金盾抗拒絕服務(wù)系統(tǒng)使用說明書201001-JDFW

金盾抗拒絕服務(wù)系統(tǒng)使用說明 PAGE16 ?2009中新軟件中新金盾抗拒絕服務(wù)系統(tǒng)使用說明書版本號：20目錄一、 用戶手冊簡介 51.1用途 51.2約定 51.3概述 6二、 安裝指南 72．1設(shè)備類型及構(gòu)成 72.1.1JDFW-500+ 72.1.2JDFW-1000+ 72.1.3JDFW-8000+ 82.1.4JDFW-2000+ 82.1.5JDFW-4000+ 92.1.6集群型號 92.2硬件設(shè)備安裝 102.2.1單路型 102.2.2 雙路 102.2.3 集群型 102.3注意事項 11三、 產(chǎn)品概述 123.1 DOS/DDOS簡介 123.2 金盾抗拒絕服務(wù)系統(tǒng) 123.2.1 技術(shù)優(yōu)勢 123.2.2 防護(hù)原理 133.2.3 產(chǎn)品系列 15四、 功能描述 174.1用戶登錄 174.2系統(tǒng)信息 174.2.1內(nèi)核版本號 174.2.2序列號碼 174.2.3設(shè)備連接狀態(tài)及地址 174.3規(guī)則設(shè)置 174.3.1地址 174.3.2端口 184.3.3模式匹配 184.3.4方向選擇 184.3.5規(guī)則行為 184.4防護(hù)狀態(tài) 184.4.1SYN保護(hù)模式 184.4.2SYN危急保護(hù)模式 184.4.3ACK&RST保護(hù)模式 184.4.4UDP保護(hù)模式 184.4.5ICMP保護(hù)模式 194.4.6碎片保護(hù)模式 194.4.7NonIP保護(hù)模式 194.4.8忽略模式 194.4.9禁止模式 194.4.10WebCC保護(hù)模式 194.4.11GameCC保護(hù)模式 194.4.12高級UDP保護(hù)模式 194.5參數(shù)設(shè)置 204.5.1系統(tǒng)操作環(huán)境 204.5.2主機(jī)防護(hù)參數(shù) 204.5.3系統(tǒng)防護(hù)參數(shù) 214.5.4變量設(shè)置 214.6端口策略 214.6.1TCP端口保護(hù) 214.6.2UDP端口保護(hù) 23五、 管理及配置 .245.1登錄頁面 245.1.1語言 245.1.2用戶/密碼 245.1.3修改密碼 255.1.4重置 255.2狀態(tài)監(jiān)控 255.2.1全局統(tǒng)計 255.2.2系統(tǒng)負(fù)載 265.2.3主機(jī)狀態(tài) 275.2.4主機(jī)設(shè)置 285.2.5連接監(jiān)控 305.2.6屏蔽列表 325.2.7黑名單管理 335.2.8域名管理 345.3攻擊防御 365.3.1全局參數(shù) 365.3.2規(guī)則設(shè)置 415.3.3TCP端口保護(hù) 455.3.4UDP端口保護(hù) 495.4日志分析 505.4.1日志列表 505.4.2分析報告 515.5系統(tǒng)配置 535.5.1保存配置 535.5.2系統(tǒng)設(shè)備 545.5.3集群參數(shù) 555.5.4用戶管理 565.5.5SNMP系統(tǒng)配置 575.5.6SNMP用戶 585.5.7SNMP視圖列表 595.6服務(wù)支持 595.6.1關(guān)于我們 595.6.2版本信息 605.6.3報文捕捉 615.6.4產(chǎn)品升級 62用戶手冊簡介首先，感謝您購買中新金盾抗拒絕服務(wù)系統(tǒng)產(chǎn)品！本設(shè)備功能實用，性能優(yōu)秀，配置簡單，是您安全鏈條中不可缺少的一環(huán)。1.1用途本手冊的用途是幫助您熟悉和正確配置使用中新金盾抗拒絕服務(wù)系統(tǒng)。1.2約定金盾抗拒絕服務(wù)系統(tǒng)產(chǎn)品型號眾多，但功能、配置基本相同，因此，本手冊內(nèi)容適用于金盾抗拒絕服務(wù)系統(tǒng)全系列產(chǎn)品。1.3概述用戶手冊簡介。安裝指南。指導(dǎo)您如何進(jìn)行安裝金盾抗拒絕服務(wù)系統(tǒng)。產(chǎn)品概述。描述金盾抗拒絕服務(wù)系統(tǒng)的基本特性。設(shè)備功能描述。介紹配置金盾抗拒絕服務(wù)系統(tǒng)需要了解的一些概念。管理及配置。講述各個配置頁面及其功能。

安裝指南本章首先介紹金盾抗拒絕服務(wù)系統(tǒng)的設(shè)備類型及其構(gòu)成，隨后講解硬件安裝過程。2．1設(shè)備類型及構(gòu)成金盾抗拒絕服務(wù)系統(tǒng)硬件產(chǎn)品，根據(jù)處理能力及適用環(huán)境的不同，分為如下型號：2.1.1JDFW-500+百兆型設(shè)備，適用于百兆接入環(huán)境，設(shè)備構(gòu)成如下圖所示：前面板圖例:JDFW-500+型系統(tǒng)配置圖默認(rèn)管理口從左至右標(biāo)號為2、3，相應(yīng)地址為，。后面板圖例:2.1.2JDFW-1000+千兆標(biāo)準(zhǔn)型設(shè)備，適用于千兆接入環(huán)境，設(shè)備構(gòu)成如下圖所示：前面板圖例:JDFW-1000+型系統(tǒng)配置圖默認(rèn)管理口E0，E1，E2相應(yīng)地址為，，后面板圖例:JDFW-1000+型系統(tǒng)配置圖默認(rèn)管理口E0，E1，E2相應(yīng)地址為，，2.1.3JDFW-8000+千兆高效型設(shè)備，適用于千兆接入環(huán)境，設(shè)備構(gòu)成如下圖所示：前面板圖例:JDFW-8000+型系統(tǒng)配置圖默認(rèn)管理口從左至右標(biāo)號為2、3，相應(yīng)地址為，后面板圖例:JDFW-8000+型系統(tǒng)配置圖2.1.4JDFW-2000+雙路千兆型設(shè)備，適用于雙千兆接入環(huán)境，設(shè)備構(gòu)成如下圖所示：前面板圖例:JDFW-2000+型系統(tǒng)配置圖默認(rèn)管理口E3，相應(yīng)地址為，擴(kuò)展口也可做管理使用地址為，E0:；E1：；E2：。后面板圖例:JDFW-2000+型系統(tǒng)配置圖2.1.5JDFW-4000+雙路千兆型設(shè)備，適用于雙千兆接入環(huán)境，設(shè)備構(gòu)成如下圖所示前面板圖例:JDFW-4000+型系統(tǒng)配置圖默認(rèn)管理口E3，相應(yīng)地址為，擴(kuò)展口也可做管理使用地址為，E0:；E1：；E2：。后面板圖例:JDFW-4000+型系統(tǒng)配置圖2.1.6集群型號以上各個型號均有相應(yīng)的集群版本，一般來說，集群型金盾抗拒絕服務(wù)系統(tǒng)與普通型金盾抗拒絕服務(wù)系統(tǒng)相比，主要差別在于增加了心跳功能用于設(shè)備之間的信息傳輸，請咨詢金盾售后技術(shù)支持獲得相關(guān)資料。2.2硬件設(shè)備安裝金盾抗拒絕服務(wù)系統(tǒng)硬件安裝操作比較簡單，根據(jù)型號的不同主要分為如下幾種安裝過程。2.2.1單路型單路型金盾抗拒絕服務(wù)系統(tǒng)的型號為JDFW-100+；JDFW-1000+；JDFW-8000＋，其安裝步驟如下：連接數(shù)據(jù)端口，將外網(wǎng)連接線（數(shù)據(jù)入線）接入設(shè)備上標(biāo)識為“進(jìn)口”的網(wǎng)口，相應(yīng)的內(nèi)網(wǎng)連接線（數(shù)據(jù)出線）接入設(shè)備上標(biāo)識為“出口”的網(wǎng)口；連接管理接口，將設(shè)備的任一標(biāo)識為“管理口”的網(wǎng)口接入外網(wǎng)或內(nèi)網(wǎng)交換機(jī)；啟動設(shè)備，連接電源線并啟動電源開關(guān)，檢查接線的各個網(wǎng)口的指示燈是否正常閃爍；登陸管理機(jī)，更改

IP地址為與設(shè)備管理地址同一網(wǎng)段，隨后登陸管理界面，確?？梢哉ＴL問；查看流量，確認(rèn)數(shù)據(jù)正常通行，完成安裝。雙路型雙路型金盾抗拒絕服務(wù)系統(tǒng)的型號為JDFW-2000+、JDFW-4000+.其安裝步驟如下（以JDFW-2000+為例）：連接第一路數(shù)據(jù)端口，將第一路外網(wǎng)連接線（數(shù)據(jù)入線）接入設(shè)備上第一個標(biāo)識為“進(jìn)口”的網(wǎng)口，相應(yīng)的內(nèi)網(wǎng)連接線（數(shù)據(jù)出線）接入設(shè)備上第一個標(biāo)識為“出口”的網(wǎng)口；連接第二路數(shù)據(jù)端口，將第二路外網(wǎng)連接線（數(shù)據(jù)入線）接入設(shè)備上第二個標(biāo)識為“進(jìn)口”的網(wǎng)口，相應(yīng)的內(nèi)網(wǎng)連接線（數(shù)據(jù)出線）接入設(shè)備上第二個標(biāo)識為“出口”的網(wǎng)口；連接管理接口，將設(shè)備的任一標(biāo)識為“管理口”的網(wǎng)口接入外網(wǎng)或內(nèi)網(wǎng)交換機(jī)；在外部交換機(jī)上，將兩組數(shù)據(jù)入口設(shè)置為端口聚合。在內(nèi)部交換機(jī)上同樣將兩組數(shù)據(jù)出口設(shè)置為端口聚合（如果采用雙路由模式，則不需要設(shè)置）；啟動設(shè)備，連接電源線并啟動電源開關(guān)，檢查接線的各個網(wǎng)口的指示燈是否正常閃爍；登陸管理機(jī)，更改

