傲盾软件防火墙培训教材

第一篇第一篇 软件防火墙的安装软件防火墙的安装 第一章第一章 IPIP 和和 MACMAC 地址的查询地址的查询 4 一 如何查询 IP 地址和 MAC 地址 4 第二章第二章 傲盾防火墙的安装傲盾防火墙的安装 5 第三章第三章 傲盾防火墙的启动与调试傲盾防火墙的启动与调试 11 一 防火墙的启动 11 第四章第四章 防火墙不工作原因查找及故障排除防火墙不工作原因查找及故障排除 14 一 防火墙不工作情况的表现 14 情况一 登陆防火墙 KFW 傲盾防火墙企业管理器 提示连接 失败 14 情况二 在有右下角任务栏里托盘中防火墙不能 开始 14 情况三 可以打开管理器 但是打开后没有流量曲线图 15 二 如果防火墙不工作需要查一下以下几个方面的设置 15 1 查看 Windows 系统时间设置是否正确 15 2 查看服务器网卡 MAC 地址是否为虚拟 16 3 查看应用服务有没有启动 19 4 查看傲盾防火墙的驱动程序生成时间是否正确 20 5 如果是以上四项以外的原因 21 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 1 第一章 IP 和 MAC 地址的查询 一一 如何查询如何查询 IP 地址和地址和 MAC 地址 地址 因为傲盾防火墙是和服务器的 IP 地址和 MAC 网卡 绑定的 所以在联系我公司人 员制作安装包之前要查询 IP 地址和 MAC 地址 方法如下 1 单击 开始 菜单在运行栏输入 cmd 如图 2 确定 后进入 DOS 提示符 如图所示 3 键入 ipconfig all 回车后出现一下提示界面 如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 2 在上图中 本地连接 下 ip address 就是你的 IP 地址 physical address就是你的网 卡 MAC 地址 知道自己的 IP 地址和 MAC 地址之后 可以联系我公司人员制作防火墙安装包 安装 包制作好以后会在服务器生成一下载地址 客户可以下载安装包傲本地服务器进行安 装 第二章第二章 傲盾防火墙的安装傲盾防火墙的安装 联系我公司人员生成安装包下载地址以后 将安装程序下载到本地服务器 进行软件 的安装 1 下载后的安装包如图所示 2 点击图标进行安装 点击后如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 3 3 点击 下一步 4 选择 我同意该许可协议的条款 然后点击 下一步 如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 4 5 选择安装路径 这里我们选择默认安装路径 C Program Failes safe123 kfee 就可 以 然后继续 下一步 出现如图所示 6 继续 下一步 如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 5 7 安装等待结束后出现 防火墙参数设置界面 如图所示 这个是防火墙的启动参数设置 一般防火墙是和常用应用软件是没有冲突的 因 为一般我们安装都是远程安装 为了防止远程登陆被断掉的危险 安全期间我们 选择 开机后不自动启动防火墙 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 6 8 启动参数设置完毕以后 点击 确定 按钮 出现如图所示 9 点击 完成 按钮完成本软件的安装 此时将会出现重新启动计算机的提示界面 我们点击 是 Y 重新启动计算机 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 7 10 完成本软件的安装 重新启动计算机后就可以运行本软件了 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 8 第三章第三章 傲盾防火墙的启动与调试傲盾防火墙的启动与调试 一 防火墙的启动 一 防火墙的启动 因为我们在安装时的 启动参数设置 里面设置的是 开机后不自动启动防火墙 所以我们要开机后手动去运行防火墙 1 启动防火墙 打开 开始 菜单 所有程序 傲盾防火墙企业版本 5 1 运行托盘 如图所示 2 运行托盘后 在桌面右下角任务栏会出现傲盾的小图标 如图所示 3 双击此图标 出现如图所示 4 我们点击 开始 当 开始 按钮为灰色的时候 防火墙已经启动 此时可以打开桌面 上的 KFW 企业管理器 如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 9 5 双击此图标后 将会出现防火墙管理器登陆界面 如图所示 6 首次登陆的 地址 默认为 127 0 0 1 10000 帐号默认为 root 密码默认为 12345 点击 登陆 按钮后 进入 KFW 防火墙管理器界面 如图所示 7 点击启动流量查看图按钮 上图中圈中的地方 然后点击 下图所示下拉菜单 选中防 火墙绑定的 IP 