傲盾抗DDOS防火墙安装使用手册

PAGEPAGE70安装使用手册安装使用手册北京傲盾软件有限责任公司目录前言 4一、防火墙架设安装及测试 71.架设拓扑环境 72.防火墙测试 8二、防火墙处理流程 9三、防火墙登陆 111.Web登陆 112.专用登陆器登陆 11四、防火墙模块管理 131.防火墙流量监控模块 132.防火墙监视指定IP流量模块 143.防火墙连接监控模块 154.防火墙被封IP列表模块 175.防火墙监控日志模块 186.防火墙数据包分析模块 207.防火墙网络监控服务器模块 288.防火墙单IP漏洞攻击防护规则列表模块 299.防火墙异常流量牵引模块 30五、防火墙设置管理 311.防火墙接口设置 312.防火墙设置 322.1防火墙规则设置 322.2防火墙对外IP设置 352.3 SNMP设置 362.4 防火墙参数设置 362.5 设置集群地址 382.6 插件模块信息 392.7 系统日志设置 403.DOS攻击防护 413.1接收包流量限制 413.2屏蔽指定服务器 434.漏洞攻击防护 434.1漏洞特征组设置 444.2全局漏洞攻击防护规则 444.3漏洞特征库编辑 455.异常流量牵引 516.账号权限设置 537.修改密码 54六、防火墙常见规则设置 551.抓取数据包规则 552.封某一服务器机器以及端口 563.httpcc规则 574.直通规则 58七、防火墙处理攻击实例 601.ICMP攻击防护实例 602.80端口CC攻击防护实例 613.UDP攻击防护实例 634.游戏端口攻击防护实例 64小结 67前言随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子现金，数字货币，网络保险等新兴业务的兴起，网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失实在令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。国家计算机网络应急技术处理协调中心2006年共收到网络安全事件报告64686件，为2005年的5倍。其中对使用自动化程序与对服务器操作系统主动攻击占绝大多数。网络信息安全已经成为一个关系经济安全、国家安全、社会稳定、民族文化继承和发扬的重大问题。《数字化犯罪》的作者尼尔·巴累特高呼：互联网产生了一个“潘多拉”魔盒——计算机病毒、网络攻击、电子洗网络诈骗等涉及网络的传统型或新型的违法犯罪活动层出不穷，对任何一个国家的网络信息安全都构成极大威胁。关于我们傲盾KFW——网络安全防护专家作为国内最早的专业安全厂商之一，傲盾公司早在2000年就专注于抗拒绝服务式攻击的研究和防护。目前傲盾公司的KFW品牌已经形成了包括软硬件产品在内，根据应用领域和用户层次细分的完整抗拒绝服务式攻击产品线。傲盾中国的产品率先通过了公安部的检测认证，并已获得公安部的销售许可。到2004年底，傲盾在国内防拒绝服务式攻击市场的占有率已超过72%，在个人、企业、门户甚至电信级别的用户中都已有了广泛的应用。8年历史的防火墙产品领先品牌，并具有完全知识版权。使用了目前最先进的第三代防火墙技术《DataStreamFingerprintInspection》数据流指纹检测技术，与企业级防火墙CheckPoint和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击，保护您的服务器免受来自Internet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术，提供各种企业级功能，功能强大、齐全、价格低廉，是目前世界上性能价格比最高的网络防火墙产品。产品信息KFW傲盾®防火墙是一款针对各种网站、信息平台、Internet服务等，集成多种功能模块的安全平台。本产品是具有完全知识版权的防火墙，使用了目前最先进的第三代防火墙技术《DataStreamFingerprintInspection》数据流指纹检测技术，与企业级防火墙CheckPoint和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击，保护您的服务器免受来自Internet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术，提供各种企业级功能，功能强大、齐全，价格低廉，是目前世界上性能价格比最高的网络防火墙产品。同类产品比较设备配置：傲盾设备配有8个光口千兆模块，一个管理口，一个同步口；金盾设备配有4个光口千兆模块；绿盟设备配有8个光口千兆模块。产品性能：傲盾设置处理转发能力为4g，防护能力4g；金盾设备处理转发能力为2G，防护能力为2G；绿盟设备处理转发能力为8G，防护能力为4G傲盾的说明最好不要插入对别人的介绍。傲盾的说明最好不要插入对别人的介绍防护类型：傲盾设备防护攻击类型多，防护各种ddos（syn，dupflood，tcpflood，icmpflood，cc，cc变种，假人等）攻击；金盾设备防护攻面类型较多，特别是CC防护，但是针对变种cc无法防护只能通过核心升级来处理，这对IDC机房非常重要；绿盟设备防护攻击类型少，只支持部分攻击类型防护，且不支持CC及变种攻击。连接方式：傲盾设备支持(路由交换)链路聚合，支持集群可以最大防御32g（8台kfw4500）；中兴和绿盟产品联接方式一样，且均存在无法支持链路聚合的情况。路由方式：傲盾防火墙为透明模式；金盾设备采用的串联方式增加了同上一层障碍点，并且使网络结构增加了一个层次，即增加了网络延时；绿盟设备采同上用的旁路方式在硬件故障时，将断开邻居连接，从而使下行流量不经过旁路设备进行直接转发，保证了业务的不间断，并且旁路设计可以实现按需防护；同上同上流量分析：傲盾设备可以及时监控总流量，查看日志，监控单个ip流量；金盾设备只支持逐个端口查看流量，并且需要手工切换，灵活性差；绿盟产品支持对攻击总流量的同上查看及时时监测功能。同上后台管理：傲盾设备图形界面管理比较简单；金盾设备的后台管理同上使用和配置较为复杂；绿盟的后台管理较为简单。同上负荷承载:傲盾设备在处理大流量攻击时，cpu占用50%左右，防火墙的操作正常；金盾设备在处理攻击流量时，CPU占用率在50%左右，占用较高；绿盟设备在处理攻击流量时，CPU占用率在10％左右。自己的说明书不用写其他人的情况自己的说明书不用写其他人的情况一、防火墙架设安装及测试1.架设拓扑环境架设傲盾防火墙之前必须在上层路由（交换机）和下层路由（交换机）相应网口设置端口的链路聚合（Trunk），相应端口链路聚合（Trunk）设置好后，从上层路由（交换机）下来的光纤或双绞线接入防火墙的外网口，从防火墙的内网口接出光纤或双绞线到下层的路由（网络交换机），再从路由到下面的三层交换机，这样防火墙下面的内网都受保护了。