IP地址為與設(shè)備管理地址同一網(wǎng)段，隨后登陸管理界面，確?？梢哉ＴL問；查看流量，確認(rèn)數(shù)據(jù)正常通行，完成安裝。集群型集群型金盾抗拒絕服務(wù)系統(tǒng)依靠多臺設(shè)備實現(xiàn)防護(hù)帶寬及防護(hù)能力的疊加，目前可支持多臺設(shè)備形成集群，抵御大的攻擊流量。集群型金盾抗拒絕服務(wù)系統(tǒng)安裝步驟如下：1)重新設(shè)置設(shè)備地址，規(guī)劃集群設(shè)備的序號（如1-10），隨后依次開啟設(shè)備，連接管理口，配置設(shè)備的IP地址，將設(shè)備所有網(wǎng)卡的地址改為與其序號相對應(yīng)，這樣就可以避免集群中的設(shè)備出現(xiàn)IP地址沖突的情況；例如，設(shè)備的默認(rèn)地址，按端口排序，依次為，，……，而該設(shè)備的序號規(guī)劃為2，則將其IP地址設(shè)為，，……；2)連接數(shù)據(jù)端口，依次將每條線路的外網(wǎng)連接線（數(shù)據(jù)入線）接入設(shè)備上標(biāo)識為“進(jìn)口”的網(wǎng)口，相應(yīng)的內(nèi)網(wǎng)連接線（數(shù)據(jù)出線）接入設(shè)備上標(biāo)識為“出口”的網(wǎng)口；3)連接心跳線路，依次將每臺設(shè)備的心跳口接入交換機(jī)（千兆型集群需接入千兆型交換機(jī)）。如果是兩臺設(shè)備形成的集群，則心跳線路可直接利用交叉線對接；4)連接管理接口，依次將每臺設(shè)備的任一標(biāo)識為“管理口”的網(wǎng)口接入內(nèi)網(wǎng)交換機(jī)；5)在外部交換機(jī)上，將數(shù)據(jù)入口設(shè)置為端口聚合。在內(nèi)部交換機(jī)上同樣將數(shù)據(jù)出口設(shè)置為端口聚合（如果采用多路由模式，則不需要設(shè)置）；6)登陸管理機(jī)，更改

IP地址為與設(shè)備管理地址同一網(wǎng)段，隨后登陸管理界面，進(jìn)入集群設(shè)置頁面，輸入設(shè)備ID所對應(yīng)的心跳口的IP地址，隨后保存；7)注意，啟動設(shè)備后集群功能自動生效；8)查看流量，確認(rèn)數(shù)據(jù)正常通行，完成安裝。2.3注意事項1）由于雙路模式和集群模式安裝設(shè)置比較復(fù)雜，建議由金盾抗拒絕服務(wù)系統(tǒng)技術(shù)人員協(xié)助完成安裝調(diào)試工作；2）當(dāng)設(shè)備管理口無法訪問時，請換用其它管理口。如果所有管理口均無法訪問，請聯(lián)系金盾售后技術(shù)支持進(jìn)行咨詢；3）安裝設(shè)備時請避免損壞易碎貼及封口標(biāo)簽，否則將無法享受本公司的免費(fèi)服務(wù)承諾；4）在放置設(shè)備時，請避開多塵及電磁干擾強(qiáng)的地區(qū)。

產(chǎn)品概述本設(shè)備針對目前廣泛存在的DOS/DDOS攻擊而設(shè)計，為您的網(wǎng)站、信息平臺、互動娛樂等基于Internet的網(wǎng)絡(luò)服務(wù)提供完善的保護(hù)，使其免受惡意的攻擊、破壞。DOS/DDOS簡介拒絕服務(wù)攻擊（DOS/DDOS）是近年來愈演愈烈的一種攻擊手段，其主要目的是造成目標(biāo)主機(jī)的TCP/IP協(xié)議層擁塞、或者導(dǎo)致應(yīng)用層異常終止而形成拒絕服務(wù)的現(xiàn)象。目前，DOS/DDOS攻擊方式主要有以下幾種：利用TCP/IP協(xié)議的漏洞，消耗目標(biāo)主機(jī)的系統(tǒng)資源，使其過度負(fù)載。此種攻擊也是目前十分普遍存在的一種攻擊形式，攻擊者動輒發(fā)起幾十兆甚至上百兆的攻擊流量，造成目標(biāo)的徹底癱瘓。常見的有SYNFlood，UDPFlood，ICMPFlood等等；利用某些基于TCP/IP協(xié)議的軟件漏洞，造成應(yīng)用異常。此種攻擊比較單一，通常是針對某個軟件特定版本的攻擊，影響范圍較小，且具有時限性。但通常此種攻擊較難防御，漏洞查找較困難；不斷嘗試，頻繁連接的野蠻型攻擊。此種攻擊早期危害有限，但隨著代理型攻擊的加入，已漸有成為主流之勢。常見的有WEBStress，CCProxyFlood等。隨著網(wǎng)絡(luò)上各種業(yè)務(wù)的普遍展開，DOS/DDOS攻擊所帶來的損失也愈益嚴(yán)重。當(dāng)前運(yùn)營商、企業(yè)及政府機(jī)構(gòu)等各種用戶時刻都面臨著被攻擊的威脅，而可預(yù)期的更加強(qiáng)大的攻擊工具也會成批出現(xiàn)，此種攻擊只會數(shù)量更多、破壞力更強(qiáng)大，更加難以防御。正是DOS/DDOS攻擊難于防御，危害嚴(yán)重，所以如何有效的應(yīng)對DOS攻擊就成為對網(wǎng)絡(luò)安全工作者的嚴(yán)峻挑戰(zhàn)。傳統(tǒng)網(wǎng)絡(luò)設(shè)備或者邊界安全設(shè)備，諸如防火墻、入侵檢測系統(tǒng)，作為整體安全策略中不可缺少的重要模塊，都不能有效的提供針對DOS攻擊完善的防御能力。因此必須采用專門的機(jī)制，對攻擊進(jìn)行檢測、防護(hù)、進(jìn)而遏制這類不斷增長的、復(fù)雜的且極具隱蔽性的攻擊行為。金盾抗拒絕服務(wù)系統(tǒng)針對當(dāng)前的DOS/DDOS攻擊現(xiàn)狀，安徽中新軟件自主研發(fā)的抗拒絕服務(wù)產(chǎn)品——金盾抗拒絕服務(wù)系統(tǒng)，具有很強(qiáng)的DOS/DDOS攻擊的防護(hù)能力。并可在多種網(wǎng)絡(luò)環(huán)境下輕松部署，保證網(wǎng)絡(luò)的整體性能和可靠性。技術(shù)優(yōu)勢金盾抗拒絕服務(wù)系統(tǒng)，相比其它DOS/DDOS產(chǎn)品，具有以下優(yōu)勢：1)DOS/DDOS攻擊檢測及防護(hù)金盾抗拒絕服務(wù)系列產(chǎn)品，應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法，對SYNFlood，UDPFlood，ICMPFlood，IGMPFlood，F(xiàn)ragmentFlood，HTTPProxyFlood，CCProxyFlood，ConnectionExhausted等各種常見的攻擊行為均可有效識別，并通過集成的機(jī)制實時對這些攻擊流量進(jìn)行處理及阻斷，保護(hù)服務(wù)主機(jī)降低攻擊所造成的損失。內(nèi)建的WEB保護(hù)模式及游戲保護(hù)模式，徹底解決針對此兩種應(yīng)用的DOS攻擊方式。2)通用方便的報文規(guī)則過濾金盾抗拒絕服務(wù)系列產(chǎn)品，除了提供專業(yè)的DOS/DDOS攻擊檢測及防護(hù)外，還提供了面向報文的通用規(guī)則匹配功能，可設(shè)置的域包括地址、端口、標(biāo)志位，關(guān)鍵字等，極大的提高了通用性及防護(hù)力度。同時，內(nèi)置了若干預(yù)定義規(guī)則，涉及局域網(wǎng)防護(hù)、漏洞檢測等多項功能，易于使用。3)專業(yè)的連接跟蹤機(jī)制金盾抗拒絕服務(wù)系列產(chǎn)品，內(nèi)部實現(xiàn)了完整的TCP/IP協(xié)議棧，具有強(qiáng)大的連接跟蹤能力。每個進(jìn)出的連接，設(shè)備都會根據(jù)其源地址進(jìn)行分類，并顯示出來給用戶，方便用戶對受保護(hù)主機(jī)狀態(tài)的監(jiān)控。同時還提供連接超時，重置連接等輔助功能，彌補(bǔ)了TCP協(xié)議本身的不足，使您的服務(wù)器在攻擊中游刃有余。4)簡潔豐富的管理金盾抗拒絕服務(wù)系列產(chǎn)品具有豐富的設(shè)備管理功能，基于簡潔的WEB管理方式，支持本地或遠(yuǎn)程升級。同時，豐富的日志和審計功能也極大地增強(qiáng)了設(shè)備的可用性，不僅能夠針對攻擊進(jìn)行實時監(jiān)測，還能對攻擊的歷史日志進(jìn)行方便的查詢和統(tǒng)計分析，便于對攻擊事件進(jìn)行有效的跟蹤和追查。