如下图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 10 8 我们选中防火墙绑定的 IP 后将会出现 流量监控的事实图标曲线图 如下图所示 此时有流量曲线图证明防火墙工作正常 如果登陆 KFW 企业管理器 有异常情况 请查 看下面 防火墙不工作原因查找及故障排除 章节 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 11 第四章第四章 防火墙不工作原因查找及故障排除防火墙不工作原因查找及故障排除 一一 防火墙不工作情况的表现防火墙不工作情况的表现 防火墙不工作一般是有以下几种情况 1 登陆防火墙 KFW 傲盾防火墙企业管理器 提 示连接失败 2 在有右下角任务栏里托盘中防火墙不能 开始 3 可以打开管理器 但是 打开后没有流量曲线图 如图所示 情况一 登陆防火墙 KFW 傲盾防火墙企业管理器 提示连接失败 情况二 在有右下角任务栏里托盘中防火墙不能 开始 当防火墙启动后在托盘处点击鼠标右键会出现如上菜单 我们点击 开始 按钮当开始为 灰色显示时 防火墙已经启动 如果点击开始没有反应 说明防火墙不工作 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 12 情况三 可以打开管理器 但是打开后没有流量曲线图 如果出现以上三种情况防火墙均为不工作状态 下面详细的讲解一下故障的排除 二二 如果防火墙不工作需要查一下以下几个方面的设置 如果防火墙不工作需要查一下以下几个方面的设置 1 查看 Windows 系统时间设置是否正确 如果时间设置不正确有可能导致防火墙工作不正常 如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 13 上图所示当前时间为 2006 年八月 25 日 17 00 如果时间正确 当系统为 Windos2003 系统时需要看一下上图中 Internet 时间 如下图所示 此时需要取消 自动与 Internet 时间服务器同步 前面的复选框 2 查看服务器网卡 MAC 地址是否为虚拟 如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 14 首先在 开始 控制面板 网络连接 本地连接 打开本地连接 然后在 本地连接 鼠标右键单击属性 如下图所示 单击 属性 如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 15 点击网卡的 配置 按钮 出现如下图所示界面 然后点 高级 查找带有 address 后缀的值是否存在 如果此值 存在则说明刚才查找的 MAC 地址为虚拟的 需要重新联系我司销售技术人员重新制作生 成安装包 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 16 3 查看应用服务有没有启动 在桌面 我得电脑 右键打开 管理 如下图所示 打开 服务和应用程序 在 服务 里面找到 Remote Access Connection Manager 和 Telephony 这两个服务 看这两个服务是否已经启动 如果没有启动 需要将这两个服 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 17 务启动 打开 服务和应用程序 找到 服务 如图所示 打开后找到 Remote Access Connection Manager 和 Telephony 这两个服务 如果没有 启动 将这两个服务启动 4 查看傲盾防火墙的驱动程序生成时间是否正确 驱动程序在 C WINDOWS system32 drivers 目录下文件名为 kfwcorea 一般这个文 件的修改时间是防火墙安装包生成的时间 如果这个时间和给您制作安装程序的时间差 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 18 别很大 可能是驱动的原因 请联系我公司人员重新制作生成程序 5 如果是以上四项以外的原因 请联系我公司技术人员帮您查找解决问题 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 19 第二篇 FW 傲盾防火墙如何防范 CC 攻击 CC 攻击是 DDOS 攻击的一种 CC 攻击模拟多个用户不停的进行访问 某个页面直至系统崩溃 kfw 傲盾防火墙独特的算法 区别于其他防火墙 不但可以根据单个 IP 的连接数量 也可以根据页面的内容进行智能定制防护 可以有效防范 cc 攻击 设置如下 1 登陆 KFW 傲盾防火墙管理器 设置 防火墙规则 防火墙规则设 置 添加 如图 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 20 名称填写 防范 CC 攻击规则 协议类型选 TCP 发送端是访问 web 的 客户端 接受端是需要保护的 WEB 服务器的 IP 地址 这里我们假设是 