如果要架设防火墙系统，需将每台防火墙的系统口（同步口）用一台千兆交换机连接起来，且这台千兆交换机只用于防火墙同步数据不推荐跑其他业务，然后在每台防火墙的【设置集群地址】进行设置，具体参考防火墙设置管理中的设置集群地址说明。连接方式如下图：2.防火墙测试将防火墙接入网络中后，接上电源线，打开电源，等待防火墙启动（大约一分钟左右），分别从防火墙一端Ping另一端来进行测试。如果都能Ping通，说明防火墙已经正常工作，就可以开始使用了。以KFW－4500为例介绍测试过程：KFW－4500防火墙为单台4G抗DDOS攻击防火墙，共10个网络接口其IP和端口对应为：第一个网口ip是9网口名是adeth0第二个网口ip是9网口名是adeth1第三个网口ip是9网口名是adeth2第四个网口ip是9网口名是adeth3第五个网口ip是9网口名是adeth4第六个网口ip是9网口名是adeth5第七个网口ip是9网口名是adeth6第八个网口ip是9网口名是adeth7第九个网口ip是9网口名是adeth8第十个网口ip是9网口名是adeth9其中adeth0、adeth2、adeth4、adeth6为外网口，adeth1、adeth3、adeth5、adeth7为内网口，adeth8为防火墙系统同步口，adeth9为防火墙内外网登陆管理口。网口分布如下图：最好换个新面板的接口！最好换个新面板的接口！将adeth0连接上层交换，adeth1连接一台PC，用PC机ping外网网关，如果能Ping通，则说明防火墙内外网可以互通，工作正常。需注意如果是单模光纤应考虑接口自适应问题，如千兆单模光纤不能自适应百兆光纤接口。二、防火墙处理流程当一个IP数据流从防火墙进入首先检查该IP是否为SYN攻击。如果是，则检查是否超过防火墙参数里设置的SYN处理参数阀值，当超过SYN处理参数阀值时防火墙将这个IP隔离出来并在SYN模块处理，当没有超过SYN处理参数阀值时则检查该IP数据是否做防火墙直通规则；如果不是SYN攻击，则检查该IP是否超过防火墙参数里设置快速漏洞过滤参数阀值，当超过快速漏洞过滤参数阀值则防火墙快速漏洞模块处理，当没有超过快速漏洞过滤参数阀值则检查该IP数据是否做防火墙直通规则。如果防火墙漏洞规则中设置了该IP为直通规则，则该IP不经过防火墙处理直接进行数据转发，反之，没有为该IP设置直通规则则检查是否超过防火墙参数里设置的允许正常连接参数阀值。当超过允许正常连接参数阀值防火墙SYN模块会处理该IP，当没有超过允许正常连接参数阀值时防火墙漏洞模块处理该IP。经过防火墙漏洞防护模块处理后该IP会经过接收包流量防护模块处理，再经过接收包流量防护处理完毕最后由防火墙规则模块防护处理，该IP数据流正常连接服务器进行数据转发。防火墙处理流程图如下：防火墙处理流程图三、防火墙登陆傲盾防火墙管理登陆方式分为两种：web登陆和专用防火墙登陆器登陆。Web登陆使用Web浏览器在地址栏中输入http://IP:16000进行登陆。这里的IP可以是防火墙购买定义好的管理口的IP地址，比如9:16000。也可以是设置防火墙对外的公网IP地址，如图则在地址栏中输入49:16000进行登陆。当第一次使用web浏览器登录防火墙时提示下载ActiveX控件，请下载安装。如果不能清楚显示登陆页面，请点击IE的工具->Internet选项->安全->自定义选项->启用所有的ActiveX控件和插件。这是就会在web浏览器中出现该防火墙的型号、产品序列号、官方网站以及“登陆KFW管理器”控件按钮。单击该控件按钮输入相应的IP地址、账号和密码就可以登陆管理防火墙。如果使用web浏览器登陆比较老版本防火墙，会在C:\WINDOWS\DownloadedProgramFiles中生成kfwadminX文件，需将其文件删除才可以用web浏览器登陆较新版本的防火墙。专用登陆器登陆使用傲盾对应型号的专用防火墙登陆器进行登陆管理，界面同web浏览器中KFW管理器。这里的地址可以输入管理口的地址也可以是设置防火墙对外的公网IP地址，输入相应的账号和密码进行登陆。如果账号密码不正确，会提示“连接失败，请检查账号密码是否正确”，请检查账号密码；如果输入地址不正确，会提示“连接失败，请检查地址是否正确”，请检查连接地址；如果登陆器版本不正确，会提示“连接失败，登陆器版本不符合”，请检查登陆器的版本。防火墙模块管理防火墙模块管理主要是针对防火墙常用的模块进行介绍其功能和操作方法。防火墙流量监控模块此模块功能：显示防火墙当前实时发送接收流量、连接数和防火墙状态，并进行报警。登陆防火墙管理界面单击流量监控模块，出现防火墙流量监控界面。单击开始流量监控按钮，显示出防火墙当前监控的流量。防火墙流量监控可以分别以曲线和条的形式，显示出防火墙实时的发送包的数量、接受包的数量、发送字节数量、接受字节数量、发送拦截包数量、接受拦截包的数量、当前的所有连接数、防火墙CPU和内存状态。其中发送包数量和接受包数量分别用红色和蓝色表示，正常情况比例约为1:1，发送字节数和接受字节数分别用绿色和红色表示，正常情况发送字节数应大于接受字节数，发送拦截包数和接受拦截包数分别用黄色和灰色表示，这里拦截包的数量为防火墙处理流程中防火墙规则防护处理之前拦截的包数，防火墙当前所有有效连接数、CPU和内存状态分别用紫色、橙色和黑色表示。另外防火墙流量监控还可以显示统计累加包数、统计平均包数图表、统计累加字节图表、统计平均字节图表。单击打印和保存按钮可以对实时的监控流量进行打印，并以图片表格等形式复制、储存和发送邮件。防火墙流量监控还支持实时报警功能，单击设置流量监控报警按钮，可以根据自己的需求对每秒发送包数、每秒接收包数、每秒发送字节数、每秒接收字节数和总连接数进行阀值的设定，单击开始监控流量报警按钮对当流量超过所设定的阀值数值时自动开始声音报警，使您做到提前预知、提前处理，将攻击消灭在萌芽当中。如果想关闭监控流量报警则单击停止流量监控报警按钮。防火墙监视指定IP流量模块此模块功能：添加某一指定IP查看其当前接收发送状态从而判断其服务器是否异常。登陆防火墙管理界面单击监视指定IP流量模块，出现防火墙监视指定IP流量界面。单击下方+号按钮，在IP地址栏中输入需要监视的某一指定ＩＰ，单击开始监控按钮进行监视。这里提供了接收统计和发送统计两大类监控，而接收统计和发送统计又细分为包数、字节和拦截三个子类。可以根据需求勾选相应的子类进行监视从而判断出其服务器是否异常。此模块也支持对指定某一IP监视视图进行打印，并以图片表格等形式复制、储存和发送邮件。防火墙连接监控模块此模块功能：可以方便的检测查询当前的连接详细信息，以及syn攻击的情况。登陆防火墙管理界面单击连接监控模块模块，出现防火墙连接监控界面。连接监控分为两大块：快速视图和查询视图。快速视图的信息比较简单，当有大量连接的时候可以很快列表出来，查询视图的信息很详尽，但是当连接数多的时候列表速度比较慢。每个视图里都有所有连接列表和DOS_SYN列表。在查询视图里所有连接列表里可以根据协议（TCP/UDP/ICMP）、连接状态（等待连接/已经连接）、连接描述、源IP和端口号、目的IP和端口号、源接收包数和字节数、目的接收包数和字节数以列表形式显示当前服务器的连接。建议单击所有连接列表按钮后点击STOP按钮，这样可以迅速的将所有连接列表显示出来，当有内网扫肉鸡的时候列表里的连接数会比平时连接数多几万的数据。DOS_SYN

