手册下载
H3C SecPath AFC2000-G2系列异常流量清洗系统
Web配置指导
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
异常流量清洗系统支持单台部署、集群部署和主备配置三种场景,单台部署时合用设备自带web管理界面,而集群部署是需要单独准备一台管理机,目的是方便对集群内设备集中管理。为了方便网络或设备管理员对异常流量清洗系统设备进行配置操作及维护,异常流量清洗系统产品支持HTTP/HTTPS WEB管理。管理员可以通过Web界面更加直观和便捷地管理和维护异常流量清洗系统设备。
设备在出厂后预置管理信息如下:
用户名:“admin”。
密码:“admin”。
设备默认管理IP地址:“192.168.0.1(GE0/0口),(对于集群部署设备,设备的管理IP地址为部署管理机时的管理IP地址)。
默认web访问端口:“443”
验证码:随机字母与数字组合(不区分大小写)。
Web管理的具体登录步骤如下:
连接设备和PC。
用交叉以太网线将 PC 和设备的默认管理口GE0/0相连。
为PC配置IP地址,保证能与设备互通。
修改管理PC的IP地址为192.168.0.X/24(192.168.0.0/24网段不与在用的管理口IP地址相同的任意IP地址即可),例如管理口用的是GE0/0口地址192.168.0.1,则PC端可配置IP地址为192.168.0.20。
启动浏览器输入登录信息。
启动Google/Firefox浏览器,在地址栏内输入https://192.168.0.1即可进入如下图所示
Web网管登录页面。输入用户名“admin”、密码“admin”,点击<登录>按钮即可进入Web网管页面并进行相关操作。登录界面如图所示:
图1-1 登录界面
首次登录后,用户必须修改管理员的登录密码。
异常流量清洗系统管理页面由以下内容组成:
左主菜单
系统的功能主要分为以下几个主菜单,而主菜单中又包括了更多的子菜单:
全局状态:用于展示设备状态、服务器列表、连接状态监控,流量的排名统计、数据包分析和静动态黑白名单相关信息。
规则配置:异常流量清洗系统规则配置入口,可以配置过滤规则、应用规则、插件规则等;
牵引配置:异常清量清洗系统引流与黑洞相关配置入口;
域名过滤:异常流量清洗系统域名管控配置入口;
DNS防护:异常流量清洗系统智能DNS防护插件配置入口;
系统配置:异常流量清洗系统DDoS防御引擎、系统参数等相关配置入口;
客户群组:针对客户,可其所属IP地址创建为一个群组,方便运维;
导航菜单
异常流量清洗系统管理页面上方存在如下导航菜:
防护配置:默认展示当前网络流量数据和攻击状态,也就是管理员登录系统初次看到的页面,是异常流量清洗系统日常配置入口。
日志中心:用来记录攻击日志、流量日志等日志信息。
系统配置:用来进行异常流量清洗系统上架时所要配置的一些信息操作。
攻击报警:用来显示被攻击的服务器IP信息。
流量报警:用来显示高于设置的流量告警IP信息。集群模式下,流量报警显示所有设备信息,无论该设备流量是否有越界;但是无越界的设备下无信息
设备报警:用来显示异常流量清洗系统异常信息。集群模式下,设备报警条目数只显示单台设备条目数
DNS劫持:设置DNS防御插件域名劫持防御时,当检测到域名劫持行为发生时,闪动报警来提醒用户DNS业务异常。
用户名称:点击用户名称会出现一个下拉列表,包括修改密码、编辑系统标志、编辑超时时间、版本信息和退出;点击修改密码输入原始密码和新密码后可以更改当前登录用户的密码;点击编辑系统标志可以更改浏览器页签标志;点击编辑超时时间,可以修改当前用户最后一次操作后的页面超时时间;点击版本信息可以查看当前设备的软件版本;点击退出可以退出当前用户。
防护配置中包含全局状态、规则配置、牵引配置、域名过滤、DNS防护、系统配置和客户群组。
设备状态展示了设备、日攻击类型分布图、数据、日攻击服务器TOP分布图、攻击告警和全局信息六大板块。其中设备板块展示的是防护服务器的总流量图,如勾选下方的攻击流量、输入流量、输入包数、输入连接、输出流量、输出包数、输出连接则以折线图的形式在图中显示出来,默认显示攻击流量和输入流量。
日攻击类型分布图板块展示的是统计一天内流量攻击类型的占比数据,默认以饼状图显示,左上图标可以选漏斗形图显示、刷新、保存为图片。其中漏斗图需要包含三种以上的数据(包含三种)才能显示,否则不显示。
数据模块板块展示的是防护服务器总的实时输入和输出方向上的拦截前流量、拦截后流量、包数、连接数和系统负载数据,后面展示每个设备的CPU和内存负载,每10秒刷新一次。
日攻击服务器TOP分布图展示的是防护的服务器当天被攻击次数最多的前五名,每小时记录一次总次数,默认以柱状图显示,左上方小图标可以切换折线图、堆积图、平铺图、刷新和保存为图片。其中平铺和堆积需要包含三种以上的数据(包含三种)才能显示,否则不显示。
攻击告警板块展现的是被攻击的IP,攻击的协议类型和拦截的峰值流量。
全局信息展示的是系统常用的信息参数,有黑名单数量(静态/动态)、白名单数量(静态/动态)、路由黑名单数量、域名黑名单数量、域名白名单数量、域名过滤状态、应用规则数量(激活/总数)、过滤规则数量(激活/总数)和服务器列表总数。如下图所示:
图2-1 设备状态
默认显示当前系统下按照输入包数降序排名的前50条服务器的流量信息,可以在显示数量搜索栏中自定义显示服务器IP数量。可详细展示清洗系统下所有 IP 的输入包数,输入流量,输入拦截,输出包数,输出流量,输出拦截,默认显示数量50条。支持顺序排列,管理员可通过点击主机、总包数、总连接数、每秒连接数、UDP、ICMP、TCP、SYN、ACK&RST和其它协议等,实现对当前列表中根据所操作字段值进行升序/降序排列;进入服务器列表时,默认以输入包数字段显示当前服务器列表信息,在IP搜索框输入单个服务器IP,然后点击查询,可以直接过滤只显示该IP的流量信息状态。也可以选择按大客户服务器群组来查询。勾选历史可以在下方显示历史查询的服务器IP记录,点击历史中的IP可以直接查询到该IP的流量信息状态,清除按钮为清除搜索历史的按钮。勾选只显示被攻击主机,那么服务器列表将只显示正在被攻击的地址。
图2-2 服务器列表
IP搜索支持模糊查询,如需查询“1.1.1.1”,支持格式包括:“1.”、“1.1”、“1.1.1”等,不支持格式包括:“1”、“.1”等。
搜索或直接点击服务器列表中的IP除了上述信息外,还会显示关闭、开始抓包、流量日志、攻击信息、流量信息、过滤规则和应用规则。
点击关闭会将下方攻击信息等模块关闭;
开始抓包为快速抓取该服务器IP的数据包(详见2.1.5章节数据分析);
点击流量日志会显示报表中流量日志信息(详见3.5章节流量日志);
攻击信息中会显示24小时内的攻击信息(包括攻击事件开始时间、攻击状态、防护本次攻击的防护模块、攻击流量峰值、攻击包数峰值和攻击包类型);
流量信息中显示当天的流量信息,默认为流量显示,管理员可在流量图上边按钮选择包数显示或连接数显示,流量图下方会显示当天最大输入流量和最大输出流量;
过滤规则中显示该IP所添加的过滤规则(包括添加过滤规则、规则名称、规则状态、操作者、编辑时间和操作),点击添加按钮可以快速添加过滤规则,默认内部地址为该服务器的IP地址且不可更改,操作下方有三个按钮分别为修改、激活/禁用和删除,点击修改可以修改配置该过滤规则,点击禁用/激活可以禁用或激活该过滤规则,点击删除可以删除该过滤规则,若操作下方只有一个查看按钮则说明这条过滤规则应用在该IP所在的某IP段上,此时管理员只能查看该过滤规则,不能对其进行修改或删除(详情请见2.2.5章节过滤规则);
应用规则中显示该IP所添加的应用规则(包括添加应用规则、规则名称、规则状态、操作者、编辑时间和操作),点击添加按钮可以快速添加应用规则,默认服务器地址为该服务器的IP地址且不可更改,操作下方有三个按钮分别为修改、激活/禁用和删除,点击修改可以修改配置该应用规则,点击禁用/激活可以禁用或激活该应用规则,点击删除可以删除该应用规则,若操作下方只有一个查看按钮则说明这条应用规则应用在该IP所在的某IP段上,此时管理员只能查看该应用规则,不能对其进行修改或删除(详情请见2.2.4章节应用规则)。