192 168 1 102 选择 接受端 等于单一 IP 地址 通常 web 服务器的 端口是 80 这里我们选择 等于端口 80 协议属性设置 默认情况 是防护下面所有的 FIN ACK SYN PSH RST URG 协议 这个选项我 们一般不需要动 拦截设置 我们选 条件符合时拦截 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 21 2 然后点击 高级设置 进入 高级设置 界面 选择 大量 IP 刷服 务器 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 22 如下图 我们选择 1 进行大量 IP 刷服务器防护 2 按访问限制 3 WEB SERVER HTTP 协议防护 WEB SERVERHTTP 协议防护是 傲盾防火墙所独有的功能 如果选上这个选项 那么防火墙根据每个访 问 IP 打开你页面的所需要下载的图片 flash 等计算访问服务器次数 假如你的页面很大图片 和 flash 就需要增加 60 秒内允许访问的 次数 可以从 50 次增加到 100 或者 200 次 根据你自己的情况灵活调 节你可以一边调节这个数值 一边访问自己的网站 如果发现登陆不上 去了 就可以加大数值 如果你要根据每个 IP 和服务器建立的连接来进行防护 不推荐这样 应为连接数通常不准确 就可以不选 WEB SEVER HTTP 协议防护 这样就是按照链接数进行防护了 3 下图中的 选项 加入 IP 拒绝访问列表后多少秒内释放 是指超出 60 秒访问 50 次的 IP 将会被冰冻起来 加入 IP 拒绝访问列表 我们可 以冰冻这个 IP 达 600 秒 当然也可以设置成 500 或者 300 秒 解冻后 允许它访问服务器 10 次 这个数值也可以根据情况再进行设置 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 23 4 如果 CC 攻击的数量很大 你也可以禁止 HTTP 代理连接 但是这样 做会使一部分使用 HTTP 代理的用户访问不了你的网站 点击 设置 DOS 攻击防护 SYN 拒绝服务攻击防护 如下图 然后添加一个规则如下图 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 24 描述写 防止 HTTP 代理连接 IP 类型 选 任何 IP 地址 端口类型 选 任何端口 然后点击 禁止 http 代理连接 如下图 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 25 通过上述几个步骤的设置 KFW 傲盾防火墙就可以防护针对 WEB 的 CC 和空连接攻击了 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 26 第三篇 傲盾防火墙如何防护 UDP 攻击 KFW 傲盾防火墙功能强大 能防护 DDOS SYN CC M2 ICMP IGMP UDP 等攻击 UDP User Datagram Protocal 即用户数据报协议 主要用来支持需要在计算机之间传输 数据的网络应用 包括网络视频会议系统在内的众多的客户 服务器模式的网络应用都需要 使 UDP 协议 KFW 傲盾防火墙通过分析底层通讯协议来防护 UDP 攻击 比较常用 UPD 攻击软件如 阿拉丁 UDP 洪水攻击器 2 1 一 如何得知自己被一 如何得知自己被 UDP 攻击攻击 1 单击 KFW 企业版网络监控 2 点击 查询视图 点击 所有连接列表 点击右侧 协议 选择 UDP 可以看到所有 的 UDP 连接的源 IP 目的 IP 源端口 目的端口 假设你的服务器平常的 UDP 连接是 100 个左右 现在在连接列表里的 UDP 连接突然到达 500 个 这时你的服务器肯定遭受到了 UDP 攻击 3 确定 UDP 的攻击量 双击 KFW 企业版管理器 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 27 4 输入帐户密码登陆管理器 5 点击 流量监控 点击 开始流量监控 在下拉菜单中选中你的 IP 地址 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 28 6 点击 发送字节 和 接受字节 如下图 7 你可以看到你的服务器瞬时发送的字节和接受的字节数 下图是发送字节和接受字节分 别是 74 时间是 7 32 分 52 秒 假如你的接受字节是 120 000 000 120 万个字节 约等 于 12 兆字节 换算成比特位就是 12 兆 X 8 96 兆带宽 这就意味这 UDP 攻击占用了你 96 兆带宽 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 29 二 如何设置防护二 如何设置防护 UDP 攻击规则攻击规则 1 点击 设置 DOS 攻击防护 接受包流量限制 2 如上图 我们可以看到 