金盾防火墙

软件防火墙

金盾防火墙

2023-08-04 14:37

金盾防火墙

软件管理

金盾防火墙集成了简洁高效的管理界面，可以方便管理设置。下面将详细介绍各个界面及其功能，由此您将觉得配置金盾软件防火墙是一件轻松的事。购买安装金盾软件防火墙需要注意哪些细节，请参见金盾防火墙常见问题答疑。金盾软件防火墙安装后会在桌面形成快捷方式官方正式名称是中新金盾DDoS防护系统。

产品安装后会在桌面形成快捷方式，运行后登陆管理。登录页面如下图所示：

（1）系统地址

其中系统地址为 127.0.0.1 此地址为中新金盾DDoS防护系统默认地址，不可更改。

（2）控制密码

初始密码 zxsoft

（3）更改密码

可进行登陆密码更改设置。

（4）切换语言

用于设置中英文管理状态的切换，中文状态下选择切换语言后便可登陆英文管理界面。

登录后界面如下

关于的欢迎页面是登录中新金盾DDoS防护系统后的默认页面，显示了中新金盾的企业官网中新网安最新消息及公司动态。

状态监控页面显示了当前金盾软件防火墙下的主机列表，连接列表，屏蔽列表。如下图所示：

主机列表显示了当前中新金盾DDoS防护系统下主机的基本状态，包括主机、带宽、攻击频率、连接、状态等。

显示内容描述如下：

（1）主机

显示当前主机的 IP 地址。

（2）带宽

显示该主机的入口和出口带宽占用，[ ]内表示过滤后流量，以 Mbps 为单位。

（3）攻击频率

显示该主机受到攻击的频率，目前主要统计为 SYN 报文频率，ACK 报文频率，UDP 报文频率，

ICMP 报文频率，NonIP 攻击频率，FRG 报文频率，NewTCP 连接，NewUDP 连接。

（4）连接

显示 TCP 和 UDP 连接数，其中 TCP 连接数中/前面的数值表示入连接，后面的数据表示出连接，

UDP 连接表示的为总连接。

（5）状态

表示该主机当前所处的防护模式，[Normal]为默认防护状态。

在主机列表下，选中某个主机 IP，然后点击右键菜单会出现多个选项

禁止主机：禁止此 IP 对外通信。

忽略主机：忽略对此 IP 的防御，此时 IP 处于透明状态。

网络参数：点击设置对应 IP 的网关，MAC 等网络参数。

拒绝国外IP访问：点击设置拒绝所在地以为的IP访问该主机IP。

插件开启：目前共有九种插件，选中后会强制某 IP 开启此插件，再次点击可以取消插件。可以多选，同时防护多种业务类型。

刷新：刷新主机IP的状态。

连接列表页面显示了外部网络与受金盾软件防火墙保护的主机之间建立的连接的细节。

（1）本地地址

显示了此连接的本地地址及被访问端口；

（2）远端地址

显示了建立此数据连接的远端主机的地址及端口；

（3）端口连接数

显示了此远端主机对本地主机的服务端口数据请求建立的连接数量；

（4）合计连接数

显示了此远端主机对本地主机的服务端口数据请求建立的全部连接数量。

在连接列表下，选中某行IP，然后点击右键菜单会出现多个选项。可以进行相关操作：屏蔽单一IP，屏蔽C类网段，自定义屏蔽，导出列表，重置连接等。

屏蔽列表显示目前被屏蔽的主机地址，包括本地地址，远端地址，屏蔽时间和屏蔽原因，在屏蔽条目上点击右键可以重置某条屏蔽。

