某軟件公司防火墻產(chǎn)品簡(jiǎn)介課件

金盾防火墻產(chǎn)品簡(jiǎn)介中新軟件有限公司（安徽）總公司金盾防火墻產(chǎn)品簡(jiǎn)介中新軟件有限公司（安徽）總公司1DOS/DDOS簡(jiǎn)介拒絕服務(wù)（DOS）攻擊：就是消耗目標(biāo)主機(jī)或者網(wǎng)絡(luò)的資源，從而干擾或癱瘓其為合法用戶提供服務(wù)。分布式拒絕服務(wù)（DDOS）攻擊：是借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDOS攻擊DOS/DDOS簡(jiǎn)介拒絕服務(wù)（DOS）攻擊：就是消耗目標(biāo)主2常見的ＤＯＳ攻擊類型帶寬攻擊：指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源被消耗殆盡，導(dǎo)致合法的用戶請(qǐng)求而無法通過。連通性攻擊：指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。常見的ＤＯＳ攻擊類型帶寬攻擊：指以極大的通信量沖擊網(wǎng)絡(luò)，使得3常見的ＤＤＯＳ攻擊類型帶寬耗盡型：主要是堵塞目標(biāo)網(wǎng)絡(luò)的出口，使合法網(wǎng)絡(luò)數(shù)據(jù)包被虛假的攻擊包淹沒卻無法到達(dá)主機(jī)，從而導(dǎo)致帶寬消耗。資源耗盡型：指攻擊者利用資源配置不當(dāng)或服務(wù)器處理缺陷等消耗目標(biāo)服務(wù)器的關(guān)鍵資源（ＣＰＵ，內(nèi)存等）從而導(dǎo)致無法提供正常服務(wù)。常見的ＤＤＯＳ攻擊類型帶寬耗盡型：主要是堵塞目標(biāo)網(wǎng)絡(luò)的出口，4ＤＯＳ／ＤＤＯＳ的區(qū)別ＤＯＳ攻擊側(cè)重于通過對(duì)主機(jī)特定漏洞的攻擊從而導(dǎo)致網(wǎng)絡(luò)札失效，系統(tǒng)崩潰，主機(jī)死機(jī)而無法提供正常的網(wǎng)絡(luò)服務(wù)功能，進(jìn)而造成拒絕服務(wù)ＤＤＯＳ攻擊側(cè)重于通過很多僵尸主機(jī)（被攻擊者入侵過或間接利用的主機(jī)）向受害者主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)。ＤＯＳ／ＤＤＯＳ的區(qū)別ＤＯＳ攻擊側(cè)重于通過對(duì)主機(jī)特定漏洞的攻5一般防火墻的作用包過濾包的透明轉(zhuǎn)發(fā)阻擋外部攻擊記錄攻擊一般防火墻的作用包過濾6防火墻的缺陷與不足防火墻可以阻斷攻擊，但不能消滅攻擊源。防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞.防火墻的并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯龇阑饓?duì)服務(wù)器合法開放的端口的攻擊大多無法阻止防火墻對(duì)待內(nèi)部主動(dòng)發(fā)起連接的攻擊一般無法阻止防火墻本身也會(huì)出現(xiàn)問題和受到攻擊防火墻不處理病毒防火墻的缺陷與不足防火墻可以阻斷攻擊，但不能消滅攻擊源。7金盾DDOS防火墻產(chǎn)品概述:

金盾抗DDOS防火墻主要是防御DOS/DDOS攻擊，連接性攻擊及一些常見的游戲和其他性質(zhì)的攻擊。為您的網(wǎng)站、信息平臺(tái)、互動(dòng)娛樂等基于Internet的網(wǎng)絡(luò)服務(wù)提供完善的保護(hù)，使其免受惡意的攻擊、破壞。金盾DDOS防火墻產(chǎn)品概述:金盾抗DDOS防8金盾防火墻技術(shù)優(yōu)勢(shì)及功能：金盾抗DDOS防火墻，相比其它DOS/DDOS產(chǎn)品，具有以下優(yōu)勢(shì)：a)DOS/DDOS攻擊檢測(cè)及防護(hù)金盾抗拒絕服務(wù)系列產(chǎn)品，應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，對(duì)SYNFlood，UDPFlood，ICMPFlood，IGMPFlood，F(xiàn)ragmentFlood，HTTPProxyFlood，CCProxyFlood，ConnectionExhausted等各種常見的攻擊行為均可有效識(shí)別，并通過集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行處理及阻斷，保護(hù)服務(wù)主機(jī)免于攻擊所造成的損失。內(nèi)建的WEB保護(hù)模式及游戲保護(hù)模式，徹底解決針對(duì)此兩種應(yīng)用的DOS攻擊方式。b)通用方便的報(bào)文規(guī)則過濾金盾抗拒絕服務(wù)系列產(chǎn)品，除了提供專業(yè)的DOS/DDOS攻擊檢測(cè)及防護(hù)外，還提供了面向報(bào)文的通用規(guī)則匹配功能，可設(shè)置的域包括地址、端口、標(biāo)志位，關(guān)鍵字等，極大的提高了通用性及防護(hù)力度。同時(shí)，內(nèi)置了若干預(yù)定義規(guī)則，涉及局域網(wǎng)防護(hù)、漏洞檢測(cè)等多項(xiàng)功能，易于使用。金盾防火墻技術(shù)優(yōu)勢(shì)及功能：金盾抗DDOS防火墻，相比其9

