KFW傲盾防火墙企业网站防护指导手册.docx

1、KFW傲盾防火墙企业网站防护指导手册傲盾科技KFW傲盾防火墙网站防护版(3.0)版功能说明 功能简介KFW傲盾防火墙网站防护版是一款针对各种网站、信息平台、Internet服务等，集成多种功能模块的安全平台。本软件是具有完全知识版权的防火墙，使用了目前最先进的第三代防火墙技术DataStream Fingerprint Inspection数据流指纹检测技术，与企业级防火墙Check Point和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击，保护您的服务器免受来自Internet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术，提供各种企业级功

2、能，功能强大、齐全，价格低廉，是目前世界上性能价格比最高的网络防火墙产品。功能列表1. 数据包规则过滤2. 数据流指纹检测过滤3. 数据包内容定制过滤4. 网关路游支持5. NAT功能(支持FTP PASV 和port,支持irc的ddc等动态端口模式，安装防火墙后不用设置PASV 之类的端口)6. 端口映射功能7. 流量控制 8. 强大的包抓分析模块 9. log模块， 10. 采用最先进的数据流指纹技术，提供强大的DOS(拒绝服务)攻击防护，彻底防护各种已知和未知的DOS攻击。11. 流量分析监测 12. 实时访问连接监控 13. 支持dmz区的建立 14. 账号，权限管理 15. 分布式

3、管理 技术优势和特点KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则（Security Rules）把守企业网络，提供强大的访问控制、状态检测、网络地址转换（Network Address Translation）、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。与国内外的防火墙产品所比较，傲盾防火墙有以下突出的技术优势和特点1.特有的DdoS、Dos攻击防御DoS攻击（Denial of Service拒绝服务攻击）或着是DDoS攻击（Distribute Denial of Service 分布式拒绝服务

4、攻击）是近年来流行的一种危害极大的网络攻击方式。当DoS攻击发动的时候，有时甚至可以完全使网络服务器所提供的服务失效。 DoS攻击的原理，简而言之，就是针对TCP/IP协议的薄弱环节，利用IP欺骗技术，对要攻击的节点疯狂地发出数据包；使得被攻击节点忙于处理这些虚假来源的数据包，从而使合法的使用者无法正常的连接到被攻击的节点。而且由于DoS攻击的发动者采用IP地址欺骗，使得很难对攻击来源进行定位。由于DoS攻击的这些特点，使它成为最有效，也最难防护的攻击手段之一。针对DoS攻击的这些特点，KFW傲盾防火墙专门设计了特有的DoS防御网关，可以有效的抵御各种DoS、DDoS攻击。 这里简要叙述KFW

5、傲盾防火墙DoS防御网关的原理： KFW傲盾防火墙所采用的特有专利技术，使得防火墙本身是不受DoS攻击的，这也是KFW傲盾防火墙能够有效防护需要保护的站点免受DoS攻击的先决条件。在这个条件的基础上，KFW傲盾防火墙采用经过优化的TCP连接监控方式来保护防火墙内的脆弱机器。这种算法的特点是在处理TCP连接请求的时候，在确定连接请求是否合法以前，用户端与服务端是隔断的。这就令到DoS攻击者在发动攻击的时候并不能直接连接到防火墙内部的机器，所以攻击者所发出的所有DoS攻击包只能到达防火墙，从而保护了防火墙内部的机器不受到DoS攻击。 而且，KFW傲盾防火墙通过高效的离散算法提供了超过60万以上的同

6、时连接数的容量，为数据传输的高效和可靠提供了强有力地保障。2.世界领先DataStream Fingerprint Inspection数据流指纹检测技术传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，KFW傲盾防火墙独创的DataStream Fingerprint Inspection数据流指纹检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防

7、火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。 KFW傲盾防火墙的核心数据流指纹检测技术，可以确保每个进入的数据包都是合法有效的，一旦确认连接的合法性防火墙就会信任这个连接，不在对后续包进行复杂的处理，从而大大提高了效率3特有的TCP标志位检测功能：在大多数的防火墙里，都缺少对连接是从哪方主动发起进行判断的选项，这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。例如，如果允许内部主机访问外部主机的telnet服务，这个方向连接的所有包应该是必须包含ACK位的，也就是说，不是主动发起的连接。但通常的防火墙的包过滤功能里并没有检查ACK位的设置

