KFW傲盾防火墻企业网站防护版手册.docVIP

傲盾科技 KFW傲盾防火墙网站防护版 (3.0)版 功能说明 功能简介 KFW傲盾防火墙网站防护版是一款针对各种网站、信息平台、Internet服务等，集成多种功能模块的安全平台。 本软件是具有完全知识版权的防火墙，使用目前最先进的第三代防火墙技术tream Fingerprint Inspection》数据流指纹检测技术，与企业级防火墙Check Point和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击保护您的服务器免受来自Internet上的黑客和入侵者的攻击、破坏。tream Fingerprint Inspection》数据流指纹检测技术 传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，tream Fingerprint Inspection》数据流指纹检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。 　　）转换，50000 – 55000端口进行NAT转换 局域网用户的网关设置成防火墙内部网卡的IP地址， 这样就可以让局域网用户共享Interent了 Interent 共享管理控制 你可以方便的对Interent的使用进行控制 在菜单[设置-NAT网关设置-NAT使用控制] 里可以添加一个规则 协议类型： IP:指TCP UDP ICMP三种协议的集合 局域网IP： 想要控制使用Interent的局域网IP地址 目的IP: 想要控制访问的Interent Ip地址 不进行NAT转换，上面的条件成立则步进行转换，局域网用户就无法访问 进行NAT转换，当条件成立时进行NAT转换，允许用户可以访问 注意：规则是按顺序进行比较的，比如局域网用户请求访问Interent时，会按顺序比较这些规则,如果所有规则都不成立，默认是进行NAT转换 防火墙过滤规则设置 在菜单的[设置-防火墙设置-防火墙规则设置]添加， 防火墙过滤规则分为三个视图 本机接收数据 过滤所有发给防火墙本身这台机器的数据包 比如防火墙这台机器访问Interent或者局域网时接收的数据 就执行这个视图的过滤规则 转发数据 通过防火墙转发给局域网，或者Interent的数据包 比如防火墙转发的NAT数据包，端口映射数据包，以及通过透明防火 墙的数据包，执行这个视图的过滤规则 本机发送数据 防火墙本身这台机器发送出去的数据包 比如防火墙这台机器访问Interernt或者局域网时发送出去的数据包，经过这个过滤规则 开放一个对外的服务比如web Server ftp server 首先根据实际情况在菜单防火墙基本参数里选择网关路由模式，或者透明防火墙+网关路由模式 打开菜单[设置-NAT网关设置-端口映射 添加 选择适当的协议网关的IP是要访问这个服务的Interent IP,端口 是要访问这个服务的对外端口比如80端口 映射到服务器IP，如果服务和防火墙装在一台机器上，这个Ip和网关的IP一样，端口是这个服务的实际端口 如果服务是单独装在局域网的另一台机器上，那么这个IP就是安装服务这台机器的局域网IP 把安装服务的这台机器的网关设置成防火墙的局域网IP地址 dmz区建立 首先根据实际情况在菜单防火墙基本参数里选择网关路由模式，或者透明防火墙+网关路由模式，把服务软件安装在局域网的一台机器上，网关设置成防火墙的局域网IP地址。 打开菜单[设置-NAT网关设置-端口映射 添加 选择适当的协议网关的IP是要访问这个服务的Interent IP,端口是要访问这个服务的对外端口比如80端口 映射到服务器IP，如果服务和防火墙装在一台机器上，这个Ip和网关的IP一样，端口是这个服务的实际端口 在菜单[设置-NAT网关设置-NAT使用控制] 里添加一条规则禁安装服务的这台局域网IP地址使用NAT访问Interent 这样dmz区就建立完毕，你可以通过防火墙规则近一步限制dmz区的访问 dmz区的服务器只有局域网IP地址，而且不能访问Internet,完全和Interent分离，一旦dmz区的服务器被攻击或者安装上木马也不会涉及到其它服务器，不能把数据传送到Interent上。 LOG的分析查看 在防火墙规则里选择上纪录到log,或者选择抓取数据包，这样条件符合的时候就会把数据包纪录到log文件里， 通过菜单[查看-查看过滤Log纪录]和[查看-查看过滤抓取的数据包]