c)專業(yè)的連接跟蹤機(jī)制金盾抗拒絕服務(wù)系列產(chǎn)品，內(nèi)部實(shí)現(xiàn)了完整的TCP/IP協(xié)議棧，具有強(qiáng)大的連接跟蹤能力。每個(gè)進(jìn)出的連接，防火墻都會(huì)根據(jù)其源地址進(jìn)行分類，并顯示給用戶，方便用戶對(duì)受保護(hù)主機(jī)狀態(tài)的監(jiān)控。同時(shí)還提供連接超時(shí)，重置連接等輔助功能，彌補(bǔ)了TCP協(xié)議本身的不足，使您的服務(wù)器在攻擊中游刃有余。d)簡(jiǎn)潔豐富的管理金盾抗拒絕服務(wù)系列產(chǎn)品具有豐富的設(shè)備管理功能，基于簡(jiǎn)潔的WEB的管理方式，支持本地或遠(yuǎn)程的升級(jí)。同時(shí)，豐富的日志和審計(jì)功能也極大地增強(qiáng)了設(shè)備的可用性，不僅能夠針對(duì)攻擊進(jìn)行實(shí)時(shí)監(jiān)測(cè)，還能對(duì)攻擊的歷史日志進(jìn)行方便的查詢和統(tǒng)計(jì)分析，便于對(duì)攻擊事件進(jìn)行有效的跟蹤和追查。c)專業(yè)的連接跟蹤機(jī)制10

e)廣泛的部署能力針對(duì)不同的客戶，抗拒絕服務(wù)所面臨的網(wǎng)絡(luò)環(huán)境也不同，企業(yè)網(wǎng)、IDC、ICP或是城域網(wǎng)等多種網(wǎng)絡(luò)協(xié)議并存，給抗拒絕服務(wù)系統(tǒng)的部署帶來了不同的挑戰(zhàn)。金盾抗DDOS防火墻具備了多種環(huán)境下的部署能力。（產(chǎn)品分為軟和硬，軟件主要運(yùn)行Ｗｉｎｄｏｗｓ系統(tǒng)下的單臺(tái)服務(wù)器上，支持單／雙網(wǎng)卡。硬件支持多網(wǎng)段防護(hù)，跨路由，跨網(wǎng)段，跨Ｖｌａｎ等模式）

f)優(yōu)質(zhì)的售后服務(wù)您購(gòu)買本產(chǎn)品后，將終生享有免費(fèi)升級(jí)服務(wù)。我們有專門的技術(shù)人員為您進(jìn)行定期更新，使您的網(wǎng)絡(luò)始終保持在最安全的狀態(tài)，免除您的后顧之憂。e)廣泛的部署能力11

a)攻擊檢測(cè)本防火墻利用了多種技術(shù)手段對(duì)DOS/DDOS攻擊進(jìn)行有效的檢測(cè)，在不同的流量觸發(fā)不同的保護(hù)機(jī)制，在提高效率的同時(shí)確保準(zhǔn)確度；

b)協(xié)議分析本防火墻采用了協(xié)議獨(dú)立的處理方法，對(duì)于TCP協(xié)議報(bào)文，通過連接跟蹤模塊來防護(hù)攻擊；而對(duì)于UDP及ICMP協(xié)議報(bào)文，主要采用流量控制模塊來防護(hù)攻擊。

c)主機(jī)識(shí)別本防火墻可自動(dòng)識(shí)別其保護(hù)的各個(gè)主機(jī)及其地址。某些主機(jī)受到攻擊不會(huì)影響其它主機(jī)的正常服務(wù)。

d)連接跟蹤本防火墻針對(duì)進(jìn)出的連接均進(jìn)行連接跟蹤，并在跟蹤的同時(shí)進(jìn)行防護(hù)，徹底解決針對(duì)TCP協(xié)議的各種攻擊。

e)端口防護(hù)本防火墻建立在連接跟蹤模塊上的端口防護(hù)體制，針對(duì)不同的端口應(yīng)用，提供不同的防護(hù)手段，使得運(yùn)行在同一服務(wù)器上的不同服務(wù)，都可以受到完善的DOS/DDOS攻擊保護(hù)。防護(hù)原理a)攻擊檢測(cè)防護(hù)原理12防火墻功能描述防護(hù)模式:防火墻防護(hù)狀態(tài)目前主要分為種，分別為SYN保護(hù)模式，UDP保護(hù)模式，ICMP保護(hù)模式，IGMP保護(hù)模式，碎片保護(hù)模式。此外需手動(dòng)設(shè)置的模式還包括忽略模式，禁止模式，WebCC保護(hù)模式，GameCC保護(hù)模式及高級(jí)UDP保護(hù)模式：a)SYN保護(hù)模式此模式由防火墻自動(dòng)設(shè)置，用于防護(hù)SYNFlood攻擊，當(dāng)每秒SYN報(bào)文的數(shù)量超過設(shè)置值時(shí)即滿足觸發(fā)條件。此模式下防火墻將應(yīng)用延時(shí)應(yīng)答模式，此模式在攻擊量小于設(shè)置值后一段時(shí)間后即自動(dòng)釋放；防火墻功能描述防護(hù)模式:13b)UDP保護(hù)模式