5)廣泛的部署能力針對不同的客戶，抗拒絕服務(wù)所面臨的網(wǎng)絡(luò)環(huán)境也不同，企業(yè)網(wǎng)、IDC、ICP或是城域網(wǎng)等多種網(wǎng)絡(luò)協(xié)議并存，給抗拒絕服務(wù)系統(tǒng)的部署帶來了不同的挑戰(zhàn)。金盾抗拒絕服務(wù)系統(tǒng)具備了多種環(huán)境下的部署能力。優(yōu)質(zhì)的售后服務(wù)您購買本產(chǎn)品后，將終生享有免費(fèi)升級服務(wù)。我們有專門的技術(shù)人員為您進(jìn)行定期更新，使您的網(wǎng)絡(luò)始終保持在最安全的狀態(tài)，免除您的后顧之憂。防護(hù)原理金盾抗拒絕服務(wù)產(chǎn)品基于嵌入式系統(tǒng)設(shè)計，系統(tǒng)核心實現(xiàn)了防御拒絕服務(wù)攻擊的算法，創(chuàng)造性地將算法實現(xiàn)在協(xié)議棧的最底層，避開了IP/TCP/UDP等高層系統(tǒng)網(wǎng)絡(luò)堆棧的處理，使整個運(yùn)算代價大大降低。并采用自主研發(fā)的高效防護(hù)算法，效率極高。方案的核心技術(shù)架構(gòu)如下圖所示：金盾抗拒絕服務(wù)系統(tǒng)防護(hù)原理圖1)主機(jī)識別本設(shè)備可自動識別其保護(hù)的各個主機(jī)及其地址。實現(xiàn)某臺主機(jī)受到攻擊不會影響其它主機(jī)的正常服務(wù)。2)指紋識別用戶識別整個連接過濾，其中包括：源、目的、協(xié)議、端口等情況的識別。3)協(xié)議分析本設(shè)備采用了協(xié)議獨(dú)立的處理方法，對于TCP協(xié)議報文，通過連接跟蹤模塊來防護(hù)攻擊；而對于UDP及ICMP協(xié)議報文，主要采用流量控制模塊來防護(hù)攻擊。4)攻擊過濾攻擊過濾為默認(rèn)模式，此模式下，系統(tǒng)運(yùn)行完整的攻擊分過濾流程，過濾攻擊保證正常流量到達(dá)主機(jī)。5)流量控制主要是針對一結(jié)攻擊流量限制：緊急觸發(fā)狀態(tài)：針對攻擊頻率較高的攻擊防護(hù)模式，此模式將更為嚴(yán)格過濾攻擊；簡單過濾流量限制：是針對某些顯見的攻擊報文做的一種過濾模式，目前可以過濾內(nèi)容完全相同的報文，及使用真實地址進(jìn)行攻擊的報文；忽略主機(jī)流量限制：用于限制忽略主機(jī)的流量，當(dāng)某個忽略主機(jī)的流量超過設(shè)置值，超過的流量將被丟棄；偽造源流量限制：用于限制內(nèi)網(wǎng)攻擊。當(dāng)某數(shù)據(jù)包的原MAC地址不同于系統(tǒng)記錄到的MAC地址，該數(shù)據(jù)包將被認(rèn)為是偽造源流量，超過設(shè)置值的偽造源流量將被丟棄。6)端口防護(hù)本設(shè)備建立在連接跟蹤模塊上的端口防護(hù)體制，針對不同的端口應(yīng)用，提供不同的防護(hù)手段，使得運(yùn)行在同一服務(wù)器上的不同服務(wù)，都可以受到完善的DOS/DDOS攻擊保護(hù)。7)連接控制根據(jù)攻擊的流量和連接數(shù)閥值來設(shè)置觸發(fā)防護(hù)選項，連接數(shù)閥值可以根據(jù)不同情況來靈活控制。8)連接跟蹤本設(shè)備針對進(jìn)出的連接均進(jìn)行連接跟蹤，并在跟蹤的同時進(jìn)行防護(hù)，徹底解決針對TCP協(xié)議的各種攻擊。9)日志審計系統(tǒng)日志記錄可全面記錄產(chǎn)品系統(tǒng)運(yùn)行及防護(hù)狀態(tài)，并對不同操作權(quán)限的操作進(jìn)行記錄。產(chǎn)品系列經(jīng)過多年的研發(fā)推廣，目前金盾抗拒絕服務(wù)系統(tǒng)包含軟、硬件兩個產(chǎn)品線：1)軟件產(chǎn)品主要有JDFW-SW8000、JDFW-SWU及多網(wǎng)卡版本，按照連接數(shù)劃分，提供不同的處理能力，分別為8000及無限連接數(shù)；2)硬件產(chǎn)品JDFW-100+百兆標(biāo)準(zhǔn)型JDFW-300+百兆高效型JDFW-500+百兆高效型JDFW-1000+千兆標(biāo)準(zhǔn)型JDFW-8000+千兆高效型JDFW-2000+千兆雙路專業(yè)型JDFW-4000+千兆雙路專業(yè)型及相應(yīng)產(chǎn)品的集群型號

功能描述本章主要介紹配置和管理金盾抗拒絕服務(wù)系統(tǒng)時涉及到的一些基本概念。4.1用戶登錄本設(shè)備通過系統(tǒng)管理權(quán)限登陸，允許更改密碼，以達(dá)到限制非法人員進(jìn)入系統(tǒng)管理界面的目的。4.2系統(tǒng)信息系統(tǒng)信息主要包括：內(nèi)核版本號及構(gòu)建日期、序列號碼、設(shè)備連接狀態(tài)及地址等。4.2.1內(nèi)核版本號表示當(dāng)前系統(tǒng)的內(nèi)核的版本BuildNumber及其構(gòu)建日期。一般來說，較大的版本號或較新日期的內(nèi)核版本，具有更好的防護(hù)效率、更完善的抵御措施。4.2.2序列號碼一組明文表示的字符串，用于唯一的標(biāo)識一臺設(shè)備。當(dāng)尋求技術(shù)支持時，需要向金盾客服提供該序列號碼。4.2.3設(shè)備連接狀態(tài)及地址連接狀態(tài)表示當(dāng)前設(shè)備的線路連接情況，每個端口均有狀態(tài)顯示，具體為： 10Half ：10MBps半雙工連接 10Full ：10MBps全雙工連接 100Half：100MBps半雙工連接 100Full：100MBps全雙工連接 1000Full：1000MBps全雙工連接當(dāng)設(shè)備上顯示的連接狀態(tài)與您的接入環(huán)境不符時，請檢查或更換相應(yīng)的端口連接線（100Mbps以上速率的環(huán)境需要5類以上UTP線或光纖連接）。設(shè)備地址表示當(dāng)前設(shè)備各個端口的地址設(shè)置，包括IP地址，子網(wǎng)掩碼及網(wǎng)關(guān)地址。正確的設(shè)置可以使設(shè)備具有跨網(wǎng)段遠(yuǎn)程管理的能力。4.3規(guī)則設(shè)置金盾抗拒絕服務(wù)系統(tǒng)提供了通用規(guī)則設(shè)置接口，功能強(qiáng)大，設(shè)置簡便。4.3.1地址指定規(guī)則匹配的地址，包括本地地址和遠(yuǎn)端地址。4.3.2端口當(dāng)規(guī)則為TCP/UDP協(xié)議時，可指定相應(yīng)的端口域。4.3.3模式匹配指定規(guī)則匹配包含的關(guān)鍵字，可以是單一關(guān)鍵字，也可以是一組關(guān)鍵字。4.3.4方向選擇指定規(guī)則匹配的數(shù)據(jù)方向，包括發(fā)送數(shù)據(jù)和接收數(shù)據(jù)。4.3.5規(guī)則行為當(dāng)規(guī)則被匹配后，需要對此報文執(zhí)行的行為，包括過濾、攔截、放行和屏蔽。在防火墻規(guī)則行為里面有攔截和屏蔽它們兩有什么區(qū)別啊？攔截：針對匹配規(guī)則的每一次連接進(jìn)行攔截屏蔽：針對匹配規(guī)則訪問，建立一次連接后便被屏蔽，不允許進(jìn)行下一次連接4.4防護(hù)狀態(tài)目前系統(tǒng)自動防護(hù)狀態(tài)主要分為SYN保護(hù)模式，SYN危急保護(hù)模式，ACK&RST保護(hù)模式，UDP保護(hù)模式，ICMP保護(hù)模式，NonIP保護(hù)模式，碎片保護(hù)模式。此外需手動設(shè)置的模式還包括忽略模式，禁止模式，WebCC保護(hù)模式，GameCC保護(hù)模式及高級UDP保護(hù)模式：4.4.1SYN保護(hù)模式此模式由系統(tǒng)自動設(shè)置，用于防護(hù)SYNFlood攻擊，當(dāng)每秒SYN報文的數(shù)量超過設(shè)置值（詳見參數(shù)設(shè)置：SYN保護(hù)觸發(fā)）時即滿足觸發(fā)條件。4.4.2SYN危急保護(hù)模式此模式由系統(tǒng)自動設(shè)置，用于SYN攻擊危急防護(hù)，當(dāng)每秒SYN報文的數(shù)量超過設(shè)置值（詳見參數(shù)設(shè)置：SYN危急保護(hù)觸發(fā)）時即滿足觸發(fā)條件。4.4.3ACK&RST保護(hù)模式此模式由系統(tǒng)自動設(shè)置，用于防護(hù)ACK&RST攻擊，當(dāng)每秒ACK&RST報文的數(shù)量超過設(shè)置值（詳見參數(shù)設(shè)置：ACK&RST保護(hù)觸發(fā)）時即滿足觸發(fā)條件。4.4.4UDP保護(hù)模式此模式由系統(tǒng)自動設(shè)置，用于防護(hù)UDPFlood攻擊，當(dāng)每秒UDP報文的數(shù)量超過設(shè)置值（詳見參數(shù)設(shè)置：UDP保護(hù)觸發(fā)）時即滿足觸發(fā)條件。