傲盾防火墙已经内置了三个防护 ICMP UDP 和 IGMP 的规则 选中 UDP 攻击防护 规则 单击 修改 3 下图的 源地址 可以选择攻击者的源 IP 由于攻击的源 IP 都是伪造的 源地址 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 30 可以选择 任何 IP 地址 源地址下面的端口类型也可以选 任何端口 目的地 址 下面的 IP 类型是你服务器的 IP 地址 即可以添加你服务器的 IP 地址 也可以是 任何 IP 地址 端口选择你服务器的 UDP 端口 或者是 任何端口 下面的设置是 每秒可以通过 1000 个 UDP 包 傲盾防火墙象一个阀门 当每秒的 UDP 包到达 1200 时候 超出的 200 个包将被拦截 4 每秒可以通过的包可以根据你的服务器情况设定 假如平常的 UDP 包是 100 个 那么 可以设定成每秒可以通过 100 个包 多余的包拦截 如下图 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 31 5 运行最大突发是在 5 秒内允许最大的每秒通过 UDP 包 假设上图所示 从 1 到 5 秒的 时间突然 UDP 增加到 200 每秒 那么傲盾防火墙允许这 200X 5 1000 个包通过 当的 六秒的时候 将会恢复 100 个包每秒的规则 智能处理 是针对硬防防火墙的选项 软防一般不要选 三三 如何评估防护结果如何评估防护结果 对于 UDP 攻击包 傲盾防火墙就象一个阀门 把规则设定的 UDP 包放进来 把多余的拦 截调 但是我们有的时候 设定了傲盾防火墙的 UDP 规则 ping 服务器仍然丢包 这个时 候你要考虑你的带宽了 假如你的带宽是百兆独享 在傲盾企业版本网络监控里面 接受 字节是 120 000 000 120 万个字节 约等于 12 兆字节 换算成比特位就是 12 兆 X 8 96 兆带宽 这就意味这 UDP 攻击占用了你 96 兆带宽 加上你发送的字节数 你的服务器 带宽已经被占用完 虽然 UDP 包被傲盾防火墙拦截 但是你的服务器可能不能正常的工 作 这时你需要临时增加带宽 以抵御 UDP 攻击 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 32 KFW 傲盾防火墙针对傲盾防火墙针对 WEB 服务器防护设置服务器防护设置 第一章第一章 如何查看是否有攻击如何查看是否有攻击 一一 通过服务器的一些异常情况查看攻击通过服务器的一些异常情况查看攻击 当服务器主机被 DOS DDOS 攻击时 主要有如下现象 1 被攻击主机上有大量等待的 TCP 连接 用 netstat an 命令查看会 有数百上千个不同的 IP 不停的和主机服务器建立连接 2 CPU 占用率很高 有时候甚至达到 100 严重时会出现蓝屏死机死机 3 网络中充斥着大量的无用的数据包 源地址为伪造 IP 和端口 4 高流量无用数据 如 IGMP 数据包 网络拥塞 受害主机无法正常和外 界通讯 1 查看流量图 首先双击桌面图标上的 KFW 企业版管理器 出现如下所示防火墙登录界面 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 33 默认密码为 12345 点击登录 按钮 后进入防火墙设置以及流量查看界 面 如图所示 然后点击启动按钮选择下拉菜单选中本机所使用的 IP 就会出现流量曲线 图 在此流量图中可以看到每秒即时的接收包和发送包其中红线代表发送包蓝 线代表接收包 当有外来攻击的时候接收包 蓝线 流量会大大增加 平 时曲线图中接收包和发送 包流量是差不太多的 但当有攻击的时候蓝线 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 34 会远远高于红线 2 查看 DOS SYN 列表 首先 鼠标左键双击桌面上的 KFW 企业版网络监控 如图所示 出现如下图所示界面 如果有 DOS SYN 攻击的时候 点击如图所示 DOS SYN 列表 会出现防火墙连 接的 SYN 包信息 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 35 如上图所示 防火墙拦截了大量的针对 7000 端口的 SYN 攻击包 上面的 源 IP 就是攻击者伪造的 IP 地址 目的 IP 就是本机 IP 3 如何查看服务器是否遭受了 CC 攻击 打开 KFW 企业版网络监控 点击查询视图 点击如上图所示 查询视图 出现如下图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 36 上图显示的是当前所有连接的详细信息列表 然后点击如下图所示 圈中的地 方 当出现一个灰色的向上的或者向下的小箭头时证明此时的源 IP 是按序排列的 此时可以方便的查看每个 IP 和服务器建立的多少连接 因为 CC 攻击时黑客利 用控制代理攻击的 一般是控制上百台或者上千代理频繁的和一台服务器建立 连接 