傲盾抗DDOS防火墻安裝使用手冊

PAGEPAGE70安裝使用手冊安裝使用手冊北京傲盾軟件有限責(zé)任公司目錄前言 4一、防火墻架設(shè)安裝及測試 71.架設(shè)拓撲環(huán)境 72.防火墻測試 8二、防火墻處理流程 9三、防火墻登陸 111.Web登陸 112.專用登陸器登陸 11四、防火墻模塊管理 131.防火墻流量監(jiān)控模塊 132.防火墻監(jiān)視指定IP流量模塊 143.防火墻連接監(jiān)控模塊 154.防火墻被封IP列表模塊 175.防火墻監(jiān)控日志模塊 186.防火墻數(shù)據(jù)包分析模塊 207.防火墻網(wǎng)絡(luò)監(jiān)控服務(wù)器模塊 288.防火墻單IP漏洞攻擊防護規(guī)則列表模塊 299.防火墻異常流量牽引模塊 30五、防火墻設(shè)置管理 311.防火墻接口設(shè)置 312.防火墻設(shè)置 322.1防火墻規(guī)則設(shè)置 322.2防火墻對外IP設(shè)置 352.3 SNMP設(shè)置 362.4 防火墻參數(shù)設(shè)置 362.5 設(shè)置集群地址 382.6 插件模塊信息 392.7 系統(tǒng)日志設(shè)置 403.DOS攻擊防護 413.1接收包流量限制 413.2屏蔽指定服務(wù)器 434.漏洞攻擊防護 434.1漏洞特征組設(shè)置 444.2全局漏洞攻擊防護規(guī)則 444.3漏洞特征庫編輯 455.異常流量牽引 516.賬號權(quán)限設(shè)置 537.修改密碼 54六、防火墻常見規(guī)則設(shè)置 551.抓取數(shù)據(jù)包規(guī)則 552.封某一服務(wù)器機器以及端口 563.httpcc規(guī)則 574.直通規(guī)則 58七、防火墻處理攻擊實例 601.ICMP攻擊防護實例 602.80端口CC攻擊防護實例 613.UDP攻擊防護實例 634.游戲端口攻擊防護實例 64小結(jié) 67前言隨著計算機技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會發(fā)展的一個主題。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴大，特別是Internet的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)保險等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問題變得越來越重要。計算機網(wǎng)絡(luò)犯罪所造成的經(jīng)濟損失實在令人吃驚。僅在美國每年因計算機犯罪所造成的直接經(jīng)濟損失就達150億美元。國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2006年共收到網(wǎng)絡(luò)安全事件報告64686件，為2005年的5倍。其中對使用自動化程序與對服務(wù)器操作系統(tǒng)主動攻擊占絕大多數(shù)。網(wǎng)絡(luò)信息安全已經(jīng)成為一個關(guān)系經(jīng)濟安全、國家安全、社會穩(wěn)定、民族文化繼承和發(fā)揚的重大問題?！稊?shù)字化犯罪》的作者尼爾·巴累特高呼：互聯(lián)網(wǎng)產(chǎn)生了一個“潘多拉”魔盒——計算機病毒、網(wǎng)絡(luò)攻擊、電子洗網(wǎng)絡(luò)詐騙等涉及網(wǎng)絡(luò)的傳統(tǒng)型或新型的違法犯罪活動層出不窮，對任何一個國家的網(wǎng)絡(luò)信息安全都構(gòu)成極大威脅。關(guān)于我們傲盾KFW——網(wǎng)絡(luò)安全防護專家作為國內(nèi)最早的專業(yè)安全廠商之一，傲盾公司早在2000年就專注于抗拒絕服務(wù)式攻擊的研究和防護。目前傲盾公司的KFW品牌已經(jīng)形成了包括軟硬件產(chǎn)品在內(nèi)，根據(jù)應(yīng)用領(lǐng)域和用戶層次細分的完整抗拒絕服務(wù)式攻擊產(chǎn)品線。傲盾中國的產(chǎn)品率先通過了公安部的檢測認證，并已獲得公安部的銷售許可。到2004年底，傲盾在國內(nèi)防拒絕服務(wù)式攻擊市場的占有率已超過72%，在個人、企業(yè)、門戶甚至電信級別的用戶中都已有了廣泛的應(yīng)用。8年歷史的防火墻產(chǎn)品領(lǐng)先品牌，并具有完全知識版權(quán)。使用了目前最先進的第三代防火墻技術(shù)《DataStreamFingerprintInspection》數(shù)據(jù)流指紋檢測技術(shù)，與企業(yè)級防火墻CheckPoint和Cisco相同，能夠檢測網(wǎng)絡(luò)協(xié)議中所有層的狀態(tài)，有效阻止DoS、DDoS等各種攻擊，保護您的服務(wù)器免受來自Internet上的黑客和入侵者的攻擊、破壞。通過最先進的企業(yè)級防火墻的技術(shù)，提供各種企業(yè)級功能，功能強大、齊全、價格低廉，是目前世界上性能價格比最高的網(wǎng)絡(luò)防火墻產(chǎn)品。產(chǎn)品信息KFW傲盾?防火墻是一款針對各種網(wǎng)站、信息平臺、Internet服務(wù)等，集成多種功能模塊的安全平臺。本產(chǎn)品是具有完全知識版權(quán)的防火墻，使用了目前最先進的第三代防火墻技術(shù)《DataStreamFingerprintInspection》數(shù)據(jù)流指紋檢測技術(shù)，與企業(yè)級防火墻CheckPoint和Cisco相同，能夠檢測網(wǎng)絡(luò)協(xié)議中所有層的狀態(tài)，有效阻止DoS、DDoS等各種攻擊，保護您的服務(wù)器免受來自Internet上的黑客和入侵者的攻擊、破壞。通過最先進的企業(yè)級防火墻的技術(shù)，提供各種企業(yè)級功能，功能強大、齊全，價格低廉，是目前世界上性能價格比最高的網(wǎng)絡(luò)防火墻產(chǎn)品。同類產(chǎn)品比較設(shè)備配置：傲盾設(shè)備配有8個光口千兆模塊，一個管理口，一個同步口；金盾設(shè)備配有4個光口千兆模塊；綠盟設(shè)備配有8個光口千兆模塊。產(chǎn)品性能：傲盾設(shè)置處理轉(zhuǎn)發(fā)能力為4g，防護能力4g；金盾設(shè)備處理轉(zhuǎn)發(fā)能力為2G，防護能力為2G；綠盟設(shè)備處理轉(zhuǎn)發(fā)能力為8G，防護能力為4G傲盾的說明最好不要插入對別人的介紹。傲盾的說明最好不要插入對別人的介紹防護類型：傲盾設(shè)備防護攻擊類型多，防護各種ddos（syn，dupflood，tcpflood，icmpflood，cc，cc變種，假人等）攻擊；金盾設(shè)備防護攻面類型較多，特別是CC防護，但是針對變種cc無法防護只能通過核心升級來處理，這對IDC機房非常重要；綠盟設(shè)備防護攻擊類型少，只支持部分攻擊類型防護，且不支持CC及變種攻擊。連接方式：傲盾設(shè)備支持(路由交換)鏈路聚合，支持集群可以最大防御32g（8臺kfw4500）；中興和綠盟產(chǎn)品聯(lián)接方式一樣，且均存在無法支持鏈路聚合的情況。路由方式：傲盾防火墻為透明模式；金盾設(shè)備采用的串聯(lián)方式增加了同上一層障礙點，并且使網(wǎng)絡(luò)結(jié)構(gòu)增加了一個層次，即增加了網(wǎng)絡(luò)延時；綠盟設(shè)備采同上用的旁路方式在硬件故障時，將斷開鄰居連接，從而使下行流量不經(jīng)過旁路設(shè)備進行直接轉(zhuǎn)發(fā)，保證了業(yè)務(wù)的不間斷，并且旁路設(shè)計可以實現(xiàn)按需防護；同上同上流量分析：傲盾設(shè)備可以及時監(jiān)控總流量，查看日志，監(jiān)控單個ip流量；金盾設(shè)備只支持逐個端口查看流量，并且需要手工切換，靈活性差；綠盟產(chǎn)品支持對攻擊總流量的同上查看及時時監(jiān)測功能。同上后臺管理：傲盾設(shè)備圖形界面管理比較簡單；金盾設(shè)備的后臺管理同上使用和配置較為復(fù)雜；綠盟的后臺管理較為簡單。同上負荷承載:傲盾設(shè)備在處理大流量攻擊時，cpu占用50%左右，防火墻的操作正常；金盾設(shè)備在處理攻擊流量時，CPU占用率在50%左右，占用較高；綠盟設(shè)備在處理攻擊流量時，CPU占用率在10％左右。自己的說明書不用寫其他人的情況自己的說明書不用寫其他人的情況一、防火墻架設(shè)安裝及測試1.架設(shè)拓撲環(huán)境架設(shè)傲盾防火墻之前必須在上層路由（交換機）和下層路由（交換機）相應(yīng)網(wǎng)口設(shè)置端口的鏈路聚合（Trunk），相應(yīng)端口鏈路聚合（Trunk）設(shè)置好后，從上層路由（交換機）下來的光纖或雙絞線接入防火墻的外網(wǎng)口，從防火墻的內(nèi)網(wǎng)口接出光纖或雙絞線到下層的路由（網(wǎng)絡(luò)交換機），再從路由到下面的三層交換機，這樣防火墻下面的內(nèi)網(wǎng)都受保護了。