列表里可可以根据协议(TCP)、源IP和端口号、目的Ip和端口号以列表的形式显示出当前SYN访问请求，当有syn攻击的时候列表里会有几万,几十万的数据。如果列表里有几百个连接应该是正常的。快速视图和查询视图中的所有连接列表和DOS_SYN列表都可以保存到本地磁盘中。快速视图所有连接列表：快速视图DOS_SYN列表：查询视图所有连接列表查询视图DOS_SYN列表防火墙被封IP列表模块此模块功能：可以通过该模块查看由防护规则屏蔽的IP。被封ip列表模块分为两个子模块：防火墙规则封ip列表和漏洞规则封ip列表。防火规则ip封列表：如果在防火墙规则设置里面设置了防护规则，当有针对某ip的攻击时在被封ip列表里会列出当前防火墙封掉的ip。漏洞规则ip封列表：如果在漏洞规则里面设置了漏洞的防护规则，当有针对某ip的攻击时在被封ip列表里会列出当前漏洞规则封掉的ip。防火规则ip封列表和漏洞规则ip封列表中的参数：被封的ip：被防火墙封掉的攻击服务器的肉鸡的ip；访问服务器ip：被攻击的服务器ip；序号（防护|漏洞|子规则）：这里的序号体现的是，封掉的这个ip是漏洞规则里面的第几条防护规则－漏洞－漏洞里面的子规则起作用的；阻止时间：防火墙释放封掉ip剩余的秒数；类型：只在漏洞规则防护出现，分为IP和全局。IP表示在单一IP漏洞规则里设置规则所封的IP；全局表示在全局漏洞规则里设置规则所封的IP。这里的按钮为删除指定的IP，在左侧的对话框中输入指定某一IP，单击该按钮将其指定IP删除释放。按钮为删除指定的服务器，在访问服务器IP项中选择某一指定服务器Ip，单击该按钮将访问其服务器的所有肉鸡IP全部删除释放。按钮为所有被封的IP，单击该按钮讲列表中所有被封的IP全部删除释放。按钮为刷新被封IP的列表。按钮为停止刷新被封IP的列表。防火墙监控日志模块该模块功能：查看防火墙某一时间段的流量和系统日志。监控日志模块分为两个子模块：流量日志和系统日志。流量日志记录的是所经过防火墙的每个时刻的流量统计表，可以根据月份和日期进行查看统计，统计内容分为：发送包数、接收包数、发送字节数、接收字节数、拦截发送包数、拦截接收包数、所有连接数、防火墙CPU、防火墙内存。流量日志如图：系统日志记录的是在防火墙系统日志设置里设置的选项参数，可以根据月份进行查看统计。流量日志如图：流量日志和系统日志模块都支持本地保存和打印。防火墙数据包分析模块此模块功能：具有强大的抓取和分析实时数据包的功能，在服务器遭受攻击时我们可以设置特定的规则来抓取和分析攻击数据包，设置针对性的漏洞防护规则来防御已知攻击和未知攻击。防火墙所有接收的数据包：选中此项时防火墙捕捉数据时所抓取到的数据包是流经防火墙的所有数据包。防火墙规则定义的数据包：如果想捕捉经过防火墙，针对某种协议（protocol）、某些或某个特定的ip、端口（port）的数据包进行分析就可选此项。按钮为开始抓取数据包。按钮为暂停抓取数据包。按钮为停止抓取数据包。按钮为下载防火墙所抓取的数据包。按钮为停止下载抓取的数据包。按钮为数据包查看记录。按钮为自定义防火墙漏洞规则。以上按钮灰色时为功能不可执行状态，高亮状态为可操作状态。当捕捉类型选择为防火墙所有接收到的数据包时，单击开始抓取数据包按钮，经过5-7秒后依次单击停止抓取数据包按钮和下载防火墙所抓取的数据包按钮，当下载完毕单击数据包查看记录按钮即完成全局所有数据包的抓取。如下图所示：如果想捕捉经过防火墙，针对某种协议（protocol）、某些或某个特定的ip、端口（port）的数据包，首先要打开防火墙的【设置】－【防火墙设置】－【防火墙规则设置】添加一条抓取数据包的规则，选择协议类型、IP和端口并勾选抓取数据包选项。或者在自定义漏洞规则中编写抓取数据包漏洞规则。然后捕捉类型选择为防火墙规则定义的捕捉，单击开始抓取数据包按钮，经过5-7秒后依次单击停止抓取数据包按钮和下载防火墙所抓取的数据包按钮，当下载完毕单击数据包查看记录按钮即完成针对某种协议、某些或某个特定的ip、端口的数据包的抓取。如下图所示：利用防火墙抓取数据包后我们要做的就是分析数据包，下面我们随机抓取一些数据包进行分析。利用防火墙抓取数据包后我们可以看到，任何数据包的最外层都是记录着源MAC地址和目的MAC地址的以太网传输协议的以太MAC头地址，因为太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包的。Ethernet：以太网，是一种计算机局域网组网技术。IEEE制定的IEEE802.3标准给出了以太网的技术标准。以太网是当前应用最普遍的局域网技术。Destination：记录的是目的是以太网内的MAC地址。Source：记录的是以太网内的源MAC地址Ethertype：以太网类型，0800代表网际协议（IP）IP封包的格式：我们继续看上面我们抓取的数据包的IP封包的格式，展开IP头，如下图所示：首先让我们看看IP封包的格式是怎样的和其组成部份以及各部份的长度如何，括号之内的数字就是各部件的长度(bit)Version(4)HeaderLength(4)TypeofService(8)TotalLength(16)

Identification(16)Flags(3)FragmentOffset(13)

TimeToLive(8)Protocol(8)Headerchecksum(16)

SourceAddress(32)

DestinationAddress(32)

Options(Variable)Padding(0-24)Version：表示的是IP规格版本﹐目前的IP规格多为版本4(version4)﹐所以这里的数值通常为0x4(注意﹕封包使用的数字通常都是十六进位的)。HeaderLength：标头长度。TypeofService：服务类型。这里指的是IP封包在传送过程中要求的服务类型﹐其中一共由8个bit组成﹐每组bit组合分别代表不同的意思，我们将它展开如下图所示：000＝priority0:Routine设定IP顺序预设为0否则数值越高越优先

0=normalDelay延迟要求0是正常值1为低要求

0.=normalThroughput通讯量要求0为正常值1为高要求

0...=normalReliability可靠性要求0为正常值1为高要求