4.4.5ICMP保護(hù)模式此模式由系統(tǒng)自動設(shè)置，用于防護(hù)ICMPFlood攻擊，當(dāng)每秒ICMP報文的數(shù)量超過設(shè)置值（詳見參數(shù)設(shè)置：ICMP保護(hù)觸發(fā)）時即滿足觸發(fā)條件。4.4.6碎片保護(hù)模式此模式由系統(tǒng)自動設(shè)置，用于防護(hù)FragmentFlood攻擊，當(dāng)每秒碎片報文的數(shù)量超過設(shè)置值（詳見參數(shù)設(shè)置：碎片保護(hù)觸發(fā)）時即滿足觸發(fā)條件。4.4.7NonIP保護(hù)模式用于防護(hù)ip協(xié)議族的其它不常用的協(xié)議的攻擊類型，當(dāng)某臺主機(jī)承受的NonIP報文頻率超過該數(shù)值時，該主機(jī)將進(jìn)入NonIP保護(hù)模式。4.4.8忽略模式此模式由用戶手動設(shè)置，對于該模式下主機(jī)的所有流量采取直通策略，數(shù)據(jù)不經(jīng)過系統(tǒng)處理而直接轉(zhuǎn)發(fā)。4.4.9禁止模式此模式由用戶手動設(shè)置，對于該模式下主機(jī)的所有流量采取禁止策略，數(shù)據(jù)不經(jīng)過系統(tǒng)處理而直接丟棄。4.4.10WebCC保護(hù)模式此模式由用戶手動設(shè)置，當(dāng)某一主機(jī)運(yùn)行Web服務(wù)并且連接數(shù)量大大超過正常值，網(wǎng)站無法訪問或訪問很慢時，建議設(shè)置此模式（同時還需設(shè)置相應(yīng)端口的策略，詳見端口保護(hù)設(shè)置）。4.4.11GameCC保護(hù)模式此模式由用戶手動設(shè)置，當(dāng)某一主機(jī)運(yùn)行游戲服務(wù)并且連接數(shù)量大大超過正常值，客戶無法登陸或頻繁掉線時，建議設(shè)置此模式（同時還需設(shè)置相應(yīng)的端口策略，詳見端口保護(hù)設(shè)置）。4.4.12高級UDP保護(hù)模式此模式由用戶手動設(shè)置，當(dāng)某一主機(jī)運(yùn)行基于UDP協(xié)議的語音聊天室，當(dāng)受到UDPFLOOD攻擊導(dǎo)致聊天室無法登陸，語音或視頻頻繁卡斷時，建議設(shè)置此模式。4.5參數(shù)設(shè)置金盾抗拒絕服務(wù)系統(tǒng)內(nèi)設(shè)置了一組參數(shù)設(shè)置接口，用于調(diào)整設(shè)備工作狀態(tài)，使其在特殊網(wǎng)絡(luò)環(huán)境下也可保持最佳處理效率及防護(hù)能力。4.5.1系統(tǒng)操作環(huán)境系統(tǒng)操作環(huán)境提供全局范圍的主機(jī)防護(hù)參數(shù)，主要包括流量控制、系統(tǒng)時間和策略選項：1）流量控制全局型的流量控制，包括透明直通、網(wǎng)絡(luò)斷開及攻擊過濾。2）系統(tǒng)時間一組數(shù)字，用于顯示或設(shè)置設(shè)備的系統(tǒng)時間。3）策略選項 自動獲取主機(jī)地址：啟用此選擇可有效識別到設(shè)備下的主機(jī)地址； 記錄主機(jī)路由選擇：啟用此選擇會對設(shè)備下每臺主機(jī)的路由進(jìn)行記錄。4.5.2主機(jī)防護(hù)參數(shù)系統(tǒng)參數(shù)提供了對系統(tǒng)防御模塊的調(diào)整接口，包含一系列的攻擊觸發(fā)值，可通過“設(shè)置集”來調(diào)整不同主機(jī)的防護(hù)狀態(tài)。1)攻擊檢測通過設(shè)置SYNFlood保護(hù)、SYNFlood高壓保護(hù)、SYNFlood單機(jī)保護(hù)、ACK&RSTFlood保護(hù)、UDP保護(hù)觸發(fā)、ICMP保護(hù)觸發(fā)、碎片保護(hù)觸發(fā)和NonIP保護(hù)觸發(fā)等參數(shù)，以調(diào)整不同服務(wù)主機(jī)達(dá)到高佳防護(hù)狀態(tài)。關(guān)閉端口觸發(fā)，是用戶設(shè)置空端口自動關(guān)閉的觸發(fā)參數(shù)。2)TCP防護(hù)該項防護(hù)參數(shù)是用于指導(dǎo)系統(tǒng)防御模塊的防護(hù)行為，包括連接數(shù)量保護(hù)、連接空閑超時、默認(rèn)黑名單策略等方式來調(diào)連接數(shù)量、空閑時間及黑名單策略的防護(hù)防護(hù)設(shè)置。3)UDP防護(hù)設(shè)置通過設(shè)置請求連接超時時間、建立連接超時時間加強(qiáng)攻擊防護(hù)效果。4.5.3系統(tǒng)防護(hù)參數(shù)系統(tǒng)防護(hù)參數(shù)主要是針對一些攻擊流量進(jìn)行限制設(shè)置。通過報文頻率緊急狀態(tài)和簡單過濾流量限制進(jìn)行攻擊報文及流量的設(shè)置調(diào)整，通過忽略主機(jī)流量限制控制被忽略主機(jī)的攻擊流量，通過偽造源流量限制有效防御內(nèi)網(wǎng)攻擊流量。屏蔽持續(xù)時間，用于限制被屏蔽IP的屏蔽時間，超出設(shè)置時間范圍后該IP才可以重新建立訪問。4.5.4變量設(shè)置 DomainAudit.Redirect 針對WEB頁面跳轉(zhuǎn)設(shè)置模式； Dns.Mode 針對設(shè)備學(xué)習(xí)到訪問DNS的地址；Web.Special針對特殊WEB頁面的設(shè)置模式；WEB.AuthorizePage針對WEB攻擊的外部驗證服務(wù)器設(shè)置模式。4.6端口策略某些特殊應(yīng)用，如Web服務(wù)、游戲服務(wù)、語音服務(wù)等，針對性的防護(hù)策略可以使得這些應(yīng)用具有更好的服務(wù)品質(zhì)，徹底隔絕惡意客戶及攻擊工具造成的損害。因此，金盾抗拒絕服務(wù)系統(tǒng)內(nèi)建了端口防御體系，根據(jù)不同的應(yīng)用采取獨(dú)立設(shè)置端口策略，防護(hù)能力更勝一籌。4.6.1TCP端口保護(hù)TCP端口保護(hù)可針對不同服務(wù)和不同端口設(shè)定防護(hù)類型，是針對特殊應(yīng)用而開發(fā)的防護(hù)手段，TCP端口防護(hù)類型主要包含三種：標(biāo)準(zhǔn)防護(hù)、動態(tài)驗證及頻率保護(hù)。1）標(biāo)準(zhǔn)防護(hù)(default）標(biāo)準(zhǔn)防護(hù)策略為所有端口默認(rèn)的防護(hù)措施，不對應(yīng)用做特殊處理，具有最好的兼容性；2）動態(tài)驗證(WEBServiceProtection）動態(tài)驗證策略是金盾抗拒絕服務(wù)系統(tǒng)獨(dú)有的、適用于Web服務(wù)的一種防護(hù)策略，是針對目前愈演愈烈的CC-HTTPProxy類攻擊而開發(fā)的。動態(tài)驗證模塊，只對設(shè)置了WebCC保護(hù)模式的主機(jī)采用該驗證策略，沒有設(shè)置該保護(hù)模式的主機(jī)不受影響。3）頻率保護(hù)(GameServiceProtection）頻率保護(hù)策略是金盾抗拒絕服務(wù)系統(tǒng)獨(dú)有的、適用于游戲服務(wù)的一種防護(hù)策略，是針對目前流行的代理型攻擊器、木馬型攻擊器、BotNet等而開發(fā)的。頻率保護(hù)模塊，只對設(shè)置了GameCC保護(hù)模式的主機(jī)采用該限制及驗證策略，沒有設(shè)置該保護(hù)模式的主機(jī)不受影響。4）連接攻擊檢測用于自動啟用TCP防護(hù)插件。5）連接數(shù)量限制限制每個客戶端允許與主機(jī)建立的連接數(shù)量，超出設(shè)置數(shù)量該連接被屏蔽。6）踢出/探測權(quán)重限制每個客戶端允許與主機(jī)建立空連接的數(shù)量，超出設(shè)置限制該連接被屏蔽。7）協(xié)議類型選擇限制不同服務(wù)端口只允許指定協(xié)議通過。8）防護(hù)標(biāo)志防護(hù)標(biāo)志包括超時連接、延時提交、超出屏蔽、域名審計和接收協(xié)議。9）模塊參數(shù)一組用于控制系統(tǒng)防護(hù)模式及策略的參數(shù)。4.6.2UDP端口保護(hù)UDP端口保護(hù)可針對各項UDP服務(wù)進(jìn)行特殊設(shè)定，防護(hù)各類語音、視頻、UDP協(xié)議服務(wù)的端口攻擊，并可通過協(xié)議類型選擇限制指定協(xié)議，并針對特殊服務(wù)編輯防護(hù)協(xié)議類型。