如果要架設(shè)防火墻系統(tǒng)，需將每臺防火墻的系統(tǒng)口（同步口）用一臺千兆交換機連接起來，且這臺千兆交換機只用于防火墻同步數(shù)據(jù)不推薦跑其他業(yè)務(wù)，然后在每臺防火墻的【設(shè)置集群地址】進行設(shè)置，具體參考防火墻設(shè)置管理中的設(shè)置集群地址說明。連接方式如下圖：2.防火墻測試將防火墻接入網(wǎng)絡(luò)中后，接上電源線，打開電源，等待防火墻啟動（大約一分鐘左右），分別從防火墻一端Ping另一端來進行測試。如果都能Ping通，說明防火墻已經(jīng)正常工作，就可以開始使用了。以KFW－4500為例介紹測試過程：KFW－4500防火墻為單臺4G抗DDOS攻擊防火墻，共10個網(wǎng)絡(luò)接口其IP和端口對應(yīng)為：第一個網(wǎng)口ip是9網(wǎng)口名是adeth0第二個網(wǎng)口ip是9網(wǎng)口名是adeth1第三個網(wǎng)口ip是9網(wǎng)口名是adeth2第四個網(wǎng)口ip是9網(wǎng)口名是adeth3第五個網(wǎng)口ip是9網(wǎng)口名是adeth4第六個網(wǎng)口ip是9網(wǎng)口名是adeth5第七個網(wǎng)口ip是9網(wǎng)口名是adeth6第八個網(wǎng)口ip是9網(wǎng)口名是adeth7第九個網(wǎng)口ip是9網(wǎng)口名是adeth8第十個網(wǎng)口ip是9網(wǎng)口名是adeth9其中adeth0、adeth2、adeth4、adeth6為外網(wǎng)口，adeth1、adeth3、adeth5、adeth7為內(nèi)網(wǎng)口，adeth8為防火墻系統(tǒng)同步口，adeth9為防火墻內(nèi)外網(wǎng)登陸管理口。網(wǎng)口分布如下圖：最好換個新面板的接口！最好換個新面板的接口！將adeth0連接上層交換，adeth1連接一臺PC，用PC機ping外網(wǎng)網(wǎng)關(guān)，如果能Ping通，則說明防火墻內(nèi)外網(wǎng)可以互通，工作正常。需注意如果是單模光纖應(yīng)考慮接口自適應(yīng)問題，如千兆單模光纖不能自適應(yīng)百兆光纖接口。二、防火墻處理流程當(dāng)一個IP數(shù)據(jù)流從防火墻進入首先檢查該IP是否為SYN攻擊。如果是，則檢查是否超過防火墻參數(shù)里設(shè)置的SYN處理參數(shù)閥值，當(dāng)超過SYN處理參數(shù)閥值時防火墻將這個IP隔離出來并在SYN模塊處理，當(dāng)沒有超過SYN處理參數(shù)閥值時則檢查該IP數(shù)據(jù)是否做防火墻直通規(guī)則；如果不是SYN攻擊，則檢查該IP是否超過防火墻參數(shù)里設(shè)置快速漏洞過濾參數(shù)閥值，當(dāng)超過快速漏洞過濾參數(shù)閥值則防火墻快速漏洞模塊處理，當(dāng)沒有超過快速漏洞過濾參數(shù)閥值則檢查該IP數(shù)據(jù)是否做防火墻直通規(guī)則。如果防火墻漏洞規(guī)則中設(shè)置了該IP為直通規(guī)則，則該IP不經(jīng)過防火墻處理直接進行數(shù)據(jù)轉(zhuǎn)發(fā)，反之，沒有為該IP設(shè)置直通規(guī)則則檢查是否超過防火墻參數(shù)里設(shè)置的允許正常連接參數(shù)閥值。當(dāng)超過允許正常連接參數(shù)閥值防火墻SYN模塊會處理該IP，當(dāng)沒有超過允許正常連接參數(shù)閥值時防火墻漏洞模塊處理該IP。經(jīng)過防火墻漏洞防護模塊處理后該IP會經(jīng)過接收包流量防護模塊處理，再經(jīng)過接收包流量防護處理完畢最后由防火墻規(guī)則模塊防護處理，該IP數(shù)據(jù)流正常連接服務(wù)器進行數(shù)據(jù)轉(zhuǎn)發(fā)。防火墻處理流程圖如下：防火墻處理流程圖三、防火墻登陸傲盾防火墻管理登陸方式分為兩種：web登陸和專用防火墻登陸器登陸。Web登陸使用Web瀏覽器在地址欄中輸入http://IP:16000進行登陸。這里的IP可以是防火墻購買定義好的管理口的IP地址，比如9:16000。也可以是設(shè)置防火墻對外的公網(wǎng)IP地址，如圖則在地址欄中輸入49:16000進行登陸。當(dāng)?shù)谝淮问褂脀eb瀏覽器登錄防火墻時提示下載ActiveX控件，請下載安裝。如果不能清楚顯示登陸頁面，請點擊IE的工具->Internet選項->安全->自定義選項->啟用所有的ActiveX控件和插件。這是就會在web瀏覽器中出現(xiàn)該防火墻的型號、產(chǎn)品序列號、官方網(wǎng)站以及“登陸KFW管理器”控件按鈕。單擊該控件按鈕輸入相應(yīng)的IP地址、賬號和密碼就可以登陸管理防火墻。如果使用web瀏覽器登陸比較老版本防火墻，會在C:\WINDOWS\DownloadedProgramFiles中生成kfwadminX文件，需將其文件刪除才可以用web瀏覽器登陸較新版本的防火墻。專用登陸器登陸使用傲盾對應(yīng)型號的專用防火墻登陸器進行登陸管理，界面同web瀏覽器中KFW管理器。這里的地址可以輸入管理口的地址也可以是設(shè)置防火墻對外的公網(wǎng)IP地址，輸入相應(yīng)的賬號和密碼進行登陸。如果賬號密碼不正確，會提示“連接失敗，請檢查賬號密碼是否正確”，請檢查賬號密碼；如果輸入地址不正確，會提示“連接失敗，請檢查地址是否正確”，請檢查連接地址；如果登陸器版本不正確，會提示“連接失敗，登陸器版本不符合”，請檢查登陸器的版本。防火墻模塊管理防火墻模塊管理主要是針對防火墻常用的模塊進行介紹其功能和操作方法。防火墻流量監(jiān)控模塊此模塊功能：顯示防火墻當(dāng)前實時發(fā)送接收流量、連接數(shù)和防火墻狀態(tài)，并進行報警。登陸防火墻管理界面單擊流量監(jiān)控模塊，出現(xiàn)防火墻流量監(jiān)控界面。單擊開始流量監(jiān)控按鈕，顯示出防火墻當(dāng)前監(jiān)控的流量。防火墻流量監(jiān)控可以分別以曲線和條的形式，顯示出防火墻實時的發(fā)送包的數(shù)量、接受包的數(shù)量、發(fā)送字節(jié)數(shù)量、接受字節(jié)數(shù)量、發(fā)送攔截包數(shù)量、接受攔截包的數(shù)量、當(dāng)前的所有連接數(shù)、防火墻CPU和內(nèi)存狀態(tài)。其中發(fā)送包數(shù)量和接受包數(shù)量分別用紅色和藍色表示，正常情況比例約為1:1，發(fā)送字節(jié)數(shù)和接受字節(jié)數(shù)分別用綠色和紅色表示，正常情況發(fā)送字節(jié)數(shù)應(yīng)大于接受字節(jié)數(shù)，發(fā)送攔截包數(shù)和接受攔截包數(shù)分別用黃色和灰色表示，這里攔截包的數(shù)量為防火墻處理流程中防火墻規(guī)則防護處理之前攔截的包數(shù)，防火墻當(dāng)前所有有效連接數(shù)、CPU和內(nèi)存狀態(tài)分別用紫色、橙色和黑色表示。另外防火墻流量監(jiān)控還可以顯示統(tǒng)計累加包數(shù)、統(tǒng)計平均包數(shù)圖表、統(tǒng)計累加字節(jié)圖表、統(tǒng)計平均字節(jié)圖表。單擊打印和保存按鈕可以對實時的監(jiān)控流量進行打印，并以圖片表格等形式復(fù)制、儲存和發(fā)送郵件。防火墻流量監(jiān)控還支持實時報警功能，單擊設(shè)置流量監(jiān)控報警按鈕，可以根據(jù)自己的需求對每秒發(fā)送包數(shù)、每秒接收包數(shù)、每秒發(fā)送字節(jié)數(shù)、每秒接收字節(jié)數(shù)和總連接數(shù)進行閥值的設(shè)定，單擊開始監(jiān)控流量報警按鈕對當(dāng)流量超過所設(shè)定的閥值數(shù)值時自動開始聲音報警，使您做到提前預(yù)知、提前處理，將攻擊消滅在萌芽當(dāng)中。如果想關(guān)閉監(jiān)控流量報警則單擊停止流量監(jiān)控報警按鈕。防火墻監(jiān)視指定IP流量模塊此模塊功能：添加某一指定IP查看其當(dāng)前接收發(fā)送狀態(tài)從而判斷其服務(wù)器是否異常。登陸防火墻管理界面單擊監(jiān)視指定IP流量模塊，出現(xiàn)防火墻監(jiān)視指定IP流量界面。單擊下方+號按鈕，在IP地址欄中輸入需要監(jiān)視的某一指定ＩＰ，單擊開始監(jiān)控按鈕進行監(jiān)視。這里提供了接收統(tǒng)計和發(fā)送統(tǒng)計兩大類監(jiān)控，而接收統(tǒng)計和發(fā)送統(tǒng)計又細分為包數(shù)、字節(jié)和攔截三個子類。可以根據(jù)需求勾選相應(yīng)的子類進行監(jiān)視從而判斷出其服務(wù)器是否異常。此模塊也支持對指定某一IP監(jiān)視視圖進行打印，并以圖片表格等形式復(fù)制、儲存和發(fā)送郵件。防火墻連接監(jiān)控模塊此模塊功能：可以方便的檢測查詢當(dāng)前的連接詳細信息，以及syn攻擊的情況。登陸防火墻管理界面單擊連接監(jiān)控模塊模塊，出現(xiàn)防火墻連接監(jiān)控界面。連接監(jiān)控分為兩大塊：快速視圖和查詢視圖?？焖僖晥D的信息比較簡單，當(dāng)有大量連接的時候可以很快列表出來，查詢視圖的信息很詳盡，但是當(dāng)連接數(shù)多的時候列表速度比較慢。每個視圖里都有所有連接列表和DOS_SYN列表。在查詢視圖里所有連接列表里可以根據(jù)協(xié)議（TCP/UDP/ICMP）、連接狀態(tài)（等待連接/已經(jīng)連接）、連接描述、源IP和端口號、目的IP和端口號、源接收包數(shù)和字節(jié)數(shù)、目的接收包數(shù)和字節(jié)數(shù)以列表形式顯示當(dāng)前服務(wù)器的連接。建議單擊所有連接列表按鈕后點擊STOP按鈕，這樣可以迅速的將所有連接列表顯示出來，當(dāng)有內(nèi)網(wǎng)掃肉雞的時候列表里的連接數(shù)會比平時連接數(shù)多幾萬的數(shù)據(jù)。DOS_SYN