此模式由防火墻自動(dòng)設(shè)置，用于防護(hù)UDPFlood攻擊，當(dāng)每秒U(xiǎn)DP報(bào)文的數(shù)量超過設(shè)置值時(shí)即滿足觸發(fā)條件。此模式下防火墻將禁止所有的UDP通信，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值后一段時(shí)間后即自動(dòng)釋放；c)ICMP保護(hù)模式

此模式由防火墻自動(dòng)設(shè)置，用于防護(hù)ICMPFlood攻擊，當(dāng)每秒ICMP報(bào)文的數(shù)量超過設(shè)置值時(shí)即滿足觸發(fā)條件。此模式下防火墻將禁止所有的ICMP通信，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值后一段時(shí)間后即自動(dòng)釋放；d)IGMP保護(hù)模式

此模式由防火墻自動(dòng)設(shè)置，用于防護(hù)IGMPFlood攻擊，當(dāng)每秒IGMP報(bào)文的數(shù)量超過設(shè)置值時(shí)即滿足觸發(fā)條件。此模式下防火墻將禁止所有的IGMP通信，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值后一段時(shí)間后即自動(dòng)釋放；b)UDP保護(hù)模式14e)碎片保護(hù)模式此模式由防火墻自動(dòng)設(shè)置，用于防護(hù)碎片攻擊，當(dāng)每秒碎片報(bào)文的數(shù)量超過設(shè)置值時(shí)即滿足觸發(fā)條件。此模式下防火墻將禁止所有的碎片報(bào)文，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值后一段時(shí)間后即自動(dòng)釋放；f)忽略模式此模式由用戶手動(dòng)設(shè)置，防火墻對(duì)于該模式下的主機(jī)的所有流量采取直通策略，數(shù)據(jù)不經(jīng)過防火墻處理而直接轉(zhuǎn)發(fā)；g)禁止模式此模式由用戶手動(dòng)設(shè)置，防火墻對(duì)于該模式下的主機(jī)的所有流量采取禁止策略，數(shù)據(jù)不經(jīng)過防火墻處理而直接丟棄；h)WebCC保護(hù)模式此模式由用戶手動(dòng)設(shè)置，當(dāng)某一主機(jī)運(yùn)行Web服務(wù)并且連接數(shù)量大大超過正常值，網(wǎng)站無法訪問或訪問很慢時(shí)，建議設(shè)置此模式，此模式下防火墻將對(duì)進(jìn)入的HTTP請(qǐng)求進(jìn)行驗(yàn)證操作，確保該請(qǐng)求來自正常的客戶瀏覽行為，而非正常的訪問行為（如通過代理進(jìn)行攻擊等）將被加入黑名單而屏蔽；e)碎片保護(hù)模式15i)GameCC保護(hù)模式此模式由用戶手動(dòng)設(shè)置，當(dāng)某一主機(jī)運(yùn)行游戲服務(wù)并且連接數(shù)量大大超過正常值，客戶無法登陸或頻繁掉線時(shí)，建議設(shè)置此模式，此模式下防火墻將對(duì)連入的客戶端進(jìn)行頻率限制及驗(yàn)證操作，確保該客戶端的行為屬于正常的客戶端行為，而非正常的訪問行為（如通過代理進(jìn)行攻擊等）將被加入黑名單而屏蔽；j)高級(jí)UDP保護(hù)模式此模式由用戶手動(dòng)設(shè)置，當(dāng)某一主機(jī)運(yùn)行基于UDP協(xié)議的語(yǔ)音聊天室，并且數(shù)據(jù)量大大超過正常值，聊天室語(yǔ)音或視頻頻繁卡斷時(shí)，建議設(shè)置此模式下，防火墻將對(duì)進(jìn)入的UDP報(bào)文進(jìn)行緩存驗(yàn)證，確認(rèn)一組報(bào)文來自正常的客戶端后才會(huì)提交給主機(jī)，保證語(yǔ)音服務(wù)的正常運(yùn)行。i)GameCC保護(hù)模式16用戶登錄對(duì)防火墻進(jìn)行管理配置后,通過管理地址,可進(jìn)入防火墻的管理界面.如圖:金盾防火墻登陸頁(yè)面硬件頁(yè)面介紹用戶登錄硬件頁(yè)面介紹17登陸界面分中文登陸和英文登陸模式。在用戶/密碼欄輸入管理用戶名及密碼，并點(diǎn)擊“提交”，即可進(jìn)入防火墻歡迎頁(yè)面。如果密碼不正確，將進(jìn)入驗(yàn)證失敗頁(yè)面，此時(shí)需返回并重新輸入密碼。金盾防火墻驗(yàn)證失敗頁(yè)面某軟件公司防火墻產(chǎn)品簡(jiǎn)介課件18歡迎頁(yè)面:歡迎頁(yè)面是登錄防火墻后的默認(rèn)頁(yè)面，顯示了本防火墻的簡(jiǎn)介，及相應(yīng)內(nèi)核版本號(hào)、內(nèi)核編譯時(shí)間、當(dāng)前防火墻序列號(hào)碼。點(diǎn)擊導(dǎo)航欄上的“關(guān)于”也可以進(jìn)入該頁(yè)面。頁(yè)面如下圖所示：金盾防火墻歡迎頁(yè)面