在屏蔽列表下，选中某行IP，然后点击右键菜单会出现多个选项。可以进行相关操作：屏蔽单一IP，屏蔽C类网段，自定义屏蔽，导出列表，重置连接等。

攻击防御页面显示了当前金盾软件防火墙下主机的防护参数设置，规则设置，黑白名单，TCP端口保护，UDP端口保护。如下图所示：

防护参数设置该页面，提供了中新金盾DDoS防护系统通用参数的设置接口，用户可方便的配置抗拒绝服务系统的通用防护行为。

攻击检测

1）SYN Flood 保护触发

当主机 IP 收到 SYN 报文数量，每秒超过次数设置值时（此处设置为 10000），此墙下主机进入

SYN Flood 防御模式。防御模式在攻击量小于设置值一段时间后自动释放。

2）SYN Flood 紧急触发

当主机 IP 收到 SYN 报文数量，每秒超过次数设置值时（此处设置为 500000），此墙下主机进入

严格 SYN Flood 防御模式。防御模式在攻击量小于设置值一段时间后自动释放。

3）SYN Flood 单机屏蔽

当外网主机 A 对墙下主机 B 发送 SYN 报文数量每秒超多设置值时（此处为 10000），则会屏蔽 A

对 B 的访问，屏蔽时间为系统防护参数中的屏蔽持续时间设置的值，默认为 10000 秒。

4）ACK 保护触发

当墙下主机每秒收到的 ACK 或者 RST 报文超过设置值（此处为 10000），此墙下主机进入 ACK

Flood 或者 RST Flood 防御模式，此时丢弃所有针对此 IP 的 ACK 数据包。防御模式在攻击量小于设置值一段时间后自动释放。

5）UDP 保护触发

当主机每秒收到的 UDP 报文超过设置值（此处为 1000），此墙下主机进入 UDP Flood 防御模式，

此时丢弃所有针对此 IP 的 UDP 数据包。防御模式在攻击量小于设置值一段时间后自动释放。

6）ICMP 保护触发

当主机每秒收到的 ICMP 报文超过设置值（此处为 100），此墙下主机进入 ICMP Flood 防御模式，

此时丢弃所有针对此 IP 的 ICMP 数据包。防御模式在攻击量小于设置值一段时间后自动释放。

7）碎片保护触发

当主机每秒收到的Fragment碎片报文超过设置值（此处为100），此墙下主机进入Fragment Flood

防御模式，此时丢弃所有针对此 IP 的 Fragment 数据包。防御模式在攻击量小于设置值一段时间后自动释放。

8）NonIP 保护触发

当墙下主机每秒收到不常用 IP 协议族其他协议数据报文超过设置值（此处为 10000），此墙下

主机进入 NonIP Flood 防御模式，此时丢弃所有针对此 IP 的 NonIP 数据包。防御模式在攻击量小于设置值一段时间后自动释放。

TCP 防护设置

1）连接数量保护

当外网机器 A 与金盾软件防火墙下主机 B 的 tcp 连接数量每秒超过此设置值后（默认为 300），会屏蔽 A 对 B 的访问，屏蔽时间为系统防护参数中的屏蔽持续时间设置的值，默认为 10000 秒。

2）连接频率保护

当外网机器 A 与金盾软件防火墙下主机 B 的访问次数每 16 秒数量超过此设置值后（默认为 300），会屏蔽 A 对 B 的访问，屏蔽时间为系统防护参数中的屏蔽持续时间设置的值，默认为 10000 秒。

