的系统同步口, adeth5为防 火墙的外网管理口。3.2 设置防火墙 IP选择菜单 设置 ->防火墙设置 ->设置防火墙 ip 如图 3.1 图 3.1这里可以为硬件防火墙指定一个 IP , 便于远程管理。 默认这是关闭的。 设置的方法是, 选上 允 许防火墙对外使用 IP,在 IP地址 里填上要使用的 IP 地址,填上掩码,并设置网关。 要绑 定的设备 我们需要选择 adeth5,因为这个是管理口。 允许访问的 IP设置可以远程管理的客 户端 IP 地址,可以限制只可以从指的 IP 来管理。3.2设置防火墙集群地址选择菜单 设置 ->防火墙设置 -&

17、gt;设置集群地址 如图 3.2图 3.2如果是多台 KFW-1500做集群防护 , 我们将防火墙安装上以后需要设置一下防火墙的集群地址 , 这时我们可以选择一台防火墙做为主防火墙 , 将其他防火墙地址加进去我们选择菜单 设置 ->防火墙设置 ->设置集群地址, 将其他防火墙的 ip地址和帐号密码添加进去, 这样就可以实现 设置防火墙规则参数时防火墙规则设置的同步。3.2 系统管理1 syn 高效防护设置选择菜单 设置 ->防火墙设置 ->防火墙参数设置全国免费客服电话:8009905568 手机用户请拨打9全国免费客服电话:80099055

18、68 手机用户请拨打10启动 SYN 防护模块: 开启后, 默认将保护本防火墙防护的所有的 IP 以及各个 IP 的所有端口 . 默认的响应 TCP 连接请求的数值是 2000。 2000这个数值就是说在一秒内,所有发到硬防的 建立连接的请求,傲盾防火墙只处理前 2000个,假如有 2001个包,最后 1个包,傲盾防火 墙会暂时搁置。等 3秒钟在进行处理。 如果是正常的连接, 3秒种后, 被搁置的这个请求会再 次发出,如果是 ddos 攻击, 因为 IP 地址是虚拟的, 3秒钟后就不会在发出回应的包。因此就 避免了硬防下的服务器资源被耗尽,带宽被耗尽。2 防火墙规则

19、设置选择菜单 设置 ->防火墙设置 ->防火墙规则设置 可以通过防火墙规则, 来确定实现对网络的安全设置, 防火墙分为两个视图, 本机接收数据 设置本机所有接收的数据, 本机发送数据 设置本机所有发送的数据 , 点击这两个按钮可以切 换视图设置说明 :全国免费客服电话:8009905568 手机用户请拨打:010-82898030111.协议类型 可以选择各种协议,也可以自己定义协议2.发送端地址 是数据包的源 IP 地址3.接收端地址 是数据包的目的 IP 地址4.协议属性 选择不同的 协议类型 这里为对应的协议属性。5.TCP协议属性 TCP属性分别为 SYN, ACK, FI

20、N, RST, URG, PSH,每个属性下面有一个 设 置 选择 ,选择需要检查的属性,选择这个属性的 设置 表明这个属性必须设置为 1, 例如, 要检查 syn 和 ack 属性的 tcp 包, 并且 syn 为 1,ack 为 0 则选择 syn 和 ack, 然后在 syn 的 设 置 属性打上对号,把 ack设置 属性的对号去掉,再例如,需要检查 syn rst fin 标志, syn =0,rst = 1,fin=0,则分别选择 syn rst fin,然后把 syn 和 fin 的 设置 属性去掉对号, rst 的 设置 属性打上对号。 7.高级设置 -> IP流量限制 可

21、以通过规则, 限制哪些 ip 流量多少, 上载或者下载的流量, 这样就可以方便的限制 IIS 下载了,通过和 ip 连接数限制一起使用, IIS 下载就可以和 ftp 下 载一样限制流量和 ip 同时连接数了。3 接收包流量限制选择菜单 设置 ->DOS攻击防护 ->接收包流量限制全国免费客服电话:8009905568 手机用户请拨打12接 收 包 流 量 限 制 可 以 限 制 大 量 dos 数 据 包 攻 击 , 通 过 这 个 设 置 可 以 防 止 所 有 ICMP,IGMP,UDP,TCP 等之类的 dos 攻击设置说明 :1.协议类型 可以