图2-3 服务器列表详情
连接监控中显示被保护区域内所有IP连接实时状态信息,包括序号、协议、连接描述、连接状态、源IP、源端口、目的IP、目的端口和连接统计,其中连接描述为等待和连接两种状态,连接状态是在【防护配置】-【系统配置】-【参数设置】-【会话状态】-会话超时时间处设定,若该连接在建立好连接之后并无任何数据传输,连接状态下的时间会由会话超时时间设定的数值开始倒数,若数到0时还未有任何数据传输,则释放该连接,若期间有数据传输,则会重新从会话超时时间设定数值开始倒数。支持在控制台通过源IP、目的IP、源端口、目的端口、连接状态等条件进行查询,连接状态有三种:SYN_SENT、ESTABLISHED和NONE状态,SYN_SENT表示TCP连接未完全建立时的状态,ESTABLISHED为TCP已建立状态,NONE状态为连接异常状态。若为集群部署,还可以看到每台设备所处理的连接。连接统计下有查看按钮,点击即可查看该服务器IP的所有连接,可以根据目的IP、目的端口、连接数查询所有连接,若为集群部署,可以查看各台设备所处理的连接。每条连接统计后都有操作按钮-添加黑名单,点击添加黑名单后该源IP会被添加进设备的动态黑名单中,可对当前页数据进行批量添加黑名单,该连接统计支持导出,导出文件格式为excel。
图2-4 连接监控
排名统计通过流量排名、协议排名,设备排名(默认显示前10名),可对异常流量快速牵引导入黑洞路由,避免巨大流量攻击使网络瘫痪。可通过设备、服务器IP来精确查询;可调整显示数量(默认显示前十个IP);有自动刷新和手动刷新两种模式;其中,自动刷新可以自定义刷新时间(默认10秒),当设置自动刷新时间小于5秒,会按照上一次设置的时间刷新。
流量排名:汇总清洗系统中各服务器IP地址实时流量,并每10秒(默认)对所有服务器地址流量进行TOP排名,默认列出:
· 输入流量TOP 10 地址;
· 输出流量TOP 10 地址;
· 输入包数TOP 10 地址;
· 输出包数TOP 10 地址;
· 输入连接数TOP 10 地址;
· 输出连接数TOP 10 地址;
图2-5 排名统计(流量排名)
协议排名:根据协议(UDP、ICMP、TCP、TCP(SYN)、TCP(ACK&RST)及OTHER)汇总清洗系统中各服务器IP地址实时流量,并每10秒(默认)对所有服务器地址流量进行TOP排名,默认列出:
· 输入流量TOP 10 地址;
· 输出流量TOP 10 地址;
· 输入包数TOP 10 地址;
· 输出包数TOP 10 地址;
图2-6 排名统计(协议排名)
设备排名:根据设备(UDP、ICMP、TCP、TCP(SYN)、TCP(ACK&RST)及OTHER)汇总清洗系统中各设备实时流量,并每10秒(默认)对所有设备进行TOP排名,默认列出:
· 输入流量TOP n地址(n为设备数);
· 输出流量TOP n地址(n为设备数);
· 输入包数TOP n地址(n为设备数);
· 输出包数TOP n地址(n为设备数);
· 输入连接数TOP n地址(n为设备数);
· 输出连接数TOP n地址(n为设备数)
图2-7 排名统计(设备排名)
通过抓包功能,在服务器遭受攻击时抓取攻击流量,分析其特征,定制特定的规则来提供定制化的过滤防护。所抓取的包大小限制为10M。
打开数据分析界面会显示开始抓包、删除和历史的抓包记录,每条记录会显示抓包的设备、所抓包数、抓捕字节数、模式(过滤前、过滤后、拦截包)、分析进程(未完成、暂停、完成)和操作(开始、继续、查看、删除、下载)。
图2-8 数据分析
点击开始抓包会弹出抓包的规则,抓包规则下可以选择设备、抓包方式、抓包倒计时、模式、强制抓包、方向、抓包数量、采样率、包大小、外部MAC、内部MAC、IP类型、外部地址类型、内部地址类型、协议。
选择设备为集群部署时可以选择在某一个设备上抓包,抓包方式可以选择抓取指定IP的数据包或抓取所有包,抓包倒计时为手动停止或自动停止,若选择自动停止用户可以自定义抓包时间,抓包模式为过滤前、过滤后和拦截包,过滤前指所有到达设备的数据包,过滤后指经过异常流量清洗设备清洗后的数据包,拦截包指被异常流量清洗系统拦截的数据包,强制抓包是指在有其它用户抓包时,勾选强制抓包的用户优先抓取,方向选择是指防护的服务器接收或发送的流量,抓包数量、采样率和包大小可以根据业务自定义设置,可以抓取指定的外部MAC和内部MAC的数据包,IP类型支持ipv4和ipv6类型,外部地址类型可以选择任何地址、单一IP地址和IP范围,内部地址类型可以选择单一IP地址和IP范围,协议类型支持IP、TCP、UDP、ICMP、IGMP和其它协议,选择TCP协议时还可以根据外部端口类型、内部端口类型和TCP标志位来过滤,端口类型支持任何端口、单一端口、端口范围和端口列表,标志位可以选择FIN、ACK、SYN、PSH、RST和URG,协议选择UDP时则没有标志位,协议选择ICMP时可以选择检查ICMP类型和ICMP代码。
将上述选项设置好后即可开始抓包,抓包结束后会在抓包记录中显示本次抓包记录,记录中会显示本次抓包分析进程为未开始,需要用户手动点击操作栏中的开始,等待几秒钟后点击暂停,此时状态会变为完成,若所抓包数过大,设备未完全分析完毕,则分析进程会显示暂停,用户只需要点击操作栏中的继续,等待设备分析完成即可,分析完毕后操作栏中的按钮会变为查看、删除和下载,点击删除会将这条抓包记录删掉,点击下载会将本次抓包的内容下载到本地,用户可以使用其它的抓包分析工具进行分析,点击查看会跳转到分析界面直接在设备上分析。关闭抓包规则请点击开始后面的关闭按钮。
图2-9 抓包规则
分析记录中可以根据协议(TCP、UDP、ICMP、IGMP和其它)、源IP、目的IP、源端口、目的端口和CODE值过滤所抓取的数据包。
点击HTTP分析可以看到所抓取的包中有没有访问页面的数据,如果有,会显示被访问的服务器IP、域名及访问的页面,还可以根据服务器IP或进行过滤;点击数据分析可以显示所抓取的数据包中的数据、文本、源IP、目的IP和偏移量;点击连接统计可以跳转到连接监控中的连接统计处,连接监控中支持添加单条动态黑名单或批量添加动态黑名单,但是不能填写加黑时间;点击CODE值分析可以显示所抓取所有数据包的CODE统计值,并且可以根据CODE值查询数据包个数。
记录分析中记录了本次所抓取的数据包的CODE值、抓包时间、源IP、源端口、目的IP、目的端口、协议、TTL值、TCP标志位和包大小,操作中包含分析和下载两项,点击分析可以对单个数据包进行数据分析,点击下载可以将这个数据包下载到本地。
抓包规则必填项(抓取所有包):
表2- 1 数据分析
编号 |
名称 |
定义 |
1 |
选择设备 |
选择需要抓取数据包的设备,单台部署时为127.0.0.1; |
2 |
网口 |
选择需要抓取数据包的网口,默认为全部网口; |
3 |
抓包范围 |
抓取所有包或抓取指定IP的数据包; |
4 |
停止方式 |
可选择手动停止或自动停止; |
5 |
模式 |
可选择拦截前、拦截后和拦截包; |
6 |
方向选择 |
可选择接收方向或发送方向; |
7 |
强制抓包 |
若多人同时抓包时,点击强制抓包的管理员可优先抓包; |
8 |
IP类型 |
可选择IPv4或IPv6; |
9 |
外部地址类型 |
访问AFC下服务器的IP; |
10 |
内部地址类型 |
受AFC设备保护的服务器地址类型:可选择单一IP或IP范围; |
11 |
协议类型 |
可选择抓取数据包的协议类型:IP、TCP、UDP、ICMP、IGMP和其它。 |
图2-10 数据分析
黑名单列表中的IP为不受信任的外部客户端IP地址,可由管理员手动添加、解封、全部解封、导入、导出、同步。对于列表中的客户端IP数据,清洗系统将直接将通信数据丢弃。