8、，因此，攻击者就可以从外部主机的源23端口发起连接到内部主机的高端口(1023)。KFW傲盾防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断，防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接，从而攻击内部主机。国内包括国外的许多防火墙系统都无此防护功能。4.强大的NAT地址转换功能当Internet技术变成热门技术，获取有效IP地址的热潮即将耗尽有限的网络地址空间，因此有关地址扩展的建议如IPng已被确定为一个新IP编址标准-IPv6。所有的标准需要一定时间被广为接收和实现，在这之前，我们必须有一个代替的方法。另一方面，在网络安全问题上，能够隐蔽的

9、私有地址会提供更为理想的安全性。由此，NAT技术应运而生。 在KFW傲盾防火墙里，我们可以方便地应用NAT的方式使具备私有地址编址方式的机器能够安全的连上外部网络，并且应用INTERNET所提供的多姿多彩的生活；NAT的重定向功能使得即便是私有地址空间的机器也能够在公有网络上提供INTERNET服务，这对那些想在网上安个家，而又只能用私有地址的用户来说再合适不过了，通过NAT功能可以方便的建立起dmz区，把服务器和Interenet隔离开。使服务器免受黑客的攻击。5.独立开发的高效率系统核心KFW傲盾防火墙采用专门设计、自行开发的独立操作系统的网络核心。使得它有着最贴近系统底层的高效率。并且，

10、由于完全是自行开发的系统，使得它可以告别一切不稳定的因素。 网络部署极其安装安装本软件，实际上是对网络的安全部署，关系到整个网络的安全和部署成败所以请您仔细阅读研究下面的说明。安装注意事项1. 防火墙不是越多越好，多个防火墙或者网络软件会造成系统紊乱大大降低网络效率尤其是一些个人版防火墙，由于技术和稳定性的原因，往往会造成蓝屏死机，网络缓慢，以及莫名的问题所以请彻底关闭，最好是卸载其它防火墙和网络产品(包括KFW个人版)！2. 如果您在用win2000的 路由和远程访问，或者 Interent共享，以及winroute,sygate等类似软件请再服务里彻底禁止该服务，或者卸载3. 如果您需要使

11、用透明防火墙模式，而且安装了winroute等软件请卸载因为在我们的测试过程中发现关闭winroute不行winroute的核心驱动并不关闭还在继续工作，它在处理数据包的时候重新构造了数据包但是并不复制原始的数据包特性，造成透明模式失败。4. kfw企业版防火墙现在支持 windows2000 windows xp系列，5. 内存最少要128m（如果您的网络比较大推荐512M，越大越好）,硬盘空间应该剩余50M(如果空间用尽，纪录文件将无法保存)安装部署首先我们要确定网络的物理方式，考虑到局域网络上网方式的多样性,我们将针对具体情况分别介绍本安全平台有四种软件网络模式1. 网关路由模式作为上I

12、nterent 或者其他网络的网关，局域网内所有的机器需要把网关设置成防火墙安装的机器的IP地址。这种模式可以实现Interent共享，也就是只需要有一个Interent连接可以让局域网用户上网，同时进行安全保护和网络访问监控分析。Dmz区的建立也需要在这种模式下。2. 透明防火墙模式安装在内部网和外部网之间，所有外出的数据包都会经过防火墙过滤，不需要改动以前的网络模式。这种模式下可以实现安全保护和网络访问监控分析。3. 网关路由+透明防火墙模式针对一些复杂的网络，比如一些网络要求不能改动以前的网络模式同时又要对一些服务器进行dmz区域的建设。4. 监控模式只对网络的使用进行监控分析针对不同的

13、实际物理网络部署选择使用的模式下面针对具体物理模式来介绍:（注：下面KFW 指安装KFW傲盾企业版防火墙的这台机器）对于以路由器为网络出口，有局域网1. 网关路由模式KFW安装两个网卡，A网卡连接路由IP设置成固定的Interent 地址，B网卡连接局域网的HUB或者交换机,IP设置成局域网地址，局域网所有需要上Interent的机器的网关设置成KFW B网卡的IP,如果需要DMZ 区可以用端口映射来建立(参见下面的DMZ区建立)2. 透明防火墙模式局域网的机器需有自己的Interent地址，KFW安装两个网卡，A网卡连接路由IP可以随便设置，B网卡连接局域网的HUB或者交换机，IP可以随便设