以达到耗尽服务器资源的目的 当我们查看在源 IP 有超出平常几倍甚至 几十倍的连接信息 并且单个 IP 和服务器建立连接有很多的时候 说明遭受到 了 CC 攻击 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 37 另外 我们还可以查看针对某个端口的信息 点击 目的端口 后面的小箭头出现如下所示下拉菜单 选中后出现如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 38 比如 我们查看 80 端口的信息 在这里输入 80 然后点击 OK 下面列表 里出现的就都是关于 80 端口的连接信息 4 如何查看服务器是否遭受了 UDP ICMP IGMP 攻击 当服务器遭受了 UDP ICMP IGMP 等带宽攻击的时候在防火墙流量图里面 有可能看不到很大数目的攻击包 这是因为傲盾防火墙已经拦截了攻击包 这时候我们要查看 KFW 企业版管理器 里面接收拦截包如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 39 在上图所示下拉菜单复选框中选择 接收拦截包数 就会产看到拦截的攻击包 此外还可以查看 KFW 企业版网络监控 里面的连接信息 点击 查询视图 点击 所有连接列表 点击右侧 协议 选择 UDP 或者 ICMP IGMP 可以看 到所有的 UDP ICMP IGMP 连接的源 IP 目的 IP 源端口 目的端口 假设 你的服务器平常这种数据包很少 突然增加了很说 说明服务器此时肯定是遭 受了 UDP ICMP IGMP 攻击 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 40 二 如何针对攻击对防火墙进行防护设置 二 如何针对攻击对防火墙进行防护设置 傲盾防火墙的特点就是功能强大规则设置灵活 所以要使傲盾防火墙达到 最好的防护效果就需要专业灵活的掌握好设置参数 下面以针对传奇攻击 为例详细的介绍一下 各种攻击的防护以及防火墙的设置 1 针对 DDOS SYN 攻击的设置 DDOS SYN 攻击就是针对 TCP IP 协议的薄弱环节 利用 IP 欺骗技术 对要 攻击的节点疯狂地发出数据包 使得被攻击节点忙于处理这些虚假来源的 数据包 从而使合法的使用者无法正常的连接到被攻击的节点 选择菜单 设置 DOS 攻击防护 高效 syn 防护设置 如图所示 点击后出现如下图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 41 syn 高效防护开关 开启后 默认将保护服务器所有端口 默认的响应 TCP 连接 请求的数值是 50 50 这个数值就是说在一秒内 所有发到服务器的建立连接 的请求 傲盾防火墙只处理前 50 个 假如有 51 个包 最后 1 个包 傲盾防火 墙会暂时搁置 等 3 秒钟在进行处理 如果是正常的连接 3 秒种后 被搁置 的这个请求会再次发出 如果是 ddos syn 攻击 因为 IP 地址是虚拟的 3 秒 钟后就不会在发出回应的包 因此就避免了服务器资源被耗尽 这个数值是可 以调整的 如果服务器同时在线人数很大 可以加大这个设置到 100 或者 150 但是如果攻击量大 这个数值可以减小到 30 或者 50 CC 攻击是 DDOS 攻 击的一种 CC 攻击模拟多个用户不停的进行访问某个页面直至系统崩溃 SYNSYN 拒绝服务攻击防护设置拒绝服务攻击防护设置 选择菜单 设置 DOS 攻击防护 SYN 拒绝服务攻击防护 如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 42 点击 SYN 拒绝服务攻击 如图所示点击 添加 按钮 设置说明 INTERENT IP 地址 本规则的 Interent Ip 地址 也就是遭受 syn dos 攻击 的 Ip 地址 在这里因软防装的只有一台服务器 所以我们选择 任何 IP 地 址就可以了 端口类型 本规则要保护的端口 可以通过下拉菜单选择个端口或者端口列 表 INTERENT IP 地址 本规则的 Interent Ip 地址 也就是遭受 syn dos 攻击 的 Ip 地址 连接建立前检查合法性 连接建立前检查合法性 是针对很多服务程序 比 如 web 服务器 传奇游戏 终端服务等 连接建立后客户端都会主动发送 一个包给服务器 防火墙利用这个特点伪装成服务器 攻击端和客户端建立 连接实际上是和防火墙建立连接 防火墙把这个连接信息保存起来 并不和 目标服务器直接建立连接 当客户端连接后发送一个数据包 经过防火墙 防火墙检查后没问题 就把客户端和服务器连接起来 新建连接的合法检查 针对 DDoS 攻击者 这类攻击 选择此项 FTP 服务 器 可以通过本设置来防护 DDoS 攻击者 这类的攻击 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 43 新建连接的合法检查 子项 比如默认设置 连接建立后 2 秒内 客户端 必须发送 