列表里可可以根據(jù)協(xié)議(TCP)、源IP和端口號、目的Ip和端口號以列表的形式顯示出當(dāng)前SYN訪問請求，當(dāng)有syn攻擊的時候列表里會有幾萬,幾十萬的數(shù)據(jù)。如果列表里有幾百個連接應(yīng)該是正常的?？焖僖晥D和查詢視圖中的所有連接列表和DOS_SYN列表都可以保存到本地磁盤中?？焖僖晥D所有連接列表：快速視圖DOS_SYN列表：查詢視圖所有連接列表查詢視圖DOS_SYN列表防火墻被封IP列表模塊此模塊功能：可以通過該模塊查看由防護規(guī)則屏蔽的IP。被封ip列表模塊分為兩個子模塊：防火墻規(guī)則封ip列表和漏洞規(guī)則封ip列表。防火規(guī)則ip封列表：如果在防火墻規(guī)則設(shè)置里面設(shè)置了防護規(guī)則，當(dāng)有針對某ip的攻擊時在被封ip列表里會列出當(dāng)前防火墻封掉的ip。漏洞規(guī)則ip封列表：如果在漏洞規(guī)則里面設(shè)置了漏洞的防護規(guī)則，當(dāng)有針對某ip的攻擊時在被封ip列表里會列出當(dāng)前漏洞規(guī)則封掉的ip。防火規(guī)則ip封列表和漏洞規(guī)則ip封列表中的參數(shù)：被封的ip：被防火墻封掉的攻擊服務(wù)器的肉雞的ip；訪問服務(wù)器ip：被攻擊的服務(wù)器ip；序號（防護|漏洞|子規(guī)則）：這里的序號體現(xiàn)的是，封掉的這個ip是漏洞規(guī)則里面的第幾條防護規(guī)則－漏洞－漏洞里面的子規(guī)則起作用的；阻止時間：防火墻釋放封掉ip剩余的秒數(shù)；類型：只在漏洞規(guī)則防護出現(xiàn)，分為IP和全局。IP表示在單一IP漏洞規(guī)則里設(shè)置規(guī)則所封的IP；全局表示在全局漏洞規(guī)則里設(shè)置規(guī)則所封的IP。這里的按鈕為刪除指定的IP，在左側(cè)的對話框中輸入指定某一IP，單擊該按鈕將其指定IP刪除釋放。按鈕為刪除指定的服務(wù)器，在訪問服務(wù)器IP項中選擇某一指定服務(wù)器Ip，單擊該按鈕將訪問其服務(wù)器的所有肉雞IP全部刪除釋放。按鈕為所有被封的IP，單擊該按鈕講列表中所有被封的IP全部刪除釋放。按鈕為刷新被封IP的列表。按鈕為停止刷新被封IP的列表。防火墻監(jiān)控日志模塊該模塊功能：查看防火墻某一時間段的流量和系統(tǒng)日志。監(jiān)控日志模塊分為兩個子模塊：流量日志和系統(tǒng)日志。流量日志記錄的是所經(jīng)過防火墻的每個時刻的流量統(tǒng)計表，可以根據(jù)月份和日期進行查看統(tǒng)計，統(tǒng)計內(nèi)容分為：發(fā)送包數(shù)、接收包數(shù)、發(fā)送字節(jié)數(shù)、接收字節(jié)數(shù)、攔截發(fā)送包數(shù)、攔截接收包數(shù)、所有連接數(shù)、防火墻CPU、防火墻內(nèi)存。流量日志如圖：系統(tǒng)日志記錄的是在防火墻系統(tǒng)日志設(shè)置里設(shè)置的選項參數(shù)，可以根據(jù)月份進行查看統(tǒng)計。流量日志如圖：流量日志和系統(tǒng)日志模塊都支持本地保存和打印。防火墻數(shù)據(jù)包分析模塊此模塊功能：具有強大的抓取和分析實時數(shù)據(jù)包的功能，在服務(wù)器遭受攻擊時我們可以設(shè)置特定的規(guī)則來抓取和分析攻擊數(shù)據(jù)包，設(shè)置針對性的漏洞防護規(guī)則來防御已知攻擊和未知攻擊。防火墻所有接收的數(shù)據(jù)包：選中此項時防火墻捕捉數(shù)據(jù)時所抓取到的數(shù)據(jù)包是流經(jīng)防火墻的所有數(shù)據(jù)包。防火墻規(guī)則定義的數(shù)據(jù)包：如果想捕捉經(jīng)過防火墻，針對某種協(xié)議（protocol）、某些或某個特定的ip、端口（port）的數(shù)據(jù)包進行分析就可選此項。按鈕為開始抓取數(shù)據(jù)包。按鈕為暫停抓取數(shù)據(jù)包。按鈕為停止抓取數(shù)據(jù)包。按鈕為下載防火墻所抓取的數(shù)據(jù)包。按鈕為停止下載抓取的數(shù)據(jù)包。按鈕為數(shù)據(jù)包查看記錄。按鈕為自定義防火墻漏洞規(guī)則。以上按鈕灰色時為功能不可執(zhí)行狀態(tài)，高亮狀態(tài)為可操作狀態(tài)。當(dāng)捕捉類型選擇為防火墻所有接收到的數(shù)據(jù)包時，單擊開始抓取數(shù)據(jù)包按鈕，經(jīng)過5-7秒后依次單擊停止抓取數(shù)據(jù)包按鈕和下載防火墻所抓取的數(shù)據(jù)包按鈕，當(dāng)下載完畢單擊數(shù)據(jù)包查看記錄按鈕即完成全局所有數(shù)據(jù)包的抓取。如下圖所示：如果想捕捉經(jīng)過防火墻，針對某種協(xié)議（protocol）、某些或某個特定的ip、端口（port）的數(shù)據(jù)包，首先要打開防火墻的【設(shè)置】－【防火墻設(shè)置】－【防火墻規(guī)則設(shè)置】添加一條抓取數(shù)據(jù)包的規(guī)則，選擇協(xié)議類型、IP和端口并勾選抓取數(shù)據(jù)包選項?；蛘咴谧远x漏洞規(guī)則中編寫抓取數(shù)據(jù)包漏洞規(guī)則。然后捕捉類型選擇為防火墻規(guī)則定義的捕捉，單擊開始抓取數(shù)據(jù)包按鈕，經(jīng)過5-7秒后依次單擊停止抓取數(shù)據(jù)包按鈕和下載防火墻所抓取的數(shù)據(jù)包按鈕，當(dāng)下載完畢單擊數(shù)據(jù)包查看記錄按鈕即完成針對某種協(xié)議、某些或某個特定的ip、端口的數(shù)據(jù)包的抓取。如下圖所示：利用防火墻抓取數(shù)據(jù)包后我們要做的就是分析數(shù)據(jù)包，下面我們隨機抓取一些數(shù)據(jù)包進行分析。利用防火墻抓取數(shù)據(jù)包后我們可以看到，任何數(shù)據(jù)包的最外層都是記錄著源MAC地址和目的MAC地址的以太網(wǎng)傳輸協(xié)議的以太MAC頭地址，因為太網(wǎng)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。Ethernet：以太網(wǎng)，是一種計算機局域網(wǎng)組網(wǎng)技術(shù)。IEEE制定的IEEE802.3標準給出了以太網(wǎng)的技術(shù)標準。以太網(wǎng)是當(dāng)前應(yīng)用最普遍的局域網(wǎng)技術(shù)。Destination：記錄的是目的是以太網(wǎng)內(nèi)的MAC地址。Source：記錄的是以太網(wǎng)內(nèi)的源MAC地址Ethertype：以太網(wǎng)類型，0800代表網(wǎng)際協(xié)議（IP）IP封包的格式：我們繼續(xù)看上面我們抓取的數(shù)據(jù)包的IP封包的格式，展開IP頭，如下圖所示：首先讓我們看看IP封包的格式是怎樣的和其組成部份以及各部份的長度如何，括號之內(nèi)的數(shù)字就是各部件的長度(bit)Version(4)HeaderLength(4)TypeofService(8)TotalLength(16)

Identification(16)Flags(3)FragmentOffset(13)

TimeToLive(8)Protocol(8)Headerchecksum(16)

SourceAddress(32)

DestinationAddress(32)

Options(Variable)Padding(0-24)Version：表示的是IP規(guī)格版本﹐目前的IP規(guī)格多為版本4(version4)﹐所以這里的數(shù)值通常為0x4(注意﹕封包使用的數(shù)字通常都是十六進位的)。HeaderLength：標頭長度。TypeofService：服務(wù)類型。這里指的是IP封包在傳送過程中要求的服務(wù)類型﹐其中一共由8個bit組成﹐每組bit組合分別代表不同的意思，我們將它展開如下圖所示：000＝priority0:Routine設(shè)定IP順序預(yù)設(shè)為0否則數(shù)值越高越優(yōu)先

0=normalDelay延遲要求0是正常值1為低要求

0.=normalThroughput通訊量要求0為正常值1為高要求

0...=normalReliability可靠性要求0為正常值1為高要求