管理及配置金盾抗拒絕服務(wù)系統(tǒng)集成了簡潔高效的Web管理界面，可以方便的使用普通瀏覽器進(jìn)行管理設(shè)置。本章將詳細(xì)介紹各個界面及其功能，由此您將覺得配置金盾抗拒絕服務(wù)系統(tǒng)是一件輕松的事。5.1登錄頁面在瀏覽器地址欄輸入:28099，將進(jìn)入金盾抗拒絕服務(wù)系統(tǒng)登陸頁面（具體需要看設(shè)備的管理口接入情況，本章管理地址為）。登錄頁面如下圖所示：2000+為例金盾抗拒絕服務(wù)系統(tǒng)登陸頁面5.1.1語言設(shè)置登陸界面格式，可設(shè)置為簡體中文和English兩種登陸界面；5.1.2用戶/密碼輸入管理用戶名和密碼，并點擊“提交”，即可進(jìn)入設(shè)備歡迎頁面。如果密碼不正確，將進(jìn)入驗證失敗頁面，此時需返回并重新輸入密碼。注：金盾抗拒絕服務(wù)系統(tǒng)出廠默認(rèn)用戶名為：admin密碼為:123，請登陸設(shè)備后第一時間更改為復(fù)雜密碼（推薦包含字母、數(shù)字、符號的任意組合）。驗證失敗頁面5.1.3修改密碼選擇修改密碼后，“更改密碼”和“確認(rèn)密碼”為可寫入狀態(tài)，進(jìn)行新密碼設(shè)置和確認(rèn)后提交，便可更改為新密碼。5.1.4重置當(dāng)輸入用戶名密碼有誤時，可用于重置輸入內(nèi)容，重新輸入正確的用戶名密碼即可。5.2狀態(tài)監(jiān)控5.2.1全局統(tǒng)計全局統(tǒng)計頁面顯示當(dāng)前系統(tǒng)的流量圖，及輸入輸出統(tǒng)計。頁面如下圖所示：金盾抗拒絕服務(wù)系統(tǒng)狀態(tài)監(jiān)控——全局統(tǒng)計頁面其中，上為每分鐘流量圖，左為每天流量圖，右為每月流量圖；外網(wǎng)接口為外部網(wǎng)絡(luò)與設(shè)備的接口，即輸入流量；內(nèi)網(wǎng)接口為內(nèi)部網(wǎng)絡(luò)與設(shè)備的接口，即輸出流量。5.2.2系統(tǒng)負(fù)載系統(tǒng)負(fù)載頁面，提供了即時查看設(shè)備當(dāng)前工作狀態(tài)的接口。頁面如下圖所示：金盾抗拒絕服務(wù)系統(tǒng)狀態(tài)監(jiān)控——系統(tǒng)負(fù)載頁面CPU占用率、內(nèi)存使用，均為當(dāng)前設(shè)備的即時狀態(tài)。網(wǎng)絡(luò)統(tǒng)計，則顯示一秒內(nèi)設(shè)備各個網(wǎng)卡收發(fā)數(shù)據(jù)情況。5.2.3主機(jī)狀態(tài)主機(jī)狀態(tài)頁面顯示了當(dāng)前設(shè)備下主機(jī)的基本狀態(tài)，如主機(jī)、帶寬、頻率、連接、防護(hù)模式等。頁面如下圖所示：金盾抗拒絕服務(wù)系統(tǒng)狀態(tài)監(jiān)控——主機(jī)狀態(tài)頁面1）主機(jī)顯示當(dāng)前處于設(shè)備下的主機(jī)的IP地址，當(dāng)主機(jī)數(shù)量超出100個IP時，地址將根據(jù)掩碼分段顯示，點擊進(jìn)入可查看段內(nèi)主機(jī)，每個主機(jī)IP地址也是一個超連接，點擊后即可進(jìn)入主機(jī)狀態(tài)設(shè)定頁面2）帶寬顯示該主機(jī)的入口和出口帶寬占用，以Mbps為單位。注：若某臺主機(jī)對外進(jìn)行偽造源地址的攻擊（如SYNFlood），由于其源地址是偽造的，設(shè)備無法定位到具體的機(jī)器，而只會在總流量中顯示。3）頻率顯示該主機(jī)受到攻擊的頻率，目前主要統(tǒng)計為SYN報文頻率、ACK報文頻率、UDP報文頻率、，ICMP報文頻率、FRAG報文頻率、NonIP報文頻率、NewTCP連接和NewUDP連接。4）連接顯示外部與該主機(jī)建立的連接數(shù)（in），該主機(jī)與外部建立的連接數(shù)（out），及UDP連接。in連接遠(yuǎn)遠(yuǎn)超過正常值的連接數(shù)量表示該主機(jī)可能受到代理型攻擊，如CC類攻擊等，請設(shè)置相應(yīng)的防護(hù)模式或聯(lián)系金盾售后技術(shù)支持。5）防護(hù)模式顯示該主機(jī)當(dāng)前流量圖，同時主機(jī)狀態(tài)也顯示在左側(cè)，頁面如下圖所示：6）網(wǎng)絡(luò)地址設(shè)置本設(shè)備采用基于ARP協(xié)議的智能主機(jī)發(fā)現(xiàn)來識別設(shè)備下的主機(jī)，但某些網(wǎng)絡(luò)接入環(huán)境情況下ARP信息相對較少，則設(shè)備將無法自動識主機(jī)。此時需要手動提交網(wǎng)絡(luò)地址和子網(wǎng)掩碼，提交后即可在狀態(tài)頁面中顯示檢測到的主機(jī)列表。5.2.4主機(jī)設(shè)置主機(jī)設(shè)置頁面顯示了當(dāng)前主機(jī)的狀態(tài)設(shè)置參數(shù)，包括流量策略及防護(hù)策略。頁面如下圖所示：主機(jī)設(shè)備頁面1）主機(jī)地址顯示設(shè)置的主機(jī)地址，“有效”復(fù)選框表示該主機(jī)是否存在。設(shè)備的主機(jī)自動發(fā)現(xiàn)系統(tǒng)有時會發(fā)現(xiàn)一些不存在的IP地址，如果您確定某主機(jī)不存在而又出現(xiàn)在列表中的話，請清除“有效”復(fù)選框，則該主機(jī)將被自動清除。“記錄”選擇此選項后將記錄該主機(jī)的分時流量，并在分時流量圖中體現(xiàn)。2）網(wǎng)關(guān)IP地址顯示設(shè)置主機(jī)的網(wǎng)關(guān)IP地址，此項可根據(jù)網(wǎng)絡(luò)地址設(shè)置識別，也可在該狀態(tài)下直接進(jìn)行修改。3）網(wǎng)關(guān)MAC地址設(shè)置主機(jī)的網(wǎng)關(guān)MAC地址，此項可根據(jù)網(wǎng)絡(luò)地址設(shè)置識別，也可在該狀態(tài)下直接進(jìn)行修改。4）流量策略用于設(shè)置針對某主機(jī)的流量限制策略，以Mbps為單位，分為入口流量限制和出口流量限制。本設(shè)備的流量限制是基于三層交換的流量限制。“忽略所有流量”表示完全忽略對該地址主機(jī)數(shù)據(jù)報文的任何處理而只是簡單轉(zhuǎn)發(fā)；“屏蔽所有流量”表示簡單丟棄，這兩種流量策略可用于局部調(diào)試目的；“流量超出屏蔽”表示超出系統(tǒng)流量策略設(shè)置值時,會屏蔽該主機(jī),禁止數(shù)據(jù)通行；“忽略國外訪問”表示屏蔽國外IP所有連接。5）保護(hù)設(shè)置集序號包括規(guī)則、TCP端口、UDP端口、防護(hù)參數(shù)，可根據(jù)不同需要進(jìn)行規(guī)則、TCP端口、UDP端口、主機(jī)防護(hù)參數(shù)的重疊設(shè)置。6）分時流量顯示主機(jī)流量狀態(tài)，需要選擇“記錄”選項后方可顯示；7）防護(hù)插件用來設(shè)置針對此主機(jī)的特定防護(hù)手段，目前只有連接攻擊防護(hù)一種，表示主機(jī)將使用“連接攻擊防護(hù)策略”（CC防護(hù)）。點擊“提交”保存當(dāng)前所做更改。5.2.5連接監(jiān)控連接監(jiān)控頁面列出當(dāng)前設(shè)備維持的連接，頁面如下圖所示：金盾抗拒絕服務(wù)系統(tǒng)狀態(tài)監(jiān)控——連接監(jiān)控頁面1）控制包含的“重置”按鈕可簡單的重置該數(shù)據(jù)連接；2）本地地址顯示了此連接的本地地址及端口，可較方便的定位到具體的服務(wù)；3）遠(yuǎn)端地址顯示了建立此數(shù)據(jù)連接的遠(yuǎn)端主機(jī)的地址；4）端口連接顯示此遠(yuǎn)端主機(jī)對本地主機(jī)的服務(wù)端口數(shù)據(jù)請求建立的連接數(shù)量；5）全部連接顯示此遠(yuǎn)端主機(jī)對本地主機(jī)的服務(wù)端口數(shù)據(jù)請求建立的全部連接數(shù)量；6）選擇連接此項可查詢連接列表中地址信息，可針對單一地址設(shè)置查詢，也可進(jìn)行模糊查詢，如/24、-35/24模式查詢?！爸刂谩笨舍槍x擇后的連接進(jìn)行重置設(shè)置；“下載”可下載連接列表中選擇連接及所有連接。5.2.6屏蔽列表屏蔽列表頁面顯示被系統(tǒng)所屏蔽的連接。金盾抗拒絕服務(wù)系統(tǒng)狀態(tài)監(jiān)控——屏蔽列表頁面1）控制包含的“重置”按鈕可簡單的重置該數(shù)據(jù)連接；2）本地地址顯示了此連接的本地地址，可通過此頁面查詢被屏蔽主機(jī)狀態(tài)；3）遠(yuǎn)端地址顯示了建立此數(shù)據(jù)連接的遠(yuǎn)端主機(jī)的地址；4）當(dāng)前狀態(tài)顯示了遠(yuǎn)端主機(jī)對本地主機(jī)請求被屏蔽的剩余時間；5）屏蔽原因顯示了遠(yuǎn)端主機(jī)對本地主機(jī)請求被屏蔽的原因，可通過此項定位到攻擊類型。5.2.7黑名單管理黑名單管理頁面顯示肉雞及代理攻擊數(shù)據(jù)。