点击添加可以将不信任的外部IP添加进静态黑名单,可以添加一个IP或IP范围;将需要解封的IP勾选点击解封可以将这些IP从静态黑名单中解封;点击全部解封可以将静态黑名单中的地址全部解封;点击导出可以将静态黑名单中的地址全部下载到本地;点击导入可以将xlsx表格文件导入,xlsx表格文件中的IP地址将全部进入静态黑名单中。默认每页100条;点击同步可将数据同步到后台实现实时数据丢弃
图2-11 静态黑名单列表
动态黑名单中主要是没有被清洗系统规则验证通过的外部IP,在此列表中的IP地址无法访问本地服务器。通常规则中会设置一个拦截时间,单位为秒,该时间值会动态递减到0,系统会自动释放该外部地址。
管理员可以添加被封IP、服务器IP、阻止时间,管理员可以在某个服务器上加黑指定外部IP,在该时间递减到0时,系统会自动释放,支持导入导出,也可以通过被封IP、服务器IP或阻止时间(大于或小于)解除被封IP。默认每页显示50条。
图2-12 动态黑名单列表
静态白名单列表中的IP为受信任外部客户端IP地址,可由管理员手动添加,可以通过IP进行查询。支持导入导出,导出的excel表格可以用于导入列表中的客户端IP与本地服务器的通信不会被清洗系统检查,并且白名单优先级高于黑名单优先级,管理员需谨慎添加。默认每页显示100条。
图2-13 静态白名单列表
动态白名单中添加的IP是由系统的CC插件验证添加或者自定义规则添加的。支持导出功能。当服务器添加CC防护后,经过插件验证通过的IP会被添加到这里,信任时间会从10000s递减。在本次验证通过后,CC插件将不会对信任的源IP进行验证。系统同时又支持按客户端IP、服务器IP解除,解除后的客户端在触发CC插件后,会进行再次验证。支持按信任ip和按服务器列表查询。默认一页50条。若同一个源IP被加白两次,则加白时间按照第一次时间计算,不会刷新。
图2-14 动态白名单列表
规则配置中包括触发规则、防护规则、规则集、应用规则和过滤规则。填写规则名称时仅支持“中文”、“英文”、“_”、“-”、“()”和“[]”,且最大长度为64字符,规则特征仅支持16进制字符和ascall码,最大长度为32字符。
触发规则分为全局触发规则和防护触发规则,前者服务于全局过滤模块。防护触发规则主要用于与一条或多条防护规则结合,形成防护规则集,防护触发规则为规则集中防护规则的启用前提条件。可以简单的理解为防护触发规则是防护规则的开关。在删除触发规则时,若该触发规则正在被应用,则不能删除。触发规则支持导入导出。
图2-15 防护触发规则
防护触发规则主要用于与一条或多条防护规则结合,形成防护规则集,防护触发规则为规则集中防护规则的启用前提条件,该触发规则支持导入导出。
表2-1 添加防护触发规则
编号 |
名称 |
自定义 |
1 |
名称 |
自定义 |
2 |
每秒TCP包数 |
防护服务器每秒接收到的TCP包数(0代表本协议不触发,应用本协议的规则将不会生效); |
3 |
每秒UDP包数 |
防护服务器每秒接收到的UDP包数(0代表本协议不触发,应用本协议的规则将不会生效); |
4 |
每秒ICMP包数 |
防护服务器每秒接收到的ICMP包数(0代表本协议不触发,应用本协议的规则将不会生效); |
5 |
每秒SYN包数 |
防护服务器每秒接收到的SYN包数(0代表本协议不触发,应用本协议的规则将不会生效); |
6 |
每秒其它协议包数 |
防护服务器每秒接收到的其它协议(除TCP、UDP和ICMP外的协议)包数(0代表本协议不触发,应用本协议的规则将不会生效); |
7 |
方向 |
可选择接收和发送,接收表示防护服务器收到的流量,发送表示防护服务器发送的流量; |
8 |
备注 |
自定义。 |
图2-16 添加防护触发规则
全局触发规则应用于全局过滤模块,支持导入导出。
表2-2 添加全局触发规则
编号 |
名称 |
自定义 |
1 |
名称 |
自定义 |
2 |
每秒TCP包数 |
防护服务器每秒接收到的TCP包数(0代表本协议不触发,应用本协议的规则将不会生效); |
3 |
每秒UDP包数 |
防护服务器每秒接收到的UDP包数(0代表本协议不触发,应用本协议的规则将不会生效); |
4 |
每秒ICMP包数 |
防护服务器每秒接收到的ICMP包数(0代表本协议不触发,应用本协议的规则将不会生效); |
5 |
每秒SYN包数 |
防护服务器每秒接收到的SYN包数(0代表本协议不触发,应用本协议的规则将不会生效); |
6 |
每服务器SYN严格防护触发数 |
当服务器收到的SYN达到每服务器SYN严格防护触发数时会将首包丢弃(0代表本协议不触发,应用本协议的规则将不会生效); |
7 |
每秒ACK&RST包数 |
防护服务器每秒接收到的ACK和RST包数(0代表本协议不触发,应用本协议的规则将不会生效); |
8 |
每秒其它协议包数 |
防护服务器每秒接收到的其它协议(除TCP、UDP和ICMP外的协议)包数(0代表本协议不触发,应用本协议的规则将不会生效); |
9 |
方向 |
可选择接收和发送,接收表示防护服务器收到的流量,发送表示防护服务器发送的流量; |
10 |
备注 |
自定义。 |
图2-17 添加全局触发规则
图2-18 全局触发规则
防护规则包含快速规则、插件规则、漏洞规则以及攻击检测规则。它定义了一系列包过滤的条件。
图2-19 快速规则
表2-3 添加快速规则
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
IP类型 |
可选择ipv4或ipv6; |
3 |
协议 |
规定该规则针对的协议类型,可选择IP、TCP、UDP、ICMP、IGMP和其它; |
4 |
子规则编号 |
可选择自定义(1-9999)或自动分配(>9999),应用在添加规则集时区分和规定规则顺序; |
5 |
备注 |
自定义; |
6 |
子规则接收列表 |
指添加子规则时选择的方向为接收; |
7 |
子规则发送列表 |
指添加子规则时选择的方向为发送。 |
图2-20 添加快速规则
添加子规则:
表2-4 添加子规则
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
方向 |
指防护服务器的接收和发送方向; |
3 |
逻辑关系 |
匹配包特征码时用的逻辑关系 == 等于、!= 不等于、 >大于、 <小于,注意只有本特征值匹配时才会判断下面的条件; |
4 |
值 |
匹配包特征码; |
5 |
十六进制/字符 |
指值的类型,十六进制 或字符,十六进制0到F 表示的时候必须两位数字代表一个字节,比如000F1B,中间不能有空格; |
6 |
数据包位置/从tcp数据开始搜索 |
这两个参数决定从数据包的什么位置开始搜索,比如选择了从TCP数据开始搜索 ,数据包位置 10 ,分析数据包的时候就会从 TCP数据包的数据部分加上10 的位置开始搜索输入的值,如果不选择从TCP数据开始搜索 就从数据包开始部分加上10 的位置开始搜索输入的值; |
7 |
搜索长度/搜索整个包 |
这两个参数决定数据包搜索的长度,如果选择搜索整个包,搜索值的时候就会一直搜索到数据包尾,这时搜索长度将不起作用,如果不选择搜索整个包,就会搜索指定的搜索长度; |
8 |
IP记录保存时间 |
访问IP分配一个记录来保存这个IP的相关数据,设置这个数据保存的时间; |
9 |
比较值匹配就执行设置操作 |
选择如果比较的特征码值匹配就会执行下面的设置操作;如果没有选择,必须特征码比较和逻辑关系比较都匹配时执行下面的设置操作; |
10 |
累加器清零 |
勾选后在到达IP记录保存时间后将累加器清为0; |
11 |
累加器增加 |
勾选后在IP记录保存时间内每触发一次值内设定的内容累加器会增加填写的数字; |
12 |
IP记录保存时间刷新 |
勾选后每触发一次值内设定的内容IP记录保存时间会刷新一次; |
13 |
强制同步 |
将该规则同步给集群中的其它设备; |
14 |
判断累加器 |
与累加器清零、累加器增加配合使用,记录特征值出现次数或者其它需要累加计数的地方,值可选大于、等于或小于; |
15 |
数据包大小 |