0…=normalmonetarycost……0…=Reservedbit保留位未使用的TotalLength：封包總長。通常以byte做單位來表示該封包的總長度﹐此數(shù)值包括標頭和數(shù)據(jù)的總和。Identification：識別碼。每一個IP封包都有一個16bit的唯一識別碼。我們從OSI和TCP/IP的網(wǎng)路層級知識里面知道﹕當(dāng)程式產(chǎn)生的數(shù)據(jù)要通過網(wǎng)路傳送時﹐都會在傳送層被拆散成封包形式發(fā)送﹐當(dāng)封包要進行重組的時候﹐這個ID就是依據(jù)了。Flag：旗標。這是當(dāng)封包在傳輸過程中進行最佳組合時使用的3個bit的識別記號。請參考下表﹕000.當(dāng)此值為0的時候﹐表示目前未被使用。.0..當(dāng)此值為0的時候﹐表示封包可以被分割﹐若為1則不能被分割。..0.當(dāng)上一個值為0時﹐此值為0就示該封包是最后一個封包﹐如果為1則表示其后還有被分割的封包。FragmentOffset：分割定位。當(dāng)一個大封包在經(jīng)過一些傳輸單位(MTU)較小的路徑時﹐會被被切割成碎片(fragment)再進行傳送(這個切割和傳送層的打包有所不同﹐它是由網(wǎng)路層決定的)。由于網(wǎng)絡(luò)情況或其它因素影響﹐其抵達順序并不會和當(dāng)初切割順序一至的。所以當(dāng)封包進行切割的時候﹐會為各片段做好定位記錄﹐所以在重組的時候﹐就能夠依號入座了。如果封包沒有被切割﹐那么FO的值為“0”TimeToLive：存活時間(TTL)。這個TTL的概念﹐在許多網(wǎng)路協(xié)定中都會碰到。當(dāng)一個封包被賦予TTL值(以秒或跳站數(shù)目(hop)為單位)﹐之后就會進行倒數(shù)計時。在IP協(xié)定中，TTL是以hop為單位，每經(jīng)過一個router就減一)﹐如果封包TTL值被降為0的時候﹐就會被丟棄。這樣﹐當(dāng)封包在傳遞過程中由于某些原因而未能抵達目的地的時候﹐就可以避免其一直充斥在網(wǎng)絡(luò)上面。Protocol：協(xié)議。這里指的是該封包所使用的網(wǎng)絡(luò)協(xié)議類型﹐例如﹕ICMP或TCP/UDP等等。最常用的類型代表序列號：IP0ICMP1IGMP2TCP6UDP17HeaderChecksum：標頭檢驗值。這個數(shù)值主要用來檢錯用的﹐用以確保封包被正確無誤的接收到。當(dāng)封包開始進行傳送后﹐接收端主機會利用這個檢驗值會來檢驗余下的封包﹐如果一切看來無誤﹐就會發(fā)出確認信息﹐表示接收正常。SourceIPAddress：源位址。就是發(fā)送端的IP位址﹐長度為32bit。DestinationIPAddress：目的地位址。接收端的IP位址﹐長度為32bit。IPOptions：IP操作,這個選項甚少使用﹐只有某些特殊的封包需要特定的控制﹐才會利用到。TCP封包的格式IP工作于網(wǎng)絡(luò)層而TCP則工作于傳輸層故此它們的封包格式卻是不一樣的。下面我們繼續(xù)展開TCP頭看下TCP的封包格式,如下圖所示：SourcePort(16)|DestinationSequenceNumber(32)AcknowledgmentNumber(32)DataOffset(4)|Reserved(6)|UGR|ACK|PSH|RST|SYN|FIN|Window(16)Checksum(16)|UrgentPointer(16)Options(0ormore32bitwords+padding)DATA...SourcePort：源端口。就是發(fā)送端的位址端口。DestinationPort：目的端口。接收端地址端的端口。SequenceNumber：發(fā)送序號。當(dāng)資料要從一臺主機傳送去另一臺主機的時候發(fā)送端會為封包建立起一個初始號碼然後按照所傳送的位元組數(shù)依次的遞增上去那么下一個封包的序號就會使用遞增之后的值來作為它的序號了。這樣接收端就可以根據(jù)序號來檢測資料是否接收完整了。AcknowledgementNumber：回應(yīng)序號。當(dāng)接收端接收到TCP封包之后通過檢驗確認之后，然后會依照發(fā)送序號產(chǎn)生一個回應(yīng)序號發(fā)出一個回應(yīng)封包給發(fā)送端，這樣接收端就知道剛才的封包已經(jīng)被成功接收到了。如果由于網(wǎng)絡(luò)狀況或其它原因,當(dāng)封包的TTL值達到期限時接收端還沒接收到回應(yīng)序號,此時發(fā)送端就會重發(fā)該個被認為丟失了的封包。如果剛好重發(fā)封包之后才接收到回應(yīng)，這時候接收端就會根據(jù)序號來判斷該封包是否被重發(fā)送，如果是的話很簡單將之丟棄不做任何處理。Headerlength：TCP的標頭長度。Reservedbits&bitsFlags：保留位和控制標記位。其中一共由7個bit組成﹐每組bit組合分別代表不同的意思，我們將它展開如下圖所示：6Reservedbits:這是6個保留區(qū)間位，暫時未被使用的。Urgentdata：當(dāng)URG被設(shè)定為1的時候就表示這是一個攜有緊急資料的封包。Acknowledgmentfieldsignificant：當(dāng)ACK為1的時候表示此封包屬于一個要回應(yīng)的封包一般都會為1。Pushfunction：如果PSH為1的時候此封包所攜帶的資料就會被直接上遞給上層的應(yīng)用程式而無需經(jīng)過TCP處理了。Reset：如果RST為1的時候表示要求重新設(shè)定封包再重新傳遞。SYN：如果SYN為1時表示要求雙方進行同步溝通。FIN：如果封包的FIN為1的時候就表示傳送結(jié)束然后雙方發(fā)出結(jié)束回應(yīng)進而正式終止一個TCP傳送過程。Window：這里的視窗為“滑動視窗(SlidingWindow)”。正如剛才看到的TCP封包會通過SYN和ACK序號來確保傳送的正確性但如果每一個封包都要等上一個封包的回應(yīng)才被發(fā)送出去的話實在是太慢和難以接受的。這樣我們可以利用SlidingWindow在傳送兩端劃分出一個緩圍規(guī)定出可以一次性發(fā)送的最大封包數(shù)目。當(dāng)TCP傳送建立起來之后兩端都會將window的設(shè)定值還原到初始值比如說每次傳送3個封包。然后發(fā)送端就一次過發(fā)送三個封包出去然后視窗則會往后移動三個封包填補發(fā)送出去之封包的空缺。如果接收端夠順利也能一次處理接收下來的三個封包的話就會告訴發(fā)送端的window值為3但如果接收端太忙或是其它因素影響暫時只能處理兩個封包那麼在視窗里面就剩下一個封包然后就會告訴發(fā)送端window值為2。這個時候發(fā)送端就只送出兩個封包而視窗就會往后移動兩個封包填補發(fā)送出去的空缺。Chechsum：當(dāng)資料要傳送出去的時候發(fā)送端會計算好封包資料大小然后得出這個檢驗值封包一起發(fā)送當(dāng)接收端收到封包之后會再對資料大小進行計算看看是否和檢驗值一致如果結(jié)果不相稱則被視為殘缺封包會要求對方重發(fā)該個封包。UrgentPointer：上面提到的ControlFlag的時候我們提到一個URG的標記，如果URG被設(shè)定為1的時候這里就會指示出緊急資料所在位置。不過這種情形非常少見例如當(dāng)資料流量超出頻寬的時候系統(tǒng)要求網(wǎng)絡(luò)主機暫緩發(fā)送資料所有主機收到這樣的信息都需要優(yōu)先處理。Option：這個選項也比較少用。當(dāng)那些需要使用同步動作的程式如Telnet要處理好終端的交互模式就會使用到option來指定資料封包的大小因為telnet使用的資料封包都很少但又需要即時回應(yīng)。Option的長度要么是0要么就是32bit的整倍數(shù)即使資料不足數(shù)也要使用標頭中沒有的資料來填夠。防火墻網(wǎng)絡(luò)監(jiān)控服務(wù)器模塊此模塊功能：可以監(jiān)控防火墻下所有的服務(wù)器，如果發(fā)現(xiàn)某個ip的連接數(shù)目或者數(shù)據(jù)包流量異常增大，則很有可能是此ip遭受攻擊，然后對其抓取數(shù)據(jù)包分析設(shè)置相應(yīng)的防護規(guī)則。在網(wǎng)絡(luò)服務(wù)器監(jiān)控模塊里面可以詳細的監(jiān)控到防火墻下面每個ip的連接信息以及接收發(fā)送的字節(jié)和防火墻防火墻攔截的攻擊包種類，每列都支持按大小順序進行排序以及定制過濾，當(dāng)發(fā)現(xiàn)某一網(wǎng)絡(luò)服務(wù)器遭受攻擊時，可單擊服務(wù)器IP右側(cè)的…按鈕為其添加相應(yīng)的漏洞規(guī)則進行防護。按鈕為刷新監(jiān)控網(wǎng)絡(luò)服務(wù)器。按鈕為開始監(jiān)控網(wǎng)絡(luò)服務(wù)器，刷新時間為10秒鐘。按鈕為停止監(jiān)控網(wǎng)絡(luò)服務(wù)器。右側(cè)的下拉菜單里則顯示了防火墻集群中有幾臺防火墻在同時監(jiān)控網(wǎng)絡(luò)服務(wù)器。