中新金盾抗拒绝服务系统功能描述

中新金盾抗拒绝服务系统(简称金盾硬件防火墙)分为选配和整体化硬件模式设备,下面介绍设备的硬件配置和接口信息。(想了解具体防护策略请参见中新金盾抗拒绝服务系统常见DDoS(含CC)防护设置

产品外观

本节将以ZX-DMS 5210为例详细介绍设备硬件的前面板和背面板。需要注意的是:实际产品会因批次或型号不同而接口的型号或数量略有不同。

  • 前面板概览
  • 背面板概览

产品的随机配件与产品型号相关,请以实际装箱物品清单为准。

除随机配件盒内物品外,还需要进行以下准备工作:

IP地址——DMS设备支持双协议栈,建议在网络中为DMS设备预留一个IPV4地址和一个IPV6地址;

临时计算机——配置DMS设备需要一台临时管理用的计算机,配置时需要通过网线连接后使用HTTP(或HTTPS)的方式登录DMS设备的WEB界面进行管理;

终端软件——能够连接串口的终端软件(比如Windows自带的超级终端软件);

浏览器——请确认计算机系统已安装IE浏览器(建议使用IE6.0以上版本)。

安装流程

步骤一:

佩戴防静电腕带或防静电手套。如果佩戴防静电腕带,需确保防静电腕带一端已经接地,另一端与佩戴者的皮肤良好接触。

步骤二:

使用M4螺钉安装左右挂耳(前)到DMS设备。DMS设备配套的挂耳安装方法分别如下图所示。

步骤三:

根据规划好的DMS设备在机柜上的安装位置,确定浮动螺母在方孔条上的安装位置。用一字螺丝刀在机柜前方孔条上安装4个浮动螺母,左右各2个,需注意,上下的两个浮动螺母间距为2U。保证左右对应的浮动螺母在一条水平线上

步骤四:

  • 将M6螺钉预安装在前方孔条下面的两个浮动螺母上,螺帽与浮动螺母间留出间隙,以便安装DMS设备时卡住前挂耳下方的挂耳口。
    • 搬运DMS设备进机柜,将两侧的后挂耳均对准后挂耳滑道的导轨后再缓慢插入。
    • 使DMS设备两侧的前挂耳安装孔与机柜前方孔条上的浮动螺母对齐,下方的挂耳口卡在之前预安装的M6螺钉上,用十字螺丝刀和M6螺钉将前挂耳固定到机柜方孔条上。

安装部署位置

中新金盾抗拒绝服务系统(ZX-DMS)支持多种部署方式,常规的部署方式有串联和旁路两类模式。

串联类部署,是将ZX-DMS完全透明化串接在网络中,对经过ZX-DMS流量进行清洗。串联模式部署主要分为“单通道环境”与“多通道环境”,两种环境都需要流量成对程型(即进出的流量全部都要走ZX-DMS),部署简单。 线路通过设备直接下去的,所有流程和数据都要经过直接经过设备到达下层机器,也就是设备的串联部署方式。

单通道环境拓扑

多通道环境拓扑

旁路模式 : 旁路路牵引是把设备与上层的路由连接到一起,通过检测设备发现哪些是攻击流量,把攻击流量牵引到设备上来处理,正常流量不从设备经过【正常流量不经过】。 旁路部署模式主要分为“流量牵引”和“流量转发”两大步骤。流量牵引的主要工作就是将混合流量牵引至清洗中心;流量转发的主要工作是将过滤后纯净流量送回原本网络中,从内部网络去往外部网络的流量不走ZX-DMS,不需要做配置改变。

旁路部署拓扑

旁路部署下通道组设置分为两种模式:1,进出相同端口的是回流模式,表示流量从哪里来就回哪里去;2,进出采用不同端口的是注入模式。两种模式都很好,具体使用哪种模式根据自身实际的网络环境确定。

二层回流模式

三层回流模式

二层注入模式


三层注入模式

初次网络配置

设备只需进行简单的网络配置即可工作,网络配置主要有如下内容:

  • 设置IP地址
    • 设置网络掩码
    • 设置网关
    • 设置DNS服务器

网络配置可以通过串口控制台进行,也可以通过Web管理界面来操作。两种配置方法都需要有相关配件(设备配件盒中自带)和一台工作计算机,请根据自己的实际情况选择配置方法。