与包字节清零、开始累加包字节配合使用,通过这个功能可以判断包字节异常的攻击,也可以做限制流量用按单个数据包只是简单的比较单个数据包大小,可选择大于、小于或等于; |
16 |
客户端IP加黑 |
当条件匹配时可选择将源IP加入黑名单; |
17 |
对触发的服务器有效 |
如果不选择被封的IP将无法访问设备下所有的被防护服务器,如果选择上这个选项,只对被封时访问的服务器拦截; |
18 |
按客户端IP计算/按服务器端IP计算 |
指值出现次数、判断累加器按照客户端IP或服务器IP计算; |
19 |
条件匹配 |
若满足上述条件时,可选择通过、拦截、继续其它子规则或跳出本规则; |
20 |
条件不匹配 |
若不满足上述条件时,可选择继续其它子规则或跳出本规则。 |
图2-21 添加子规则
插件规则是系统内置的可供用户直接使用的规则,可根据版本升级为客户提供插件规则的更新。
名称:通过名称查询插件规则。
图2-22 插件规则
漏洞规则中定义了一系列包内容匹配条件与动作,用户在定义好匹配条件与动作后,数据包在经过漏洞规则过滤时,就能根据用户定义的条件去筛选报文,对匹配上的报文执行管理员定义好的动作。
表2-5 漏洞规则
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
IP类型 |
可选择ipv4或ipv6; |
3 |
协议 |
规定该规则针对的协议类型,可选择IP、TCP、UDP、ICMP、IGMP和其它; |
4 |
子规则编号 |
可选择自定义(1-9999)或自动分配(>9999),应用在添加规则集时区分和规定规则顺序; |
5 |
备注 |
自定义; |
6 |
子规则接收列表 |
指添加子规则时选择的方向为接收; |
7 |
子规则发送列表 |
指添加子规则时选择的方向为发送。 |
图2-23 漏洞规则
添加子规则:
表2-6 添加子规则
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
方向 |
指防护服务器的接收和发送方向; |
3 |
逻辑关系 |
匹配包特征码时用的逻辑关系 == 等于、 <> 不等于、 >大于、 <小于,注意只有本特征值匹配时才会判断下面的条件; |
4 |
值 |
匹配包特征码; |
5 |
十六进制/字符 |
指值的类型,十六进制 或字符,十六进制0到F 表示的时候必须两位数字代表一个字节,比如000F1B,中间不能有空格; |
6 |
数据包位置/从tcp数据开始搜索 |
这两个参数决定从数据包的什么位置开始搜索,比如选择了从TCP数据开始搜索 ,数据包位置 10 ,分析数据包的时候就会从 TCP数据包的数据部分加上10 的位置开始搜索输入的值,如果不选择从TCP数据开始搜索 就从数据包开始部分加上10 的位置开始搜索输入的值; |
7 |
搜索长度/搜索整个包 |
这两个参数决定数据包搜索的长度,如果选择搜索整个包,搜索值的时候就会一直搜索到数据包尾,这时搜索长度将不起作用,如果不选择搜索整个包,就会搜索指定的搜索长度; |
8 |
IP记录保存时间 |
访问IP分配一个记录来保存这个IP的相关数据,设置这个数据保存的时间; |
9 |
比较值匹配就执行设置操作 |
选择如果比较的特征码值匹配就会执行下面的设置操作;如果没有选择,必须特征码比较和逻辑关系比较都匹配时执行下面的设置操作; |
10 |
累加器清零 |
勾选后在到达IP记录保存时间后将累加器清为0; |
11 |
累加器增加 |
勾选后在IP记录保存时间内每触发一次值内设定的内容累加器会增加填写的数字; |
12 |
设置标志位 |
若匹配到上面值的条件,设备会给该用户打一个标记,用于记录该用户并同步给下面的子规则; |
13 |
清除标志位 |
若匹配到上面值的条件,设备会将上面子规则中给该用户打的标记删除; |
14 |
包字节清零 |
若匹配到上面值的条件,则将下面的累加的包字节数清0; |
15 |
开始累加包字节 |
若匹配到上面值的条件,则开始累加匹配到包的字节数; |
16 |
IP记录保存时间刷新 |
勾选后每触发一次值内设定的内容IP记录保存时间会刷新一次; |
17 |
强制同步 |
将该规则同步给集群中的其它设备; |
18 |
判断标志位为真 |
若判断标志位为真,则执行下面设置的动作; |
19 |
判断累加器 |
与累加器清零、累加器增加配合使用,记录特征值出现次数或者其它需要累加计数的地方,值可选大于、等于或小于; |
20 |
数据包大小 |
与包字节清零、开始累加包字节配合使用,通过这个功能可以判断包字节异常的攻击,也可以做限制流量用按单个数据包只是简单的比较单个数据包大小,可选择大于、小于或等于; |
21 |
客户端IP加黑 |
当条件匹配时可选择将源IP加入黑名单; |
22 |
对触发的服务器有效 |
如果不选择被封的IP将无法访问设备下所有的被防护服务器,如果选择上这个选项,只对被封时访问的服务器拦截; |
23 |
按客户端IP计算/按服务器端IP计算 |
指值出现次数、判断累加器按照客户端IP或服务器IP计算; |
24 |
条件匹配 |
若满足上述条件时,可选择通过、拦截、继续其它子规则或跳出本规则; |
25 |
条件不匹配 |
若不满足上述条件时,可选择继续其它子规则或跳出本规则。 |
26 |
插件规则 |
将插件规则的序号和插件参数填写进去,可直接调用插件规则。 |
图2-24 添加子规则
攻击检测规则用于记录攻击日志,被该规则命中的流量会被记录到攻击日志中,攻击检测规则支持导入导出,修改规则后需要点击应用规则才能生效。
图2-25 攻击检测规则
表2-7 攻击检测规则
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
IP类型 |
可选择ipv4或ipv6; |
3 |
协议 |
规定该规则针对的协议类型,可选择IP、TCP、UDP、ICMP、IGMP和其它; |
4 |
规则类型 |
可选择日志规则或拦截规则,日志规则只记录攻击日志,拦截规则会直接将攻击拦截; |
5 |
子规则编号 |
可选择自定义(1-9999)或自动分配(>9999),应用在添加规则集时区分和规定规则顺序; |
6 |
备注 |
自定义; |
7 |
子规则接收列表 |
指添加子规则时选择的方向为接收; |
8 |
子规则发送列表 |
指添加子规则时选择的方向为发送; |
图2-26 添加攻击检测规则
添加子规则:
表2-8 添加子规则
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
方向 |
指防护服务器的接收和发送方向; |
3 |
逻辑关系 |
匹配包特征码时用的逻辑关系 == 等于、 <> 不等于、 >大于、 <小于,注意只有本特征值匹配时才会判断下面的条件; |
4 |
值 |
匹配包特征码; |
5 |
十六进制/字符 |
指值的类型,十六进制 或字符,十六进制0到F 表示的时候必须两位数字代表一个字节,比如000F1B,中间不能有空格; |
6 |
数据包位置/从tcp数据开始搜索 |
这两个参数决定从数据包的什么位置开始搜索,比如选择了从TCP数据开始搜索 ,数据包位置 10 ,分析数据包的时候就会从 TCP数据包的数据部分加上10 的位置开始搜索输入的值,如果不选择从TCP数据开始搜索 就从数据包开始部分加上10 的位置开始搜索输入的值; |
7 |
搜索长度/搜索整个包 |
这两个参数决定数据包搜索的长度,如果选择搜索整个包,搜索值的时候就会一直搜索到数据包尾,这时搜索长度将不起作用,如果不选择搜索整个包,就会搜索指定的搜索长度; |
8 |
IP记录保存时间 |
访问IP分配一个记录来保存这个IP的相关数据,设置这个数据保存的时间; |
9 |
比较值匹配就执行设置操作 |
选择如果比较的特征码值匹配就会执行下面的设置操作;如果没有选择,必须特征码比较和逻辑关系比较都匹配时执行下面的设置操作; |
10 |
累加器清零 |
勾选后在到达IP记录保存时间后将累加器清为0; |
11 |
累加器增加 |