14、置，局域网里的网关直接设置成路由的IP 也就是说局域网设置不需要考虑防火墙的存在,3. 透明防火墙+网关路由模式KFW安装两个网卡，A网卡连接路由IP设置成固定的Interent 地址，B网卡连接局域网的HUB或者交换机,IP设置成局域网地址，能实现1,2的所有功能，适用于有一部分局域网机器有Interent IP地址需要直接上Internet 不用改动任何设置，另外一部分局域网机器需要用Nat功能共享一个或者多个Ip地址上网，服务器需要建立在dmz区4. 监控模式KFW安装一个网卡，1、调整网线，以确保接路由器的网线和KFW的网线连到同一个HUB上。2、如果路由器通过交换机和内部网机器相连，

15、且交换机带有设置Monitor 端口(或分析端口、镜像端口)的功能，那么，可以将安装监控软件的机器网线插口设置为“Monitor端口”，而路由器的网线接口设置为“被管理端口”，这样，所有通过路由器网线的网络数据包都可以被“Monitor端口”接受，以此而达到监控的效果。 对于拨号或者adsl vdsl 等设备，有局域网1. 网关路由模式KFW本身有一个连接Interent的网路设备比如modem 或者adsl网卡A，再安装B网卡连接局域网的HUB或者交换机,IP设置成局域网地址，（参见上面1）2. 透明防火墙模式这种网络结构无法使用透明防火墙模式3. 透明防火墙+网关路由模式这种网络结构无法使

16、用透明防火墙+网关路由模式4. 监控模式参见（上面4）对于拨号或者adsl vdsl 等设备，或者以路由器为网络出口，服务软件和KFW装在一台机器上1. 网关路由模式KFW本身有一个连接Interent的网路设备比如modem 或者adsl网卡A（参见上面1）2. 透明防火墙模式这种网络结构无法使用透明防火墙模式3. 透明防火墙+网关路由模式这种网络结构无法使用透明防火墙+网关路由模式4. 监控模式参见（上面4）软件的安装以下是安装的具体步骤：1 在安装KFW傲盾防火墙企业版以前，请检查该机器以前是否安装了本产品，如有安装，请卸载。2 打开产品安装目录，执行安装程序。3 请用户认真阅读软件授权

17、许可协议，如无异议，请选中“我接受以上许可协议中的条款”；按“下一步”以继续执行接下来的安装步骤。其间如出现“是否覆盖”的提示时，建议选择“全部覆盖”。4 文件安装完成后，将需要重新启动计算机5 重起完毕后，察看右下角托盘是否有K字样的图标，检查KFW是否在运行状态，如果没有运行请检查是否正确安装，请参见安装注意事项。6 在开始程序菜单中打开“KFW傲盾防火墙企业版”，选择KFW企业版管理器,接着您将会进入本系统的“管理器”画面。7 首先管理器菜单里的连接-连接到防火墙 如果是在KFW机器上运行的，连接地址请输入127.0.0.1 如果不是请输入KFW机器的Ip地址，默认管理账号：root,默

18、认密码：123458 在设置-防火墙基本参数里正确选择运行模式！软件的配置和功能使用主要执行文件KFW企业版网络监控网络连接的信息以及监控,(测试版只提供简单的功能)运行托盘 监控KFW服务的运行情况KFW企业版管理器 管理配置防火墙主要功能的设置步奏1. 帐号权限管理运行管理器，连接到防火墙，设置-账号权限管理,打开管理界面账号分为组合系统用户，用户自动继承所在组的权限2. 基于状态检测的NAT Internet共享a) 首先根据实际情况在菜单防火墙基本参数里选择网关路由模式，或者透明防火墙+网关路由模式b) 在菜单设置-NAT网关设置-NAT网络设备设置 选择连接Interent的网络设备

19、点击属性，选择本设备是NAT网关，如果是modem拨号设备选择本设备是动态IP,否则填写上这个网络设备使用的Interent Ip地址c) 不对网关本机数据做NAT转换 如果选择上，则安装防火墙的这台机器访问Interent将不做NAT转换，这样会降低安全,如果不选择则对这台机器访问Interent做NAT转换，这样，只能这台机器主动访问Internet，Internet上的计算机不能主动访问这台机器，这样安装防火墙的这台机器就和Interent隔离开了建议使用默认不选择d) 如果选择自动分配端口，则防火墙会自动分配最佳端口，否则默认分配5000055000端口进行NAT转换e) 局域网用户的