3）连接空闲超时

已经建立的连接在设置时间内没有任何数据交互（默认为 300 秒），则重置该连接。

其他协议防护设置

UDP和ICMP

1）请求连接超时

金盾软件防火墙收到某地址的 UDP 或者ICMP请求报文后，在大于此值时间（默认为 8S）内没有收到后续报文，则

丢弃此请求。

2）建立连接超时

已经建立的连接在设置时间（默认为 300S）内没有任何数据交互，则断开此连接。

系统防护设置

1）报文紧急状态

当设备每秒收到的报文超过此值时（默认为 1500000），金盾软件防火墙将进入严格过滤状态，此时只放行已经信任的 IP。

2）简单过滤流量限制

限制一些简单攻击数据包的流量，目前支持检查数据部分都相同和源目地址相同的数据包，默认为 10Mbps。

3）忽略主机流量限制

当在金盾软件防火墙上忽略 IP 流量检查时，此处可以限制此类 IP 的流量，默认为 10Mbps。

4）屏蔽持续时间

屏蔽列表中的屏蔽时间，默认为 10000 秒。

金盾软件防火墙提供了通用规则设置接口，功能强大，设置简便。通过右键空白处或者选中已有的规则可以自定义添加规则，删除规则，移动规则，重置规则，编辑规则等。

规则细节描述如下：

1)地址

指定规则目标地址。可指定的地址类型包括：所有地址，指定域名，指定 IP 段，指定网络地址。

其中设置指定域名，设置后相应规则将变为对 DNS 域名解析的过滤规则；

2)端口

当规则为 TCP/UDP 协议时，可指定相应的端口域。可指定的端口类型可以为单一端口，如“80”；

也可为端口范围，如“135-139”；还可以为离散端口，如“7000, 7100, 7200”；

3)标志位

当规则为 TCP 协议时，可指定相应的标志位，包括 FIN，SYN，RST，PSH，ACK，URG。

4) 方向选择

指定规则匹配的数据方向，包括发送数据和接收数据；

5) 报文长度

指定规则匹配的报文的长度范围，可按<、=、>三种形式设置长度范围；

6) 模式匹配

指定规则匹配包含的关键字。抗拒绝服务系统内建高效的模式匹配算法，可快速、批量的进行

数据匹配，从原始报文中找出某一组关键字用于规则模式匹配。指定的关键字，可以是单一关键字，

如“haha”；也可以是一组关键字，如“haha heihei hoho”；如果关键字包含不可见字符，还可以通过“\”

进行代码转义，如“\a8\aa”。并且可以指定该关键字是否按有序匹配或忽略大小写方式匹配；

7)匹配行为

当规则被匹配后，需要对此报文执行的行为，包括过滤、丢弃、放行和屏蔽，过滤指正常防护，丢弃和屏蔽指黑名单，放行指白名单。“同时还记录”选择后表示规则匹配的同时会在日志记录中产生一条日志。

添加和编辑规则，可针对指定远程客户端的行为过滤。包括对报文长度、协议等来匹配，规

则新建时默认的策略匹配行为为“过滤” 。

1）规则序号

一组控制规则顺序的 ID 号

2）规则描述

描述规则的用途及作用

3）规则目标

默认为全部地址；如需要指定源地址，可选择指定 IP 段或者指定网络地址。

4）报文长度

可对指定的数据包长度进行过滤。

5）模式匹配

指定规则匹配包含的关键字。

6）匹配行为

目前规则匹配行为有：过滤、丢弃、放行及屏蔽。

过滤：默认策略，对指定数据做过滤操作。

丢弃：直接对指定报文做丢弃操作。

放行：不对数据进行过滤，而是直接放行。

屏蔽：如有客户端触发此策略后，则直接屏蔽该客户端。

记录：对匹配数据进行记录，记录的相应信息存放“日志记录”中。

7）协议

对针对应用协议做相应匹配。

可以在金盾软件防火墙下的主机自定义添加黑白名单，删除名单，清空名单，导入导出列表。

点击设置黑白名单后，出现选择文件对话框，选择相应文件即可。文件问 txt 格式，书写格式为：

IP socks+http+agent+suspect 导入后可在黑白名单列表中查看相应地址。

TCP端口保护设置页面提供了针对每个端口的独立设置参数，用户可根据某种端口的服务类型更改相应的处理策略。可以自定义添加端口，编辑端口，附加控制参数，证书，恢复默认设置。

（1）端口保护列表

1. 端口/结束端口

显示设置防护的端口范围,默认针对“0-65535”端口进行防护。

2. 攻击检测

显示设置端口的连接攻击检测频率数值，max 表示无限大。

3. 连接限制

显示设置端口的连接数量限制数值，max 表示无限大。

4. 检测权重

显示设置端口的踢出/探测权重的数值。

5. 防护模块

显示设置端口启用的防护模块类型，default 为默认防护。

6. 附加模式

显示设置端口启用的防护标志有哪些，默认仅启用“超时连接”模式。

（2）添加端口防护相关参数

1. 开放端口范围

用于设置指定端口，可以是一个端口也可以是一个端口范围。

2. 攻击频率检测

用于自动启用 TCP 防护插件。设置该参数后，当主机与该端口范围的 TCP 连接频率超过设置数值，

该主机将自动进入 TCP 防护模式，设置的插件将被启用，当连接频率小于该数值后一段时间，该主机将

自动取消 TCP 防护模式。

注：在主机设置页面手工设置 TCP 防护不会自动取消。

3. 连接数量限制

限制每个客户端允许与主机建立的连接数量，超出设置数量该连接被屏蔽。一般来说，Web 服务应将此数值保持为空即为不限制，而其它对连接数量依赖较小的服务可设置合适的数值来避免主机在单一客户上耗费过多资源。