勾选后在IP记录保存时间内每触发一次值内设定的内容累加器会增加填写的数字; |
12 |
强制同步 |
将该规则同步给集群中的其它设备; |
13 |
判断累加器 |
与累加器清零、累加器增加配合使用,记录特征值出现次数或者其它需要累加计数的地方,值可选大于、等于或小于; |
14 |
数据包大小 |
与包字节清零、开始累加包字节配合使用,通过这个功能可以判断包字节异常的攻击,也可以做限制流量用按单个数据包只是简单的比较单个数据包大小,可选择大于、小于或等于; |
15 |
客户端IP加黑 |
当条件匹配时可选择将源IP加入黑名单; |
16 |
加入外网 |
将外网IP加入黑名单; |
17 |
加入内网 |
将内网IP加入黑名单; |
18 |
对触发服务器有效 |
如果不选择被封的IP将无法访问设备下所有的被防护服务器,如果选择上这个选项,只对被封时访问的服务器拦截; |
19 |
条件匹配 |
若满足上述条件时,可选择通过、拦截、继续其它子规则或跳出本规则; |
20 |
条件不匹配 |
若不满足上述条件时,可选择继续其它子规则或跳出本规则。 |
图2-27 添加攻击检测规则
规则集是由触发规则和防护规则组成。根据特定场景做的规则集,我们把它添加到指定服务器IP上,就可以实现在该IP上针对特定场景的攻击防护。系统上默认集成了一些常用的规则集,方便直接使用。在添加防护规则时,若选择插件规则或带插件的漏洞规则时,需要填写插件参数,其它则不需要添加。规则集支持导入导出。
图2-28 规则集
表2-9 添加防护规则集
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
IP类型 |
可选择IPv4或IPv6; |
3 |
备注 |
自定义; |
4 |
一级分类 |
可将规则集分类为一级分类和二级分类,此处设置为一级分类; |
5 |
二级分类 |
可将规则集分类为一级分类和二级分类,此处设置为二级分类; |
6 |
触发规则 |
选择合适的触发规则运用在该规则集上; |
7 |
攻击类型 |
为该规则做分类,可选择syn、udp、cc和icmp; |
8 |
设置为默认规则 |
勾选是则之后添加应用规则时会直接显示到页面右侧,方便管理员进行添加; |
9 |
添加端口 |
添加该规则防护的端口,默认为0; |
10 |
添加防护规则 |
类型可选快速规则、插件规则和漏洞规则; |
11 |
规则 |
选择防护规则; |
12 |
参数 |
根据需求添加防护规则的参数; |
13 |
防护规则列表 |
显示当前添加进去的防护规则,可对其进行上移、下移、编辑和删除。 |
图2-29 添加防护规则集
应用规则就是在一个或者多个连续的IP上添加防护规则集,过滤异常流量。应用规则的添加有两种方式,第一种是直接在【应用规则】选项中添加。添加完成的策略支持导入导出、编辑、禁用/激活、删除。第二种可以在服务器列表中点击主机ip添加应用规则
图2-30 应用规则
表2-10 应用规则
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
IP类型 |
可选择IPv4或IPv6; |
3 |
服务器类型 |
可选择单一IP地址或IP地址范围,若范围同时配置单一IP地址和IP地址范围时,仅单一IP地址应用规则生效; |
4 |
服务器IP |
填写需要防护的服务器IP; |
5 |
是否直通 |
可选是或否,直通后将不对该服务器IP进行任何防护; |
6 |
全局触发规则 |
选择合适的全局触发规则,默认为S_globar Trigger; |
7 |
全局过滤模块 |
根据需要选择需要防护的全局防护模块,默认选择syn flood、udp、icmp、other、tcp check和攻击检测; |
8 |
全局过滤模块SYN模式 |
可选择模式一、模式二和模式三; |
9 |
每秒限制输入流量 |
指限制防护服务器每秒接收的流量,单位为Mbps; |
10 |
每秒限制输出流量 |
指限制防护服务器每秒输出的流量,单位为Mbps; |
11 |
系统插件 |
可勾选domainfilter,该插件为域名模块的插件,勾选后会检测该服务器的域名是否备案,默认为勾选; |
12 |
备注 |
自定义; |
13 |
默认防护规则集列表 |
一般设定为常用规则,可在规则集中勾选是否设置为默认规则集; |
14 |
添加防护集 |
可根据需求添加防护规则集。 |
注:在添加应用规则时,同一条应用规则中只能添加一条cc规则。
图2-31 添加应用规则
过滤规则是由过滤规则和应用IP组成,用以实现简单的访问策略,类似ACL功能,快速而有效。如拦截某IP段对墙下IP的访问,拦截对墙下服务器某一端口的访问数据;封掉墙下某一服务器进出数据;封掉墙下某一服务器某种协议的数据通信等。添加完成的策略支持交换编号、禁用/激活、删除。
图2-32 过滤规则
表2-11 过滤规则
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
IP类型 |
可选择IPv4或IPv6; |
3 |
外部地址类型 |
指不在防护范围的IP,可选择任何地址、单一IP地址、IP范围、地理位置和地理位置排除,其中地理位置和地理位置排除为拦截国外IP或拦截某一地区IP; |
4 |
内部地址类型 |
指防护范围内的IP地址,可选择单一IP地址或IP地址范围; |
5 |
协议 |
指流量的协议,包括:IP、TCP、UDP、ICMP、IGMP、ICMPv6、HTTP(80)、HTTPS(443)、SSH(22)、RDP(3389)、MSSQL(1433)、MYSQL(3306)、PostgreSQL(5433)、ORACLE(1521)、Redis(6379)、GRE和其它; |
6 |
方向选择 |
可选择接收和发送,其中接收指防护服务器接收的流量,发送指防护服务器发送的流量; |
7 |
行为规则 |
可选通过或拦截; |
8 |
备注 |
自定义。 |
图2-33 添加过滤规则
基线学习是通过对系统中正常流量的学习,得到业务正常访问流量的大小,将学习到的数据应用到应用规则上。
学习完毕或学习中的任务会在任务列表中显示,可以看到任务名称,开始、结束时间,学习状态,应用IP,可对任务进行查看学习结果、修改、应用至防护和取消应用至防护等操作。
图2-34 基线学习
图2-35 添加基线学习(以10.10.10.10ip为例)
表2-12 添加基线学习
编号 |
名称 |
定义 |
1 |
任务名称 |
自定义; |
2 |
学习周期 |
1-30天; |
3 |
任务开始时间 |
可选择立即开始或自定义任务开始时间; |
4 |
任务结束时间 |
可选择手动停止或自定义任务结束时间; |
5 |
基线结果应用系数 |
指实际应用到防护规则的阈值与学习到的阈值大小的倍数关系,范围为1-10; |
6 |
基线结果自动应用到防护 |
可选择将学习到的结果直接应用到全局防护模块中,默认勾选; |
7 |
IP地址类型 |
可选择单一IP、IP范围和网络IP; |
【注】:添加基线学习之后,系统自动添加全局过滤规则和应用规则;其中名称为基线学习任务名称_1
图2-36 自动添加过滤规则
图2-37 自动添加应用规则
旁路部署模式下,我们需要将本地服务器业务从交换机或者路由器上牵引到AFC设备中,即所谓引流。引流前先需添加牵引设备,默认协助旁路上架时都会添加好。如牵引条目过多可以通过牵引ip来进行查询。
支持以牵引IP、牵引策略和日期来搜索牵引条目。默认每页显示50条。
图2-38 引流牵引状态
点击手动牵引可以选择单一IP或范围IP进行牵引,但系统是按照单个ip进行牵引,牵引持续时间默认为0,即无限期牵引,若填写具体时长,如10分钟,这条被牵引的IP会在10分钟后自动反牵引。选择牵引设备时可以根据牵引设备操作列表中设置的分类进行检索,勾选需要使用的牵引设备后点击确定即可对该IP或IP范围进行引流牵引。
图2-39 手动牵引
点击批量反牵引可以根据单一IP或范围IP进行反牵引,将需要反牵引的IP或范围IP填写进去点击确定即可对该IP进行反牵引。