金盾抗拒絕服務(wù)系統(tǒng)狀態(tài)監(jiān)控——黑名單管理頁面1）總數(shù)顯示設(shè)置黑名單的總數(shù)量；2）分類統(tǒng)計顯示設(shè)置的黑名單策略中socks代理、http代理、攻擊型傀儡和可疑客戶機(jī)的數(shù)量；3）數(shù)量顯示了黑名單策略的各項數(shù)量；4）有效顯示了黑名單策略中各IP的有效數(shù)；5）命中顯示黑名單策略中各IP的命中率；6）查詢黑名單可通過輸入某黑名單IP地址查詢該IP的數(shù)量及命中率；7）設(shè)置黑名單通過txt文本上傳黑名單,可由客戶自行設(shè)置。設(shè)置格式:3socks+http+agent+suspect(中間空格不計,可以是一個也可以是幾個)設(shè)置后選中參數(shù)設(shè)置中的"默認(rèn)黑名單策略"的四個選項便可以開啟該黑名單策略。5.2.8域名管理域名管理頁面可進(jìn)行域名黑名單、白名單設(shè)置。金盾抗拒絕服務(wù)系統(tǒng)狀態(tài)監(jiān)控——域名管理頁面1）域名管理域名管理中的“+”表示白名單，即可信任通過的域名；“-”表示黑名單，即需要屏蔽的域名；“+.”表示放行所有域名；“-.”表示禁止所有域名。圖中域名設(shè)置含義為僅允許和及的二級或三級域名通過，禁止其他所有域名，（）中的數(shù)字表示域名匹配的數(shù)量。2）關(guān)鍵字-提交此項可用于添加單個域名或刪除單個域名，如輸入“123.com”提交便可將123.com增加到白名單中，如輸入“！123.com”提交便可將123.com從白名單中刪除。3）關(guān)鍵字-查詢此項用于查詢該域名在域名管理中是否有匹配項，如輸入“”查詢便可查看到該域名的狀態(tài)。此處支持模糊查詢，如輸入“s”便可查詢到所有包含“s”的域名信息。4）清除用于清除自動收集的域名。系統(tǒng)開啟了“域名審計”功能后，便會自動收集所有主機(jī)域名，并以“域名IP數(shù)量”的格式顯示出來，點“清除”便可清除所有自動收集的域名。注：因自動收集的域名會自動設(shè)置為白名單，建議客戶先設(shè)置好域名管理策略。5）域名列表用于設(shè)置域名管理策略。通過將需要設(shè)置的域名以+（白名單）-（黑名單）的格式設(shè)置至txt文件，瀏覽導(dǎo)入后便能夠在系統(tǒng)顯示并生效。6）導(dǎo)出用于導(dǎo)入已設(shè)置域名管理中的域名地址，選擇“導(dǎo)出”并指定保存路徑便可完成該項操作。5.3攻擊防御5.3.1全局參數(shù)全局參數(shù)設(shè)置頁面，提供了一些通用參數(shù)的設(shè)置接口，用戶可方便的配置設(shè)備防護(hù)行為。頁面如下圖所示：金盾抗拒絕服務(wù)系統(tǒng)攻擊防御——全局參數(shù)頁面系統(tǒng)操作環(huán)境系統(tǒng)操作環(huán)境提供系統(tǒng)全局范圍的主機(jī)防護(hù)參數(shù)，主要包括流量控制、系統(tǒng)時間和策略選項：1)流量控制全局型的流量控制，包括透明直通、網(wǎng)絡(luò)斷開及攻擊過濾。透明直通模式下，設(shè)備相當(dāng)于一根導(dǎo)線，只是簡單的轉(zhuǎn)發(fā)數(shù)據(jù)而不進(jìn)行處理；網(wǎng)絡(luò)斷開模式下，設(shè)備只把數(shù)據(jù)簡單的丟棄而不進(jìn)行處理及轉(zhuǎn)發(fā)；攻擊過濾為默認(rèn)模式，此模式下，系統(tǒng)運(yùn)行完整的攻擊過濾流程，過濾攻擊保證正常流量到達(dá)主機(jī)；2）系統(tǒng)時間一組數(shù)字，用于顯示或設(shè)置設(shè)備的系統(tǒng)時間。格式為“年-月-日時:分:秒”例如，“2010-1-212:01:32”，表示2010年1月2日3）策略選項 自動獲取主機(jī)地址：啟用此選擇可有效識別到設(shè)備下的主機(jī)地址； 記錄主機(jī)路由選擇：啟用此選擇會對墻下每臺主機(jī)的路由進(jìn)行記錄；主機(jī)防護(hù)參數(shù)主機(jī)防護(hù)參數(shù)可針對不同服務(wù)主機(jī)進(jìn)行特殊參數(shù)設(shè)置，通過“設(shè)置集”將某主機(jī)設(shè)置為指定參數(shù)集，并在該集中調(diào)整參數(shù)而不影響其他主機(jī)服務(wù)。1）攻擊檢測攻擊檢測參數(shù)提供了對設(shè)備防御模塊的調(diào)整接口，包含一系列的攻擊觸發(fā)值及防護(hù)解除時間：a)SYNFlood保護(hù)用于防護(hù)SYNFlood攻擊的觸發(fā)參數(shù)，當(dāng)某臺主機(jī)承受的SYN報文頻率超過該數(shù)值時，該主機(jī)將進(jìn)入SYN保護(hù)模式。此后如果該主機(jī)承受的SYN報文頻率低于該數(shù)值，并保持一段時間后，該主機(jī)將脫離SYN保護(hù)模式；此模式下系統(tǒng)將應(yīng)用延時應(yīng)答模式，即在接收到連接請求后，延遲一段時間后發(fā)送相應(yīng)的回應(yīng)報文。此模式可有效抑制攻擊量過大導(dǎo)致的回應(yīng)報文數(shù)量過大的情況，節(jié)約帶寬成本，但會造成新訪問客戶建立連接的短暫延時，而已訪問過的客戶則不受影響。而相應(yīng)的代價，則是造成所有連接建立時的延時（2-3秒）。此模式在攻擊量小于設(shè)置值一段時間后即自動釋放。b)SYNFlood高壓保護(hù)用于防護(hù)海量型SYNFlood攻擊的觸發(fā)參數(shù)，當(dāng)某臺主機(jī)承受的SYN報文頻率超過該數(shù)值時，該主機(jī)將采用保守SYN保護(hù)模式。如果該主機(jī)承受的SYN報文頻率低于該數(shù)值時，該主機(jī)將脫離保守SYN保護(hù)模式。此模式下將采用一種保守的防護(hù)策略，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值一段時間后即自動釋放。c)SYNFlood單機(jī)保護(hù)用于防護(hù)單IP發(fā)送SYN頻率高的攻擊，當(dāng)單IP發(fā)送的SYN頻率超過設(shè)置值時，系統(tǒng)將屏蔽該地址；d)ACK&RSTFlood保護(hù)用于防護(hù)ACK&RST攻擊的觸發(fā)參數(shù)，當(dāng)某臺主機(jī)承受的ACK&RST數(shù)據(jù)超過該數(shù)值時，該主機(jī)將進(jìn)入ACK保護(hù)模式。此模式下將禁止所有的ACK&RST通信，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值一段時間后即自動釋放。e)UDP保護(hù)觸發(fā)用于防護(hù)UDPFlood攻擊的觸發(fā)參數(shù)，當(dāng)某臺主機(jī)承受的UDP報文頻率超過該數(shù)值時，該主機(jī)將進(jìn)入UDP保護(hù)模式。此后如果該主機(jī)承受的UDP報文頻率低于該數(shù)值，并保持一段時間后，該主機(jī)將脫離UDP保護(hù)模式。此模式下將禁止所有的UDP通信，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值一段時間后即自動釋放。f)ICMP保護(hù)觸發(fā)用于防護(hù)ICMPFlood攻擊的觸發(fā)參數(shù)，當(dāng)某臺主機(jī)承受的ICMP報文頻率超過該數(shù)值時，該主機(jī)將進(jìn)入ICMP保護(hù)模式。此后如果該主機(jī)承受的ICMP報文頻率低于該數(shù)值，并保持一段時間后，該主機(jī)將脫離ICMP保護(hù)模式。此模式下將禁止所有的ICMP通信，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值一段時間后即自動釋放。g)碎片保護(hù)觸發(fā)用于防護(hù)FragmentFlood攻擊的觸發(fā)參數(shù)，當(dāng)某臺主機(jī)承受的碎片報文頻率超過該數(shù)值時，該主機(jī)將進(jìn)入碎片保護(hù)模式（詳見保護(hù)模式）。此后如果該主機(jī)承受的碎片報文頻率低于該數(shù)值，并保持一段時間后，該主機(jī)將脫離碎片保護(hù)模式。此模式下將禁止所有的碎片報文，保護(hù)主機(jī)不受該攻擊的影響。此模式在攻擊量小于設(shè)置值一段時間后即自動釋放。h)NonIP保護(hù)觸發(fā)用于防護(hù)ip協(xié)議族的其它不常用的協(xié)議的攻擊類型，當(dāng)某臺主機(jī)承受的NonIP報文頻率超過該數(shù)值時，該主機(jī)將進(jìn)入NonIP保護(hù)模式；i)關(guān)閉端口觸發(fā)用戶設(shè)置空端口自動關(guān)閉的觸發(fā)參數(shù)，當(dāng)某個空端口接收數(shù)據(jù)每秒達(dá)到觸發(fā)值此端口將會被禁止，當(dāng)攻擊量小于設(shè)置值之后，3分鐘后將會被釋放；2）TCP防護(hù)防護(hù)設(shè)置參數(shù)用于指導(dǎo)設(shè)備防御模塊的防護(hù)行為，詳述如下：a)連接數(shù)量保護(hù)用來設(shè)置針對連接數(shù)量控制方式，指一臺受保護(hù)的服務(wù)器與某個客戶端之間建立的連接數(shù)達(dá)到設(shè)定數(shù)值，將會對客戶端地址進(jìn)行屏蔽。