4. 踢出/探测权重

限制每个客户端允许与主机建立空连接的数量，超出设置限制该连接被屏蔽。建议设置值20/10。

5. 协议类型选择

用于设置指定协议类型，可设定接收或拒绝某端口的访问协议。如对于某些需要拒绝 HTTP 协议的端口（如受代理攻击的某些游戏），则应该在协议类型里选择 HTTP，然后不选择“接受协议”，则该端口将拒绝 HTTP 协议的访问，相反如果选择了“接受协议”则表示接收 HTTP 协议。

6. 防护模式

（1）超时连接

设置超时连接标志后，此端口建立的连接如果持续一段时间保持空闲，则该连接将被重置以释放资源。此种策略对于某些应用可能造成连接数据中断的情况，此时应把相应端口设为禁止屏蔽。

（2）延时提交

设置此选项的端口，系统将无限缓存该连接，除非客户端有数据发送，或者该连接被重置。

（3）超出屏蔽

设置超出屏蔽后，客户端在此端口进行的访问如果如果连接数大于连接限制设置的数值，则此客户端将被加入黑名单而屏蔽。

（4）关联信任

有些游戏使用登录器进行登录，打开登陆器后，登陆器会自动加载一个 web 页面，利用登陆器这个机制可以设置游戏端口的关联信任防御，此防御需要向加载页面中添加代码，具体操作需要技术人员参与配合。

（5）接受协议

可用于设置各端口指定接受的协议类型。

TCP 端口防护模块是针对特殊应用而开发的防护手段，主要包含以下几种：

（1）动态验证(WEB Service Protection）

动态验证策略是中新金盾DDoS防护系统独有的、适用于 Web 服务的一种防护策略，是针对目前愈演愈烈的 CC-HTTP Proxy 类攻击而开发的。应用此种策略的端口，系统将对进入的 HTTP 请求进行验证操作，确保该请求来自正常的客户浏览行为，而非正常的访问行为（如通过代理进行攻击等）将被加入黑名单进行屏蔽；动态验证模块，只对设置了 WebCC 保护模式的主机采用该验证策略，没有设置该保护模式的主机不受影响。金盾软件防火墙使用 WEB Plugin 来对 HTTP 类攻击进行防御。当客户端访问服务器时，WEB Plugin 会返回脚本让客户端进行计算，然后客户端返回计算结果，如果结果正确，则通过插件验证，将该客户端列入正常的用户列表，如果结果错误，则屏蔽此客户端 IP，攻击器无法解析脚本，无法完成验证码的计算。

防御模块中选择 WEB 防御插件，参数一共有 5 个，后面的模块参数这里填写的是 258 10 10 1 10，

（2）游戏保护(Game Service Protection）

中新金盾DDoS防护系统 (金盾软件防火墙)针对游戏的TCP端口开发的防护插件，可以对市面上所有的基于C/S架构的游戏进行全方位的CC保护。

（3） Misc 插件防御

Misc 插件主要用于防护游戏，Misc 插件可以自定义回复数据，分为两种情况，第一种为默认：0-ftp，

1-smtp，2-pop3。第二种是自定义：10-17，是 8 组自定义回复策略，用于建立连接后服务器首先发送固

定数据给客户端，然后客户端回复固定数据，需要在附加控制参数里，设置misc.customdata

（4） TCP 防护插件开启方法

共有两种方法，第一种为自动开启，即主机 IP 的每秒新建 TCP 连接数超过连接攻击检测设置数值时，插件会自动开启，另一种是手动强制开启，即在状态监控页面，选中相应 IP，然后点击右键，可以强制开启或关闭相应插件。