通过Web管理界面进行网络配置,请使用交叉线(设备附件盒中自带)连接设备工作网口和工作计算机网口,并配置工作计算机的网络设置,使得工作计算机和设备处于同一网段(具体的网络配置参数,请参见随箱发送的客户使用手册 产品出厂参数),然后使用浏览器通过HTTP(或HTTPS)登录Web管理界面即可进行配置。

通过串口控制台进行配置需要使用串口线连接设备和工作计算机,对于DMS设备,串口速率参数均为115200bps。登录控制台后选择配置菜单即可进行配置(具体配置方法请参见随箱发送的客户使用手册 )

登录Web管理界面

步骤一:

以设备的ETH0口作为管理口,使用工作计算机与ETH0直连,确认网线接好后,在工作计算机上配置与管理口同网段的IP地址,这里我们配置IP地址为192.168.106.2/24,如下图所示:

步骤二:

打开浏览器输入http://192.168.106.1:28099按“回车键”后打开中新金盾抗拒绝服务系统的WEB管理登陆界面。

步骤三:

正确输入用户名和密码,点击【登录】按键,登陆设备的WEB管理界面,默认的用户名和 密码,在Web界面中可以对设备状态进行查看和配置。

步骤四:

成功登陆后,【系统配置】→【系统设备】→选择“设备” 变量框中填写对应接口→选择“地址”变量框中填写正确参数值(格式:x.x.x.x/x)→【添加地址】,可完成设备接口地址更改;

更改地址后,【系统配置】→【系统设备】→选择“设备” 变量框中填写对应接口→选择“地址”变量框中填写正确参数值(格式:x.x.x.x)→【设置网关】,可完成设备网关更改;

CLI控制台可以对系统自身功能进行配置,比如配置接口地址更改、通道口设置、清理磁盘空间等,这里不做介绍详情参见随箱的客户使用手册。

系统登录

产品采用主流的 B/S 架构,能够使用加密的 HTTPS 协议与便捷的 HTTP 协议等多种可选远端管理方式,同时支持单用户多并发的账户机制。
本章将主要介绍 ZX-DMS 系列产品各个功能和管理时涉及到的一些基本概念(以
ZX-DMS 5120为例仅供参考)。

用户登录

设备出厂时有多个管理 IP 地址,本文档以 192.168.100.1 这个 IP 为例,作为管理地址。因此请将任意一台电脑的 IP 地址设置为与系统管理地址同一网段的 IP 即可。例如:192.168.100.10.在浏览器地址栏中输入 http://192.168.100.1:28099 并回车,即可打开系统的登录界面,如下图所示:系统登陆界面

在设备的登录界面输入用户名账号和密码点击【登陆】按钮,进入系统 Web 管理平台。在系统登陆界面可以选择显示语言的种类目前支持的语言有“简体中文”和“English”两种。

主界面介绍
本节介绍中新金盾抗拒绝服务系统 Web 管理界面构成。如下图所示系统界面介绍

设置管理地址

根据企业实际情况确定好部署方式并将产品上架后,第一步骤设置系统的管理地址和网关,设备管理地址根据实际情况分配。选择【系统配置】→【系统设备】进入系统管理地址设置界面,如下图所示:系统设备示意图

设备功能概况

系统中集成了简洁高效的 Web 管理界面,可以方便的使用普通浏览器进行管理设置。本章将详细介绍各个界面及其功能。

状态监控

全局统计

  1. 负载统计
    显示当前的流量图表、流量报表、系统概括、系统负载以及攻击记录,流量图表记录了设备总流量情况,如下图所示:全局统计
  1. 当前频率
    从整体上显示了设备上的流量、报文、匿名流量以及其他流量;外网为外部网络与设备的接口,即输入流量;内网为内部网络与设备的接口,即输出流量。

系统负载
记录了设备 CPU、内存的使用情况以及网络状态的统计。如下图所示:

防护范围
添加要防护的主机地址范围,只要在添加的主机地址范围内的主机产生流量后,主机的IP 地址会自动在【主机状态】中显示。如下图所示。

主机状态
【主机状态】模块页面显示了当前设备下主机的基本状态,如主机、带宽、频率、连接、点击某个主机后可进入主机视图进行查看,如下图所示。

删除防护主机
单击某个主机 IP,进入主机视图。输入想要删除的主机或者网段,然后去掉“有效”
选项框内的“√”,点击提交后即可删除单个主机。

主机状态查看
点击主机列表某个主机后,会出现主机当前防护状态,保护模式显示当前主机处于的防御模式,输入输出流量显示主机输入和输出过滤前和过滤后流量,如下图所示

连接监控
连接监控列表显示了当前设备所有的连接,页面如下图所示:

屏蔽列表
“屏蔽列表”模块页面显示被系统所屏蔽的连接,页面如下所示:

黑白名单
在【黑白名单】模块管理页面,可直接将 IP 加到黑名单和白名单。页面如下图示:

域名管理
在【域名管理】模块页面可以设置域名的黑名单和白名单,页面如下图所示:

攻击防御

全局参数
【全局参数】模块设置页面,提供了一些通用参数的设置接口,用户可方便的配置设备防护行为。页面如下图所示:

规则设置
【规则设置】模块页面显示了当前设备系统中的规则,包括系统规则及用户定义规则。页面如下图所示:

规则编辑页面
规则编辑页面用于编辑或添加某个用户定义规则。页面如下图所示:

TCP 端口保护
【TCP 端口保护设置】模块页面提供了针对每个端口的独立设置参数,用户可根据某
种端口的服务类型更改相应的处理策略。页面如下图所示:

WEB Service Protection
动态验证策略是中新金盾抗拒绝服务系统特适用于 Web 服务的一种防护方案,是针对目前愈演愈烈的 CC-HTTP Proxy 类攻击而开发的。应用此种策略的端口,系统将对进入的HTTP 请求进行验证操作,确保该请求来自正常的客户浏览行为,而非正常的访问行为(如通过代理进行攻击等)将被加入黑名单进行屏蔽;动态验证模块,只对设置了 WebCC 保护模式的主机采用该验证策略,没有设置该保护模式的主机不受影响。中新金盾抗拒绝服务系统使用 WEB Plugin 来对 HTTP 类攻击进行防御。当客户端访问服务器时,WEB Plugin 会返回脚本让客户端进行计算,然后客户端返回计算结果,如果结果正确,则通过插件验证,将该客户端列入正常的用户列表,如果结果错误,则屏蔽此客户端 IP,攻击器无法解析脚本,无法完成验证码的计算。设置界面如下图所示:

SSL|TLS Service Protection
HTTPS 业务数据均是加密数据。当被攻击时,传统的防护手段只能通过限制 Hello 频率或者 Exchange 频率,防护效果不佳,SSL|TLS 插件可对数据进行解密并有效防护。

Game Service Protection
 对于刷端口攻击,很多攻击器都是对同一个端口频繁建立连接。因此插件判断某个客户端是否打开若干个服务器端口,若只对同一个端口频繁连接,则会屏蔽该客户端。
 对于游戏应用来说,服务器回应的数据比客户端发送的数据要大很多,因此该插件还会判断客户端同服务器之间的数据比例,如果比例无法达到设定值,则会屏蔽该客户端。
 对于传奇等游戏假人攻击,插件会在玩家登陆 30 秒后发送验证码对话框,玩家若无法完成验证码的输入,则会被断开连接。次数过多则会被屏蔽。参数设置如下图所示:

Misc Service Protection
Misc 模块主要用于防护游戏,Misc 模块可以自定义回复数据,分为两种情况,第一种为默认:0-ftp,1-smtp,2-pop3。第二种是自定义:10-17,是 8 组自定义回复策略,用于建立连接后服务器首先发送固定数据给客户端,然后客户端回复固定数据,需要在系统环境变量里,设置 misc.customdata,格式是:服务器回复数据:客户端回应的正则表达式,主要是用于游戏连接时,服务器先回复固定数据,然后客户端发送的第一个包的数据相同,可以设置最多 8 组,设置如下图所示:

参数中的 10 代表 Misc Custom 中的第一组数据,如下图所示:

DNS 防护模块
 DNS 防护模块如下图所示,开启 TCP 53 端口的 DNS 插件防御,有的客户端也可
以用 TCP 的 53 端口进行 DNS 解析,所以建议 TCP 的 53 端口也开启 DNS 插件防御,如下图所示:

开启TCP防护模块
开启 TCP 防护模块有两种方式,一种是在连接攻击检测处填写一个数值,当 TCP 新建连接达到此值时,将自动开启 TCP 插件防御,当连接数低于此值一段时间后,TCP 插件防御将取消,如下图所示:

另一种方式是在主机设置中的防护插件中勾选相关插件,这样则强制开启 TCP 防御插
件,如下图所示:

UDP 端口保护
【UDP 端口保护设置】模块页面提供了针对每个端口的独立设置参数,用户可根据某种端口的服务类型更改相应的处理策略。页面如下图所示:

UDP APP Protection v1.1
 该插件参数配置对应变量设置中 udpfilter.Data
配置文件中 index 配置索引。比如,在变量设置中 udpfilter.Data 中针对当前业务防护设置的客户端和服务器数据流信息在“index = {1};”中, 那么在 udp 端口保护中业务端口开启 UDP APP Protection v1.1 防护模块,对应模块参数就是 1。

DNS 防护插件防御
如下图所示,开启 UDP 53 端口的 DNS 插件防御,有的客户端也可以用 TCP 的 53 端口进行 DNS 解析,所以建议 TCP 的 53 端口也开启 DNS 插件防御,方式和 UDP 的一样

开启UDP插件
开启 UDP 插件防御有两种方式,一种是在攻击频率检测处填写一个数值,当收端口每秒接收到到 UDP 数达到此值时,将自动开启 UDP 插件防御,当连接数低于此值一段时间后,UDP 插件防御将取消,如下图所示:

另一种方式是在主机设置中的防护插件中勾选相关插件,这样则强制开启 UDP 防御插件,如下图所示:

牵引设置

变量设置
针对有一定访问规律的 udp 攻击。用于防护具有一定访问规律的 UDP 攻击。此模块防护攻击时需要客户端第一次请求数据、服务器回应数据、确认回应的数据固定。使用之前需要对配置文件进行设置。

日志分析

日志列表
【日志管理】模块列出系统中所有的日志项,并可按事件进行分类。页面如下图所示:

攻击分析
开启该模块方法:在【系统配置】→【控管属性】→【控管特性】中勾选【异常攻击分析】。目的主机只支持单个主机查询。

分析报告
【分析报告】模块统计出了设备全局的最大以及平均的流量、连接值,并可以查询单个主机的防护状态以及连接、流量记录。如下图所示:

TOP 分析
【TOP 分析】模块统计出了最近五分钟、一个小时、一天或指定时间段内输入流量排名前 10、前 50、前 100、前 500 的主机信息。如下图所示:

流量分析
【流量分析】模块统计出了全局以及单个主机的每日和每月的最大、平均的流量输入、输出报表。如下图所示:

连接分析
【连接分析】模块用于查询全局/单个主机的一天/一月内的最大、平均连接值。如下图所示:

事件分析
该栏罗列出了主机六天内的所触发的防护参数事件以及最大/平均的的输入输出数据包 频率。统计方式有:BPS、PPS 以及 SPS。如下图所示:

性能分析
【性能分析】模块列出了系统的最大/平均输入输出流量以及 CPU 和内存的使用率。如下图所示:

攻击档案
开启该模块方法:在【系统配置】-【控管属性】-【控管特性】中勾选【异常攻击分析】、【攻击报文归档】。【攻击报文档案】页面如下图所示:

报表管理
通过邮件或 tftp 方式获取设备上的报表文件,勾选 tftp 传递后会出现配置 tftp 服务器一栏。或者直接勾选报表类型导出。

系统配置

保存配置
【保存配置】模块用于对设备的相关设置进行保存,可按网络设备地址、全局防护参数、TCP/UDP 端口保护参数、主机及配置参数以及规则列表进行选择性保存,并可进行配置的导入和导出操作,页面如下图所示:

攻击报警

用户组管理
【用户组管理】用来新建、删除、编辑用户组,设置某个用户组的管理权限。系统默认有四个用户组:monitor、operator、administrator、service。页面如下图所示:

用户组编辑

用户管理
【用户管理】模块具有设置用户分级管理功能,方便网络监控及管理。页面如下图所示:

报文捕捉
【报文捕捉】用来抓取经过设备接口的数据报文,分析数据包走向、攻击特征等。