按鈕為單IP漏洞攻擊防護規(guī)則列表模塊快捷鍵，當(dāng)發(fā)現(xiàn)某一網(wǎng)絡(luò)服務(wù)器發(fā)現(xiàn)異常時可以單擊該按鈕為該服務(wù)器設(shè)置相應(yīng)的漏洞規(guī)則進行防護。按鈕為自定義防火墻漏洞規(guī)則。防火墻單IP漏洞攻擊防護規(guī)則列表模塊此模塊功能：對防火墻下某一網(wǎng)絡(luò)服務(wù)器進行漏洞規(guī)則的查詢、添加、修改和刪除。單IP漏洞攻擊防護規(guī)則列表分為2個界面，左邊界面顯示為防火墻下所有已經(jīng)設(shè)置過漏洞規(guī)則的網(wǎng)絡(luò)服務(wù)器，可以查看某一網(wǎng)絡(luò)服務(wù)器的IP、最后修改時間、是否鎖定以及鎖定信息。IP地址列支持定制過濾這樣就可以快速查找出某一網(wǎng)絡(luò)服務(wù)器是否添加過漏洞規(guī)則、最后修改的時間等信息，當(dāng)勾選鎖定項時此網(wǎng)絡(luò)服務(wù)器將不能對其添加、修改和刪除漏洞規(guī)則，鎖定人的信息將顯示在鎖定信息列中。右邊界面顯示為某一網(wǎng)絡(luò)服務(wù)器具體的漏洞規(guī)則，可以對其規(guī)則的順序進行修改，添加、修改和刪除具體規(guī)則。具體界面如下圖：按鈕為刷新單IP漏洞攻擊防護規(guī)則列表。如果有規(guī)則已經(jīng)添加、修改和刪除過沒有保存，刷新會造成添加、修改和刪除的丟失，請將添加、修改和刪除過的規(guī)則保存再進行刷新。如果長時間沒有操作單IP漏洞攻擊防護規(guī)則列表，建議在下一次操作前先刷新單IP漏洞攻擊防護規(guī)則列表。按鈕為保存單IP漏洞攻擊防護規(guī)則列表，如果有規(guī)則添加、修改和刪除過，請單擊該按鈕進行保存否則規(guī)則添加、修改和刪除不生效。按鈕為自定義防火墻漏洞規(guī)則。防火墻異常流量牽引模塊此模塊功能：該模塊可以查看防火墻下流量異常的網(wǎng)絡(luò)服務(wù)器。啟動防火墻異常流量牽引功能需要對上層路由擁有相應(yīng)的權(quán)限，并在防火墻的【設(shè)置】－【異常流量牽引】—【異常流量牽出】進行設(shè)置。被牽引的網(wǎng)絡(luò)服務(wù)器將無法與外網(wǎng)進行數(shù)據(jù)傳輸，內(nèi)網(wǎng)則可以進行數(shù)據(jù)傳輸。該模塊分別列出了最高流量服務(wù)器列表、最高連接數(shù)服務(wù)器列表、最高數(shù)據(jù)包服務(wù)器列表的前十名服務(wù)器IP，還顯示出即將準備牽引的IP和已經(jīng)牽引的IP。按鈕為開始異常流量牽引。按鈕為停止異常流量牽引。按鈕為封指定IP，在左側(cè)對話框中輸入IP單擊該按鈕進行牽引。按鈕為解開指定IP，在左側(cè)對話框中輸入IP單擊該按鈕進行解牽引。防火墻設(shè)置管理防火墻設(shè)置管理主要是針對進入防火墻界面中設(shè)置菜單中的管理，其中包括：防火墻接口設(shè)置、防火墻設(shè)置、DDOS攻擊防護、漏洞攻擊防護、異常流量牽引、賬號權(quán)限設(shè)置、修改密碼。防火墻接口設(shè)置在防火墻接口設(shè)置中可以看見防火墻的運行模式以及所有的網(wǎng)絡(luò)網(wǎng)口列表。如下圖：防火墻運行模式分為：網(wǎng)關(guān)路由模式、透明防火墻模式和透明防火墻+網(wǎng)關(guān)路由模式。這里我們推薦默認的運行模式為透明防火墻模式，即使用防火墻不需做任何設(shè)置修改實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)傳輸。所有的網(wǎng)絡(luò)網(wǎng)口列表會記載所有網(wǎng)絡(luò)網(wǎng)口的名稱和MAC地址。我們需要將相應(yīng)的網(wǎng)絡(luò)網(wǎng)口分別添加到“外部網(wǎng)絡(luò)網(wǎng)口列表”和“內(nèi)部網(wǎng)絡(luò)網(wǎng)口列表”里面.在通常情況下我們默認的配置為adeth0、adeth2、adeth4、adeth6為外網(wǎng)口；adeth1、adeth3、adeth5、adeth7為內(nèi)網(wǎng)口；adeth8為防火墻的系統(tǒng)同步口，adeth9為防火墻的外網(wǎng)管理口。如果不需要使用某網(wǎng)絡(luò)接口可以將其刪除，其名稱和MAC地址會自動返回到“所有網(wǎng)口列表”中去。這里的外部網(wǎng)絡(luò)網(wǎng)口是用來連接外部網(wǎng)絡(luò)的網(wǎng)絡(luò)接口，內(nèi)部網(wǎng)絡(luò)網(wǎng)口是用來連接內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)接口，防火墻同步網(wǎng)口是用來連接防火墻集群的網(wǎng)絡(luò)接口，管理網(wǎng)絡(luò)網(wǎng)口是用來連接雙網(wǎng)卡服務(wù)器通過外網(wǎng)遠程桌面訪問實現(xiàn)內(nèi)網(wǎng)管理防火墻的網(wǎng)絡(luò)接口。防火墻設(shè)置防火墻設(shè)置包括：防火墻規(guī)則模塊的設(shè)置、防火墻對外IP的設(shè)置、SNMP的設(shè)置、防火墻參數(shù)的設(shè)置、防火墻集群地址的設(shè)置、插件模塊信息的設(shè)置、系統(tǒng)日志的設(shè)置。2.1防火墻規(guī)則設(shè)置進入防火墻管理界面單擊【設(shè)置】—【防火墻設(shè)置】—【防火墻規(guī)則設(shè)置】進入防火墻規(guī)則設(shè)置界面。在這里顯示出規(guī)則名稱、攔截設(shè)置（條件符合時通過|攔截）、協(xié)議類型（IP/TCP/UDP/ICMP）、發(fā)送端IP和端口、接收端IP和端口、修改人以及修改時間?？梢蕴砑印⑿薷暮蛣h除規(guī)則并對規(guī)則的順序進行調(diào)整。我們單擊添加按鈕進入具體的防火墻規(guī)則界面，具體介紹下防火墻規(guī)則設(shè)置。設(shè)置說明:1.【名稱】可以自定義防火墻規(guī)則名稱。2.【備注】可以自定義防火墻規(guī)則進行備注說明。。3.【協(xié)議類型】可以選擇各種協(xié)議，也可以自己定義協(xié)議。4.【發(fā)送端地址】是數(shù)據(jù)包的源IP地址。5.【接收端地址】是數(shù)據(jù)包的目的IP地址。6.【端口類型】對發(fā)送端、接收端的網(wǎng)絡(luò)接口進行選擇。。7.【協(xié)議屬性】當(dāng)【協(xié)議類型】為TCP時，這里顯示出TCP屬性分別為SYN,ACK,FIN,RST,URG,PSH,每個屬性下面有一個【設(shè)置】選擇,選擇需要檢查的屬性，選擇這個屬性的【設(shè)置】表明這個屬性必須設(shè)置為1,例如，要檢查syn和ack屬性的tcp包，并且syn為1,ack為0則選擇syn和ack,然后在syn的【設(shè)置】屬性打上對號，把ack【設(shè)置】屬性的對號去掉，再例如，需要檢查synrstfin標志，syn=0,rst=1,fin=0,則分別選擇synrstfin,然后把syn和fin的【設(shè)置】屬性去掉對號，rst的【設(shè)置】屬性打上對號。8.【攔截設(shè)置】可以對規(guī)則的最終行為進行選擇，分為通過、攔截、繼續(xù)下一條。9.【數(shù)據(jù)包抓取】如果要對某協(xié)議、ＩＰ和端口進行抓包需要勾選抓取數(shù)據(jù)包選項，如果要記錄系統(tǒng)日志則勾選記錄syslog選項。10.【高級選項】里面分為IP連接限制、IP流量限制、大量ＩＰ刷服務(wù)器防護、內(nèi)部網(wǎng)絡(luò)發(fā)包限制四個模塊。IP連接限制：該模塊只適用于TCP協(xié)議，可以設(shè)置一個ip或者很多相鄰ip,能夠和防火墻下服務(wù)器建立多少個連接，例如要限制-55這些ip地址，能夠和服務(wù)器建立100個TCP連接，首先在防火墻規(guī)則的【發(fā)送端地址】填寫上-55ip段，在協(xié)議屬性設(shè)置里選擇【SYN】和【設(shè)置】，選擇【條件符合時攔截】,在【高級設(shè)置】—【ip連接限制】里選擇【進行ip限制】,設(shè)置【允許連接數(shù)】為100，【匹配掩碼】設(shè)置24,這樣就表示-55IP段只能共享和本機建立100個IP連接(注意:如果【匹配掩碼】設(shè)置32,則表示-55IP段里的每個ip都能和本機建立100個連接)。IP流量限制：可以通過該模塊，限制哪些ip流量多少，上載或者下載的流量，這樣就可以方便的限制IIS下載了，通過和ip連接數(shù)限制一起使用，IIS下載就可以和ftp下載一樣限制流量和ip同時連接數(shù)了。大量ＩＰ刷服務(wù)器防護：該模塊主要用于CC防護，如果要啟動該模塊需勾選【進行大量IP刷服務(wù)器防護】選項。這里又分別按訪問限制、刷私服限制和禁止HTTP進行細化防御。當(dāng)選擇【按訪問限制】時，可以針對服務(wù)器訪問請求鏈接數(shù)進行限制，如果超出訪問的限制次數(shù)則加入防火墻規(guī)則被封IP列表中，下面還可以對被封IP在多少秒后行釋放并在釋放后允許多少次訪問服務(wù)器進行設(shè)置。