歡迎頁(yè)面:19狀態(tài)監(jiān)控頁(yè)面顯示了當(dāng)前防火墻下的主機(jī)的基本狀態(tài)，如主機(jī)、帶寬、攻擊頻率、連接、防護(hù)模式等。頁(yè)面如下圖所示：狀態(tài)監(jiān)控頁(yè)面狀態(tài)監(jiān)控頁(yè)面顯示了當(dāng)前防火墻下的主機(jī)的基本狀態(tài)，如主機(jī)、帶寬20主機(jī)狀態(tài)設(shè)定頁(yè)面:主機(jī)狀態(tài)設(shè)定頁(yè)面顯示了當(dāng)前主機(jī)的一些狀態(tài)設(shè)置參數(shù)，包括流量策略及防護(hù)策略。頁(yè)面如下所示：金盾防火墻主機(jī)狀態(tài)設(shè)定頁(yè)面主機(jī)狀態(tài)設(shè)定頁(yè)面:21

連接監(jiān)控頁(yè)面顯示了外部網(wǎng)絡(luò)與受防火墻保護(hù)的主機(jī)之間建立的連接的細(xì)節(jié)。頁(yè)面如下圖所示：

連接監(jiān)控頁(yè)面連接監(jiān)控頁(yè)面顯示了外部網(wǎng)絡(luò)與受防火墻22屏蔽列表屏蔽列表顯示出主機(jī)連接被屏蔽的所有遠(yuǎn)端地址及屏蔽時(shí)間,如圖:屏蔽列表界面屏蔽列表屏蔽列表顯示出主機(jī)連接被屏蔽的所有遠(yuǎn)端地址及屏蔽時(shí)間23規(guī)則設(shè)置頁(yè)面顯示了當(dāng)前防火墻系統(tǒng)中的規(guī)則，包括系統(tǒng)規(guī)則及用戶定義規(guī)則。頁(yè)面如下圖所示：金盾防火墻規(guī)則設(shè)置頁(yè)面規(guī)則設(shè)置頁(yè)面規(guī)則設(shè)置頁(yè)面顯示了當(dāng)前防火墻系統(tǒng)中的24

金盾防火墻內(nèi)設(shè)置了一組參數(shù)設(shè)置接口，用于調(diào)整防火墻工作狀態(tài)，使其在特殊網(wǎng)絡(luò)環(huán)境下也可保持最佳處理效率及防護(hù)能力。點(diǎn)擊“提交”將更改過的表單提交給防火墻“默認(rèn)”則使用默認(rèn)值來設(shè)置防火墻參數(shù)設(shè)置頁(yè)面參數(shù)設(shè)置頁(yè)面25端口保護(hù)設(shè)置頁(yè)面提供了針對(duì)每個(gè)端口的獨(dú)立設(shè)置參數(shù)，用戶可根據(jù)某種端口的服務(wù)類型更改相應(yīng)的處理策略。頁(yè)面如下圖所示：

TCP端口保護(hù)端口保護(hù)設(shè)置頁(yè)面端口保護(hù)設(shè)置頁(yè)面提供了針對(duì)每個(gè)端口的26UDP端口保護(hù)

端口保護(hù)列表列出了當(dāng)前已配置的端口設(shè)置參數(shù)，點(diǎn)擊“提交”，將修改后的端口保護(hù)數(shù)據(jù)提交給防火墻，而“默認(rèn)”則令防火墻使用默認(rèn)端口保護(hù)設(shè)置。某軟件公司防火墻產(chǎn)品簡(jiǎn)介課件27日志記錄頁(yè)面顯示了防火墻啟動(dòng)后一些關(guān)鍵事件的記錄信息方便用戶查看系統(tǒng)發(fā)生事件的歷史記錄。頁(yè)面如下圖所示。點(diǎn)擊“清除日志”清除日志的歷史記錄。

金盾防火墻日志記錄頁(yè)面日志記錄頁(yè)面日志記錄頁(yè)面顯示了防火墻啟動(dòng)后一些關(guān)28設(shè)備配置界面，提供了一個(gè)對(duì)防火墻硬件相關(guān)的配置接口。頁(yè)面如下圖所示：金盾防火墻設(shè)備配置頁(yè)面

配置地址：對(duì)防火墻系統(tǒng)的網(wǎng)卡接口的地址進(jìn)行配置和管理，灰色的項(xiàng)表示為防火墻的數(shù)據(jù)入口和數(shù)據(jù)出口；其它項(xiàng)為防火墻的配置接口，用戶可更改這些網(wǎng)卡的IP地址，設(shè)置外網(wǎng)訪問地址。設(shè)備配置頁(yè)面設(shè)備配置界面，提供了一個(gè)對(duì)防火墻硬件29工作狀態(tài)頁(yè)面，提供了即時(shí)查看防火墻當(dāng)前工作狀態(tài)的接口。頁(yè)面如下圖所示：金盾防火墻工作狀態(tài)頁(yè)面