3 个数据包 表示 TCP 连接完成 3 次握手建立连接后 2 秒钟内系统 将检查请求这个连接的客户端是否发送了 3 个数据包 如果客户端没有发送 3 个数据包 这个连接将被断开 通过这两个设置 可以防护未知的 syn 攻 击 禁止 HTTP 连接 防止 CC 类攻击非 HTTP 端口 有些攻击用 CC 类工具通过 代理服务器来攻击非 HTTP 的端口 是通过 HTTP 协议来的防问 所以通过这 个选项可以完全防住这类攻击 禁止 HTTP 代理连接 代理服务器会在 HTTP 头里留下代理服务器的一些信 息 通过这些可以判断出是否是通过代理服务器访问的 HTTP 引用页面检查 http 头里有引用标志 这个标志里填写访问这个 url 是从哪个页面过来的 通过判断引用标志可以来防止恶意刷新网页 HTTP 引用页面基本设置 在 允许引用的 url 里加入允许引用你网站的 url 前缀 不被允许的网页引用你的网页都会被拦截 2 针对 WEB 网站服务器 CC 攻击如何进行设置防护 CC 攻击是 DDOS 攻击的一种 CC 攻击模拟多个用户不停的进行访问某个页面直至 系统崩溃 被 CC 攻击时候服务器出现如下的的症状 一般服务器被 CC 攻击时 WEB 服务器会出现 80 端口对外是关闭的现象 因为这个断口已经被堵塞了 通过命令 netstat an 可以看到和如下显示雷同 的记录 80 62 126 37 172 5641 SYN RECEIVED 其中 62 126 37 172 就是代理攻击 IP SYN RECEIVED 就是攻击的特征 这样的记 录一般都会有很多条 不同的代理 IP 攻击 kfw 傲盾防火墙独特的算法 区别于其他防火墙 不但可以根据单个 IP 的连 接数量 也可以根据页面的内容进行智能定制防护 可以有效防范 cc 攻击 设置 如下 1 登陆 KFW 傲盾防火墙管理器 设置 防火墙规则 防火墙规则设置 添加 如图 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 44 名称填写 防范 CC 攻击规则 协议类型选 TCP 发送端是访问 web 的客户端 接受 端是需要保护的 WEB 服务器的 IP 地址 这里我们假设是 192 168 1 102 选择 接受端 等于单一 IP 地址 通常 web 服务器的端口是 80 这里我们选择 等于端口 80 协议属性设置 默认情况是防护下面所有的 FIN ACK SYN PSH RST URG 协议 这个选项我们一般不需要动 拦截设置 我们选 条件符合时拦截 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 45 2 然后点击 高级设置 进入 高级设置 界面 选择 大量 IP 刷服务 器 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 46 如下图 我们选择 1 进行大量 IP 刷服务器防护 2 按访问限制 3 WEB SERVER HTTP 协议防护 WEB SERVERHTTP 协议防护是傲盾防火墙所独 有的功能 如果选上这个选项 那么防火墙根据每个访问 IP 打开你页面的所需要 下载的图片 flash 等计算访问服务器次数 假如你的页面很大图片 和 flash 就需要增加 60 秒内允许访问的次数 可以从 50 次增加到 100 或者 200 次 根据你自己的情况灵活调节你可以一边调节这个数值 一边访问自己的网站 如 果发现登陆不上去了 就可以加大数值 如果你要根据每个 IP 和服务器建立的连接来进行防护 不推荐这样 应为连接 数通常不准确 就可以不选 WEB SEVER HTTP 协议防护 这样就是按照链接数进 行防护了 3 下图中的 选项 加入 IP 拒绝访问列表后多少秒内释放 是指超出 60 秒访 问 50 次的 IP 将会被冰冻起来 加入 IP 拒绝访问列表 我们可以冰冻这个 IP 达 600 秒 当然也可以设置成 500 或者 300 秒 解冻后允许它访问服务器 10 次 这个数值也可以根据情况再进行设置 4 如果 CC 攻击的数量很大 你也可以禁止 HTTP 代理连接 但是这样做会使一部 分使用 HTTP 代理的用户访问不了你的网站 点击 设置 DOS 攻击防护 SYN 拒绝服务攻击防护 如下图 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 47 然后添加一个规则如下图 描述写 防止 HTTP 代理连接 IP 类型 选 任何 IP 地址 端口类型 选 任何端口 然后点击 禁止 http 代理连接 如下图 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 48 通过上述几个步骤的设置 KFW 傲盾防火墙就可以防护针对 WEB 的 CC 和空连接 攻击了 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 49 第五篇第五篇KFWKFW 