0…=normalmonetarycost……0…=Reservedbit保留位未使用的TotalLength：封包总长。通常以byte做单位来表示该封包的总长度﹐此数值包括标头和数据的总和。Identification：识别码。每一个IP封包都有一个16bit的唯一识别码。我们从OSI和TCP/IP的网路层级知识里面知道﹕当程式产生的数据要通过网路传送时﹐都会在传送层被拆散成封包形式发送﹐当封包要进行重组的时候﹐这个ID就是依据了。Flag：旗标。这是当封包在传输过程中进行最佳组合时使用的3个bit的识别记号。请参考下表﹕000.当此值为0的时候﹐表示目前未被使用。.0..当此值为0的时候﹐表示封包可以被分割﹐若为1则不能被分割。..0.当上一个值为0时﹐此值为0就示该封包是最后一个封包﹐如果为1则表示其后还有被分割的封包。FragmentOffset：分割定位。当一个大封包在经过一些传输单位(MTU)较小的路径时﹐会被被切割成碎片(fragment)再进行传送(这个切割和传送层的打包有所不同﹐它是由网路层决定的)。由于网络情况或其它因素影响﹐其抵达顺序并不会和当初切割顺序一至的。所以当封包进行切割的时候﹐会为各片段做好定位记录﹐所以在重组的时候﹐就能够依号入座了。如果封包没有被切割﹐那么FO的值为“0”TimeToLive：存活时间(TTL)。这个TTL的概念﹐在许多网路协定中都会碰到。当一个封包被赋予TTL值(以秒或跳站数目(hop)为单位)﹐之后就会进行倒数计时。在IP协定中，TTL是以hop为单位，每经过一个router就减一)﹐如果封包TTL值被降为0的时候﹐就会被丢弃。这样﹐当封包在传递过程中由于某些原因而未能抵达目的地的时候﹐就可以避免其一直充斥在网络上面。Protocol：协议。这里指的是该封包所使用的网络协议类型﹐例如﹕ICMP或TCP/UDP等等。最常用的类型代表序列号：IP0ICMP1IGMP2TCP6UDP17HeaderChecksum：标头检验值。这个数值主要用来检错用的﹐用以确保封包被正确无误的接收到。当封包开始进行传送后﹐接收端主机会利用这个检验值会来检验余下的封包﹐如果一切看来无误﹐就会发出确认信息﹐表示接收正常。SourceIPAddress：源位址。就是发送端的IP位址﹐长度为32bit。DestinationIPAddress：目的地位址。接收端的IP位址﹐长度为32bit。IPOptions：IP操作,这个选项甚少使用﹐只有某些特殊的封包需要特定的控制﹐才会利用到。TCP封包的格式IP工作于网络层而TCP则工作于传输层故此它们的封包格式却是不一样的。下面我们继续展开TCP头看下TCP的封包格式,如下图所示：SourcePort(16)|DestinationSequenceNumber(32)AcknowledgmentNumber(32)DataOffset(4)|Reserved(6)|UGR|ACK|PSH|RST|SYN|FIN|Window(16)Checksum(16)|UrgentPointer(16)Options(0ormore32bitwords+padding)DATA...SourcePort：源端口。就是发送端的位址端口。DestinationPort：目的端口。接收端地址端的端口。SequenceNumber：发送序号。当资料要从一台主机传送去另一台主机的时候发送端会为封包建立起一个初始号码然後按照所传送的位元组数依次的递增上去那么下一个封包的序号就会使用递增之后的值来作为它的序号了。这样接收端就可以根据序号来检测资料是否接收完整了。AcknowledgementNumber：回应序号。当接收端接收到TCP封包之后通过检验确认之后，然后会依照发送序号产生一个回应序号发出一个回应封包给发送端，这样接收端就知道刚才的封包已经被成功接收到了。如果由于网络状况或其它原因,当封包的TTL值达到期限时接收端还没接收到回应序号,此时发送端就会重发该个被认为丢失了的封包。如果刚好重发封包之后才接收到回应，这时候接收端就会根据序号来判断该封包是否被重发送，如果是的话很简单将之丢弃不做任何处理。Headerlength：TCP的标头长度。Reservedbits&bitsFlags：保留位和控制标记位。其中一共由7个bit组成﹐每组bit组合分别代表不同的意思，我们将它展开如下图所示：6Reservedbits:这是6个保留区间位，暂时未被使用的。Urgentdata：当URG被设定为1的时候就表示这是一个携有紧急资料的封包。Acknowledgmentfieldsignificant：当ACK为1的时候表示此封包属于一个要回应的封包一般都会为1。Pushfunction：如果PSH为1的时候此封包所携带的资料就会被直接上递给上层的应用程式而无需经过TCP处理了。Reset：如果RST为1的时候表示要求重新设定封包再重新传递。SYN：如果SYN为1时表示要求双方进行同步沟通。FIN：如果封包的FIN为1的时候就表示传送结束然后双方发出结束回应进而正式终止一个TCP传送过程。Window：这里的视窗为“滑动视窗(SlidingWindow)”。正如刚才看到的TCP封包会通过SYN和ACK序号来确保传送的正确性但如果每一个封包都要等上一个封包的回应才被发送出去的话实在是太慢和难以接受的。这样我们可以利用SlidingWindow在传送两端划分出一个缓围规定出可以一次性发送的最大封包数目。当TCP传送建立起来之后两端都会将window的设定值还原到初始值比如说每次传送3个封包。然后发送端就一次过发送三个封包出去然后视窗则会往后移动三个封包填补发送出去之封包的空缺。如果接收端够顺利也能一次处理接收下来的三个封包的话就会告诉发送端的window值为3但如果接收端太忙或是其它因素影响暂时只能处理两个封包那麽在视窗里面就剩下一个封包然后就会告诉发送端window值为2。这个时候发送端就只送出两个封包而视窗就会往后移动两个封包填补发送出去的空缺。Chechsum：当资料要传送出去的时候发送端会计算好封包资料大小然后得出这个检验值封包一起发送当接收端收到封包之后会再对资料大小进行计算看看是否和检验值一致如果结果不相称则被视为残缺封包会要求对方重发该个封包。UrgentPointer：上面提到的ControlFlag的时候我们提到一个URG的标记，如果URG被设定为1的时候这里就会指示出紧急资料所在位置。不过这种情形非常少见例如当资料流量超出频宽的时候系统要求网络主机暂缓发送资料所有主机收到这样的信息都需要优先处理。Option：这个选项也比较少用。当那些需要使用同步动作的程式如Telnet要处理好终端的交互模式就会使用到option来指定资料封包的大小因为telnet使用的资料封包都很少但又需要即时回应。Option的长度要么是0要么就是32bit的整倍数即使资料不足数也要使用标头中没有的资料来填够。防火墙网络监控服务器模块此模块功能：可以监控防火墙下所有的服务器，如果发现某个ip的连接数目或者数据包流量异常增大，则很有可能是此ip遭受攻击，然后对其抓取数据包分析设置相应的防护规则。在网络服务器监控模块里面可以详细的监控到防火墙下面每个ip的连接信息以及接收发送的字节和防火墙防火墙拦截的攻击包种类，每列都支持按大小顺序进行排序以及定制过滤，当发现某一网络服务器遭受攻击时，可单击服务器IP右侧的…按钮为其添加相应的漏洞规则进行防护。