20、网关设置成防火墙内部网卡的IP地址，f) 这样就可以让局域网用户共享Interent了3. Interent 共享管理控制你可以方便的对Interent的使用进行控制在菜单设置-NAT网关设置-NAT使用控制 里可以添加一个规则协议类型： IP:指TCP UDP ICMP三种协议的集合局域网IP： 想要控制使用Interent的局域网IP地址目的IP: 想要控制访问的Interent Ip地址不进行NAT转换，上面的条件成立则步进行转换，局域网用户就无法访问进行NAT转换，当条件成立时进行NAT转换，允许用户可以访问注意：规则是按顺序进行比较的，比如局域网用户请求访问Interent时，会按顺

21、序比较这些规则,如果所有规则都不成立，默认是进行NAT转换4. 防火墙过滤规则设置在菜单的设置-防火墙设置-防火墙规则设置添加，防火墙过滤规则分为三个视图本机接收数据 过滤所有发给防火墙本身这台机器的数据包 比如防火墙这台机器访问Interent或者局域网时接收的数据 就执行这个视图的过滤规则转发数据 通过防火墙转发给局域网，或者Interent的数据包 比如防火墙转发的NAT数据包，端口映射数据包，以及通过透明防火墙的数据包，执行这个视图的过滤规则本机发送数据防火墙本身这台机器发送出去的数据包 比如防火墙这台机器访问Interernt或者局域网时发送出去的数据包，经过这个过滤规则5. 开放一

22、个对外的服务比如web Server ftp servera) 首先根据实际情况在菜单防火墙基本参数里选择网关路由模式，或者透明防火墙+网关路由模式b) 打开菜单设置-NAT网关设置-端口映射 添加c) 选择适当的协议网关的IP是要访问这个服务的Interent IP,端口是要访问这个服务的对外端口比如80端口d) 映射到服务器IP，如果服务和防火墙装在一台机器上，这个Ip和网关的IP一样，端口是这个服务的实际端口e) 如果服务是单独装在局域网的另一台机器上，那么这个IP就是安装服务这台机器的局域网IPf) 把安装服务的这台机器的网关设置成防火墙的局域网IP地址6. dmz区建立a) 首先根据

23、实际情况在菜单防火墙基本参数里选择网关路由模式，或者透明防火墙+网关路由模式，把服务软件安装在局域网的一台机器上，网关设置成防火墙的局域网IP地址。b) 打开菜单设置-NAT网关设置-端口映射 添加c) 选择适当的协议网关的IP是要访问这个服务的Interent IP,端口是要访问这个服务的对外端口比如80端口d) 映射到服务器IP，如果服务和防火墙装在一台机器上，这个Ip和网关的IP一样，端口是这个服务的实际端口e) 在菜单设置-NAT网关设置-NAT使用控制 里添加一条规则禁安装服务的这台局域网IP地址使用NAT访问Interent 这样dmz区就建立完毕，你可以通过防火墙规则近一步限制d

24、mz区的访问dmz区的服务器只有局域网IP地址，而且不能访问Internet,完全和Interent分离，一旦dmz区的服务器被攻击或者安装上木马也不会涉及到其它服务器，不能把数据传送到Interent上。 7. LOG的分析查看 在防火墙规则里选择上纪录到log,或者选择抓取数据包，这样条件符合的时候就会把数据包纪录到log文件里， 通过菜单查看-查看过滤Log纪录和查看-查看过滤抓取的数据包来查看Log， 在 查看过滤抓取的数据包 里有非常强大的包分析功能，可以分析不同层次协议的数据8. 网络状态监控分析运行KFW企业版网络监控,附录:1 DMZ区简介DMZ术语来自于军事领域，原意为禁止任

25、何军事行为的区域即非军事区。在技术领域，DMZ最初被定义为防火墙的外部接口和外部路由器的内部接口之间的网络段。后来DMZ的定义进一步演化，是指为不信任系统提供服务的孤立网络段。现在IT人员用这个术语来指两个防火墙之间的网段，或是连接防火墙的“死端”的网络(如图1和图2所示)。不管DMZ的种种定义，它的目的就是把敏感的内部网络和其它提供访问服务的网络分离开，为网络层提供深度的防御。防火墙上的策略和访问控制系统定义限制了通过DMZ的全部通信数据。相反，在Internet和企业内部网之间的通信数据通常是不受限制的。DMZ的主要作用DMZ的主要作用是减少为不信任客户提供服务而引发的危险。DMZ可以为你

