ATIC設備安裝及系統(tǒng)部署指南

1、ATIC 設備安裝及系統(tǒng)部署指南目錄設備側(cè)配置準備ATIC安裝準備ATIC安裝過程ATIC安裝驗證設備側(cè)配置準備設備已經(jīng)安裝在網(wǎng)絡中，相關(guān)的路由等已經(jīng)調(diào)通。為了適配ATIC運行Anti-DDoS業(yè)務，還需要進行下列配置：配置接口流量統(tǒng)計指定檢測或清洗業(yè)務板(AntiDDoS1000無須配置)配置接口為清洗口或檢測口(可選，AntiDDoS1000無須配置)檢測設備接口管理流量使能(可選)配置首包丟棄(可選)配置BGP引流路由的下一跳及FIB過濾Page 3配置接口流量統(tǒng)計接口視圖下，命令行 undo anti-ddos flow-statistic enable 使用說明anti-ddos f

2、low-statistic enable命令用于使能基于接口的流量統(tǒng)計功能，檢測和清洗設備都需要配置。undo anti-ddos flow-statistic enable命令用于關(guān)閉基于接口的流量統(tǒng)計功能。系統(tǒng)默認不使能，必須進行配置使能，對進入接口的流量做統(tǒng)計，從接口進入的流量才會進入DDoS模塊處理。舉例： 指定檢測或清洗業(yè)務板系統(tǒng)視圖下，命令行 undo firewall ddos detect-spu | clean-spu slot slot-id 使用說明缺省情況下，業(yè)務板類型為防火墻業(yè)務板。firewall ddos detect-spu | clean-spu slot s

3、lot-id 命令用來指定業(yè)務板為檢測業(yè)務板或清洗業(yè)務板。undo firewall ddos detect-spu | clean-spu slot slot-id 命令用來取消業(yè)務板上指定的檢測或清洗類型，業(yè)務板類型恢復為防火墻業(yè)務板配置完此命令后，需要重啟業(yè)務板，功能才生效，否則不生效。舉例： 配置接口為清洗口或檢測口接口視圖下，命令行 undo anti-ddos clean | detect enable使用說明anti-ddos clean | detect enable 命令用來指定接口為清洗或檢測口。undo anti-ddos clean | detect enable 命令

4、用來取消業(yè)接口上指定的DDoS類型。缺省情況下，接口類型為轉(zhuǎn)發(fā)口，即從轉(zhuǎn)發(fā)口接收的流量直接上送到防火墻業(yè)務板處理。舉例： 檢測設備接口管理流量使能(可選) 命令行 undo anti-ddos detect-device manage-port enable使用說明檢測設備默認對進入的流量檢測完畢作丟棄處理，必須把管理流量通過管理口區(qū)別開來，在與ATIC進行交互的接口下配置該命令。anti-ddos detect-device manage-port enable命令用于使能檢測設備基于接口的管理流量功能。undo anti-ddos detect-device manage-port ena

5、ble命令用于關(guān)閉檢測設備基于接口的管理流量功能。默認為關(guān)閉使能。 首包丟棄原理原理和應用場景 原有的基于源探測的防御方法，會引起上行鏈路壓力太大，即1G的下行攻擊流量，會造成1G上行探測流量，從而對整個網(wǎng)絡，或者客戶鏈路造成壓力，甚至引起反射攻擊。 首包丟棄作為系統(tǒng)初級信譽用于防御流程，利用TCP協(xié)議或應用協(xié)議重傳的特點，丟棄當前源的第一個報文，等該源的第二個報文在指定時間范圍內(nèi)到達即可認為通過信譽檢查，進入后續(xù)源認證防御流程；否則丟棄。缺陷 對于正常應用，首包丟棄+源探測，典型的正常源需要9s才能連接到服務起上。因為正常的重傳時間是3s。為此，需要增加信譽機制，在靜態(tài)引流的場景下，對于源的

6、行為進行檢查，把符合行為的源加入白名單，這樣，這些源在發(fā)生攻擊時就不會受到影響。首包丟棄配置(可選)系統(tǒng)視圖、大客戶視圖下，命令行：Eudemonanti-ddos first-packet-check interval lower-limit lower-value | upper-limit upper-value * lower-limit和Upper-limit的意思是指：重傳包和首包的時間差必須落入lower-limit和Upper-limit界定的時間范圍內(nèi)，才算通過信譽檢查，否則丟棄；lower-limit默認為0，Upper-limit默認為6系統(tǒng)視圖用于接口下得首包檢查，大客

7、戶視圖用于大客戶下的精細化防范。配置說明首包丟棄開啟后，會在syn flood、syn-ack flood、ack flood、fin flood、DNS Reply flood、DNS Request flood源認證流程之前進行。可以單獨的配置首報的時間定義，從而在發(fā)生攻擊時進行調(diào)整，避免清洗效果較差或影響正常業(yè)務的情況發(fā)生。配置BGP引流路由的32位主機路由時使用的下一跳 命令行 undo firewall ddos bgp-next-hop ip | ipv6 ipv6 操作說明firewall ddos bgp-next-hop命令用于配置主機路由使用的下一跳。清洗設備會根據(jù)此命令指