按钮为刷新监控网络服务器。按钮为开始监控网络服务器，刷新时间为10秒钟。按钮为停止监控网络服务器。右侧的下拉菜单里则显示了防火墙集群中有几台防火墙在同时监控网络服务器。按钮为单IP漏洞攻击防护规则列表模块快捷键，当发现某一网络服务器发现异常时可以单击该按钮为该服务器设置相应的漏洞规则进行防护。按钮为自定义防火墙漏洞规则。防火墙单IP漏洞攻击防护规则列表模块此模块功能：对防火墙下某一网络服务器进行漏洞规则的查询、添加、修改和删除。单IP漏洞攻击防护规则列表分为2个界面，左边界面显示为防火墙下所有已经设置过漏洞规则的网络服务器，可以查看某一网络服务器的IP、最后修改时间、是否锁定以及锁定信息。IP地址列支持定制过滤这样就可以快速查找出某一网络服务器是否添加过漏洞规则、最后修改的时间等信息，当勾选锁定项时此网络服务器将不能对其添加、修改和删除漏洞规则，锁定人的信息将显示在锁定信息列中。右边界面显示为某一网络服务器具体的漏洞规则，可以对其规则的顺序进行修改，添加、修改和删除具体规则。具体界面如下图：按钮为刷新单IP漏洞攻击防护规则列表。如果有规则已经添加、修改和删除过没有保存，刷新会造成添加、修改和删除的丢失，请将添加、修改和删除过的规则保存再进行刷新。如果长时间没有操作单IP漏洞攻击防护规则列表，建议在下一次操作前先刷新单IP漏洞攻击防护规则列表。按钮为保存单IP漏洞攻击防护规则列表，如果有规则添加、修改和删除过，请单击该按钮进行保存否则规则添加、修改和删除不生效。按钮为自定义防火墙漏洞规则。防火墙异常流量牵引模块此模块功能：该模块可以查看防火墙下流量异常的网络服务器。启动防火墙异常流量牵引功能需要对上层路由拥有相应的权限，并在防火墙的【设置】－【异常流量牵引】—【异常流量牵出】进行设置。被牵引的网络服务器将无法与外网进行数据传输，内网则可以进行数据传输。该模块分别列出了最高流量服务器列表、最高连接数服务器列表、最高数据包服务器列表的前十名服务器IP，还显示出即将准备牵引的IP和已经牵引的IP。按钮为开始异常流量牵引。按钮为停止异常流量牵引。按钮为封指定IP，在左侧对话框中输入IP单击该按钮进行牵引。按钮为解开指定IP，在左侧对话框中输入IP单击该按钮进行解牵引。防火墙设置管理防火墙设置管理主要是针对进入防火墙界面中设置菜单中的管理，其中包括：防火墙接口设置、防火墙设置、DDOS攻击防护、漏洞攻击防护、异常流量牵引、账号权限设置、修改密码。防火墙接口设置在防火墙接口设置中可以看见防火墙的运行模式以及所有的网络网口列表。如下图：防火墙运行模式分为：网关路由模式、透明防火墙模式和透明防火墙+网关路由模式。这里我们推荐默认的运行模式为透明防火墙模式，即使用防火墙不需做任何设置修改实现内外网数据传输。所有的网络网口列表会记载所有网络网口的名称和MAC地址。我们需要将相应的网络网口分别添加到“外部网络网口列表”和“内部网络网口列表”里面.在通常情况下我们默认的配置为adeth0、adeth2、adeth4、adeth6为外网口；adeth1、adeth3、adeth5、adeth7为内网口；adeth8为防火墙的系统同步口，adeth9为防火墙的外网管理口。如果不需要使用某网络接口可以将其删除，其名称和MAC地址会自动返回到“所有网口列表”中去。这里的外部网络网口是用来连接外部网络的网络接口，内部网络网口是用来连接内部网络的网络接口，防火墙同步网口是用来连接防火墙集群的网络接口，管理网络网口是用来连接双网卡服务器通过外网远程桌面访问实现内网管理防火墙的网络接口。防火墙设置防火墙设置包括：防火墙规则模块的设置、防火墙对外IP的设置、SNMP的设置、防火墙参数的设置、防火墙集群地址的设置、插件模块信息的设置、系统日志的设置。2.1防火墙规则设置进入防火墙管理界面单击【设置】—【防火墙设置】—【防火墙规则设置】进入防火墙规则设置界面。在这里显示出规则名称、拦截设置（条件符合时通过|拦截）、协议类型（IP/TCP/UDP/ICMP）、发送端IP和端口、接收端IP和端口、修改人以及修改时间。可以添加、修改和删除规则并对规则的顺序进行调整。我们单击添加按钮进入具体的防火墙规则界面，具体介绍下防火墙规则设置。设置说明:1.【名称】可以自定义防火墙规则名称。2.【备注】可以自定义防火墙规则进行备注说明。。3.【协议类型】可以选择各种协议，也可以自己定义协议。4.【发送端地址】是数据包的源IP地址。5.【接收端地址】是数据包的目的IP地址。6.【端口类型】对发送端、接收端的网络接口进行选择。。7.【协议属性】当【协议类型】为TCP时，这里显示出TCP属性分别为SYN,ACK,FIN,RST,URG,PSH,每个属性下面有一个【设置】选择,选择需要检查的属性，选择这个属性的【设置】表明这个属性必须设置为1,例如，要检查syn和ack属性的tcp包，并且syn为1,ack为0则选择syn和ack,然后在syn的【设置】属性打上对号，把ack【设置】属性的对号去掉，再例如，需要检查synrstfin标志，syn=0,rst=1,fin=0,则分别选择synrstfin,然后把syn和fin的【设置】属性去掉对号，rst的【设置】属性打上对号。8.【拦截设置】可以对规则的最终行为进行选择，分为通过、拦截、继续下一条。9.【数据包抓取】如果要对某协议、ＩＰ和端口进行抓包需要勾选抓取数据包选项，如果要记录系统日志则勾选记录syslog选项。10.【高级选项】里面分为IP连接限制、IP流量限制、大量ＩＰ刷服务器防护、内部网络发包限制四个模块。IP连接限制：该模块只适用于TCP协议，可以设置一个ip或者很多相邻ip,能够和防火墙下服务器建立多少个连接，例如要限制-55这些ip地址，能够和服务器建立100个TCP连接，首先在防火墙规则的【发送端地址】填写上-55ip段，在协议属性设置里选择【SYN】和【设置】，选择【条件符合时拦截】,在【高级设置】—【ip连接限制】里选择【进行ip限制】,设置【允许连接数】为100，【匹配掩码】设置24,这样就表示-55IP段只能共享和本机建立100个IP连接(注意:如果【匹配掩码】设置32,则表示-55IP段里的每个ip都能和本机建立100个连接)。IP流量限制：可以通过该模块，限制哪些ip流量多少，上载或者下载的流量，这样就可以方便的限制IIS下载了，通过和ip连接数限制一起使用，IIS下载就可以和ftp下载一样限制流量和ip同时连接数了。大量ＩＰ刷服务器防护：该模块主要用于CC防护，如果要启动该模块需勾选【进行大量IP刷服务器防护】选项。这里又分别按访问限制、刷私服限制和禁止HTTP进行细化防御。当选择【按访问限制】时，可以针对服务器访问请求链接数进行限制，如果超出访问的限制次数则加入防火墙规则被封IP列表中，下面还可以对被封IP在多少秒后行释放并在释放后允许多少次访问服务器进行设置。这里需要注意的是【WEBSEVERHTTP协议防护】选项，如果选上这个选项,那么防火墙根据每个访问IP打开你页面的所需要下载的图片、flash等计算访问服务器次数.