b)連接空閑超時確認(rèn)一個連接可信任后，如果這個連接在大于此數(shù)值的時間內(nèi)持續(xù)空閑，則系統(tǒng)認(rèn)為該連接無效，將重置該連接；c)默認(rèn)黑名單策略用來啟用黑名單策略,將SOCKS代理服務(wù)器、HTTP代理服務(wù)器、攻擊型傀儡機(jī)和可疑客戶機(jī)全部選中后表示開啟黑名單策略，黑名單中設(shè)置的地址將會生效。3）UDP防護(hù)設(shè)置a）請求連接超時本設(shè)備在接收到來自某地址報文后，如果在大于此數(shù)值的時間內(nèi)沒有接收到響應(yīng)報文，則認(rèn)為此連接請求不被信任，將丟棄該請求。b）建立連接超時本設(shè)備在信任并建立一個連接后，如果“驗證時間”內(nèi)沒有收到數(shù)據(jù)報文，則認(rèn)為連接為空連接，將重置該連接，此參數(shù)可有效防護(hù)空連接攻擊。系統(tǒng)防護(hù)參數(shù)系統(tǒng)防護(hù)參數(shù)主要是針對一些攻擊流量做限制：1）報文頻率緊急狀態(tài)針對攻擊頻率較高的攻擊防護(hù)模式，此模式將更為嚴(yán)格過濾攻擊；2）簡單過濾流量限制是針對某些顯見的攻擊報文做的一種過濾模式，目前可以過濾內(nèi)容完全相同的報文，及使用真實地址進(jìn)行攻擊的報文；3）忽略主機(jī)流量限制用于限制忽略主機(jī)的流量，當(dāng)某個忽略主機(jī)的流量超過設(shè)置值，超過的流量將被丟棄；4）偽造源流量限制用于限制內(nèi)網(wǎng)攻擊。當(dāng)某數(shù)據(jù)包的原MAC地址不同于系統(tǒng)記錄到的MAC地址，該數(shù)據(jù)包將被認(rèn)為是偽造源流量，超過設(shè)置值的偽造源流量將被丟棄；5）屏蔽持續(xù)時間本設(shè)備在檢測到某一IP對主機(jī)的攻擊行為后，將自動將該IP加入到屏蔽列表，不再繼續(xù)處理來自該IP的任何請求，直到經(jīng)過指定時間后才會解封。如果該值為0，則不使用自動屏蔽規(guī)則。變量設(shè)置 DomainAudit.Redirect 針對WEB頁面跳轉(zhuǎn)設(shè)置模式； Dns.Mode 針對學(xué)習(xí)到訪問DNS的地址；Web.Special針對特殊WEB頁面的設(shè)置模式；WEB.AuthorizePage針對WEB攻擊的外部驗證服務(wù)器設(shè)置模式。5.3.2規(guī)則設(shè)置規(guī)則設(shè)置頁面顯示了當(dāng)前設(shè)備系統(tǒng)中的規(guī)則，包括系統(tǒng)規(guī)則及用戶定義規(guī)則。頁面如下圖所示：金盾抗拒絕服務(wù)系統(tǒng)攻擊防御——規(guī)則設(shè)置頁面 點擊“新建”按鈕者某規(guī)則的“編輯”操作，將進(jìn)入規(guī)則編輯頁面。點擊“重置所有”按鈕則將規(guī)則默認(rèn)。顯示內(nèi)容描述如下：規(guī)則列表1）規(guī)則設(shè)置集對于一臺主機(jī)可適用多項規(guī)則，也可用于規(guī)則的重疊設(shè)置，通過主機(jī)狀態(tài)中的規(guī)則設(shè)置集選擇某臺主機(jī)的生效規(guī)則。2）控制對于該規(guī)則進(jìn)行控制操作，可進(jìn)行規(guī)則的編輯或刪除操作。數(shù)字0-6表示規(guī)則序號，設(shè)置編輯更改規(guī)則序號可調(diào)整規(guī)則位置及生效次序；3）協(xié)議表示該規(guī)則的協(xié)議域，如TCP，UDP，ICMP等；4）地址表示該規(guī)則的地址域；5）細(xì)節(jié)該規(guī)則的其它細(xì)節(jié)性的描述，根據(jù)規(guī)則不同內(nèi)容也不同。如果規(guī)則包含描述域，則顯示該規(guī)則的描述文本；6）匹配規(guī)則匹配的次數(shù)。規(guī)則編輯頁面規(guī)則編輯頁面用于編輯或添加某個用戶定義規(guī)則。頁面如下圖所示：規(guī)則編輯頁面1）規(guī)則序號設(shè)置此規(guī)則在規(guī)則列表中的位置，可通過自定義設(shè)置規(guī)則生效順序。2）規(guī)則描述此規(guī)則以文本形式描述，使用戶快速理解規(guī)則的用途。3）報文長度指定該規(guī)則匹配的報文的長度范圍。4）本地地址選項“所有地址”，表明此規(guī)則匹配所有的本地地址；“地址范圍”指定一個地址的范圍用于規(guī)則的本地地址匹配，如“-55”；“網(wǎng)絡(luò)掩碼”指定一個網(wǎng)絡(luò)地址范圍用于規(guī)則的本地地址匹配，如“:5）遠(yuǎn)程地址選項“所有地址”，表明此規(guī)則匹配所有的遠(yuǎn)程地址；“地址范圍”指定一個地址的范圍用于規(guī)則的遠(yuǎn)程地址匹配，如“-55”；“網(wǎng)絡(luò)掩碼”指定一個網(wǎng)絡(luò)地址范圍用于規(guī)則的遠(yuǎn)程地址匹配，如“:”；“指定域名”表明此規(guī)則的遠(yuǎn)程地址將匹配對該域名的地址解析請求（若選擇此項，則“協(xié)議6）協(xié)議類型指示規(guī)則匹配的報文的協(xié)議類型，分為IP，TCP，UDP，ICMP等幾種。其中，TCP、UDP及ICMP協(xié)議將各自激活相應(yīng)的系列規(guī)則設(shè)置。7）本地端口/遠(yuǎn)程端口TCP及UDP協(xié)議的規(guī)則，將激活此設(shè)置域，指示規(guī)則的端口匹配值，為空則表示匹配所有端口；當(dāng)規(guī)則為TCP/UDP協(xié)議時，可指定相應(yīng)的端口域?？芍付ǖ亩丝陬愋涂梢詾閱我欢丝?，如“80”；也可為端口范圍，如“135-445”；還可以為離散端口，如“7000,7100,8）TCP標(biāo)志位TCP協(xié)議設(shè)置的特定域，指示規(guī)則匹配報文的TCP標(biāo)志，包括FIN，SYN，RST，PSH，ACK，URG。9）ICMP類型/ICMP代碼ICMP協(xié)議設(shè)置的特定域，指示規(guī)則匹配報文的ICMP數(shù)值。10）模式匹配指示該規(guī)則匹配的關(guān)鍵字，可選項還包括“順序匹配”和“忽略大小寫”。指定規(guī)則匹配包含的關(guān)鍵字。本設(shè)備內(nèi)建高效的模式匹配算法，可快速、批量的進(jìn)行數(shù)據(jù)匹配，從原始報文中找出某一組關(guān)鍵字用于規(guī)則模式匹配。指定的關(guān)鍵字，可以是單一關(guān)鍵字，如“haha”；也可以是一組關(guān)鍵字，如“hahaheiheihoho”；如果關(guān)鍵字包含不可見字符，還可以通過“\”進(jìn)行代碼轉(zhuǎn)義，如“\a8\aa”。并可通過“順序匹配”和“忽略大小寫”來自定義需要匹配內(nèi)容。11）方向選擇指示該規(guī)則匹配的數(shù)據(jù)流方向。12）規(guī)則行為指示該規(guī)則被某個報文匹配后，將對該報文所做的處理，包括過濾、攔截、放行和屏蔽，并且還可以在規(guī)則匹配的同時在日志記錄中產(chǎn)生一條日志。5.3.3TCP端口保護(hù)TCP端口保護(hù)設(shè)置頁面提供了針對每個端口的獨(dú)立設(shè)置參數(shù)，用戶可根據(jù)某種端口的服務(wù)類型更改相應(yīng)的處理策略。頁面如下圖所示：金盾抗拒絕服務(wù)系統(tǒng)攻擊防御—TCP端口保護(hù)頁面TCP端口保護(hù)列表1）端口保護(hù)設(shè)置集對于一臺主機(jī)可適用多項端口防護(hù)設(shè)置，也可用于同一端口的重疊設(shè)置，通過主機(jī)狀態(tài)中的TCP端口保護(hù)集選擇某臺主機(jī)的生效端口防護(hù)。2）端口起始/終止顯示設(shè)置防護(hù)的端口范圍,默認(rèn)針對“0-65535”端口進(jìn)行防護(hù)。3）攻擊檢測顯示設(shè)置端口的連接攻擊檢測頻率數(shù)值，max表示無限大。4）連接限制顯示設(shè)置端口的連接數(shù)量限制數(shù)值，max表示無限大。5）檢測權(quán)重顯示設(shè)置端口的踢出/探測權(quán)重的數(shù)值。6）防護(hù)模塊顯示設(shè)置端口啟用的防護(hù)模塊類型，default為默認(rèn)防護(hù)。7）防護(hù)模式顯示設(shè)置端口啟用的防護(hù)標(biāo)志有哪些，默哀僅啟用“超時連接”模式。