傲盾防火墙针对网游服务器攻击防护设置傲盾防火墙针对网游服务器攻击防护设置 第一章第一章 如何查看是否有攻击如何查看是否有攻击 一一 通过服务器的一些异常情况查看攻击通过服务器的一些异常情况查看攻击 当服务器主机被 DOS DDOS 攻击时 主要有如下现象 1 被攻击主机上有大量等待的 TCP 连接 用 netstat an 命令查看会 有数百上千个不同的 IP 不停的和主机服务器建立连接 2 CPU 占用率很高 有时候甚至达到 100 严重时会出现蓝屏死机死机 3 网络中充斥着大量的无用的数据包 源地址为伪造 IP 和端口 4 高流量无用数据 如 IGMP 数据包 网络拥塞 受害主机无法正常和外 界通讯 二 二 通过傲盾防火墙查看是否有攻击通过傲盾防火墙查看是否有攻击 1 查看傲盾防火墙流量图 首先双击桌面图标上的 KFW 企业版管理器 出现如下所示防火墙登录界面 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 50 默认密码为 12345 点击登录 按钮 后进入防火墙设置以及流量查看 界面 如图所示 然后点击启动按钮选择下拉菜单选中本机所使用的 IP 就会出现流量曲线 图 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 51 在此流量图中可以看到每秒即时的接收包和发送包 其中红线代表发送包 蓝线代表接收包 当有外来攻击的时候接收包 蓝线 流量会大大增加 平时曲线图中接收包和发送 包流量是差不太多的 但当有攻击的时候蓝 线会远远高于红线 2 查看傲盾防火墙 DOS SYN 列表 首先 鼠标左键双击桌面上的 KFW 企业版网络监控 如图所示 出现如下图所示界面 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 52 如果有 DOS SYN 攻击的时候 点击如图所示 DOS SYN 列表 会出现 防火墙连接的 SYN 包信息 如上图所示 防火墙拦截了大量的针对 7000 端口的 SYN 攻击包 上面 的 源 IP 就是攻击者伪造的 IP 地址 目的 IP 就是本机 IP 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 53 3 利用防火墙查看服务器是否遭受了 CC 攻击 打开 KFW 企业版网络监控 点击查询视图 点击如上图所示 查询视图 出现如下图所示 上图显示的是当前所有连接的详细详细信息列表 然后点击如下图所示 圈中 的地方 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 54 当出现一个灰色的向上的或者向下的小箭头时证明此时的源 IP 是按序排列的 此时可以方便的查看每个 IP 和服务器建立的多少连接 因为 CC 攻击时黑客利 用控制代理攻击的 一般是控制上百台或者上千代理频繁的和一台服务器建立 连接 以达到耗尽服务器资源的目的 当我们查看在源 IP 有超出平常几倍甚至 几十倍的连接信息 并且单个 IP 和服务器建立连接有很多的时候 说明遭受到 了 CC 攻击 另外 我们还可以查看针对某个端口的信息 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 55 点击 目的端口 后面的小箭头出现如下所示下拉菜单 选中后出现如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 56 比如 我们查看 7000 端口的信息 在这里输入 7000 然后点击 OK 下 面列表里出现的就都是关于 7000 端口的连接信息 4 利用防火墙查看服务器是否遭受了 UDP ICMP IGMP 攻击 当服务器遭受了 UDP ICMP IGMP 等带宽攻击的时候在防火墙流量图 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 57 里面有可能看不到很大数目的攻击包 这是因为傲盾防火墙已经拦截了攻 击包 这时候我们要查看 KFW 企业版管理器 里面接收拦截包如图所 示 在上图所示下拉菜单复选框中选择 接收拦截包数 就会产看到拦截的攻击包 此外还可以查看 KFW 企业版网络监控 里面的连接信息 点击 查询视图 点击 所有连接列表 点击右侧 协议 选择 UDP 或者 ICMP IGMP 可 以看到所有的 UDP ICMP IGMP 连接的源 IP 目的 IP 源端口 目的端口 假设你的服务器平常这种数据包很少 突然增加了很说 说明服务器此时肯定 是遭受了 UDP ICMP IGMP 攻击 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 58 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 59 第二章第二章 针对攻击对防火墙进行防护设置针对攻击对防火墙进行防护设置 傲盾防火墙的特点就是功能强大规则设置灵活 所以要使傲盾防火墙达到 