22、选择各种协议,或者自定义协议。2.源地址 要防止攻击包的源地址 , 默认是任何地址。3.目的地址 要防止攻击包的目的地址 , 默认是任何地址。4.协议属性 选择不同的 协议类型 这里为对应的协议属性,比如要限制 TCP SYN 的攻击 包数,可以选择 协议类型 为 TCP,协议属性 把 SYN 设置 分别选择上。5.TCP协议属性 TCP属性分别为 SYN, ACK, FIN, RST, URG, PSH,每个属性下面有一个 设 置 选择 ,选择需要检查的属性,选择这个属性的 设置 表明这个属性必须设置为 1, 例如, 要检查 syn 和 ack 属性的 tcp 包, 并且 syn 为 1,a

23、ck 为 0 则选择 syn 和 ack, 然后在 syn 的 设 置 属性打上对号,把 ack设置 属性的对号去掉,再例如,需要检查 syn rst fin 标志, syn =0,rst = 1,fin=0,则分别选择 syn rst fin,然后把 syn 和 fin 的 设置 属性去掉对号, rst 的 设置 属性打上对号。6.时间单位 分别是秒,分钟,小时,天,默认是秒,例如设置 时间单位 秒, 允许通过 包 为 10,允许最大突发数为 5 表示, 每秒允许通过 10个包,最大突发包数是 5, ,如果每 秒超过 10个包,超过的数据包将被拦截。7.拦截 当上面的条件符合时拦截 这个数据

24、包。8.智能拦截 用在 tcp 协议,结合 syn 拒绝服务攻击防护 使用,例如当受到大量的 syn 包攻击,每秒超过 5万个, 如果你设置 拦截 的话 正常的请求也会被拦截, 服务还是不能正 常运转,这时可以设置 智能拦截 ,智能拦截并不会把超过流量限制的数据包给丢掉,而是 通过智能判断来对正常的请求进行响应。4 流量监控和统计在 KFW 傲盾防火墙服务器版管理器里主界面里点击开始按钮全国免费客服电话:8009905568 手机用户请拨打13点击开始后选择监控统计模式,选择监控统计的类别,就可以得到当前网络的实时监控统计 信息了。实时图表曲线 ->发送包数,

25、接收包数统计类别字节图标条 5KFW 服务器版网络监控通过网络监控可以方便的检测查询当前的连接详细信息,以及 syn 攻击的情况网络监控分为两大块,快速视图和查询视图,快速视图的信息比较简单,当有大量连接的时 候可以很快列表出来,查询视图的信息很详尽,但是当连接数多的时候列表速度比较慢。 每个视图里都有所有连接列表和 DOS_SYN列表 所有连接列表里显示当前正常连接到服务器的 连接, DOS_SYN 列表里显示出当前 SYN 访问请求的所有列表,当有 syn 攻击的时候列表里会 有几万 , 几十万的数据。如果列表里有几百个连接应该是正常的。快速视图所有连接列表 快速视图 DOS_SYN列表

26、查询视图所有连接列表全国免费客服电话:8009905568 手机用户请拨打14全国免费客服电话:8009905568 手机用户请拨打15查询视图 DOS_SYN列表 5 被封 ip 列表被封 ip 列表分为两个模块:防火墙规则 ip 列表 和 漏洞规则 ip 列表 。防火规则 ip 列表:如果在防火墙规则设置里面设置了防护规则,当有针对某 ip 的攻击时 在被封 ip 列表里会列出当前防火墙封掉的肉鸡 ip 。漏洞规则 ip 列表:如果在漏洞规则里面设置了漏洞的防护规则,当有攻击时,在此列表里 会列出当前漏洞规则封掉的 ip 。参数说明:

27、被封的 ip 被防火墙封掉的攻击服务器的肉鸡的 ip 。访问服务器 ip 被攻击的服务器 ip 。序号(防护 |漏洞 |子规则 这里的序号体现的是,封掉的这个 ip 是漏洞规则里面的第 几条防护规则-漏洞-漏洞里面的子规则起作用的。阻止时间 防火墙释放封掉 ip 剩余的秒数。如图 5.1所示 图 5.16监控日志防火墙监控日志记录的是,所经过防火墙的每个时刻的流量统计表,查看的选项我们可以选 数据包的形式或者字节的形式。 7数据包分析傲盾防火墙具有强大的抓取和分析实时数据包的功能, 在服务器遭受攻击时我们可以设置 特定的规则来抓取和分析攻击数据包,设置针对性的漏洞防护规则来防御已知攻击和未知攻