8、定的下一跳生成一個主機路由，然后通過EBGP發(fā)布到核心路由器，從而改變核心路由器的路由選擇，達到引流的目的。undo firewall ddos bgp-next-hop命令用于取消主機路由使用的下一跳。下一跳地址的配置與引流回注的方式相關(guān)，例如，若使用靜態(tài)路由回注，則需要將下一條配置成對端的回注接口的IP。BGP引流時配置下一跳是否進行FIB過濾命令行 undo firewall ddos bgp-next-hop fib-filter使用場景： 存在多條回注鏈路時，并不能簡單的使用清洗設備上的這條靜態(tài)路由實現(xiàn)流量的回注。此時需要過濾清洗設備生成的這條靜態(tài)路由，使其不下發(fā)到FIB表中，不能影

9、響回注流量，同時配置其他回注策略，將流量送回原鏈路。操作說明firewall ddos bgp-next-hop fib-filter命令用于在清洗設備啟動FIB過濾開關(guān)，即對于利用下一跳生成的主機路由不進行下發(fā)路由表的操作。undo firewall ddos bgp-next-hop fib-filter命令用于取消FIB過濾開關(guān)。在配置此命令時，要確認當前系統(tǒng)尚未配置任何引流策略，如果已經(jīng)配置，需要首先將取消所有引流策略。FIB過濾的作用在于，BGP引流，多個接口回注時，引流路由只用于BGP發(fā)布，不會在本地指導轉(zhuǎn)發(fā)。如BGP引流，策略路由回注或MPLS VPN/MPLS LSP回注，就需

10、要配置FIB過濾。路由器側(cè)配置要求對于通過BGP發(fā)布的引流路由，需要注意在路由器側(cè)配置相應路由過濾策略，將從清洗設備學習到的BGP路由限定在一定范圍 ，避免擴散到全網(wǎng)，否則可能引起全網(wǎng)路由環(huán)路。 Page 12ATIC安裝準備檢查硬件配置CPU要求至少雙核，內(nèi)存至少4G，硬盤至少100G。建議磁盤分為C、D兩個分區(qū)，C區(qū)安裝操作系統(tǒng)， D區(qū)安裝ATIC。檢查操作系統(tǒng)Windows Server 2003 R2 Standard with SP2 （32bit）Windows Server 2008 R2 Standard with SP1（64bit）檢查網(wǎng)絡配置ATIC和NIP設備之間路由可

11、達，如果有防火墻，需要檢查相關(guān)端口是否開通。只能配置IP V4的地址。檢查設備配置ATIC只支持單向下發(fā)策略，不能從設備讀取已經(jīng)配置的策略，所以，請先清空設備上的防護對象及其策略，通過ATIC進行配置下發(fā)。注意事項：Windows操作系統(tǒng)的“區(qū)域和語言選項”必須是中文或英文，并且安裝后不能修改。安裝路徑只能包含字母、數(shù)字、下劃線，不能包含空格、括號、中文字符等其他字符。安裝前要調(diào)整好服務器和設備的時間，保持一致并且和準確，安裝后如果需要調(diào)整ATIC服務器的時間，需要重啟服務器。建議Anti-DDoS設備和ATIC服務器都配置NTP和統(tǒng)一的時間服務器同步。ATIC提供Mysql靜默安裝。如果系統(tǒng)

12、之前安裝過Mysql，請關(guān)閉該服務，并把啟動模式設置為“手動”。安裝完成后，提示安裝安全加固。安全加固的安裝指南請參考vsm_secharden.zip包里提供的說明文檔。ATIC安裝準備ATIC安裝規(guī)劃集中式安裝適合設備數(shù)量比較少或防護的IP數(shù)量比較少的場景。要求高端設備小于等于2臺。分布式安裝適合設備數(shù)量比較多的場景，采集器分布式安裝在不同的服務器上，每個采集器可以關(guān)聯(lián)不多于2臺高端設備。推薦每個采集器對應一臺高端設備。分布式安裝要求管理中心和采集器、采集器和設備、管理中心和設備之間的鏈路互通。最多支持20臺采集器分布式部署。Page 15安裝ATIC第一步：啟動安裝1、使用Administrator登錄操作系統(tǒng)，關(guān)閉所有正在運行程序；2、運行安裝光盤或安裝軟件包中的install.exe文件，啟動安裝程序安裝ATIC第二步：選擇安裝組件(全部選中)安裝ATIC第三步：檢測系統(tǒng)環(huán)境 檢查HTTP、HTTPS端口是否被占用。如端口已經(jīng)被其他程序使用，將提示“被占用”。此時可以選擇修改ATIC的端口或者釋放被系統(tǒng)其他應用程序占用的端口。安裝ATIC第四步：配置安裝目錄和固定的IP地址安裝ATIC第五步：配置采集器參數(shù)安裝ATIC第七步：安裝信息匯總安裝ATIC開始安裝安裝完成，選擇是否立即