CPU占用率、內(nèi)存使用，均為當(dāng)前防火墻的即時(shí)狀態(tài)。網(wǎng)絡(luò)統(tǒng)計(jì)，則顯示一秒內(nèi)防火墻各個(gè)網(wǎng)卡收發(fā)數(shù)據(jù)情況，一般來說，入口和出口設(shè)備的頻率應(yīng)該較高。工作狀態(tài)頁(yè)面工作狀態(tài)頁(yè)面，提供了即時(shí)查看防火墻當(dāng)30用戶管理可進(jìn)行用戶管理權(quán)限設(shè)置，如下圖：用戶管理可進(jìn)行用戶管理權(quán)限設(shè)置，如下圖：31本頁(yè)面用于防火墻的升級(jí)，通過此頁(yè)面提交包含新版本內(nèi)核的升級(jí)包給防火墻，由防火墻自動(dòng)完成升級(jí)工作。提交錯(cuò)誤的升級(jí)包可能對(duì)防火墻造成永久損害，所以本頁(yè)面僅授權(quán)金盾客服人員使用。頁(yè)面如下圖所示：金盾防火墻更新系統(tǒng)頁(yè)面內(nèi)核升級(jí)頁(yè)面本頁(yè)面用于防火墻的升級(jí)，通過此頁(yè)面提32本頁(yè)面用于防火墻集群系統(tǒng)的配置及啟動(dòng)，由于集群模式安裝的復(fù)雜性，本頁(yè)面由金盾防火墻技術(shù)人員使用。頁(yè)面如下圖所示：

金盾防火墻集群設(shè)置頁(yè)面2G集群設(shè)置頁(yè)面本頁(yè)面用于防火墻集群系統(tǒng)的配33JDFW-1000+2G集群拓樸方案JDFW-1000+2G集群拓樸方案34接入步驟：a)首先在交換機(jī)的相應(yīng)端口設(shè)置端口聚合——稱為鏈路聚合或直接設(shè)置路由器完成線路的聚合。在外部交換機(jī)和內(nèi)部交換機(jī)上都需要設(shè)置2端口聚合；b)分別接入防火墻，每個(gè)防火墻接入一路數(shù)據(jù)（入口和出口）。隨后將防火墻的兩個(gè)心跳口使用心跳線對(duì)連。c)將出口接入內(nèi)部交換機(jī)，開啟防火墻，進(jìn)入配置頁(yè)面，檢查集群參數(shù)及設(shè)置，完成安裝。接入步驟：35性能參數(shù):數(shù)據(jù)延遲:新建連接成功率:性能參數(shù):數(shù)據(jù)延遲:36連接保持率:硬件指標(biāo):連接保持率:37金盾感謝您的支持金盾感謝您的支持38金盾防火墻產(chǎn)品簡(jiǎn)介中新軟件有限公司（安徽）總公司金盾防火墻產(chǎn)品簡(jiǎn)介中新軟件有限公司（安徽）總公司39DOS/DDOS簡(jiǎn)介拒絕服務(wù)（DOS）攻擊：就是消耗目標(biāo)主機(jī)或者網(wǎng)絡(luò)的資源，從而干擾或癱瘓其為合法用戶提供服務(wù)。分布式拒絕服務(wù)（DDOS）攻擊：是借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDOS攻擊DOS/DDOS簡(jiǎn)介拒絕服務(wù)（DOS）攻擊：就是消耗目標(biāo)主40常見的ＤＯＳ攻擊類型帶寬攻擊：指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源被消耗殆盡，導(dǎo)致合法的用戶請(qǐng)求而無法通過。連通性攻擊：指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。常見的ＤＯＳ攻擊類型帶寬攻擊：指以極大的通信量沖擊網(wǎng)絡(luò)，使得41常見的ＤＤＯＳ攻擊類型帶寬耗盡型：主要是堵塞目標(biāo)網(wǎng)絡(luò)的出口，使合法網(wǎng)絡(luò)數(shù)據(jù)包被虛假的攻擊包淹沒卻無法到達(dá)主機(jī)，從而導(dǎo)致帶寬消耗。資源耗盡型：指攻擊者利用資源配置不當(dāng)或服務(wù)器處理缺陷等消耗目標(biāo)服務(wù)器的關(guān)鍵資源（ＣＰＵ，內(nèi)存等）從而導(dǎo)致無法提供正常服務(wù)。常見的ＤＤＯＳ攻擊類型帶寬耗盡型：主要是堵塞目標(biāo)網(wǎng)絡(luò)的出口，42ＤＯＳ／ＤＤＯＳ的區(qū)別ＤＯＳ攻擊側(cè)重于通過對(duì)主機(jī)特定漏洞的攻擊從而導(dǎo)致網(wǎng)絡(luò)札失效，系統(tǒng)崩潰，主機(jī)死機(jī)而無法提供正常的網(wǎng)絡(luò)服務(wù)功能，進(jìn)而造成拒絕服務(wù)ＤＤＯＳ攻擊側(cè)重于通過很多僵尸主機(jī)（被攻擊者入侵過或間接利用的主機(jī)）向受害者主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)。ＤＯＳ／ＤＤＯＳ的區(qū)別ＤＯＳ攻擊側(cè)重于通過對(duì)主機(jī)特定漏洞的攻43一般防火墻的作用包過濾包的透明轉(zhuǎn)發(fā)阻擋外部攻擊記錄攻擊一般防火墻的作用包過濾44防火墻的缺陷與不足防火墻可以阻斷攻擊，但不能消滅攻擊源。防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞.防火墻的并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯龇阑饓?duì)服務(wù)器合法開放的端口的攻擊大多無法阻止防火墻對(duì)待內(nèi)部主動(dòng)發(fā)起連接的攻擊一般無法阻止防火墻本身也會(huì)出現(xiàn)問題和受到攻擊防火墻不處理病毒防火墻的缺陷與不足防火墻可以阻斷攻擊，但不能消滅攻擊源。45金盾DDOS防火墻產(chǎn)品概述:

金盾抗DDOS防火墻主要是防御DOS/DDOS攻擊，連接性攻擊及一些常見的游戲和其他性質(zhì)的攻擊。為您的網(wǎng)站、信息平臺(tái)、互動(dòng)娛樂等基于Internet的網(wǎng)絡(luò)服務(wù)提供完善的保護(hù)，使其免受惡意的攻擊、破壞。金盾DDOS防火墻產(chǎn)品概述:金盾抗DDOS防46金盾防火墻技術(shù)優(yōu)勢(shì)及功能：金盾抗DDOS防火墻，相比其它DOS/DDOS產(chǎn)品，具有以下優(yōu)勢(shì)：a)DOS/DDOS攻擊檢測(cè)及防護(hù)金盾抗拒絕服務(wù)系列產(chǎn)品，應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，對(duì)SYNFlood，UDPFlood，ICMPFlood，IGMPFlood，F(xiàn)ragmentFlood，HTTPProxyFlood，CCProxyFlood，ConnectionExhausted等各種常見的攻擊行為均可有效識(shí)別，并通過集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行處理及阻斷，保護(hù)服務(wù)主機(jī)免于攻擊所造成的損失。內(nèi)建的WEB保護(hù)模式及游戲保護(hù)模式，徹底解決針對(duì)此兩種應(yīng)用的DOS攻擊方式。b)通用方便的報(bào)文規(guī)則過濾金盾抗拒絕服務(wù)系列產(chǎn)品，除了提供專業(yè)的DOS/DDOS攻擊檢測(cè)及防護(hù)外，還提供了面向報(bào)文的通用規(guī)則匹配功能，可設(shè)置的域包括地址、端口、標(biāo)志位，關(guān)鍵字等，極大的提高了通用性及防護(hù)力度。同時(shí)，內(nèi)置了若干預(yù)定義規(guī)則，涉及局域網(wǎng)防護(hù)、漏洞檢測(cè)等多項(xiàng)功能，易于使用。金盾防火墻技術(shù)優(yōu)勢(shì)及功能：金盾抗DDOS防火墻，相比其47

c)專業(yè)的連接跟蹤機(jī)制金盾抗拒絕服務(wù)系列產(chǎn)品，內(nèi)部實(shí)現(xiàn)了完整的TCP/IP協(xié)議棧，具有強(qiáng)大的連接跟蹤能力。每個(gè)進(jìn)出的連接，防火墻都會(huì)根據(jù)其源地址進(jìn)行分類，并顯示給用戶，方便用戶對(duì)受保護(hù)主機(jī)狀態(tài)的監(jiān)控。同時(shí)還提供連接超時(shí)，重置連接等輔助功能，彌補(bǔ)了TCP協(xié)議本身的不足，使您的服務(wù)器在攻擊中游刃有余。d)簡(jiǎn)潔豐富的管理金盾抗拒絕服務(wù)系列產(chǎn)品具有豐富的設(shè)備管理功能，基于簡(jiǎn)潔的WEB的管理方式，支持本地或遠(yuǎn)程的升級(jí)。同時(shí)，豐富的日志和審計(jì)功能也極大地增強(qiáng)了設(shè)備的可用性，不僅能夠針對(duì)攻擊進(jìn)行實(shí)時(shí)監(jiān)測(cè)，還能對(duì)攻擊的歷史日志進(jìn)行方便的查詢和統(tǒng)計(jì)分析，便于對(duì)攻擊事件進(jìn)行有效的跟蹤和追查。c)專業(yè)的連接跟蹤機(jī)制48

e)廣泛的部署能力針對(duì)不同的客戶，抗拒絕服務(wù)所面臨的網(wǎng)絡(luò)環(huán)境也不同，企業(yè)網(wǎng)、IDC、ICP或是城域網(wǎng)等多種網(wǎng)絡(luò)協(xié)議并存，給抗拒絕服務(wù)系統(tǒng)的部署帶來了不同的挑戰(zhàn)。金盾抗DDOS防火墻具備了多種環(huán)境下的部署能力。（產(chǎn)品分為軟和硬，軟件主要運(yùn)行Ｗｉｎｄｏｗｓ系統(tǒng)下的單臺(tái)服務(wù)器上，支持單／雙網(wǎng)卡。硬件支持多網(wǎng)段防護(hù)，跨路由，跨網(wǎng)段，跨Ｖｌａｎ等模式）

f)優(yōu)質(zhì)的售后服務(wù)您購(gòu)買本產(chǎn)品后，將終生享有免費(fèi)升級(jí)服務(wù)。我們有專門的技術(shù)人員為您進(jìn)行定期更新，使您的網(wǎng)絡(luò)始終保持在最安全的狀態(tài)，免除您的后顧之憂。e)廣泛的部署能力49

a)攻擊檢測(cè)本防火墻利用了多種技術(shù)手段對(duì)DOS/DDOS攻擊進(jìn)行有效的檢測(cè)，在不同的流量觸發(fā)不同的保護(hù)機(jī)制，在提高效率的同時(shí)確保準(zhǔn)確度；

