KFW傲盾防火墙针对WEB服务器防护设置.doc

KFW傲盾防火墙针对WEB服务器防护设置 ―――――――――――――――――――――――――――――――――― 北 京 傲 盾 软 件 有 限 公 司 BeiJing AoDun Co. Ltd.  前 言 3 第一章 如何查看是否有攻击 5 一.通过服务器的一些异常情况查看攻击 5 1.查看流量图： 5 2.查看DOS_SYN列表： 7 3.如何查看服务器是否遭受了CC攻击： 8 4.如何查看服务器是否遭受了UDP、ICMP、IGMP攻击 11 二．如何针对攻击对防火墙进行防护设置 13 1.针对DDOS_SYN攻击的设置： 13 2.针对WEB网站服务器CC攻击如何进行设置防护: 17 三．针对UDP、ICMP、IGMP攻击的设置与防护 22 前 言 随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布，DDOS拒绝服务攻击的实施越来越容易，DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDOS攻击问题成为网络服务商必须考虑的头等大事。DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等 第一章 如何查看是否有攻击 一.通过服务器的一些异常情况查看攻击 当服务器主机被DOS/DDOS攻击时，主要有如下现象： 1.被攻击主机上有大量等待的TCP连接–an”命令查看会有数百上千个不同的IP不停的和主机服务器建立连接。 2.CPU占用率很高，有时候甚至达到100%，严重时会出现蓝屏死机死机。 3.网络中充斥着大量的无用的数据包，源地址为 4.高流量无用数据，网络拥塞，受害主机无法正常和外界通讯 在此流量图中可以看到每秒即时的接收包和发送包其中红线代表发送包蓝线代表接收包，当有外来攻击的时候接收包（蓝线）流量会大大增加。平时曲线图中接收包和发送 包流量是差不太多的，但当有攻击的时候蓝线会远远高于红线。 2.查看DOS_SYN列表： 首先，鼠标左键双击桌面上的“KFW企业版网络监控”，如图所示： 出现如下图所示界面： 如果有DOS_SYN攻击的时候，点击如图所示“DOS_SYN列表”会出现防火墙连接的SYN包信息： 如上图所示，防火墙拦截了大量的针对7000端口的SYN攻击包，上面的“源IP”就是攻击者伪造的IP地址，目的IP就是本机IP。 3.如何查看服务器是否遭受了CC攻击： 打开“KFW企业版网络监控”点击查询视图： 点击如上图所示“查询视图”,出现如下图所示： 上图显示的是当前所有连接的详细信息列表，然后点击如下图所示，圈中的地方： 当出现一个灰色的向上的或者向下的小箭头时证明此时的源IP是按序排列的，此时可以方便的查看每个IP和服务器建立的多少连接，因为CC攻击时黑客利用控制代理攻击的，一般是控制上百台或者上千代理频繁的和一台服务器建立连接，以达到耗尽服务器资源的目的。当我们查看在源IP有超出平常几倍甚至几十倍的连接信息，并且单个IP和服务器建立连接有很多的时候，说明遭受到了CC攻击。 另外，我们还可以查看针对某个端口的信息： 点击“目的端口”后面的小箭头出现如下所示下拉菜单： 选中后出现如图所示： 比如，我们查看80端口的信息，在这里输入“80”然后点击“OK”，下面列表里出现的就都是关于80端口的连接信息： 4.如何查看服务器是否遭受了UDP、ICMP、IGMP攻击： 当服务器遭受了UDP、ICMP、IGMP等带宽攻击的时候在防火墙流量图里面有可能看不到很大数目的攻击包，这是因为傲盾防火墙已经拦截了攻击包，这时候我们要查看“KFW企业版管理器”里面接收拦截包如图所示： 在上图所示下拉菜单复选框中选择“接收拦截包数”就会产看到拦截的攻击包，此外还可以查看“KFW企业版网络监控”