28、 击,下面以图例来详细的介绍下傲盾防火墙如何抓取和分析数据包:全国免费客服电话:8009905568 手机用户请拨打16首先我们选择防火墙的“数据包分析”模块如下图所示: 依上图所示,红色线条圈中的部分为防火墙数据分析模块抓取数据包的功能按钮,按钮从左 至右依次的功能为:1. 开始抓取数据包、2. 暂停抓取数据包、3. 停止抓取数据包、4. 下载防火墙所抓取的数据、5. 停止下载数据、6. 数据包记录查看。以上按钮灰色时为功能不可执行状态,高亮状态为可操作状态。捕捉类型可以定义两种状态:防火墙所有接收的数据包、防火墙规则定义的数据包1. 防火墙所有接收的数据包:选中

29、此项时防火墙捕捉数据时所抓取到的数据包是流经防 火墙的所有数据包。2. 防火墙规则定义的数据包:如果我们想捕捉经过防火墙,针对某种协议(protocol 、 某些或某个特定的 ip 、端口(port 的数据包进行分析就可选此项。全国免费客服电话:8009905568 手机用户请拨打17我们首先要打开防火墙的【设置】-【防火墙设置】-【防火墙规则设置】添加一条 抓取数据包的规则 傲盾防火墙抓取数据包后的分析利用防火墙抓取数据包后我们要做的就是分析数据包,下面我们随机抓取一些数据包进行分 析。全国免费客服电话:8009905568 手机用户请拨打/p>

30、0 18全国免费客服电话:8009905568 手机用户请拨打19利用防火墙抓取数据包后我们可以看到,任何数据包的最外层都是记录着源 MAC 地址和目的 MAC 地址的以太网传输协议的以太 MAC 头地址, 因为太网设备并不识别 32位 IP 地址, 它们是 以 48位以太网地址传输以太网数据包的。Ethernet:以太网, 是一种计算机局域网组网技术。 IEEE 制定的 IEEE 802.3标准给出了以 太网的技术标准。以太网是当前应用最普遍的局域网技术。Destination:记录的是目的是以太网内的 MAC 地址。Source :记录的是以太网内的源 MAC

31、地址Ethertype :以太网类型, 0800代表网际协议(IP IP 封包的格式:我们继续看上面我们抓取的数据包的 IP 封包的格式,展开 IP 头,如下图所示:全国免费客服电话:8009905568 手机用户请拨打20首先让我们看看 IP 封包的格式是怎样的和其组成部份以及各部份的长度如何,括号之内的 数字就是各部件的长度 (bitVersion (4 Header Length (4 Type of Service (8 Total Length (16Identification (16 Flags (3 Fragment Offset (13Time T

32、o Live (8 Protocol (8 Header checksum (16Source Address (32Destination Address (32Options (Variable Padding (0-24Version :表示的是 IP 规格版本目前的 IP 规格多为版本 4 (version 4所以这里的 数值通常为 0x4 (注意封包使用的数字通常都是十六进位的 。Header Length:标头长度。Type of Service:服务类型 。这里指的是 IP 封包在传送过程中要求的服务类型其中一 共由 8 个 bit 组成每组 bit 组合分别代表不同的意思,我们

33、将它展开如下图所示: 000. =priority 0: Routine 设定 IP 顺序预设为 0否则数值越高越优先.0.=normal Delay 延迟要求 0是正常值 1为低要求.0. = normal Throughput 通讯量要求 0为正常值 1为高要求.0. = normal Reliability 可靠性要求 0为正常值 1为高要求. 0 = normal monetary cost 0 =Reserved bit 保留位 未使用的Total Length:封包总长 。通常以 byte 做单位来表示该封包的总长度此数值包括标头 和数据的总和。Identification :识别