图2-40 批量反牵引
点击清空记录可以将页面的牵引记录全部清空。
牵引状态列表中包含牵引IP、牵引策略、牵引操作、访问流量、访问包数、牵引时间、反牵引时间、状态、编辑人、ACL号及操作。操作中包含详细信息、反牵引和强制删除,点击详细信息可以在页面中显示设备登录路由模块的配置信息、命令以及牵引操作详细时间;点击反牵引可以将这条牵引记录进行反牵引,点击强制删除可以将这条牵引记录从数据库删除,但是交换机实际还存在牵引信息。
黑洞牵引策略封掉的IP会在黑洞牵引状态中列出来。管理员在这里还可以使用手动牵引,将某一个服务器在上层封掉。查询条件客户通过ip、黑洞牵引策略、牵引时间来查询。默认每页显示50条。
图2-41 黑洞牵引状态
点击手动牵引可以选择单一IP或范围IP进行牵引,但系统是按照单个ip进行牵引,牵引持续时间默认为0,即无限期牵引,若填写具体时长,如10分钟,这条被牵引的IP会在10分钟后自动反牵引。选择牵引设备时可以根据迁移设备操作列表中设置的分类进行检索,勾选需要使用的牵引设备后点击确定即可对该IP或IP范围进行引流牵引。
图2-42 手动添加黑洞牵引
点击批量反牵引可以根据单一IP或范围IP进行反牵引,将需要反牵引的IP或范围IP填写进去点击确定即可对该IP进行反牵引。
图2-43 批量反牵引
牵引状态列表中包含黑洞牵引IP、黑洞牵引策略、牵引操作、访问流量、访问包数、牵引时间、牵引次数、当前封堵时长、下次封堵时长、反牵引时间、状态、编辑人、ACL号及操作。操作中包含详细信息、反牵引和前置删除,点击详细信息可以在页面中显示设备登录路由模块的配置信息、命令以及牵引操作详细时间;点击反牵引可以将这条牵引记录进行反牵引,点击强制删除可以将这条牵引记录从页面上删除。
图2-44 黑洞牵引状态记录
管理员可以预置一些策略,监控某些本地服务器,当这些服务器的流量达到某一个值时就在上层封掉此服务器。当前系统支持三种黑洞牵引策略:全局策略、全局本策略、普通策略。三种策略的优先级依次降低。
注:禁用黑洞牵引规则,原牵引状态不会进行立即反牵引
黑洞牵引规则支持单一IP和IP范围查询, 点击添加可以添加一条新的黑洞牵引规则:
表2-13 黑洞牵引规则
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
触发策略阈值持续时间 |
攻击流量到达策略阈值持续的时间; |
3 |
牵引时间计数周期 |
配合初次牵引时间使用,在设置初次牵引时间及第二次牵引时间后,每次牵引时间在牵引时间计数周期内从初次、第二次一直到最后一次,牵引次数若超出设置的牵引时间次数,则执行最后一次时间,若超出牵引时间计数周期,则从初次牵引时间开始牵引,若设置0为无限期; |
4 |
初次牵引时间 |
配合牵引时间计数周期使用,初次牵引时间为反牵引的时间;点击添加可设置第二次牵引时间、第三次牵引时间等等; |
5 |
流量限制 |
设置流量阈值,当流量达到该值时,执行黑洞牵引操作,单位为Mbps,与包数限制是或的关系,需勾选激活按钮生效,并且流量限制与包数限制至少选其一,两者为或的关系; |
6 |
包数限制 |
设置流量阈值,当包数达到该值时,执行黑洞牵引操作,单位为pps,与流量限制是或的关系,需勾选激活按钮生效,并且流量限制与包数限制至少选其一,两者为或的关系; |
7 |
反牵引模式 |
模式一:当牵引时间后不再检测该IP是否有攻击,直接进行反牵引操作; 模式二:点击模式二后会出现模式二流量阈值与模式二包数阈值,当牵引时间后检测该IP是否有攻击,攻击流量阈值或包数阈值没有达到模式二流量阈值与模式二包数阈值时进行反牵引,否则不进行反牵引。 |
图2-45 反牵引模式
表2- 2 黑洞牵引规则
编号 |
名称 |
定义 |
1 |
牵引流量总和 |
勾选激活会出现单选按钮:全局、本地,全局指所有经过AFC设备的服务器IP,本地指管理员添加到IP过滤策略的IP,牵引流量总和指全局或本地的IP流量总和达到流量限制或包数限制时,从流量最大的IP开始牵引,直到流量总和小于流量限制或包数限制便不再牵引IP; |
2 |
牵引下限 |
指流量在该下限值之下不会进行牵引; |
3 |
选择牵引设备操作 |
选择需要在哪一个设备上进行牵引操作; |
4 |
IP过滤策略 |
配置在该策略中的IP若触发阈值则会被牵引,可选择单一IP、例外IP、范围IP和网络IP; |
5 |
加入路由过滤规则 |
激活路由过滤规则后触发阈值的IP会在AFC设备上丢弃。 |
图2-46 黑洞牵引规则
图2-47 黑洞牵引规则列表
黑洞牵引规则列表中包含名称、编辑人、日期、状态和操作,操作中包含:激活、禁用、上移、下移、编辑、删除和重置计数周期。
在编辑某条黑洞牵引的时候需要先禁用该规则,点击重置计数周期会将牵引时间计数周期时间调整为开始时间。
无论是到上层封IP,还是旁路引流,都需要一系列的命令操作。我们把这些命令预置到这里,并且跟相应的牵引设备关联在一起,就是牵引设备操作。无论是定义的策略还是手动牵引,都可以直接调用这些牵引操作,让系统去执行预置在牵引操作中的命令,以达到封IP和引流的目的。该功能支持导入导出。导入的文件判重机制为IP+端口,若IP和端口一致,则直接删除相同信息。
图2-48 牵引设备操作列表
点击添加添加一条牵引操作,将登录设备的提示符和命令填写进去,需要牵引的时候设备会自动执行该命令进行操作;
表2-14 牵引设备操作列表
编号 |
名称 |
定义 |
1 |
设备列表 |
已添加的牵引设备; |
2 |
名称 |
自定义; |
3 |
第一类、第二类 |
根据客户自定义的设备类型进行分类; |
4 |
信息 |
设备提示符; |
5 |
输入 |
输入的命令(点击密码可以将命令隐藏,显示为*); |
6 |
类型 |
分为普通命令和关键命令,普通命令为单次执行命令,关键命令为可重复执行命令,带有“#IP#或#ACL#”的命令默认为关键命令,两条或多条关键命令中间的命令同样默认为关键命令。 |
图2-49 牵引设备操作列表
无论是到上层封IP,还是旁路引流,都需要一系列的命令操作。我们把这些命令预置到这里,并且跟相应的牵引设备关联在一起,就是牵引设备操作。无论是定义的策略还是手动牵引,都可以直接调用这些牵引操作,让系统去执行预置在牵引操作中的命令,以达到封IP和引流的目的,牵引设备支持导入导出。牵引设备列表中包含名称、类型、IP、端口和操作,操作可以对该迁移设备进行编辑和删除。
图2-50 牵引设备
表2-15 添加牵引设备
编号 |
名称 |
定义 |
2 |
设备类型 |
点击添加按钮选择添加的设备类型,支持telnet设备、ssh设备和webservice设备; |
3 |
设备名称 |
自定义; |
4 |
设备IP |
牵引设备IP; |
5 |
设备端口 |
牵引设备端口。 |
图2-51 添加牵引设备
被牵引过的IP人工或者自动反牵引后会在牵引历史中列出,管理员可以查看被牵引过的IP、所触发的策略、被牵引时该服务器的流量值、访问包数、编辑人、牵引和反牵引时间。牵引历史中的条目为牵引和反牵引结束后记录的牵引日志,若只有牵引操作不会记录。
牵引历史支持按IP、时间和牵引策略查询。
可导出牵引历史,以csv、excel、PDF、word格式
图2-52 牵引历史
牵引日志用于查询牵引操作的详细执行过程,主要用于管理员对牵引故障的排错。默认牵引20条可以根据自己需要自定义查询。
牵引日志支持按牵引时间查询。
图2-53 牵引日志
添加在牵引保护中的服务器地址在所有的牵引策略中将不会被牵引,类似牵引白名单。
图2-54 牵引保护IP
ACL默认开始是1到结束65534,与牵引过程中使用到的交换机acl号对应,牵引设备操作列表中的ACL号会从该池中自动获取,默认由小到大。
图2-55 ACL设置
域名过滤用于对机房内域名进行管控,在工信部严查域名备案的大背景下,有效的服务器域名接入管控显得尤为重要。域名过滤模块的应用,为国内广大的IDC用户提供了实用的域名管理手段。添加域名黑白名单时,最大字符长度为512字符,同一级域名最大支持128字符。