假如你的页面很大图片、和flash就需要增加20秒内允许访问的次数，可以从400次减少到100或者200次。根据自己的情况灵活调节可以一边调节这个数值一边访问自己的网站,如果发现登陆不上去了,就可以加大数值。如果你要根据每个IP和服务器建立的连接来进行防护,(不推荐这样,应为连接数通常不准确)就可以不选【WEBSEVERHTTP协议防护】选项,这样就是按照链接数进行防护了。当选择【刷SF限制】时，主要是针对架设游戏私服的服务器接收的数据包进行限制。如果超出访问的限制包数则加入防火墙规则被封IP列表中，下面还可以对被封IP在多少秒后行释放并在释放后允许多少次访问服务器进行设置。当选择【禁止HTTP】时，主要是检查前多少个包的HTTP协议，如果有攻击则将其拉入防火墙被封的IP列表，下面还可以对被封IP设置在多少秒后行释放。内部网络发包限制：该模块主要用于内网攻击发包防护，如果要启动该模块需勾选【进行内部网络发包限制】选项。这里又分别按封锁攻击IP和封锁内网IP防御，可以分别针对固定时间内发包和流量进行限制，如果超出访问的限制包数和流量则加入防火墙规则被封IP列表中，下面还可以对被封IP在多少秒后行释放进行设置。2.2防火墙对外IP设置如果需要用外网管理防火墙则需要设置防火墙对外IP。进入防火墙管理界面，选择【设置】—【防火墙设置】—【设置防火墙IP】，如果要启用防火墙外网IP管理必须勾选【允许防火墙使用对外IP】选项，在【要绑定的设备】选项中选择防火墙管理口的设备名称，在【IP地址】栏中输入防火墙对外管理的IP地址，这里最好选择一个与防火墙下防护服务器Ip不是一个段的公网ＩＰ，通过对【允许访问的ＩＰ】的设置可以远程管理的客户端IP地址，，选择相应的ＩＰ类型以及ＩＰ地址和子网掩码可以限制只可以从指定的IP来管理。SNMP设置进入防火墙管理界面，选择【设置】—【防火墙设置】—【SNMP设置】，如果要启用防火墙SNMP管理必须勾选【打开防火墙SNMP功能】选项，在团体名称中输入交换机设置的SNMP团体名进行同步，通过交换机SNMP得到防火墙的流量状态。防火墙参数设置进入防火墙管理界面，选择【设置】—【防火墙设置】—【防火墙参数设置】，如果要启用防火墙SYN防护模块必须勾选【启动syn防护模块】选项，这样防火墙就会自动拦截syn攻击，并在连接监控模块中的DOS-SYN列表中显示出来。下面主要对防火墙基本参数以及旁路模式参数进行讲解：【SYN处理上限】防火墙处理SYN的上限，这里设置为50000代表防火墙下所有IP每秒可以快速处理50000个SYN。如果每秒超过2万个SYN就会连接有延迟，3秒后正常的IP会重新发送SYN请求连接连接，而攻击IP则不再发送SYN请求。【服务器SYN处理】防火墙下每台服务器处理SYN的上限，当每秒超过这个数值的时候防火墙会把这个服务器的IP隔离开，单独处理。这里设置为20000代表防火墙每台处理SYN上限为20000，当超过20000防火墙把这个服务器IP隔离开单独处理，不影响防火墙SYN处理上限设置的50000这个参数。

【连接信任次数】这里设置为100的意思是对于一个外部IP访问防火墙下服务器通过防火墙检查后，其后100次连接防火墙默认信任不再对其检查。【内网发送SYN数】防火墙内部服务器向外发送SYN上限为20000。【允许正常连接数】这里设置为100的意思是对于一个防火墙下服务器访问它的外部IP的前100次SYN防火墙不对其进行检查。【TCP超时】为了防止TCP空连接，这里默认设置为0的意思10分钟内TCP建立连接但是没有数据传输防火墙会自动把这个TCP连接断开，也可以自己定义。【旁路模式】设置1会让防火墙工作在旁路模式中，这种模式可以进来的数据经过防火墙，出去的数据不经过防火墙，一般默认选择为0即是正常的防护syn模式。【旁路参数】和【旁路参数1】默认都选择为2和2000。【白名单超时】旁路模式的时候会加一个白名单模块，这里设置IP信任有效的时间，如果设置0默认是10秒，过了10秒，这个ip再连接，旁路模块会从新对这个ip检查。这里只是针对TCP协议有效对UDP和ICMP没有用。【临时内存上限】当建立tcp连接的时候，防护墙会分配一些临时内存，有些攻击频繁快速的建立连接，来耗费防火墙资源导致防火墙内存耗尽，这里设置为0默认为256M。【快速漏洞过滤】防火墙快速漏洞过滤模块平时是不启动的，当到达设置的值才启动。比如这里设置为20000，某一网络服务器的所有数据包加起来每秒超过20000就会把这个服务器的数据包用快速漏洞过滤模块进行处理，而那些每秒没有超过20000的服务器还是不会经过快速漏洞过滤模块处理，所以接收快速漏洞过滤，可以做全局规则。有些服务器受到攻击，正常的服务器还是不会经过快速漏洞过滤模块处理，这样避免误封。

防火墙参数界面如下图：设置集群地址这里主要是针对多台防火墙搭建集群防护相应的设置。进入防火墙管理界面选择【设置】—【防火墙设置】—【设置集群地址】，可以看见防火墙集群地址的设置界面。【ＩＰ地址】这里添加需要搭建集群防护的防火墙系统口（同步口）的ＩＰ地址。【备注】这里可以对设置的集群地址进行备注说明。【登陆账号】和【密码】在此输入需要搭建集群防护的防火墙账号密码，且所搭建集群防护防火墙的账号密码必须相同。【用当前账号密码登陆】如果当前使用的账号和密码正是所要输入搭建集群防护防火墙的账号密码则勾选此选项，无需在下面再填写登陆账号和密码。这里对多台防火墙搭建集群防护还需注意搭建集群防护的防火墙系统口（同步口）必须放在一台千兆交换机下且此交换机只用户防火墙同步工作不设置集群地址用的是管理口，和同步口没关系、建议执行其他工作，添加完上面的地址和账号密码后搭建集群防护防火墙的信息将显示在下面，如果某台防火墙不需集群范围内则勾掉其相应ＩＰ地址前面的选项，这样就可以实现多台防火墙搭建集群防护同步。设置集群地址用的是管理口，和同步口没关系、插件模块信息防火墙插件是防火墙针对ＣＣ攻击、游戏假人等定制的防护规则，进入防火墙管理界面选择【设置】—【防火墙设置】—【插件模块信息】，可以看见防火墙插件模块信息的界面。这里的插件列表显示了防火墙当前的插件信息，包括：插件名称、资源总数、资源使用、插件版本号、插件号、插件参数等等。当插件的资源使用数和插件资源总数相等时，需清空插件资源，否则插件功能可能失效。单击【清空资源】按钮即可清空防火墙插件使用的资源，单击【刷新】按钮显示出当前的插件信息。系统日志设置针对防火墙系统日志进行相关的设置并在【监控日志】—【系统日志】选择月份进行查看。进入防火墙管理界面选择【设置】—【防火墙设置】—【系统日志设置】，可以看见防火墙系统日志设置的界面，系统日志设置主要分为四块：远程日志服务器、日志记录设置、规则触发事件设置、异常数据事件设置。【远程日志服务器】如果需要将防火墙日志记录到远程服务器需勾选【开启远程日志服务器】选项，输入记录防火墙日志的远程服务器的IP地址、远程端口，对facility和level进行相应的设置。