這里需要注意的是【W(wǎng)EBSEVERHTTP協(xié)議防護】選項，如果選上這個選項,那么防火墻根據(jù)每個訪問IP打開你頁面的所需要下載的圖片、flash等計算訪問服務(wù)器次數(shù).假如你的頁面很大圖片、和flash就需要增加20秒內(nèi)允許訪問的次數(shù)，可以從400次減少到100或者200次。根據(jù)自己的情況靈活調(diào)節(jié)可以一邊調(diào)節(jié)這個數(shù)值一邊訪問自己的網(wǎng)站,如果發(fā)現(xiàn)登陸不上去了,就可以加大數(shù)值。如果你要根據(jù)每個IP和服務(wù)器建立的連接來進行防護,(不推薦這樣,應(yīng)為連接數(shù)通常不準確)就可以不選【W(wǎng)EBSEVERHTTP協(xié)議防護】選項,這樣就是按照鏈接數(shù)進行防護了。當(dāng)選擇【刷SF限制】時，主要是針對架設(shè)游戲私服的服務(wù)器接收的數(shù)據(jù)包進行限制。如果超出訪問的限制包數(shù)則加入防火墻規(guī)則被封IP列表中，下面還可以對被封IP在多少秒后行釋放并在釋放后允許多少次訪問服務(wù)器進行設(shè)置。當(dāng)選擇【禁止HTTP】時，主要是檢查前多少個包的HTTP協(xié)議，如果有攻擊則將其拉入防火墻被封的IP列表，下面還可以對被封IP設(shè)置在多少秒后行釋放。內(nèi)部網(wǎng)絡(luò)發(fā)包限制：該模塊主要用于內(nèi)網(wǎng)攻擊發(fā)包防護，如果要啟動該模塊需勾選【進行內(nèi)部網(wǎng)絡(luò)發(fā)包限制】選項。這里又分別按封鎖攻擊IP和封鎖內(nèi)網(wǎng)IP防御，可以分別針對固定時間內(nèi)發(fā)包和流量進行限制，如果超出訪問的限制包數(shù)和流量則加入防火墻規(guī)則被封IP列表中，下面還可以對被封IP在多少秒后行釋放進行設(shè)置。2.2防火墻對外IP設(shè)置如果需要用外網(wǎng)管理防火墻則需要設(shè)置防火墻對外IP。進入防火墻管理界面，選擇【設(shè)置】—【防火墻設(shè)置】—【設(shè)置防火墻IP】，如果要啟用防火墻外網(wǎng)IP管理必須勾選【允許防火墻使用對外IP】選項，在【要綁定的設(shè)備】選項中選擇防火墻管理口的設(shè)備名稱，在【IP地址】欄中輸入防火墻對外管理的IP地址，這里最好選擇一個與防火墻下防護服務(wù)器Ip不是一個段的公網(wǎng)ＩＰ，通過對【允許訪問的ＩＰ】的設(shè)置可以遠程管理的客戶端IP地址，，選擇相應(yīng)的ＩＰ類型以及ＩＰ地址和子網(wǎng)掩碼可以限制只可以從指定的IP來管理。SNMP設(shè)置進入防火墻管理界面，選擇【設(shè)置】—【防火墻設(shè)置】—【SNMP設(shè)置】，如果要啟用防火墻SNMP管理必須勾選【打開防火墻SNMP功能】選項，在團體名稱中輸入交換機設(shè)置的SNMP團體名進行同步，通過交換機SNMP得到防火墻的流量狀態(tài)。防火墻參數(shù)設(shè)置進入防火墻管理界面，選擇【設(shè)置】—【防火墻設(shè)置】—【防火墻參數(shù)設(shè)置】，如果要啟用防火墻SYN防護模塊必須勾選【啟動syn防護模塊】選項，這樣防火墻就會自動攔截syn攻擊，并在連接監(jiān)控模塊中的DOS-SYN列表中顯示出來。下面主要對防火墻基本參數(shù)以及旁路模式參數(shù)進行講解：【SYN處理上限】防火墻處理SYN的上限，這里設(shè)置為50000代表防火墻下所有IP每秒可以快速處理50000個SYN。如果每秒超過2萬個SYN就會連接有延遲，3秒后正常的IP會重新發(fā)送SYN請求連接連接，而攻擊IP則不再發(fā)送SYN請求?！痉?wù)器SYN處理】防火墻下每臺服務(wù)器處理SYN的上限，當(dāng)每秒超過這個數(shù)值的時候防火墻會把這個服務(wù)器的IP隔離開，單獨處理。這里設(shè)置為20000代表防火墻每臺處理SYN上限為20000，當(dāng)超過20000防火墻把這個服務(wù)器IP隔離開單獨處理，不影響防火墻SYN處理上限設(shè)置的50000這個參數(shù)。

【連接信任次數(shù)】這里設(shè)置為100的意思是對于一個外部IP訪問防火墻下服務(wù)器通過防火墻檢查后，其后100次連接防火墻默認信任不再對其檢查?！緝?nèi)網(wǎng)發(fā)送SYN數(shù)】防火墻內(nèi)部服務(wù)器向外發(fā)送SYN上限為20000?！驹试S正常連接數(shù)】這里設(shè)置為100的意思是對于一個防火墻下服務(wù)器訪問它的外部IP的前100次SYN防火墻不對其進行檢查?！綯CP超時】為了防止TCP空連接，這里默認設(shè)置為0的意思10分鐘內(nèi)TCP建立連接但是沒有數(shù)據(jù)傳輸防火墻會自動把這個TCP連接斷開，也可以自己定義?！九月纺Ｊ健吭O(shè)置1會讓防火墻工作在旁路模式中，這種模式可以進來的數(shù)據(jù)經(jīng)過防火墻，出去的數(shù)據(jù)不經(jīng)過防火墻，一般默認選擇為0即是正常的防護syn模式?！九月穮?shù)】和【旁路參數(shù)1】默認都選擇為2和2000?！景酌麊纬瑫r】旁路模式的時候會加一個白名單模塊，這里設(shè)置IP信任有效的時間，如果設(shè)置0默認是10秒，過了10秒，這個ip再連接，旁路模塊會從新對這個ip檢查。這里只是針對TCP協(xié)議有效對UDP和ICMP沒有用。【臨時內(nèi)存上限】當(dāng)建立tcp連接的時候，防護墻會分配一些臨時內(nèi)存，有些攻擊頻繁快速的建立連接，來耗費防火墻資源導(dǎo)致防火墻內(nèi)存耗盡，這里設(shè)置為0默認為256M?！究焖俾┒催^濾】防火墻快速漏洞過濾模塊平時是不啟動的，當(dāng)?shù)竭_設(shè)置的值才啟動。比如這里設(shè)置為20000，某一網(wǎng)絡(luò)服務(wù)器的所有數(shù)據(jù)包加起來每秒超過20000就會把這個服務(wù)器的數(shù)據(jù)包用快速漏洞過濾模塊進行處理，而那些每秒沒有超過20000的服務(wù)器還是不會經(jīng)過快速漏洞過濾模塊處理，所以接收快速漏洞過濾，可以做全局規(guī)則。有些服務(wù)器受到攻擊，正常的服務(wù)器還是不會經(jīng)過快速漏洞過濾模塊處理，這樣避免誤封。

防火墻參數(shù)界面如下圖：設(shè)置集群地址這里主要是針對多臺防火墻搭建集群防護相應(yīng)的設(shè)置。進入防火墻管理界面選擇【設(shè)置】—【防火墻設(shè)置】—【設(shè)置集群地址】，可以看見防火墻集群地址的設(shè)置界面。【ＩＰ地址】這里添加需要搭建集群防護的防火墻系統(tǒng)口（同步口）的ＩＰ地址?！緜渥ⅰ窟@里可以對設(shè)置的集群地址進行備注說明?！镜顷戀~號】和【密碼】在此輸入需要搭建集群防護的防火墻賬號密碼，且所搭建集群防護防火墻的賬號密碼必須相同。【用當(dāng)前賬號密碼登陸】如果當(dāng)前使用的賬號和密碼正是所要輸入搭建集群防護防火墻的賬號密碼則勾選此選項，無需在下面再填寫登陸賬號和密碼。這里對多臺防火墻搭建集群防護還需注意搭建集群防護的防火墻系統(tǒng)口（同步口）必須放在一臺千兆交換機下且此交換機只用戶防火墻同步工作不設(shè)置集群地址用的是管理口，和同步口沒關(guān)系、建議執(zhí)行其他工作，添加完上面的地址和賬號密碼后搭建集群防護防火墻的信息將顯示在下面，如果某臺防火墻不需集群范圍內(nèi)則勾掉其相應(yīng)ＩＰ地址前面的選項，這樣就可以實現(xiàn)多臺防火墻搭建集群防護同步。設(shè)置集群地址用的是管理口，和同步口沒關(guān)系、插件模塊信息防火墻插件是防火墻針對ＣＣ攻擊、游戲假人等定制的防護規(guī)則，進入防火墻管理界面選擇【設(shè)置】—【防火墻設(shè)置】—【插件模塊信息】，可以看見防火墻插件模塊信息的界面。這里的插件列表顯示了防火墻當(dāng)前的插件信息，包括：插件名稱、資源總數(shù)、資源使用、插件版本號、插件號、插件參數(shù)等等。當(dāng)插件的資源使用數(shù)和插件資源總數(shù)相等時，需清空插件資源，否則插件功能可能失效。單擊【清空資源】按鈕即可清空防火墻插件使用的資源，單擊【刷新】按鈕顯示出當(dāng)前的插件信息。系統(tǒng)日志設(shè)置針對防火墻系統(tǒng)日志進行相關(guān)的設(shè)置并在【監(jiān)控日志】—【系統(tǒng)日志】選擇月份進行查看。進入防火墻管理界面選擇【設(shè)置】—【防火墻設(shè)置】—【系統(tǒng)日志設(shè)置】，可以看見防火墻系統(tǒng)日志設(shè)置的界面，系統(tǒng)日志設(shè)置主要分為四塊：遠程日志服務(wù)器、日志記錄設(shè)置、規(guī)則觸發(fā)事件設(shè)置、異常數(shù)據(jù)事件設(shè)置。【遠程日志服務(wù)器】如果需要將防火墻日志記錄到遠程服務(wù)器需勾選【開啟遠程日志服務(wù)器】選項，輸入記錄防火墻日志的遠程服務(wù)器的IP地址、遠程端口，對facility和level進行相應(yīng)的設(shè)置。