TCP端口保護(hù)設(shè)置1）端口范圍用于設(shè)置指定端口，可以是一個端口也可以是一個端口段。2）連接攻擊頻率用于自動啟用TCP防護(hù)插件。設(shè)置該參數(shù)后，當(dāng)主機(jī)與該端口范圍的TCP連接頻率超過設(shè)置數(shù)值，該主機(jī)將自動進(jìn)入TCP防護(hù)模式，設(shè)置的插件將被啟用，當(dāng)連接頻率小于該數(shù)值后一段時間，該主機(jī)將自動取消TCP防護(hù)模式。 注：在主機(jī)設(shè)置頁面手工設(shè)置TCP防護(hù)不會自動取消。3）連接數(shù)量限制限制每個客戶端允許與主機(jī)建立的連接數(shù)量，超出設(shè)置數(shù)量該連接被屏蔽。一般來說，Web服務(wù)應(yīng)將此數(shù)值保持為空（無限），而其它對連接數(shù)量依賴較小的服務(wù)可設(shè)置合適的數(shù)值來避免主機(jī)在單一客戶上耗費(fèi)過多資源。4）踢出/控測權(quán)限限制每個客戶端允許與主機(jī)建立空連接的數(shù)量，超出設(shè)置限制該連接被屏蔽。建議設(shè)置值20/10。5）協(xié)議類型選擇用于設(shè)置指定協(xié)議類型，可設(shè)定接收或拒絕某端口的訪問協(xié)議。如對于某些需要拒絕HTTP協(xié)議的端口（如受代理攻擊的某些游戲），則應(yīng)該在協(xié)議類型里選擇HTTP，然后不選擇“接受協(xié)議”，則該端口將拒絕HTTP協(xié)議的訪問，相反如果選擇了“接受協(xié)議”則表示接收HTTP協(xié)議。6）防護(hù)標(biāo)志防護(hù)標(biāo)志有五種：超時連接、超出屏蔽、延時提交、域名審計和接受協(xié)議。a）超時連接設(shè)置超時連接標(biāo)志后，此端口建立的連接如果持續(xù)一段時間保持空閑，則該連接將被重置以釋放資源。此種策略對于某些應(yīng)用可能造成連接數(shù)據(jù)中斷的情況，此時應(yīng)把相應(yīng)端口設(shè)為禁止屏蔽；b）超出屏蔽設(shè)置超出屏蔽標(biāo)志后，客戶端在此端口進(jìn)行的訪問如果無法通過驗證模塊，則此客戶端將被加入黑名單而屏蔽；c）延時提交設(shè)置此選項的端口，系統(tǒng)將無限緩存該連接，除非客戶端有數(shù)據(jù)發(fā)送，或者該連接被重置；d）域名審計設(shè)置啟用域名管理黑、白名單策略。e）接受協(xié)議可用于設(shè)置各端口指定接受的協(xié)議類型。7）防護(hù)模塊TCP端口防護(hù)模塊是針對特殊應(yīng)用而開發(fā)的防護(hù)手段，主要包含三種：a）標(biāo)準(zhǔn)防護(hù)(default）標(biāo)準(zhǔn)防護(hù)策略為所有端口默認(rèn)的防護(hù)措施，不對應(yīng)用做特殊處理，具有最好的兼容性；b）動態(tài)驗證(WEBServiceProtection）動態(tài)驗證策略是金盾抗拒絕服務(wù)系統(tǒng)獨(dú)有的、適用于Web服務(wù)的一種防護(hù)策略，是針對目前愈演愈烈的CC-HTTPProxy類攻擊而開發(fā)的。應(yīng)用此種策略的端口，系統(tǒng)將對進(jìn)入的HTTP請求進(jìn)行驗證操作，確保該請求來自正常的客戶瀏覽行為，而非正常的訪問行為（如通過代理進(jìn)行攻擊等）將被加入黑名單進(jìn)行屏蔽。動態(tài)驗證模塊，只對設(shè)置了WebCC保護(hù)模式的主機(jī)采用該驗證策略，沒有設(shè)置該保護(hù)模式的主機(jī)不受影響；c）頻率保護(hù)(GameServiceProtection）頻率保護(hù)策略是金盾抗拒絕服務(wù)系統(tǒng)獨(dú)有的、適用于游戲服務(wù)的一種防護(hù)策略，是針對目前流行的代理型攻擊器、木馬型攻擊器、BotNet等而開發(fā)的。應(yīng)用此種策略的端口，系統(tǒng)將對連入的客戶端進(jìn)入頻率限制及驗證操作，確保該客戶端的行為屬于正常的客戶端行為，而非正常的訪問行為（如通過代理進(jìn)行攻擊等）將被加入黑名單進(jìn)行屏蔽。頻率保護(hù)模塊，只對設(shè)置了GameCC保護(hù)模式的主機(jī)采用該限制及驗證策略，沒有設(shè)置該保護(hù)模式的主機(jī)不受影響。8）模塊參數(shù)該項參數(shù)是一組用于控制特定端口防護(hù)模式及策略的參數(shù)，不同版本及不同的防護(hù)插件的參數(shù)值不同，設(shè)置時可與金盾售后技術(shù)支持聯(lián)系。點擊“提交”，將修改后的端口保護(hù)數(shù)據(jù)提交給本設(shè)備；“默認(rèn)”系統(tǒng)使用默認(rèn)端口保護(hù)設(shè)置；“重置”可重新進(jìn)行設(shè)置操作；“協(xié)議”可自定義添加或修改協(xié)議類型。5.3.4UDP端口保護(hù)UDP端口保護(hù)設(shè)置頁面提供了針對每個端口的獨(dú)立設(shè)置參數(shù)，用戶可根據(jù)某種端口的服務(wù)類型更改相應(yīng)的處理策略。頁面如下圖所示：金盾抗拒絕服務(wù)系統(tǒng)攻擊防御—UDP端口保護(hù)頁面該防護(hù)頁面中各項參數(shù)含義同“TCP端口保護(hù)”設(shè)置頁面。點擊“提交”，將修改后的端口保護(hù)數(shù)據(jù)提交給系統(tǒng)；“默認(rèn)”系統(tǒng)使用默認(rèn)端口保護(hù)設(shè)置；“重置”可重新進(jìn)行設(shè)置操作；“協(xié)議”可自定義添加或修改協(xié)議類型。5.4日志分析5.4.1日志列表日志列表列出系統(tǒng)中所有的日志項，并可按優(yōu)先級分類。頁面如下圖所示：：金盾抗拒絕服務(wù)系統(tǒng)日志分析-日志列表頁面金盾抗拒絕服務(wù)系統(tǒng)日志列表可清晰查看設(shè)備各項操作記錄,并記錄設(shè)備每分鐘流量、CPU和內(nèi)存使用情況。1）日志列表顯示詳細(xì)日志時間，并記錄該時間內(nèi)設(shè)備的狀態(tài)及操作記錄?！叭俊庇涗浀降乃腥罩拘畔?；“重要事件”記錄重啟信息；“防護(hù)事件”記錄是否進(jìn)入防護(hù)狀態(tài)及相關(guān)防護(hù)信息；“普通事件”記錄網(wǎng)絡(luò)使用流量、CPU和內(nèi)存，以及各項操作權(quán)限所進(jìn)行的操作記錄。2）日志服務(wù)器正常情況下設(shè)備只顯示最近的日志記錄，如需保留全部日志，建議設(shè)置日志服務(wù)器。3）下載/清除“下載”可下載日志列表頁面顯示的全部日志并保存至指定路徑；“清除”選擇后用于清除列表顯示的所有日志信息。5.4.2分析報告分析報告查詢某個主機(jī)的相關(guān)記錄，并對其流量進(jìn)行分析，生成報告。頁面如下圖所示金盾抗拒絕服務(wù)系統(tǒng)日志分析-分析報告頁面日志分析頁面可查詢?nèi)至髁啃畔?，也可設(shè)置單一主機(jī)地址查詢單臺主機(jī)流量信息。1）分時流量通過分時流量顯示時時流量記錄，包括輸入流量、輸出流量、TCP連接、UDP連接。2）防護(hù)報告“攻擊防護(hù)”記錄24小時內(nèi)受到攻擊類型及防護(hù)模式；“屏蔽統(tǒng)計”統(tǒng)計24小時內(nèi)被屏蔽和被釋放的IP數(shù)量,及因屏蔽原因和百分比。3）數(shù)據(jù)訪問a）流量分析“最大輸入/最大輸出”表示24小時內(nèi)記錄到的最大輸入流量和輸出流量，即過濾前最大流量；“平均輸入/平均輸出”表示24小時內(nèi)記錄到的平均輸入流量和平均流量，即過濾前平均流量；“最大輸入提交/最大輸出提交”表示24小時內(nèi)記錄到過渡后的最大輸入流量和輸出流量，即過濾后最大流量流量；“平均輸入提交/平均輸出提交”表示24小時內(nèi)記錄到過渡后的平均輸入流量和輸出流量，即過濾后平均流量流量；“平均輸入提交比率/平均輸出提交比率”表示平均輸入輸出流量提交過濾的比率。b）連接訪問記錄24小時內(nèi)TCP和UDP的最大及平均連接頻率。

5.5系統(tǒng)配置5.5.1保存配置用于對設(shè)備的相關(guān)設(shè)置進(jìn)行保存，可按網(wǎng)絡(luò)設(shè)備地址、全局防護(hù)參數(shù)、TCP/UDP端口保護(hù)參數(shù)、主機(jī)及配置參數(shù)、規(guī)則列表進(jìn)行選擇性保存，并可進(jìn)行規(guī)則設(shè)置的導(dǎo)入和導(dǎo)出操作。金盾抗拒絕服務(wù)系統(tǒng)系統(tǒng)配置-保存配置頁面1）網(wǎng)絡(luò)設(shè)備地址指保存系統(tǒng)設(shè)備地址，設(shè)置外網(wǎng)管理地址后需要選擇此項保存，以保留配置的管理地址重啟后不會丟失。2）全局防護(hù)參數(shù)指保存攻擊防御