【日志记录设置】这里为系统日志进行了细化，如果需要对防火墙登陆事件进行记录则勾选【记录登陆事件】选项；如果需要对防火墙成功登陆的事件进行记录则勾选【记录登陆成功事件】；如果需要对防火墙规则的添加、修改和删除事件进行记录则勾选【记录设置防火墙规则事件】；如果需要对某台服务器添加、修改和删除某条防护规则事件进行记录则勾选【记录设置防护的服务器规则事件】；如果需要对防火墙的漏洞规则进行添加、修改和删除事件进行记录则勾选【记录设置漏洞规则事件】；如果需要对防火墙惊喜其他设置记录则勾选【记录其他设置事件】。【规则触发事件设置】分别对攻击IP触发防火墙的防火墙规则、漏洞规则以及到达防火墙定义的流量上限阀值时进行了记录设置。【异常数据事件设置】主要是针对定义的数据类型到达所设置的阀值进行记录，启动该功能需勾选【记录异常数据事件】选项。做【所有类型】中选择要记录的数据类型并添加一个阀值，所记录的事件信息将显示在右边的对话框中。比如，要记录连接数大于500的事件，则在【所有类型】中选择连接数并输入500这个阀值，单击【添加】按钮事件将显示在右侧的对话框中。这里建议设置合理的值，如果设置太小会每秒触发很多条记录，占用防火墙资源造成防火墙工作不正常。DOS攻击防护DOS攻击防护主要是针对防火墙的接收包流量防护模块进行设置和屏蔽指定服务器的MAC地址、IP地址进行设置。3.1接收包流量限制这里的接收包流量限制防护主要是针对UDP、ICMP和IGMP协议进行防护。进入防火墙管理界面选择【设置】—【DOS攻击防护】—【接收包流量限制】，可以看见防火墙接收包流量限制界面，可以显示出规则的编号、描述、协议类型、设置的源IP地址和端口、设置的目的IP地址和端口、限制的描述、突发包数、修改人以及修改时间等信息。接收包流量限制列表可以对规则进行添加、修改和删除，并支持对规则的顺序进行排序。单击【添加】按钮进入接收包流量限制的具体编辑界面。这里可以填写对规则的描述信息如规则的名称，选择协议类型（UDP/ICMP/IGMP）,源IP地址和目的IP地址以及端口类型，当上面的信息输入完毕后输入适当的拦截参数，每秒可以通过的包可以根据服务器情况设定。假如平常的UDP包是200个，那么可以设定成每秒可以通过100个包，多余的包拦截。允许最大突发是在5秒内允许最大的每秒通过UDP包，假设从1到5秒的时间突然UDP增加到200每秒，那么傲盾防火墙允许这200X5=1000个包通过，当的六秒的时候将会恢复100个包每秒的规则。如果要将拦截的信息记录到系统日志中则勾选【拦截并记录SYSLOG】选项。3.2屏蔽指定服务器这个对指定服务器屏蔽设置用于对某个IP的攻击量比较大超过带宽和防火墙所能承受的范围。进入防火墙管理界面选择【设置】—【DOS攻击防护】—【屏蔽指定服务器】，可以看见防火墙屏蔽指定服务器界面。屏蔽指定服务器分为两种方式：MAC屏蔽和IP屏蔽。【MAC屏蔽】如果要屏蔽服务器的MAC地址，需勾选【启用MAC屏蔽】选项才能生效，在【MAC地址】栏中输入要屏蔽服务器的MAC地址，单击【添加】后被屏蔽服务器的MAC地址将显示在列表中，列表中的服务器MAC将不能访问网络。【IP屏蔽】如果要屏蔽服务器的IP地址，需勾选【启用IP_SYN屏蔽】选项才能生效，在【IP地址】栏中输入要屏蔽服务器的IP地址，单击【添加】后被屏蔽服务器的IP地址将显示在列表中，列表中的服务器IP将不能接收新的TCP连接，但是不影响已经建立的连接。漏洞攻击防护漏洞攻击防护模块是防火墙的特色之一，也是防火墙的精华所在。可以通过抓取数据包进行分析后在漏洞攻击防护模块进行设置符合攻击特征的防护规则，最快时间内拦截防护网络服务器。漏洞攻击防护设置分为：漏洞特征组设置、全局漏洞攻击防护规则和漏洞特征库编辑。4.1漏洞特征组设置设置漏洞特征组是为了方便漏洞特征库更好的管理和分类，以后需要对某一网络服务器进行漏洞规则防护，只需在相应的漏洞特征组里找到相应的漏洞规则进行添加即可。进入防火墙管理界面选择【设置】—【漏洞攻击防护】—【漏洞特征组设置】，可以看见防火墙漏洞特征组的界面。在漏洞特征组列表中显示出特征组的编号、组名、描述信息和只读信息，可以对其列表中的信息进行添加、修改和删除，并支持对特征组的顺序进行上下移动重新排序。单击【添加】按钮进入漏洞特征组具体的编辑界面。【漏洞特征组名称】可以定义漏洞特征组的名称。【备注】对于定义的漏洞特征组可以进行说明。【只读组】如果勾选此选项，则该漏洞特征组不允许添加新的漏洞特征规则，也不允许对其组里的漏洞特征规则进行修改。4.2全局漏洞攻击防护规则在这里设置可以对针对防火墙进行全局的防护，进入防火墙管理界面选择【设置】—【漏洞攻击防护】—【全局漏洞攻击防护规则】，可以看见防火墙全局漏洞攻击防护规则列表。在列表中显示出规则编号、描述信息、保护的IP地址和端口以及具体漏洞特征规则，可以对其列表中的信息进行添加、修改和删除，并支持对规则的顺序进行上下移动重新排序。单击【添加】按钮进入全局漏洞攻击防护规则的具体编辑界面。该界面分成左右两个部分，右侧部分可以填写该全局漏洞攻击防护规则的描述信息、选择防护地址类型（服务器地址/客户端地址）、选择IP类型和端口类型，在左侧部分选择相应的漏洞规则。被全局漏洞攻击防护规则拦截的ＩＰ在【漏洞规则被封ＩＰ列表】中查到，其被封的类型为全局。4.3漏洞特征库编辑通过对防火墙漏洞特征库的编辑可以针对连接、针对数据包、针对底层网络协议、应用层网络协议等,通过规则的组合来过滤出异常的数据流最大限度的保证正常数据流通过。防火墙自带网络服务器监控和数据包分析功能可以第一时间发现网络异常，抓取数据包分析出未知攻击数据包的特点，以及攻击数据连接的特点，通过漏洞规则强大的功能来控制防火墙核心过滤掉攻击数据包。进入防火墙管理界面选择【设置】—【漏洞攻击防护】—【漏洞特征库编辑】，可以看见漏洞特征库列表的界面。如下图：漏洞特征库列表有左右两个部分组成，左侧是之前在【漏洞特征组设置】编辑好的漏洞特征组以及描述信息；右侧显示某一漏洞特征组的具体漏洞规则信息，如规则编号、规则名称、规则描述信息、修改人、修改时间等。可以对某一漏洞特征组内的漏洞规则进行添加、修改和删除。单击【添加】，进入具体的漏洞规则编辑界面。【名称】填写本规则的名字。【备注】填写本规则的备注信息。【直接转发数据包防火墙不处理】有些服务器可能不需要防火墙防护直接穿透防火墙通过这个功能然后条件匹配选择通过就可以实现。【接收包快速过滤】当超过防火墙参数设置中的快速漏洞过滤参数时，勾选此选项防火墙快速漏洞模块将进行处理。快速漏洞模块处理简化了漏洞规则防护，所以漏洞规则只有某些选项生效，其中包括：【按每IP匹配】、【IP记录保存时间】、【接收数据】、【读取数据包】、【应用内容】、【子规则描述】、【逻辑关系、值】、【十六进制字符】、【从TCP数据开始搜索数据包位置】、【搜索整个包搜索长度】、【比较值匹配就执行设置操作】、【累加器清零累加器增加】、【判断累加器】、【数据包大小】(按单个数据包生效,按累加数据包不生效)、【IP记录保存时间刷新】、【条件匹配】（其中记录SYSLOG选项不生效）、【条件不匹配】、【加入黑名单】（加入外网生效、加入内网不生效）、【只对被封时访问的服务器有效】。