26、的主机环境提供网络级的保护，它还把公众主机设备和私有网络设施分离开来。例如，如果你公司有一个WEB站点，任何人可以通过浏览器和它连接。没有DMZ配置时，你的主机系统位于防火墙的外部(暴露在Internet上)或位于公司内部网中的网络段上。前一种情况你的WEB主机对所有攻击都是开放的，没有任何防御。后一种情况会导致其它的内部资源受到攻击。通过DMZ可以在保护内部网络时，同时保护到Internet服务器。DMZ在保护企业内部其它资源的安全方面也发挥重要作用，当有些资源仅供少数人访问时，可以把相应系统隔离，从而提供安全性。大多数人认为防火墙提供的是坚固无比的防护，实际上，内部网络和主机的安全通常并不

27、是那样的坚固。在一个非DMZ系统中，提供给Interent的服务产生了许多漏洞，使其它主机极易受到攻击。解决问题的方法之一是把没有包含敏感数据，担当代理数据访问职责的主机放置于DMZ中。通过应用程序的接口(例如：WEB站点)，或通过网络协议(例如：HTTP或SQLnet)可以实现上述方法。在网络中数据从应用层分离提供了附加的安全，因为实施DMZ的系统不会把包含商业数据的内部系统直接暴露给网络攻击。攻击者取得初步入侵成功后要面临DMZ设置的新的障碍。一个DMZ配置提供了实施附加安全措施的自然层，诸如主机加固和网络或基于主机的入侵检测。主机加固是配置主机系统的过程，因此他们比默认的配置要安全的多。

28、主机安全的实施提高了攻击者入侵的难度。作为一个IT管理者，你可以要求企业中的所有系统符合严格的加固的安全需求。然而，你也可以坚持基于DMZ系统这样的需求，因为它们是现存系统的一个小子集，因而在管理和维护这样高安全配置的系统，不需要付出太多努力。附录:2 NAT技术的工作原理NAT技术的基本功能就是用1个或几个IP地址来实现1个局域网络上的所有主机都可以访问Internet。NAT技术可以为TCP、UDP以及lcmp的部分信息进行透明中继。下面以TCP为主要对象讨论其工作原理。TCP是建立在所谓的连接抽象（connection abstraction）之上的，它所对应的对象不是TCP的一个单独的

29、端口而是1条虚电路连接，也就是说，TCP是使用连接而不是使用协议端口号作为基本的抽象概念。在TCP中连接是用1对端点来标识的。TCP把端点（endpoint）定义为一对整数（host，port），因此可以将1条TCP连接用1个4元组（Source address：source port；destination address：destination port）来定义，这样的一个连接抽象允许多个连接共享1个端点，例如2条连接（192.168.1.1：1184；192.168.1.3：80）、（192.168.1.2：1184；192.168.1.3：80）共享同1个端点（192.168.1.3：

30、80），但又并不会引起歧义，从而可以看出这种基于连接的抽象为利用1个IP地址进行外部世界的访问提供了基础。实际上，虽然UDP是无连接的，但可以将它作为虚连接来看待。NAT网关上运行的TCPIP网关软件与常规的网关软件并不相同。通常常规路由器只是机械地根据IP包中的目的IP地址以及路由表将IP数据报从一个网络转发给另一个网络，而NAT网关在Internet内部网络和Internet之间中继IP数据报并非凭借目的IP地址，它的中继是面向连接的，如图1图2所示。假设在局域网LAN A接入Internet处有1个NAT网关，网关处理所有网络内外之间的TCPIP连接。NAT网关具有内网端口和外网端口，2

31、个端口各被分配1个IP地址，其中外网端口的IP地址是合法的全球唯一的IP地址200.200.200.200，内网端口的IP地址一般为保留地址，如设为192.168.1.1。当内部网络中的1台主机(例如A)要访问Internet上的Web服务器X（主机地址为202.202.202.202），那么首先A要与X建立TCP连接，设定主机A为此次连接分配的TCP端口为1030，此时主机A将IP数据包（D202.202.202.202：80，S192.168.1.2：1030）发向NAT网关，当NAT接受到数据包后，会动态地分配1个未用TCP端口，例如1330，然后修改数据包中的地址为（D202.202.202：80，S200.200.200.200：1330），计算数据包的校验和后发向Internet。由此可以看到此数据包中已经不含任何私有地址的信息。NAT已经录下这对映射：（D202.202.202.202：80，S192.168.1.2：1030）（D202.202.202：80，S200.200.200.200：1330）。以后当NAT接受到这1对主机间的任何1个IP分组时，NA