【日志記錄設(shè)置】這里為系統(tǒng)日志進行了細化，如果需要對防火墻登陸事件進行記錄則勾選【記錄登陸事件】選項；如果需要對防火墻成功登陸的事件進行記錄則勾選【記錄登陸成功事件】；如果需要對防火墻規(guī)則的添加、修改和刪除事件進行記錄則勾選【記錄設(shè)置防火墻規(guī)則事件】；如果需要對某臺服務(wù)器添加、修改和刪除某條防護規(guī)則事件進行記錄則勾選【記錄設(shè)置防護的服務(wù)器規(guī)則事件】；如果需要對防火墻的漏洞規(guī)則進行添加、修改和刪除事件進行記錄則勾選【記錄設(shè)置漏洞規(guī)則事件】；如果需要對防火墻驚喜其他設(shè)置記錄則勾選【記錄其他設(shè)置事件】?！疽?guī)則觸發(fā)事件設(shè)置】分別對攻擊IP觸發(fā)防火墻的防火墻規(guī)則、漏洞規(guī)則以及到達防火墻定義的流量上限閥值時進行了記錄設(shè)置?！井惓?shù)據(jù)事件設(shè)置】主要是針對定義的數(shù)據(jù)類型到達所設(shè)置的閥值進行記錄，啟動該功能需勾選【記錄異常數(shù)據(jù)事件】選項。做【所有類型】中選擇要記錄的數(shù)據(jù)類型并添加一個閥值，所記錄的事件信息將顯示在右邊的對話框中。比如，要記錄連接數(shù)大于500的事件，則在【所有類型】中選擇連接數(shù)并輸入500這個閥值，單擊【添加】按鈕事件將顯示在右側(cè)的對話框中。這里建議設(shè)置合理的值，如果設(shè)置太小會每秒觸發(fā)很多條記錄，占用防火墻資源造成防火墻工作不正常。DOS攻擊防護DOS攻擊防護主要是針對防火墻的接收包流量防護模塊進行設(shè)置和屏蔽指定服務(wù)器的MAC地址、IP地址進行設(shè)置。3.1接收包流量限制這里的接收包流量限制防護主要是針對UDP、ICMP和IGMP協(xié)議進行防護。進入防火墻管理界面選擇【設(shè)置】—【DOS攻擊防護】—【接收包流量限制】，可以看見防火墻接收包流量限制界面，可以顯示出規(guī)則的編號、描述、協(xié)議類型、設(shè)置的源IP地址和端口、設(shè)置的目的IP地址和端口、限制的描述、突發(fā)包數(shù)、修改人以及修改時間等信息。接收包流量限制列表可以對規(guī)則進行添加、修改和刪除，并支持對規(guī)則的順序進行排序。單擊【添加】按鈕進入接收包流量限制的具體編輯界面。這里可以填寫對規(guī)則的描述信息如規(guī)則的名稱，選擇協(xié)議類型（UDP/ICMP/IGMP）,源IP地址和目的IP地址以及端口類型，當(dāng)上面的信息輸入完畢后輸入適當(dāng)?shù)臄r截參數(shù)，每秒可以通過的包可以根據(jù)服務(wù)器情況設(shè)定。假如平常的UDP包是200個，那么可以設(shè)定成每秒可以通過100個包，多余的包攔截。允許最大突發(fā)是在5秒內(nèi)允許最大的每秒通過UDP包，假設(shè)從1到5秒的時間突然UDP增加到200每秒，那么傲盾防火墻允許這200X5=1000個包通過，當(dāng)?shù)牧氲臅r候?qū)謴?fù)100個包每秒的規(guī)則。如果要將攔截的信息記錄到系統(tǒng)日志中則勾選【攔截并記錄SYSLOG】選項。3.2屏蔽指定服務(wù)器這個對指定服務(wù)器屏蔽設(shè)置用于對某個IP的攻擊量比較大超過帶寬和防火墻所能承受的范圍。進入防火墻管理界面選擇【設(shè)置】—【DOS攻擊防護】—【屏蔽指定服務(wù)器】，可以看見防火墻屏蔽指定服務(wù)器界面。屏蔽指定服務(wù)器分為兩種方式：MAC屏蔽和IP屏蔽?！綧AC屏蔽】如果要屏蔽服務(wù)器的MAC地址，需勾選【啟用MAC屏蔽】選項才能生效，在【MAC地址】欄中輸入要屏蔽服務(wù)器的MAC地址，單擊【添加】后被屏蔽服務(wù)器的MAC地址將顯示在列表中，列表中的服務(wù)器MAC將不能訪問網(wǎng)絡(luò)?！綢P屏蔽】如果要屏蔽服務(wù)器的IP地址，需勾選【啟用IP_SYN屏蔽】選項才能生效，在【IP地址】欄中輸入要屏蔽服務(wù)器的IP地址，單擊【添加】后被屏蔽服務(wù)器的IP地址將顯示在列表中，列表中的服務(wù)器IP將不能接收新的TCP連接，但是不影響已經(jīng)建立的連接。漏洞攻擊防護漏洞攻擊防護模塊是防火墻的特色之一，也是防火墻的精華所在?？梢酝ㄟ^抓取數(shù)據(jù)包進行分析后在漏洞攻擊防護模塊進行設(shè)置符合攻擊特征的防護規(guī)則，最快時間內(nèi)攔截防護網(wǎng)絡(luò)服務(wù)器。漏洞攻擊防護設(shè)置分為：漏洞特征組設(shè)置、全局漏洞攻擊防護規(guī)則和漏洞特征庫編輯。4.1漏洞特征組設(shè)置設(shè)置漏洞特征組是為了方便漏洞特征庫更好的管理和分類，以后需要對某一網(wǎng)絡(luò)服務(wù)器進行漏洞規(guī)則防護，只需在相應(yīng)的漏洞特征組里找到相應(yīng)的漏洞規(guī)則進行添加即可。進入防火墻管理界面選擇【設(shè)置】—【漏洞攻擊防護】—【漏洞特征組設(shè)置】，可以看見防火墻漏洞特征組的界面。在漏洞特征組列表中顯示出特征組的編號、組名、描述信息和只讀信息，可以對其列表中的信息進行添加、修改和刪除，并支持對特征組的順序進行上下移動重新排序。單擊【添加】按鈕進入漏洞特征組具體的編輯界面?！韭┒刺卣鹘M名稱】可以定義漏洞特征組的名稱?！緜渥ⅰ繉τ诙x的漏洞特征組可以進行說明?！局蛔x組】如果勾選此選項，則該漏洞特征組不允許添加新的漏洞特征規(guī)則，也不允許對其組里的漏洞特征規(guī)則進行修改。4.2全局漏洞攻擊防護規(guī)則在這里設(shè)置可以對針對防火墻進行全局的防護，進入防火墻管理界面選擇【設(shè)置】—【漏洞攻擊防護】—【全局漏洞攻擊防護規(guī)則】，可以看見防火墻全局漏洞攻擊防護規(guī)則列表。在列表中顯示出規(guī)則編號、描述信息、保護的IP地址和端口以及具體漏洞特征規(guī)則，可以對其列表中的信息進行添加、修改和刪除，并支持對規(guī)則的順序進行上下移動重新排序。單擊【添加】按鈕進入全局漏洞攻擊防護規(guī)則的具體編輯界面。該界面分成左右兩個部分，右側(cè)部分可以填寫該全局漏洞攻擊防護規(guī)則的描述信息、選擇防護地址類型（服務(wù)器地址/客戶端地址）、選擇IP類型和端口類型，在左側(cè)部分選擇相應(yīng)的漏洞規(guī)則。被全局漏洞攻擊防護規(guī)則攔截的ＩＰ在【漏洞規(guī)則被封ＩＰ列表】中查到，其被封的類型為全局。4.3漏洞特征庫編輯通過對防火墻漏洞特征庫的編輯可以針對連接、針對數(shù)據(jù)包、針對底層網(wǎng)絡(luò)協(xié)議、應(yīng)用層網(wǎng)絡(luò)協(xié)議等,通過規(guī)則的組合來過濾出異常的數(shù)據(jù)流最大限度的保證正常數(shù)據(jù)流通過。防火墻自帶網(wǎng)絡(luò)服務(wù)器監(jiān)控和數(shù)據(jù)包分析功能可以第一時間發(fā)現(xiàn)網(wǎng)絡(luò)異常，抓取數(shù)據(jù)包分析出未知攻擊數(shù)據(jù)包的特點，以及攻擊數(shù)據(jù)連接的特點，通過漏洞規(guī)則強大的功能來控制防火墻核心過濾掉攻擊數(shù)據(jù)包。進入防火墻管理界面選擇【設(shè)置】—【漏洞攻擊防護】—【漏洞特征庫編輯】，可以看見漏洞特征庫列表的界面。如下圖：漏洞特征庫列表有左右兩個部分組成，左側(cè)是之前在【漏洞特征組設(shè)置】編輯好的漏洞特征組以及描述信息；右側(cè)顯示某一漏洞特征組的具體漏洞規(guī)則信息，如規(guī)則編號、規(guī)則名稱、規(guī)則描述信息、修改人、修改時間等?？梢詫δ骋宦┒刺卣鹘M內(nèi)的漏洞規(guī)則進行添加、修改和刪除。單擊【添加】，進入具體的漏洞規(guī)則編輯界面?！久Q】填寫本規(guī)則的名字?！緜渥ⅰ刻顚懕疽?guī)則的備注信息?！局苯愚D(zhuǎn)發(fā)數(shù)據(jù)包防火墻不處理】有些服務(wù)器可能不需要防火墻防護直接穿透防火墻通過這個功能然后條件匹配選擇通過就可以實現(xiàn)?！窘邮瞻焖龠^濾】當(dāng)超過防火墻參數(shù)設(shè)置中的快速漏洞過濾參數(shù)時，勾選此選項防火墻快速漏洞模塊將進行處理?？焖俾┒茨K處理簡化了漏洞規(guī)則防護，所以漏洞規(guī)則只有某些選項生效，其中包括：【按每IP匹配】、【IP記錄保存時間】、【接收數(shù)據(jù)】、【讀取數(shù)據(jù)包】、【應(yīng)用內(nèi)容】、【子規(guī)則描述】、【邏輯關(guān)系、值】、【十六進制字符】、【從TCP數(shù)據(jù)開始搜索數(shù)據(jù)包位置】、【搜索整個包搜索長度】、【比較值匹配就執(zhí)行設(shè)置操作】、【累加器清零累加器增加】、【判斷累加器】、【數(shù)據(jù)包大小】(按單個數(shù)據(jù)包生效,按累加數(shù)據(jù)包不生效)、【IP記錄保存時間刷新】、【條件匹配】（其中記錄SYSLOG選項不生效）、【條件不匹配】、【加入黑名單】（加入外網(wǎng)生效、加入內(nèi)網(wǎng)不生效）、【只對被封時訪問的服務(wù)器有效】?！