域名过滤设置中包括:域名过滤模式、过滤端口、是否可以使用IP直接访问网站。
表2-16 域名过滤设置
编号 |
名称 |
定义 |
1 |
域名过滤模式 |
黑名单模式:开启时,本系统只拦截域名黑名单列表中的域名,这些域名将不能被外网访问; 白名单模式:开启时,在域名白名单列表中的域名不会被域名模块拦截,其它域名会被域名模块直接拦截; 关闭:表示不开启域名过滤模式; |
2 |
过滤端口 |
针对域名多调用的接口进行过滤,可以同时填写多个,端口之间用“逗号(英文)”隔开,最多10个; |
3 |
使用IP直接访问网站 |
需先开启域名黑名单; |
4 |
拦截 |
表示不允许直接使用IP来访问网站; |
5 |
忽略 |
表示不开启本功能,可以直接使用IP访问网站。 |
图2-56 参数过滤
如果开启的是黑名单,那么在黑名单列表中的域名将不能被外部用户访问。
管理员在添加域名时,只需要添加一级域名就可以。管理员还可以进行:添加、删除、导入、导出、清空、导入删除等操作;并且可以根据域名、开始时间、结束时间和操作人来查询相关的域名。
表2-17 域名黑名单
编号 |
名称 |
定义 |
1 |
添加 |
管理员可以通过此功能将域名添加的域名黑名单中; |
2 |
删除 |
管理员可以通过此功能将域名黑名单中的域名从列表中删除; |
3 |
导入 |
管理员可以通过此功能将excel格式的文件中的多个域名批量导入域名黑名单中; |
4 |
导出 |
管理员可以通过本功能将域名黑名单中的域名批量导出到本地,一般用于数据统计和数据备份; |
5 |
清空 |
管理员可以通过本功能将域名黑名单列表中的域名全部删除 |
6 |
导入删除 |
管理员可以通过本功能将txt格式文件中的多个域名(列表中有的)从列表中批量删除。 |
图2-57 域名黑名单
如果开启的是黑白名单,那么只有在白名单中的域名才能被外部用户访问。
管理员在添加域名时,只需要添加一级域名就可以。管理员还可以进行:添加、删除、导入、导出、清空、导入删除等操作;并且可以根据域名、开始时间、结束时间来查询相关的域名。
表2-18 域名白名单
编号 |
名称 |
定义 |
1 |
添加 |
管理员可以通过此功能将域名添加的域名白名单中; |
2 |
删除 |
管理员可以通过此功能将域名白名单中的域名从列表中删除; |
3 |
导入 |
管理员可以通过此功能将excel格式的文件中的多个域名批量导入域名白名单中; |
4 |
导出 |
管理员可以通过本功能将域名白名单中的域名批量导出到本地,一般用于数据统计和数据备份; |
5 |
清空 |
管理员可以通过本功能将域名白名单列表中的域名全部删除; |
6 |
导入删除 |
管理员可以通过本功能将txt格式文件中的多个域名(列表中有的)从列表中批量删除。 |
图2-58 域名白名单
域名提示信息用于系统在阻断非法域名时,呈现给外部访问用户的一个提示拦截页面。
激活分为两种:拦截后页面跳转地址、404拦截后页面提示信息
其中拦截页面后跳转地址填写:ipv4格式域名或者正确的域名格式地址
图2-59 域名过滤提示信息
DNS防护主要包含DNS动态缓存、DNS宕机保护、DNS黑白名单、DNS域名绑定、DNS访问限制、DNS随机域名限制、DNS域名劫持、DNS IP地址TopN、DNS域名TopN、DNS类型统计、随机域名限制统计、DNS Qps统计、DNS告警统计。
启用DNS防护前需要先在应用规则中添加一条IP为DNS服务器地址的应用规则,在这条规则上加DNS_Query和DNS_Reply这两条规则集,之后就可以对DNS服务器进行配置防护了。添加域名时,最大字符长度为512字符,同一级域名最大支持128字符。
【注:】验证DNS防护功能需要在【防护配置-系统配置-全局过滤模块】,将UDP参数设置为1,4,1,2,1,1,100,1024,0,100
DNS模块缓存DNS的replay 包,之后再有对该域名的请求的时候时候,DNS防护设备直接响应该域名的DNS地址 ,不再访问DNS服务器。
DNS动态缓存支持以IP或域名方式查询,每条DNS缓存记录中会显示域名、IP、生存时间、命中次数和操作。
表2-19 DNS动态缓存
编号 |
名称 |
定义 |
1 |
域名 |
该DNS服务器上解析的域名; |
2 |
IP |
该DNS服务器上解析的IP; |
3 |
生存时间 |
指缓存老化时间,默认3600秒; |
4 |
命中次数 |
指该域名被访问的次数; |
5 |
操作 |
操作中只有删除按钮,点击删除会删除该条缓存记录。 |
图2-60 DNS动态缓存
DNS防护插件支持对DNS服务器状态进行检测,让管理员可以实时的掌握DNS服务器是否存活,如果发现有宕机的DNS服务器可以及时发现并接管DNS服务器工作。
DNS服务器探测时间可自定义设置,支持按IP查询。
图2-61 DNS宕机保护
表2-20 DNS宕机保护
编号 |
名称 |
定义 |
1 |
DNS服务器ip |
需保护的DNS服务器IP地址; |
2 |
域名1-3 |
设备通过这里设置的域名去检测DNS服务器是否正常服务。 |
图2-62 添加DNS宕机保护
DNS黑白名单设置:DNS黑白名单支持同时开启,开关为模式转换。模式一指在白名单中继续匹配DNS防护规则,不在白名单的域名则丢弃。模式二指在白名单中的DNS请求无需防护验证直接转发给服务器,黑名单中域名的DNS请求直接丢弃,其他域名的DNS查询请求需经过防护验证后转发给服务器。
图2-63 DNS黑白名单
DNS黑名单:指触发DNS防护插件所设置规则后把被访问域名加入黑名单。
【注:】删除或添加规则需要点击【黑名单同步】,规则才能生效
表2-21 DNS黑名单
编号 |
名称 |
定义 |
1 |
黑名单一致性校验 |
黑名单一致性校验指的检查页面设置的黑名单和实际生效的黑名单是否一致; |
2 |
黑名单同步 |
如果检查后提示不一致需要进行黑名单同步; |
3 |
添加 |
由管理员手动添加的域名; |
4 |
删除 |
删除选中的黑名单条目; |
5 |
导入 |
支持黑名单导入; |
6 |
导出 |
支持黑名单导出; |
7 |
清除 |
将黑名单列表清空; |
8 |
导入删除 |
将导入的域名删除。 |
图2-64 DNS黑名单
DNS白名单:指触发DNS防护插件所设置规则后把被访问域名加入白名单。
【注:】删除或添加规则需要点击【白名单同步】,规则才能生效
表2-22 DNS白名单
编号 |
名称 |
定义 |
1 |
白名单一致性校验 |
白名单一致性校验指的检查页面设置的白名单和实际生效的白名单是否一致; |
2 |
白名单同步 |
如果检查后提示不一致需要进行白名单同步; |
3 |
添加 |
由管理员手动添加的域名; |
4 |
删除 |
删除选中的白名单条目; |
5 |
导入 |
支持白名单导入; |
6 |
导出 |
支持白名单导出; |
7 |
清除 |
将白名单列表清空; |
8 |
导入删除 |
将导入的域名删除。 |
图2-65 DNS白名单
DNS域名绑定:对于服务器上的某个域名绑定一个IP,客户端做DNS请求时,把这个IP返回个客户端,在此基础上AFC设备还进行了限速处理。针对DNS域名绑定可以手动添加,批量导入,备份导出,删除和清除。支持以域名和IP查询。
表2-23 DNS域名绑定
编号 |
名称 |
定义 |
1 |
DNS域名绑定一致性校验 |
指检查页面设置的DNS域名和实际域名数据是否一致; |
2 |
DNS域名绑定同步 |
如DNS域名绑定一致性校验检查后提示不一致进行DNS域名绑定同步; |
3 |
添加 |
将需要防护的域名和IP填写进去,设置限速单位时间和限速单位时间访问次数后点击保存即可; |
4 |
删除 |
删除选中DNS域名绑定信息 |
5 |
清除 |
清空列表中DNS域名绑定信息 |
6 |
导入 |
导入DNS域名绑定信息 |
7 |
导出 |
将列表中DNS域名绑定信息导出 |
8 |
域名 |
客户端访问的域名; |
9 |
IP |
DNS服务器IP; |
10 |
