ATIC设备安装及系统部署指南

1、ATIC 设备安装及系统部署指南目录设备侧配置准备ATIC安装准备ATIC安装过程ATIC安装验证设备侧配置准备设备已经安装在网络中，相关的路由等已经调通。为了适配ATIC运行Anti-DDoS业务，还需要进行下列配置：配置接口流量统计指定检测或清洗业务板(AntiDDoS1000无须配置)配置接口为清洗口或检测口(可选，AntiDDoS1000无须配置)检测设备接口管理流量使能(可选)配置首包丢弃(可选)配置BGP引流路由的下一跳及FIB过滤Page 3配置接口流量统计接口视图下，命令行 undo anti-ddos flow-statistic enable 使用说明anti-ddos f

2、low-statistic enable命令用于使能基于接口的流量统计功能，检测和清洗设备都需要配置。undo anti-ddos flow-statistic enable命令用于关闭基于接口的流量统计功能。系统默认不使能，必须进行配置使能，对进入接口的流量做统计，从接口进入的流量才会进入DDoS模块处理。举例： 指定检测或清洗业务板系统视图下，命令行 undo firewall ddos detect-spu | clean-spu slot slot-id 使用说明缺省情况下，业务板类型为防火墙业务板。firewall ddos detect-spu | clean-spu slot s

3、lot-id 命令用来指定业务板为检测业务板或清洗业务板。undo firewall ddos detect-spu | clean-spu slot slot-id 命令用来取消业务板上指定的检测或清洗类型，业务板类型恢复为防火墙业务板配置完此命令后，需要重启业务板，功能才生效，否则不生效。举例： 配置接口为清洗口或检测口接口视图下，命令行 undo anti-ddos clean | detect enable使用说明anti-ddos clean | detect enable 命令用来指定接口为清洗或检测口。undo anti-ddos clean | detect enable 命令

4、用来取消业接口上指定的DDoS类型。缺省情况下，接口类型为转发口，即从转发口接收的流量直接上送到防火墙业务板处理。举例： 检测设备接口管理流量使能(可选) 命令行 undo anti-ddos detect-device manage-port enable使用说明检测设备默认对进入的流量检测完毕作丢弃处理，必须把管理流量通过管理口区别开来，在与ATIC进行交互的接口下配置该命令。anti-ddos detect-device manage-port enable命令用于使能检测设备基于接口的管理流量功能。undo anti-ddos detect-device manage-port ena

5、ble命令用于关闭检测设备基于接口的管理流量功能。默认为关闭使能。 首包丢弃原理原理和应用场景 原有的基于源探测的防御方法，会引起上行链路压力太大，即1G的下行攻击流量，会造成1G上行探测流量，从而对整个网络，或者客户链路造成压力，甚至引起反射攻击。 首包丢弃作为系统初级信誉用于防御流程，利用TCP协议或应用协议重传的特点，丢弃当前源的第一个报文，等该源的第二个报文在指定时间范围内到达即可认为通过信誉检查，进入后续源认证防御流程；否则丢弃。缺陷 对于正常应用，首包丢弃+源探测，典型的正常源需要9s才能连接到服务起上。因为正常的重传时间是3s。为此，需要增加信誉机制，在静态引流的场景下，对于源的

6、行为进行检查，把符合行为的源加入白名单，这样，这些源在发生攻击时就不会受到影响。首包丢弃配置(可选)系统视图、大客户视图下，命令行：Eudemonanti-ddos first-packet-check interval lower-limit lower-value | upper-limit upper-value * lower-limit和Upper-limit的意思是指：重传包和首包的时间差必须落入lower-limit和Upper-limit界定的时间范围内，才算通过信誉检查，否则丢弃；lower-limit默认为0，Upper-limit默认为6系统视图用于接口下得首包检查，大客

7、户视图用于大客户下的精细化防范。配置说明首包丢弃开启后，会在syn flood、syn-ack flood、ack flood、fin flood、DNS Reply flood、DNS Request flood源认证流程之前进行。可以单独的配置首报的时间定义，从而在发生攻击时进行调整，避免清洗效果较差或影响正常业务的情况发生。配置BGP引流路由的32位主机路由时使用的下一跳 命令行 undo firewall ddos bgp-next-hop ip | ipv6 ipv6 操作说明firewall ddos bgp-next-hop命令用于配置主机路由使用的下一跳。清洗设备会根据此命令指