b)協(xié)議分析本防火墻采用了協(xié)議獨(dú)立的處理方法，對(duì)于TCP協(xié)議報(bào)文，通過連接跟蹤模塊來防護(hù)攻擊；而對(duì)于UDP及ICMP協(xié)議報(bào)文，主要采用流量控制模塊來防護(hù)攻擊。

c)主機(jī)識(shí)別本防火墻可自動(dòng)識(shí)別其保護(hù)的各個(gè)主機(jī)及其地址。某些主機(jī)受到攻擊不會(huì)影響其它主機(jī)的正常服務(wù)。

d)連接跟蹤本防火墻針對(duì)進(jìn)出的連接均進(jìn)行連接跟蹤，并在跟蹤的同時(shí)進(jìn)行防護(hù)，徹底解決針對(duì)TCP協(xié)議的各種攻擊。

e)端口防護(hù)本防火墻建立在連接跟蹤模塊上的端口防護(hù)體制，針對(duì)不同的端口應(yīng)用，提供不同的防護(hù)手段，使得運(yùn)行在同一服務(wù)器上的不同服務(wù)，都可以受到完善的DOS/DDOS攻擊保護(hù)。防護(hù)原理a)攻擊檢測(cè)防護(hù)原理50防火墻功能描述防護(hù)模式:防火墻防護(hù)狀態(tài)目前主要分為種，分別為SYN保護(hù)模式，UDP保護(hù)模式，ICMP保護(hù)模式，IGMP保護(hù)模式，碎片保護(hù)模式。此外需手動(dòng)設(shè)置的模式還包括忽略模式，禁止模式，WebCC保護(hù)模式，GameCC保護(hù)模式及高級(jí)UDP保護(hù)模式：a)SYN保護(hù)模式此模式由防火墻自動(dòng)設(shè)置，用于防護(hù)SYNFlood攻擊，當(dāng)每秒SYN報(bào)文的數(shù)量超過設(shè)置值時(shí)即滿足觸發(fā)條件。此模式下防火墻將應(yīng)用延時(shí)應(yīng)答模式，此模式在攻擊量小于設(shè)置值后一段時(shí)間后即自動(dòng)釋放；防火墻功能描述防護(hù)模式:51b)UDP保護(hù)模式

此模式由防火墻自動(dòng)設(shè)置，用于防護(hù)UDPFlood攻擊，當(dāng)每秒U(xiǎn)DP報(bào)文的數(shù)量超過設(shè)置值時(shí)即滿足觸發(fā)條件。此模式下防火墻將禁止所有的UDP通信，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值后一段時(shí)間后即自動(dòng)釋放；c)ICMP保護(hù)模式

此模式由防火墻自動(dòng)設(shè)置，用于防護(hù)ICMPFlood攻擊，當(dāng)每秒ICMP報(bào)文的數(shù)量超過設(shè)置值時(shí)即滿足觸發(fā)條件。此模式下防火墻將禁止所有的ICMP通信，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值后一段時(shí)間后即自動(dòng)釋放；d)IGMP保護(hù)模式

此模式由防火墻自動(dòng)設(shè)置，用于防護(hù)IGMPFlood攻擊，當(dāng)每秒IGMP報(bào)文的數(shù)量超過設(shè)置值時(shí)即滿足觸發(fā)條件。此模式下防火墻將禁止所有的IGMP通信，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值后一段時(shí)間后即自動(dòng)釋放；b)UDP保護(hù)模式52e)碎片保護(hù)模式此模式由防火墻自動(dòng)設(shè)置，用于防護(hù)碎片攻擊，當(dāng)每秒碎片報(bào)文的數(shù)量超過設(shè)置值時(shí)即滿足觸發(fā)條件。此模式下防火墻將禁止所有的碎片報(bào)文，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值后一段時(shí)間后即自動(dòng)釋放；f)忽略模式此模式由用戶手動(dòng)設(shè)置，防火墻對(duì)于該模式下的主機(jī)的所有流量采取直通策略，數(shù)據(jù)不經(jīng)過防火墻處理而直接轉(zhuǎn)發(fā)；g)禁止模式此模式由用戶手動(dòng)設(shè)置，防火墻對(duì)于該模式下的主機(jī)的所有流量采取禁止策略，數(shù)據(jù)不經(jīng)過防火墻處理而直接丟棄；h)WebCC保護(hù)模式此模式由用戶手動(dòng)設(shè)置，當(dāng)某一主機(jī)運(yùn)行Web服務(wù)并且連接數(shù)量大大超過正常值，網(wǎng)站無法訪問或訪問很慢時(shí)，建議設(shè)置此模式，此模式下防火墻將對(duì)進(jìn)入的HTTP請(qǐng)求進(jìn)行驗(yàn)證操作，確保該請(qǐng)求來自正常的客戶瀏覽行為，而非正常的訪問行為（如通過代理進(jìn)行攻擊等）將被加入黑名單而屏蔽；e)碎片保護(hù)模式53i)GameCC保護(hù)模式此模式由用戶手動(dòng)設(shè)置，當(dāng)某一主機(jī)運(yùn)行游戲服務(wù)并且連接數(shù)量大大超過正常值，客戶無法登陸或頻繁掉線時(shí)，建議設(shè)置此模式，此模式下防火墻將對(duì)連入的客戶端進(jìn)行頻率限制及驗(yàn)證操作，確保該客戶端的行為屬于正常的客戶端行為，而非正常的訪問行為（如通過代理進(jìn)行攻擊等）將被加入黑名單而屏蔽；j)高級(jí)UDP保護(hù)模式此模式由用戶手動(dòng)設(shè)置，當(dāng)某一主機(jī)運(yùn)行基于UDP協(xié)議的語(yǔ)音聊天室，并且數(shù)據(jù)量大大超過正常值，聊天室語(yǔ)音或視頻頻繁卡斷時(shí)，建議設(shè)置此模式下，防火墻將對(duì)進(jìn)入的UDP報(bào)文進(jìn)行緩存驗(yàn)證，確認(rèn)一組報(bào)文來自正常的客戶端后才會(huì)提交給主機(jī)，保證語(yǔ)音服務(wù)的正常運(yùn)行。i)GameCC保護(hù)模式54用戶登錄對(duì)防火墻進(jìn)行管理配置后,通過管理地址,可進(jìn)入防火墻的管理界面.如圖:金盾防火墻登陸頁(yè)面硬件頁(yè)面介紹用戶登錄硬件頁(yè)面介紹55登陸界面分中文登陸和英文登陸模式。在用戶/密碼欄輸入管理用戶名及密碼，并點(diǎn)擊“提交”，即可進(jìn)入防火墻歡迎頁(yè)面。如果密碼不正確，將進(jìn)入驗(yàn)證失敗頁(yè)面，此時(shí)需返回并重新輸入密碼。金盾防火墻驗(yàn)證失敗頁(yè)面某軟件公司防火墻產(chǎn)品簡(jiǎn)介課件56歡迎頁(yè)面:歡迎頁(yè)面是登錄防火墻后的默認(rèn)頁(yè)面，顯示了本防火墻的簡(jiǎn)介，及相應(yīng)內(nèi)核版本號(hào)、內(nèi)核編譯時(shí)間、當(dāng)前防火墻序列號(hào)碼。點(diǎn)擊導(dǎo)航欄上的“關(guān)于”也可以進(jìn)入該頁(yè)面。頁(yè)面如下圖所示：金盾防火墻歡迎頁(yè)面