炯償?shù)據(jù)包匹配】有些時候需要直接匹配數(shù)據(jù)包頭的內(nèi)容，比如MAC地址、Ethertype、arp數(shù)據(jù)包等選擇這個功能防火墻會忽略協(xié)議,IP端口等，直接匹配數(shù)據(jù)包內(nèi)容?！緟f(xié)議類型】本規(guī)則所關(guān)心的協(xié)議如果選擇【純數(shù)據(jù)包匹配】了，協(xié)議類型將不起作用?！疽?guī)則編號】為每個IP的每條漏洞規(guī)則記錄一個累加器編號，設(shè)置0系統(tǒng)自動分配，分配規(guī)則累加器編號范圍為1001-65535，也可以手動指定，指定規(guī)則累加器編號范圍為1-1000。【按每連接匹配】匹配數(shù)據(jù)的時候是按照建立的連接來匹配。【按每IP匹配】匹配數(shù)據(jù)的時候是按照每個源IP匹配?！綢P記錄保存時間】防火墻會給每個訪問的IP分配一個記錄來保存這個IP的相關(guān)數(shù)據(jù)，設(shè)置這個數(shù)據(jù)保存的時間?！咀x取包數(shù)據(jù)】可以讀取在數(shù)據(jù)包分析功能里保存的單一數(shù)據(jù)包。【應(yīng)用內(nèi)容】讀取數(shù)據(jù)包后選擇需要的特征數(shù)據(jù)內(nèi)容，點此按鈕就會把選取的內(nèi)容自動填寫到下面的判斷值里?！咀右?guī)則描述】設(shè)置一個子規(guī)則的名字，一個漏洞規(guī)則可以包含很多子規(guī)則。【接收數(shù)據(jù)發(fā)送數(shù)據(jù)】設(shè)置本規(guī)則過濾的防火墻接收還是防火墻發(fā)送的數(shù)據(jù)。特征碼的比較設(shè)置如果值為空時不比較直接通過執(zhí)行下面的邏輯關(guān)系比較：【邏輯關(guān)系值】匹配包特征碼時用的邏輯關(guān)系=等于、<>不等于、>大于、<小于、>=大于等于、<=小于等于，注意只有本特征值匹配時才會判斷下面的條件?！臼M制字符】這個是值的類型，是十六進制還是字符，十六進制0到F表示的時候必須兩位數(shù)字代表一個字節(jié)，比如000F1B中間不能有空格。邏輯關(guān)系比較設(shè)置只有特征碼比較匹配時才會執(zhí)行：【CC插件】用來防護WEB服務(wù)器的刷網(wǎng)站頁面，正常客戶用瀏覽器訪問網(wǎng)站，數(shù)據(jù)經(jīng)過防火墻在數(shù)據(jù)包打上一個標記驗證碼，如果是攻擊IP不會用瀏覽器訪問網(wǎng)站，防火墻檢查沒有標記驗證碼就會攔截。單擊插件按鈕顯示出CC插件的具體頁面。右側(cè)為插件參數(shù)：timeout：一般填10，表示這個驗證狀態(tài)最長保持10秒。checkcount：設(shè)置0是正常值，設(shè)置1的話會一直驗證，推薦選擇0。livetime：證完畢后300秒內(nèi)這個ip是可信任的。ccmod：0表示是原來的驗證腳本1表示新的cc驗證模塊。左側(cè)為插件名稱、資源總數(shù)和資源使用。如果資源使用等于資源總數(shù)需在插件模塊信息中清空資源。【從TCP數(shù)據(jù)開始搜索數(shù)據(jù)包位置】這兩個參數(shù)決定從數(shù)據(jù)包的什么位置開始搜索，比如選擇了從TCP數(shù)據(jù)開始搜索，數(shù)據(jù)包位置10防火墻分析數(shù)據(jù)包的時候就會從TCP數(shù)據(jù)包的數(shù)據(jù)部分加上10的位置開始搜索輸入的值，如果不選擇從TCP數(shù)據(jù)開始搜索就從數(shù)據(jù)包開始部分加上10的位置開始搜索輸入的值。【搜索整個包搜索長度】這兩個參數(shù)決定數(shù)據(jù)包搜索的長度，如果選擇搜索整個包，搜索值的時候就會一直搜索到數(shù)據(jù)包尾，這時搜索長度將不起作用，如果不選擇搜索整個包就會搜索指定的搜索長度?！九袛郥CP連接是否建立】必須選擇按每連接匹配才會生效，如果上面特征值匹配但是數(shù)據(jù)TCP連接沒有建立起來則攔截數(shù)據(jù)包?！緳z查TCP協(xié)議】必須選擇按每連接匹配才會生效，如果上面特征值匹配但是數(shù)據(jù)不是TCP協(xié)議則攔截數(shù)據(jù)包?！九袛鄷r間】和【計時清零】、【開始計時】配合使用用來提供一個時間限制完成復(fù)雜的規(guī)則?！九袛鄻酥疚弧亢汀驹O(shè)置標志位】、【清除標志位】配合使用。比如攻擊有好多特征碼，第一個特征碼符合的時候設(shè)置標志位ID1為真，第二個特征碼符合時設(shè)置標志位ID2為真，通過組合可以完成復(fù)雜的規(guī)則，剛從黑名單釋放ID8會設(shè)置為真?！九袛嗬奂悠鳌亢汀纠奂悠髑辶恪?、【累加器增加】配合使用，用來記錄特征值出現(xiàn)次數(shù)或者其他需要累加計數(shù)的地方?！局党霈F(xiàn)次數(shù)】按“單個數(shù)據(jù)包時”記錄單個數(shù)據(jù)包里特征值出現(xiàn)的次數(shù)；選擇“按連接”則記錄整個連接過程值出現(xiàn)的次數(shù)，這個功能按每連接匹配和按每IP匹配都可以?！緮?shù)據(jù)包大小】和【包字節(jié)清零】、【開始累加包字節(jié)】配合使用，通過這個功能可以判斷包字節(jié)異常的攻擊，可以“按單個數(shù)據(jù)包”定義攻擊數(shù)據(jù)包的大小，也可以“按累加數(shù)據(jù)包”去限制IP流量。特征碼比較和邏輯關(guān)系比較匹配或者不匹配時執(zhí)行的針對本數(shù)據(jù)包的操作：【條件匹配】針對上面特征碼值和邏輯關(guān)系比較都通過后執(zhí)行的操作。包括：<通過>、<攔截>、<繼續(xù)子規(guī)則>繼續(xù)執(zhí)行后面的子規(guī)則、<跳出本規(guī)則>跳出這條漏洞規(guī)則執(zhí)行下一個漏洞規(guī)則?！緱l件不匹配】特征碼值和邏輯關(guān)系比較只要有一個不匹配則執(zhí)行。條件不匹配<跳出本規(guī)則>跳出本規(guī)則執(zhí)行下一個規(guī)則、<繼續(xù)后面子規(guī)則>繼續(xù)執(zhí)行后面的子規(guī)則。特征碼比較和邏輯關(guān)系比較匹配時的操作：【加入黑名單】加入防火墻漏洞規(guī)則封IP列表中?！炯尤胪饩W(wǎng)加入內(nèi)網(wǎng)】選擇加入“外網(wǎng)黑名單”封的是客戶端也就是訪問服務(wù)器的IP，如果“加入內(nèi)網(wǎng)黑名單”封的是服務(wù)器的IP?！景l(fā)送RET包】針對TCP協(xié)議使用的，給服務(wù)器發(fā)送一個RET包用來釋放連接?！局粚Ρ环鈺r訪問的服務(wù)器有效】如果不選擇被封的IP將無法訪問防火墻下所有的服務(wù)器，如果選擇上這個選項只對被封時訪問的服務(wù)器攔截?！鹃_啟TCPCACHE】用來防護空連接攻擊，有一些TCP攻擊連接建立后就沒有后續(xù)的數(shù)據(jù)包，通過這個規(guī)則可以完全防護，請參見防火墻帶的系統(tǒng)規(guī)則HTTP空連接規(guī)則?！鹃_啟TCP連接強制釋放】這個只能用于按每連接匹配，連接建立后指定的時間內(nèi)把連接釋放掉。特征碼比較或者邏輯關(guān)系比較匹配時設(shè)置的連接數(shù)據(jù)：【比較值匹配就執(zhí)行設(shè)置操作】選擇后，如果邏輯關(guān)系和特征碼值都匹配時就會執(zhí)行下面的設(shè)置操作；如果沒有選擇，必須邏輯關(guān)系和特征碼值以及上述條件都符合時判斷下列條件都匹配時執(zhí)行下面的設(shè)置操作?！居嫊r清零】【開始計時】和【判斷時間】配合使用?！纠奂悠髑辶恪俊纠奂悠髟黾印坑脕砗汀九袛嗬奂悠鳌颗浜鲜褂??！驹O(shè)置標志位】【清除標志位】用來和【判斷標志位】配合使用?！景止?jié)數(shù)清零】【開始累加包字節(jié)】用來和【數(shù)據(jù)包大小】配合使用?！綢P記錄保存時間刷新】一個IP其保存時間為20秒，到達10秒就匹配邏輯關(guān)系和特征碼值，需再等10秒到達保存時間結(jié)束再次檢查是否配置。如果勾選此選項，則到達10秒檢查匹配后刷新IP的保存時間，丟棄剩余的10秒重新計時其保存時間檢查是否匹配邏輯關(guān)系和特征碼值。選擇輸入相應(yīng)的選項之后單擊【添加】按鈕，所定義的漏洞特征子規(guī)則將顯示在規(guī)則列表中。一個漏洞規(guī)則可以包含很多條子規(guī)則。子規(guī)則是按照順序執(zhí)行的，上面設(shè)置好了條件參數(shù)，點擊添加【按鈕】就可以添加再生成一條子規(guī)則。選擇一條子規(guī)則點擊【刪除】，該規(guī)則的子規(guī)則就會被刪除掉。選擇一條子規(guī)則，點擊【保存修改內(nèi)容】，設(shè)置的條件參數(shù)就會被保存到所選擇的子規(guī)則里。編輯好所有的子規(guī)則后單擊【確定】，所定義的漏洞特征規(guī)則將顯示在漏洞特征庫列表中。異常流量牽引如果要對異常流量進行牽引操作需擁有上層路由操作權(quán)限，在再對異常流量進行牽引和恢復(fù)的設(shè)置與異常流量牽引模塊配合使用。進入防火墻管理界面選擇【設(shè)置】—【異常流量牽引】—【異常流量牽出】，可以看見異常流量牽引設(shè)置的編輯界面。如下圖：異常流量牽引設(shè)置的編輯界面主要分為四個部分：異常I