【纯数据包匹配】有些时候需要直接匹配数据包头的内容，比如MAC地址、Ethertype、arp数据包等选择这个功能防火墙会忽略协议,IP端口等，直接匹配数据包内容。【协议类型】本规则所关心的协议如果选择【纯数据包匹配】了，协议类型将不起作用。【规则编号】为每个IP的每条漏洞规则记录一个累加器编号，设置0系统自动分配，分配规则累加器编号范围为1001-65535，也可以手动指定，指定规则累加器编号范围为1-1000。【按每连接匹配】匹配数据的时候是按照建立的连接来匹配。【按每IP匹配】匹配数据的时候是按照每个源IP匹配。【IP记录保存时间】防火墙会给每个访问的IP分配一个记录来保存这个IP的相关数据，设置这个数据保存的时间。【读取包数据】可以读取在数据包分析功能里保存的单一数据包。【应用内容】读取数据包后选择需要的特征数据内容，点此按钮就会把选取的内容自动填写到下面的判断值里。【子规则描述】设置一个子规则的名字，一个漏洞规则可以包含很多子规则。【接收数据发送数据】设置本规则过滤的防火墙接收还是防火墙发送的数据。特征码的比较设置如果值为空时不比较直接通过执行下面的逻辑关系比较：【逻辑关系值】匹配包特征码时用的逻辑关系=等于、<>不等于、>大于、<小于、>=大于等于、<=小于等于，注意只有本特征值匹配时才会判断下面的条件。【十六进制字符】这个是值的类型，是十六进制还是字符，十六进制0到F表示的时候必须两位数字代表一个字节，比如000F1B中间不能有空格。逻辑关系比较设置只有特征码比较匹配时才会执行：【CC插件】用来防护WEB服务器的刷网站页面，正常客户用浏览器访问网站，数据经过防火墙在数据包打上一个标记验证码，如果是攻击IP不会用浏览器访问网站，防火墙检查没有标记验证码就会拦截。单击插件按钮显示出CC插件的具体页面。右侧为插件参数：timeout：一般填10，表示这个验证状态最长保持10秒。checkcount：设置0是正常值，设置1的话会一直验证，推荐选择0。livetime：证完毕后300秒内这个ip是可信任的。ccmod：0表示是原来的验证脚本1表示新的cc验证模块。左侧为插件名称、资源总数和资源使用。如果资源使用等于资源总数需在插件模块信息中清空资源。【从TCP数据开始搜索数据包位置】这两个参数决定从数据包的什么位置开始搜索，比如选择了从TCP数据开始搜索，数据包位置10防火墙分析数据包的时候就会从TCP数据包的数据部分加上10的位置开始搜索输入的值，如果不选择从TCP数据开始搜索就从数据包开始部分加上10的位置开始搜索输入的值。【搜索整个包搜索长度】这两个参数决定数据包搜索的长度，如果选择搜索整个包，搜索值的时候就会一直搜索到数据包尾，这时搜索长度将不起作用，如果不选择搜索整个包就会搜索指定的搜索长度。【判断TCP连接是否建立】必须选择按每连接匹配才会生效，如果上面特征值匹配但是数据TCP连接没有建立起来则拦截数据包。【检查TCP协议】必须选择按每连接匹配才会生效，如果上面特征值匹配但是数据不是TCP协议则拦截数据包。【判断时间】和【计时清零】、【开始计时】配合使用用来提供一个时间限制完成复杂的规则。【判断标志位】和【设置标志位】、【清除标志位】配合使用。比如攻击有好多特征码，第一个特征码符合的时候设置标志位ID1为真，第二个特征码符合时设置标志位ID2为真，通过组合可以完成复杂的规则，刚从黑名单释放ID8会设置为真。【判断累加器】和【累加器清零】、【累加器增加】配合使用，用来记录特征值出现次数或者其他需要累加计数的地方。【值出现次数】按“单个数据包时”记录单个数据包里特征值出现的次数；选择“按连接”则记录整个连接过程值出现的次数，这个功能按每连接匹配和按每IP匹配都可以。【数据包大小】和【包字节清零】、【开始累加包字节】配合使用，通过这个功能可以判断包字节异常的攻击，可以“按单个数据包”定义攻击数据包的大小，也可以“按累加数据包”去限制IP流量。特征码比较和逻辑关系比较匹配或者不匹配时执行的针对本数据包的操作：【条件匹配】针对上面特征码值和逻辑关系比较都通过后执行的操作。包括：<通过>、<拦截>、<继续子规则>继续执行后面的子规则、<跳出本规则>跳出这条漏洞规则执行下一个漏洞规则。【条件不匹配】特征码值和逻辑关系比较只要有一个不匹配则执行。条件不匹配<跳出本规则>跳出本规则执行下一个规则、<继续后面子规则>继续执行后面的子规则。特征码比较和逻辑关系比较匹配时的操作：【加入黑名单】加入防火墙漏洞规则封IP列表中。【加入外网加入内网】选择加入“外网黑名单”封的是客户端也就是访问服务器的IP，如果“加入内网黑名单”封的是服务器的IP。【发送RET包】针对TCP协议使用的，给服务器发送一个RET包用来释放连接。【只对被封时访问的服务器有效】如果不选择被封的IP将无法访问防火墙下所有的服务器，如果选择上这个选项只对被封时访问的服务器拦截。【开启TCPCACHE】用来防护空连接攻击，有一些TCP攻击连接建立后就没有后续的数据包，通过这个规则可以完全防护，请参见防火墙带的系统规则HTTP空连接规则。【开启TCP连接强制释放】这个只能用于按每连接匹配，连接建立后指定的时间内把连接释放掉。特征码比较或者逻辑关系比较匹配时设置的连接数据：【比较值匹配就执行设置操作】选择后，如果逻辑关系和特征码值都匹配时就会执行下面的设置操作；如果没有选择，必须逻辑关系和特征码值以及上述条件都符合时判断下列条件都匹配时执行下面的设置操作。【计时清零】【开始计时】和【判断时间】配合使用。【累加器清零】【累加器增加】用来和【判断累加器】配合使用。【设置标志位】【清除标志位】用来和【判断标志位】配合使用。【包字节数清零】【开始累加包字节】用来和【数据包大小】配合使用。【IP记录保存时间刷新】一个IP其保存时间为20秒，到达10秒就匹配逻辑关系和特征码值，需再等10秒到达保存时间结束再次检查是否配置。如果勾选此选项，则到达10秒检查匹配后刷新IP的保存时间，丢弃剩余的10秒重新计时其保存时间检查是否匹配逻辑关系和特征码值。选择输入相应的选项之后单击【添加】按钮，所定义的漏洞特征子规则将显示在规则列表中。一个漏洞规则可以包含很多条子规则。子规则是按照顺序执行的，上面设置好了条件参数，点击添加【按钮】就可以添加再生成一条子规则。选择一条子规则点击【删除】，该规则的子规则就会被删除掉。选择一条子规则，点击【保存修改内容】，设置的条件参数就会被保存到所选择的子规则里。编辑好所有的子规则后单击【确定】，所定义的漏洞特征规则将显示在漏洞特征库列表中。异常流量牵引如果要对异常流量进行牵引操作需拥有上层路由操作权限，在再对异常流量进行牵引和恢复的设置与异常流量牵引模块配合使用。进入防火墙管理界面选择【设置】—【异常流量牵引】—【异常流量牵出】，可以看见异常流量牵引设置的编辑界面。如下图：异常流量牵引设置的编辑界面主要分为四个部分：异常I