34、码。每一个 IP 封包都有一个 16bit 的唯一识别码。我们从 OSI 和 TCP/IP 的网路层级知识里面知道当程式产生的数据要通过网路传送时都会在传送层被 拆散成封包形式发送当封包要进行重组的时候这个 ID 就是依据了。Flag :旗标。这是当封包在传输过程中进行最佳组合时使用的 3 个 bit 的识别记号。请参 考下表000. 当此值为 0 的时候表示目前未被使用。.0. 当此值为 0 的时候表示封包可以被分割若为 1 则不能被分割。.0. 当上一个值为 0 时此值为 0 就示该封包是最后一个封包如果为 1 则表示 其后还有被分割的封包。Fragment Offset:分割定位。当一个

35、大封包在经过一些传输单位 (MTU较小的路径时会被 被切割成碎片 (fragment 再进行传送 (这个切割和传送层的打包有所不同它是由网路层 决定的 。由于网路情况或其它因素影响其抵达顺序并不会和当初切割顺序一至的。所以 当封包进行切割的时候会为各片段做好定位记录所以在重组的时候就能够依号入座 了。如果封包没有被切割那么 FO 的值为“ 0”Time To Live:存活时间 (TTL。这个 TTL 的概念在许多网路协定中都会碰到。当一个 封包被赋予 TTL 值 (以秒或跳站数目 (hop为单位 之后就会进行倒数计时。在 IP 协定 中, TTL 是以 hop 为单位,每经过一个 route

36、r 就减一 如果封包 TTL 值被降为 0 的时 候就会被丢弃。这样当封包在传递过程中由于某些原因而未能抵达目的地的时候就可 以避免其一直充斥在网路上面。Protocol :协议。 这里指的是该封包所使用的网路协议类型例如 ICMP 或 TCP/UDP 等等。 最常用的类型代表序列号:IP 0ICMP 1全国免费客服电话:8009905568 手机用户请拨打21IGMP 2TCP 6UDP 17Header Checksum:标头检验值。这个数值主要用来检错用的用以确保封包被正确无误的 接收到。当封包开始进行传送后接收端主机会利用这个检验值会来检验余下的封包如果 一

37、切看来无误就会发出确认信息表示接收正常。Source IP Address:源位址。就是发送端的 IP 位址长度为 32 bit。Destination IP Address:目的地位址。接收端的 IP 位址长度为 32 bit。IP Options:IP 操作 , 这个选项甚少使用只有某些特殊的封包需要特定的控制才会利用 到。TCP 封包的格式IP 工作于网络层而 TCP 则工作于传输层故此它们的封包格式却是不一样的。 下面我们继续展 开 TCP 头看下 TCP 的封包格式 , 如下图所示: Source Port (16 | Destination Port (16Sequence Num

38、ber (32Acknowledgment Number (32Data Offset(4 | Reserved (6|UGR|ACK|PSH|RST|SYN|FIN|Window(16全国免费客服电话:8009905568 手机用户请拨打22Checksum (16 | Urgent Pointer (16Options (0 or more 32 bit words + paddingDATA.Source Port:源端口。就是发送端的位址端口。Destination Port:目的端口。接收端地址端的端口。Sequence Number:发送序号。当资料要从

39、一台主机传送去另一台主机的时候发送端会为封 包建立起一个初始号码然後按照所传送的位元组数依次的递增上去那么下一个封包的序号 就会使用递增之后的值来作为它的序号了。这样接收端就可以根据序号来检测资料是否接收 完整了。Acknowledgement Number :回应序号。当接收端接收到 TCP 封包之后通过检验确认之后,然 后会依照发送序号产生一个回应序号发出一个回应封包给发送端,这样接收端就知道刚才的 封包已经被成功接收到了。如果由于网络状况或其它原因 , 当封包的 TTL 值达到期限时接收端还没接收到回应序号 , 此时 发送端就会重发该个被认为丢失了的封包。如果刚好重发封包之后才接收到回应

40、,这时候接 收端就会根据序号来判断该封包是否被重发送,如果是的话很简单将之丢弃不做任何处理。Header length:TCP 的标头长度。Reserved bits & bits Flags :保留位和控制标记位。其中一共由 7 个 bit 组成每组 bit 组合分别代表不同的意思,我们将它展开如下图所示: 6 Reserved bits:这是 6个保留区间位,暂时未被使用的。Urgent data:当 URG 被设定为 1的时候就表示这是一个携有紧急资料的封包。Acknowledgment field significant:当 ACK 为 1的时候表示此封包属于一个要回应的封 包

