金盾防火墙软件版提供了通用参数的设置接口,用户可方便的配抗拒绝服务系统的DDoS和CC防护行为。页面如下图所示:

 系统防护设置
1)报文紧急状态
当设备每秒收到的报文超过此值时(默认为 1500000),设备将进入严格过滤状态,此时只放行已经信任的 IP
2)简单过滤流量限制
限制一些简单攻击数据包的流量,目前支持检查数据部分都相同和源目地址相同的数据包,默
认为
10Mbps
3)忽略主机流量限制
当在设备上忽略 IP 流量检查时,此处可以限制此类 IP 的流量,默认为 10Mbps
4)屏蔽持续时间
屏蔽列表中的屏蔽时间,默认为 10000 秒。
TCP 防护设置
1)连接数量保护
当外网机器 A 与设备下主机 B tcp 连接数量每秒超过此设置值后(默认为 300),会屏蔽 A B 的访问,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值,默认为 10000 秒。
2)连接频率保护
当外网机器 A 与设备下主机 B 的访问次数每 16 秒数量超过此设置值后(默认为 300),会屏蔽
A B 的访问,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值,默认为 10000 秒。
3)连接空闲超时
已经建立的连接在设置时间内没有任何数据交互(默认为 300 秒),则重置该连接。
黑名单策略
用来启用黑名单策略,SOCKS 代理服务器、 HTTP 代理服务器、攻击型傀儡机和可疑客户机全
部选中后表示开启黑名单策略,黑名单中设置的地址将会生效,黑名单后续会详细描述。
 攻击检测
1SYN Flood 保护触发
当主机 IP 收到 SYN 报文数量,每秒超过次数设置值时(此处设置为 10000),此墙下主机进入SYN Flood 防御模式。防御模式在攻击量小于设置值一段时间后自动释放。
2SYN Flood 紧急触发
当主机 IP 收到 SYN 报文数量,每秒超过次数设置值时(此处设置为 500000),此墙下主机进入
严格
SYN Flood 防御模式。
防御模式在攻击量小于设置值一段时间后自动释放。
3SYN Flood 单机屏蔽
当外网主机 A 对墙下主机 B 发送 SYN 报文数量每秒超多设置值时(此处为 10000),则会屏蔽 AB 的访问,屏蔽时间为系统防护参数中的屏蔽持续时间设置的值,默认为 10000 秒。
4ACK 保护触发
当墙下主机每秒收到的 ACK 或者 RST 报文超过设置值(此处为 10000),此墙下主机进入 ACK Flood 或者 RST Flood 防御模式,此时丢弃所有针对此 IP ACK 数据包。
防御模式在攻击量小于设置值一段时间后自动释放。
5UDP 保护触发
当主机每秒收到的 UDP 报文超过设置值(此处为 1000),此墙下主机进入 UDP Flood 防御模式,
此时丢弃所有针对此
IP UDP 数据包。
防御模式在攻击量小于设置值一段时间后自动释放。
6ICMP 保护触发
当主机每秒收到的 ICMP 报文超过设置值(此处为 100),此墙下主机进入 ICMP Flood 防御模式,此时丢弃所有针对此 IP ICMP 数据包。防御模式在攻击量小于设置值一段时间后自动释放。
7)碎片保护触发
当主机每秒收到的 Fragment碎片报文超过设置值(此处为 100),此墙下主机进入 Fragment Flood防御模式,此时丢弃所有针对此 IP Fragment 数据包。防御模式在攻击量小于设置值一段时间后自动释放。
8RawIP 保护触发
当墙下主机每秒收到不常用 IP 协议族其他协议数据报文超过设置值(此处为 10000),此墙下
主机进入
NonIP Flood 防御模式,此时丢弃所有针对此 IP NonIP 数据包.防御模式在攻击量小于设置值一段时间后自动释放。
UDP 保护设置
1)请求连接超时
设备收到某地址的 UDP 请求报文后,在大于此值时间(默认为 8S)内没有收到后续报文,则
丢弃此请求。
2)建立连接超时 已经建立的连接在设置时间(默认为 300S)内没有任何数据交互,则断开此连接。

 

分类: 文档