最好的防护效果就需要专业灵活的掌握好设置参数 下面以针对传奇攻击 为例详细的介绍一下 各种攻击的防护以及防火墙的设置 一一 针对针对 DDOS SYN 攻击的设置攻击的设置 DDOS SYN 攻击就是针对 TCP IP 协议的薄弱环节 利用 IP 欺骗技术 对要攻击的节点疯狂地发出数据包 使得被攻击节点忙于处理这些虚假来 源的数据包 从而使合法的使用者无法正常的连接到被攻击的节点 选择菜单 设置 DOS 攻击防护 高效 syn 防护设置 如图所示 点击后出现如下图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 60 syn 高效防护开关 开启后 默认将保护服务器所有端口 默认的响应 TCP 连接请求的数值是 50 50 这个数值就是说在一秒内 所有发到服务器的 建立连接的请求 傲盾防火墙只处理前 50 个 假如有 51 个包 最后 1 个 包 傲盾防火墙会暂时搁置 等 3 秒钟在进行处理 如果是正常的连接 3 秒种后 被搁置的这个请求会再次发出 如果是 ddos syn 攻击 因为 IP 地址是虚拟的 3 秒钟后就不会在发出回应的包 因此就避免了服务器 资源被耗尽 这个数值是可以调整的 如果服务器同时在线人数很大 可 以加大这个设置到 100 或者 150 但是如果攻击量大 这个数值可以减小 到 30 或者 50 SYN 拒绝服务攻击防护设置 选择菜单 设置 DOS 攻击防护 SYN 拒绝服务攻击防护 如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 61 点击 SYN 拒绝服务攻击 如图所示点击 添加 按钮 设置说明 INTERENT IP 地址 本规则的 Interent Ip 地址 也就是遭受 syn dos 攻击的 Ip 地址 在这里因软防装的只有一台服务器 所以我们选择 任何 IP 地址就可以了 端口类型 本规则要保护的端口 可以通过下拉菜单选择个端口或者端口列 表 INTERENT IP 地址 本规则的 Interent Ip 地址 也就是遭受 syn dos 攻击的 Ip 地址 连接建立前检查合法性 连接建立前检查合法性 是针对很多服务程序 比 如 web 服务器 传奇游戏 终端服务等 连接建立后客户端都会主动发送 一个包给服务器 防火墙利用这个特点伪装成服务器 攻击端和客户端建立 连接实际上是和防火墙建立连接 防火墙把这个连接信息保存起来 并不和 目标服务器直接建立连接 当客户端连接后发送一个数据包 经过防火墙 防火墙检查后没问题 就把客户端和服务器连接起来 新建连接的合法检查 针对 DDoS 攻击者 这类攻击 选择此项 FTP 服 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 62 务器 可以通过本设置来防护 DDoS 攻击者 这类的攻击 新建连接的合法检查 子项 比如默认设置 连接建立后 2 秒内 客户端必 须发送 3 个数据包 表示 TCP 连接完成 3 次握手建立连接后 2 秒钟内系统 将检查请求这个连接的客户端是否发送了 3 个数据包 如果客户端没有发送 3 个数据包 这个连接将被断开 通过这两个设置 可以防护未知的 syn 攻击 禁止 HTTP 连接 防止 CC 类攻击非 HTTP 端口 有些攻击用 CC 类工具 通过代理服务器来攻击非 HTTP 的端口 是通过 HTTP 协议来的防问 所以 通过这个选项可以完全防住这类攻击 禁止 HTTP 代理连接 代理服务器会在 HTTP 头里留下代理服务器的一些 信息 通过这些可以判断出是否是通过代理服务器访问的 HTTP 引用页面检查 http 头里有引用标志 这个标志里填写访问这个 url 是从哪个页面过来的 通过判断引用标志可以来防止恶意刷新网页 HTTP 引用页面检查 基本设置 在 允许引用的 url 里加入允许引用你网 站的 url 前缀 不被允许的网页引用你的网页都会被拦截 一般情况下 我们只设置 禁止 HTTP 连接 如上图所示 其它的不作设置 二二 针对针对 CC CC 变种 肉鸡 变种 肉鸡 M2 游戏网关攻击的设置以及参数调整 游戏网关攻击的设置以及参数调整 近期 CC ChallengeCollapsar 攻击日趋严重 尤其以攻击传奇私服 的 7000 端口为主 现象为客户登录游戏非常缓慢或者无法登录游戏 在服 务器端用 Netstat na 命令会观察到有数百上千个 IP 不停的连接 7000 端 口 若用 Sniffer 观察会发现这些 IP 在不停地连接 7000 端口再断开再连接 如此反复 导致服务器的 LoginGate 工作不稳定而导致无法接收新连接 最 终造成客户端无法登录 只要做简单的设置傲盾防火墙即会自动侦测 CC 攻 击并自动阻塞攻击的 IP 从而使攻击失效 下面以 CC 肉鸡攻击为例介绍 一下傲盾防火墙规则设置的防护 选择菜单 设置 防火墙设置 防火墙规则设置 如图所示 北京傲盾软件有限公司 北京傲盾软件有限公司技术支持热线 800 990 5568 63 点击 防火墙规则设置