41、一般都会为 1。Push function:如果 PSH 为 1的时候此封包所携带的资料就会被直接上递给上层的应用 程式而无需经过 TCP 处理了。全国免费客服电话:8009905568 手机用户请拨打23Reset :如果 RST 为 1的时候表示要求重新设定封包再重新传递。SYN :如果 SYN 为 1时表示要求双方进行同步沟通。FIN :如果封包的 FIN 为 1的时候就表示传送结束然后双方发出结束回应进而正式终止一 个 TCP 传送过程。Window :这里的视窗为“滑动视窗 (Sliding Window ”。正如刚才看到的 TCP 封包会通过 SYN 和

42、 ACK 序号来确保传送的正确性但如果每一个封包都要等上一个封包的回应才被发送出去的 话实在是太慢和难以接受的。这样我们可以利用 Sliding Window在传送两端划分出一个缓围 规定出可以一次性发送的最大封包数目。当 TCP 传送建立起来之后两端都会将 window 的设定值还原到初始值比如说每次传送 3个封包。 然后发送端就一次过发送三个封包出去然后视窗则会往后移动三个封包填补发送出去之封包 的空缺。如果接收端够顺利也能一次处理接收下来的三个封包的话就会告诉发送端的 window 值为 3但如果接收端太忙或是其它因素影响暂时只能处理两个封包那麽在视窗里面就剩下一 个封包然后就会告诉发送

43、端 window 值为 2。这个时候发送端就只送出两个封包而视窗就会往 后移动两个封包填补发送出去的空缺。Chechsum :当资料要传送出去的时候发送端会计算好封包资料大小然后得出这个检验值封包 一起发送当接收端收到封包之后会再对资料大小进行计算看看是否和检验值一致如果结果不 相称则被视为残缺封包会要求对方重发该个封包。Urgent Pointer:上面提到的 Control Flag的时候我们提到一个 URG 的标记,如果 URG 被设 定为一的时候这里就会指示出紧急资料所在位置。不过这种情形非常少见例如当资料流量超 出频宽的时候系统要求网络主机暂缓发送资料所有主机收到这样的信息都需要优先

44、处理。Option :这个选项也比较少用。当那些需要使用同步动作的程式如 Telnet 要处理好终端的交 互模式就会使用到 option 来指定资料封包的大小因为 telnet 使用的资料封包都很少但又需 要即时回应。Option :的长度要么是 0要么就是 32bit 的整倍数即使资料不足数也要使用标头中没有的资 料来填够。8网络服务器监控在网络服务器监控模块里面可以详细的监控到防火墙下面每个 ip 的连接信息以及接收发送 的字节和防火墙防火墙拦截的攻击包种类。在此监控里如果发现某个 ip 的连接数目或者数据包流量异常增大,则很有可能是此 ip 遭受 攻击,此时我们须查看详细连接数分析攻击类

45、型设置相应的防护规则。如图 8.1所示全国免费客服电话:8009905568 手机用户请拨打24全国免费客服电话:8009905568 手机用户请拨打25图 8.1第四章 傲盾防火墙运用实例1.1 如何判断防火墙受到了攻击傲盾 kfw -1500功能强大,规则设置灵活。查看是否收到攻击的最直观的方法是登陆防火墙 查看流量监控。如下图,红和蓝色的曲线分别代表发送包数 5234个和接收包数 4935个,假 如你的硬防平常流量是几千,突然增加到了几万,十几万或者是几十万,那么肯定是遭受到 了攻击。 1.2 判断攻击类型和受到攻击 IP遭受到攻击

46、时候 , 请打开连接监控 ->查询视图 ->所有连接列表如下图 全国免费客服电话:8009905568 手机用户请拨打26全国免费客服电话:8009905568 手机用户请拨打:010-8289803027请打开 所有连接列表 , 在这里你可以看到 源 IP (发动攻击的 IP 地址, 通常为肉鸡或者是虚拟 的 IP 地址, 目的 IP (受到攻击的 IP 地址。 源端口 和 目的端口 以及 协议 等选项。在 协 议 一栏里, 可以看到连接使用的协议比如 TCP , UDP等等。 假如你在 连接监控 中突然发现 UDP 或者 ICMP , IGMP 协议