8、定的下一跳生成一个主机路由，然后通过EBGP发布到核心路由器，从而改变核心路由器的路由选择，达到引流的目的。undo firewall ddos bgp-next-hop命令用于取消主机路由使用的下一跳。下一跳地址的配置与引流回注的方式相关，例如，若使用静态路由回注，则需要将下一条配置成对端的回注接口的IP。BGP引流时配置下一跳是否进行FIB过滤命令行 undo firewall ddos bgp-next-hop fib-filter使用场景： 存在多条回注链路时，并不能简单的使用清洗设备上的这条静态路由实现流量的回注。此时需要过滤清洗设备生成的这条静态路由，使其不下发到FIB表中，不能影

9、响回注流量，同时配置其他回注策略，将流量送回原链路。操作说明firewall ddos bgp-next-hop fib-filter命令用于在清洗设备启动FIB过滤开关，即对于利用下一跳生成的主机路由不进行下发路由表的操作。undo firewall ddos bgp-next-hop fib-filter命令用于取消FIB过滤开关。在配置此命令时，要确认当前系统尚未配置任何引流策略，如果已经配置，需要首先将取消所有引流策略。FIB过滤的作用在于，BGP引流，多个接口回注时，引流路由只用于BGP发布，不会在本地指导转发。如BGP引流，策略路由回注或MPLS VPN/MPLS LSP回注，就需

10、要配置FIB过滤。路由器侧配置要求对于通过BGP发布的引流路由，需要注意在路由器侧配置相应路由过滤策略，将从清洗设备学习到的BGP路由限定在一定范围 ，避免扩散到全网，否则可能引起全网路由环路。 Page 12ATIC安装准备检查硬件配置CPU要求至少双核，内存至少4G，硬盘至少100G。建议磁盘分为C、D两个分区，C区安装操作系统， D区安装ATIC。检查操作系统Windows Server 2003 R2 Standard with SP2 （32bit）Windows Server 2008 R2 Standard with SP1（64bit）检查网络配置ATIC和NIP设备之间路由可

11、达，如果有防火墙，需要检查相关端口是否开通。只能配置IP V4的地址。检查设备配置ATIC只支持单向下发策略，不能从设备读取已经配置的策略，所以，请先清空设备上的防护对象及其策略，通过ATIC进行配置下发。注意事项：Windows操作系统的“区域和语言选项”必须是中文或英文，并且安装后不能修改。安装路径只能包含字母、数字、下划线，不能包含空格、括号、中文字符等其他字符。安装前要调整好服务器和设备的时间，保持一致并且和准确，安装后如果需要调整ATIC服务器的时间，需要重启服务器。建议Anti-DDoS设备和ATIC服务器都配置NTP和统一的时间服务器同步。ATIC提供Mysql静默安装。如果系统

12、之前安装过Mysql，请关闭该服务，并把启动模式设置为“手动”。安装完成后，提示安装安全加固。安全加固的安装指南请参考vsm_secharden.zip包里提供的说明文档。ATIC安装准备ATIC安装规划集中式安装适合设备数量比较少或防护的IP数量比较少的场景。要求高端设备小于等于2台。分布式安装适合设备数量比较多的场景，采集器分布式安装在不同的服务器上，每个采集器可以关联不多于2台高端设备。推荐每个采集器对应一台高端设备。分布式安装要求管理中心和采集器、采集器和设备、管理中心和设备之间的链路互通。最多支持20台采集器分布式部署。Page 15安装ATIC第一步：启动安装1、使用Administrator登录操作系统，关闭所有正在运行程序；2、运行安装光盘或安装软件包中的install.exe文件，启动安装程序安装ATIC第二步：选择安装组件(全部选中)安装ATIC第三步：检测系统环境 检查HTTP、HTTPS端口是否被占用。如端口已经被其他程序使用，将提示“被占用”。此时可以选择修改ATIC的端口或者释放被系统其他应用程序占用的端口。安装ATIC第四步：配置安装目录和固定的IP地址安装ATIC第五步：配置采集器参数安装ATIC第七步：安装信息汇总安装ATIC开始安装安装完成，选择是否立即