歡迎頁(yè)面:57狀態(tài)監(jiān)控頁(yè)面顯示了當(dāng)前防火墻下的主機(jī)的基本狀態(tài)，如主機(jī)、帶寬、攻擊頻率、連接、防護(hù)模式等。頁(yè)面如下圖所示：狀態(tài)監(jiān)控頁(yè)面狀態(tài)監(jiān)控頁(yè)面顯示了當(dāng)前防火墻下的主機(jī)的基本狀態(tài)，如主機(jī)、帶寬58主機(jī)狀態(tài)設(shè)定頁(yè)面:主機(jī)狀態(tài)設(shè)定頁(yè)面顯示了當(dāng)前主機(jī)的一些狀態(tài)設(shè)置參數(shù)，包括流量策略及防護(hù)策略。頁(yè)面如下所示：金盾防火墻主機(jī)狀態(tài)設(shè)定頁(yè)面主機(jī)狀態(tài)設(shè)定頁(yè)面:59

連接監(jiān)控頁(yè)面顯示了外部網(wǎng)絡(luò)與受防火墻保護(hù)的主機(jī)之間建立的連接的細(xì)節(jié)。頁(yè)面如下圖所示：

連接監(jiān)控頁(yè)面連接監(jiān)控頁(yè)面顯示了外部網(wǎng)絡(luò)與受防火墻60屏蔽列表屏蔽列表顯示出主機(jī)連接被屏蔽的所有遠(yuǎn)端地址及屏蔽時(shí)間,如圖:屏蔽列表界面屏蔽列表屏蔽列表顯示出主機(jī)連接被屏蔽的所有遠(yuǎn)端地址及屏蔽時(shí)間61規(guī)則設(shè)置頁(yè)面顯示了當(dāng)前防火墻系統(tǒng)中的規(guī)則，包括系統(tǒng)規(guī)則及用戶定義規(guī)則。頁(yè)面如下圖所示：金盾防火墻規(guī)則設(shè)置頁(yè)面規(guī)則設(shè)置頁(yè)面規(guī)則設(shè)置頁(yè)面顯示了當(dāng)前防火墻系統(tǒng)中的62

金盾防火墻內(nèi)設(shè)置了一組參數(shù)設(shè)置接口，用于調(diào)整防火墻工作狀態(tài)，使其在特殊網(wǎng)絡(luò)環(huán)境下也可保持最佳處理效率及防護(hù)能力。點(diǎn)擊“提交”將更改過的表單提交給防火墻“默認(rèn)”則使用默認(rèn)值來設(shè)置防火墻參數(shù)設(shè)置頁(yè)面參數(shù)設(shè)置頁(yè)面63端口保護(hù)設(shè)置頁(yè)面提供了針對(duì)每個(gè)端口的獨(dú)立設(shè)置參數(shù)，用戶可根據(jù)某種端口的服務(wù)類型更改相應(yīng)的處理策略。頁(yè)面如下圖所示：

TCP端口保護(hù)端口保護(hù)設(shè)置頁(yè)面端口保護(hù)設(shè)置頁(yè)面提供了針對(duì)每個(gè)端口的64UDP端口保