47、大量增加,很有可能是遭受到了 UDP 攻击。点击上图的 DOS -SYN 列表 , 如下图 :上图显示,共有六个 IP 发送的请求被视为 SYN 攻击包,其攻击的目的 IP 和端口以及 SYN 包 数(上图左下角也可以清楚的看到。2.1 针对 DDOS 进行的设置针对大流量 DDOS 攻击,需要设置下图: 1将 2000调整到 500 或者 100 (视攻击的强度而定2假如攻击量大于 60万个包,将 内部服务器 IP 隔离防护 选项去掉。2.2 屏蔽被攻击的 IP 地址全国免费客服电话:8009905568 手机用户请拨打:010-8289803028设置 ->DOS攻击防护 ->

48、屏蔽指定服务器 如下图: 选择 启动 IP SYN 屏蔽 被选中的 IP 原来的连接仍然可以用,但是不能新建连接。这个设置 用于下面的情况1 对某个 IP 的攻击量比较大超过带宽所能承受的范围2 对某个 IP 的攻击量比较大超防火墙所能承受的范围。2.3 针对 CC 攻击的防护CC 攻击的是控制大量肉鸡, 采取真实或者虚拟的 IP 地址高强度刷新某个 web 页面。 反映出来 的特征是虽然攻击量不大,可能只有几万个连接,但是受到攻击的服务器 CPU 占用很高,导 致 web 页面无法打开。针对 CC 攻击可以分三个步骤:1 设置 ->防火墙规则设置 ->添加 如下图: 2 IP 地

49、址 :填写受到 CC 攻击的 IP , 端口填写 80, 协议类型 :TCP , 拦截设置 :调节符 合是拦截 。然后点击 高级设置 如下图: 进入 高级设置 界面 . 选择 大量 IP 刷服务器 . 如下图 , 我们选择 1. 进行大量 IP 刷服务器防护 , 2. 按访问限制 , 3. WEB SERVER HTTP 协议防护 . WEB SERVERHTTP 协议防护 是傲盾防火墙所独有的功能 , 如果选上这个选项 , 那么防火墙根据每个访问 IP 打开你 页面的所需要下载的图片 ,flash, 等 计算访问服务器次数 . 假如你的页面很大图片 , 和 flash, 就需要增加 20秒内

50、允许访问的次数 . 可以从 400次减少到 100或者 200次 . 根据你自己的 情况灵活调节你可以一边调节这个数值 , 一边访问自己的网站 , 如果发现登陆不上去了 , 就可 以加大数值 如果你要根据每个 IP 和服务器建立的连接来进行防护 ,(不推荐这样 , 应为连接数 通常不准确 就可以不选 WEB SEVER HTTP 协议防护 , 这样就是按照链接数进行防护了 . 上图 中的 选项 加入 IP 拒绝访问列表后多少秒内自动释放 是指超出 20秒访问 40次的 IP 将会被 冰冻起来 , 加入 IP 拒绝访问列表 , 我们可以冰冻这个 IP 达 300秒 , 当然也可以设置成 500或

51、 者 300秒 . 解冻后允许它访问服务器 200次 , 这个数值也可以根据情况调整到访问服务器 50或 者 10次。2禁止 HTTP 连接如果 CC 攻击的数量很大 , 你也可以禁止 HTTP 代理连接 . 但是这样做会使一部分使用 HTTP 代理 的用户访问不了你的网站 .点击 设置 DOS 攻击防护 - SYN 拒绝服务攻击防护 如下图全国免费客服电话:8009905568 手机用户请拨打29全国免费客服电话:8009905568 手机用户请拨打30然后添加一个规则如下图: 描述写 :防止 HTTP 代理连接 , IP 类型填写到 CC 攻击的 IP 地址 , 端口类型 选 80 , 然后点击 禁止 http 代理连接通过上述几个步骤的设置 ,KFW 傲盾防火墙就可以防护针对 WEB 的 CC 和空连接攻击了 .2.4 防护 UDP 攻击UDP (User Datagram Protocal即用户数据报协议,主