限速单位时间 |
此设置的单位时间; |
11 |
限速单位时间访问次数 |
此设置为单位时间内访问的次数; |
12 |
编辑人 |
系统登录用户信息 |
13 |
编辑时间 |
域名绑定新增/编辑时间 |
14 |
操作 |
对DNS域名绑定信息的操作栏,可进行修改或删除操作 |
图2-66 DNS域名绑定
DNS访问控制是对DNS请求进行限速的一种方式,访问控制优先级高于:域名绑定限速、随机域名限速和畸形报文请求。DNS访问限制支持单条记录的添加、删除和清空全部条目,支持以客户端IP、服务器IP和域名查询。
DNS访问限制一致性校验:指检查页面设置的DNS域名和实际域名数据是否一致;
DNS访问限制同步:如DNS域名绑定一致性校验检查后提示不一致进行DNS域名绑定同步;
图2-67 DNS访问限制
DNS访问控制分为:全局限速和局部限速
全局限速:不区分客户端、服务器ip和域名 dns请求的总和超出单位时间的访问次数便进行拦截;
局部限速:可根据不同的客户端、服务器、域名,设置不同的限速规则;
限速:限制域名访问次数。
图2-68 添加DNS访问限制
DNS随机域名限制:就是针对于DNS服务器上不存在的域名,进行的dns请求限速控制,通过添加限速规则,可以使DNS服务器免除一部分攻击,保证服务器正常运行。DNS访问限制支持单条记录的添加、删除和清空全部条目,支持以客户端IP、服务器IP和域名查询。
DNS访问限制一致性校验:指检查页面设置的DNS域名和实际域名数据是否一致;
DNS访问限制同步:如DNS域名绑定一致性校验检查后提示不一致进行DNS域名绑定同步。
图2-69 DNS随机域名限制
限速类型:分为全局限制 和 每ip限制
表2-24 DNS随机域名限制
编号 |
名称 |
定义 |
1 |
全局限制 |
对所有的服务器ip接收到的dns的总和进行限速,超出的请求丢弃; |
2 |
每IP限制 |
针对固定的dns服务器ip进行随机域名限速; |
3 |
IP |
当限速类型为“全局限制”时,无法添加IP地址,限速类型为“每ip限制”时,必须添加ip地址,并且,该ip地址在应用规则中要添加DNS插件规则,参数11设为:1,否则添加限速规则提示错误; |
4 |
限速时间 |
单位:秒,具体数值可以根据机房或服务器情况自行设置; |
5 |
限速单位时间访问次数 |
在上面设置的限速时间内,防火墙收到的对随机域名的dns请求次数,超出限制的随机域名请求将被丢弃。 |
图2-70 添加DNS随机域名限制
DNS域名劫持指当有DNS请求包投过去,请求到DNS回应包中的DNS地址和DNS缓存中的DNS地址不一致时,就会触发报警来提醒用户DNS服务器被攻击。DNS域名劫持支持添加、删除选中条目和清空所有条目。
DNS域名劫持一致性校验:与其它需要校验的模块一样,用来查询随机域名限速规则是否同步,如果检查不同步,需要执行同步操作,如果已经同步,则不需要其它操作;
DNS域名劫持同步:如DNS域名劫持一致性校验检查后提示不一致进行DNS域名劫持同步;
采样时间:单位:秒,表示多久采样一次,这个时间控制着劫持告警的速度,数值越小,劫持告警速度越快。
图2-71 DNS域名劫持
服务器IP:不需要手动添加,某ip在应用规则中添加了dns插件规则,服务器ip下拉列表中会有该ip显示;
保护域名:需要保护,并且在服务器上真实存在的域名;
延迟处理时间:单位:小时, 当域名劫持告警显示后多久内进行“替换”或“忽略”操作。
图2-72 添加DNS域名劫持
这个功能统计的是客户端IP对防火墙下服务器的DNS请求数量,排名从大到小顺序排列,当多个设备集群的时候,可以切换设备进行查询。
刷新:控制台中的【刷新】按钮,用来更新信息的,每刷新一次,页面数据都会有所变化。
图2-73 DNS IP地址TopN
客户端请求AFC设备下的DNS服务器中的域名排名情况,排名从大到小顺序排列,当多个设备集群的时候,可以切换设备进行查询。
刷新:控制台中的【刷新】按钮,用来更新信息的,每刷新一次,页面数据都会有所变化。
图2-74 DNS域名topN
DNS类型统计包括DNS攻击类型统计、DNS请求类型统计和DNS应答类型统计。
DNS类型统计是以曲线图的形式显示当天或一段时间内的DNS攻击趋势图,统计的攻击类型包括:缓存投毒攻击、随机域名攻击、畸形报文攻击和访问控制拦截包数,这里每个点统计的数值为60秒内累计的包数。
表2-25 DNS统计类型
编号 |
名称 |
定义 |
1 |
设备 |
可以查看单一设备的各类攻击统计情况,也可以对集群中的所有设备受到的dns攻击做汇总查询,默认不选择设备,则为汇总查询,选择设备为单设备查询; |
2 |
时间 |
可以对当天或者多天的dns攻击数据进行查询; |
3 |
攻击类型查询 |
支持按攻击类型进行查询,包括缓存投毒攻击、随机域名攻击、畸形报文攻击和访问控制规则拦截包数; |
4 |
获取最新DNS缓存投毒攻击IP |
每点一次该按钮,则会从该类型攻击的源ip中随机获取10条ip记录,写入列表中,多设备集群的时候,按设备ip区分,没有攻击的则显示:无记录; |
5 |
获取最新随机域名攻击IP |
每点一次该按钮,则会从该类型攻击的源ip中随机获取10条ip记录,写入列表中,多设备集群的时候,按设备ip区分,没有攻击的则显示:无记录; |
6 |
获取最新畸形报文攻击IP |
每点一次该按钮,则会从该类型攻击的源ip中随机获取10条ip记录,写入列表中,多设备集群的时候,按设备ip区分,没有攻击的则显示:无记录; |
7 |
DNS攻击统计中最下面的表格内显示的是 |
访问控制规则拦截的dns请求数据包数量,跟图表中数值一样。 |
图2-75 DNS攻击类型统计
设备:可以查看单一设备的各类攻击统计情况,也可以对集群中的所有设备受到的dns攻击做汇总查询,默认不选择设备,则为汇总查询,选择设备为单设备查询;
时间:可以对当天或者多天的dns攻击数据进行查询;
请求类型查询:支持按请求类型进行查询,包括A记录、CNAME、MX、PTR、SRV、NS和OTHER。
图2-76 DNS请求类型统计
设备:可以查看单一设备的各类攻击统计情况,也可以对集群中的所有设备受到的dns攻击做汇总查询,默认不选择设备,则为汇总查询,选择设备为单设备查询;
时间:可以对当天或者多天的dns攻击数据进行查询;
应答类型查询:支持按应答类型进行查询,包括NOERROR、FromatERROR、ServerFailure、NXDomain、NotImplemented、Refused和OTHER。
图2-77 DNS应答类型统计
设备对DNS随机域名限制进行统计,详细统计被攻击的服务器IP地址、攻击次数、频率限制情况,同时根据攻击频率进行排名统计。支持按IP查询,按设备查询和按日期查询。
图2-78 随机域名限制统计
DNS QPS统计:记录DNS服务器接收和回应的数据包信息,通过该功能可以判断DNS服务器的性能和了解针对该服务器的攻击拦截情况。支持以服务器IP和设备查询。
图2-79 DNS QPS限制统计
可以通过设置阈值和告警间隔时间,对qps请求、dns访问控制、缓存投毒攻击、CPU使用率和内存剩余量进行告警提示。
表2-26 DNS告警统计
编号 |
名称 |
定义 |
1 |
QPS统计间隔时间 |
单位:秒,非0的整数,1分钟内可以随意设置,超过1分钟,要设置成60的倍数,超过1小时,需要设置成3600的倍数,这个时间是触发qps阈值后,两次告警之间的间隔时间; |
2 |
QPS阈值 |
客户端向服务器dns请求的阈值,当每秒dns请求X间隔时间>Qps阈值,即会告警; |
3 |
IP限速统计间隔时间 |
设置时间的规则和qps间隔时间一样,指的是触发dns访问控制告警阈值后,两次告警之间的间隔时间; |
4 |
缓存投毒统计间隔时间 |
时间设置同上,当防火墙设备接收到缓存投毒攻击后,会进行告警,这里设置时间就是2次告警之间的间隔时间; |
5 |
CPU阈值 |
填写0-100之间的整数,是CPU使用率阈值,当使用率超过该值,便会告警; |
6 |
内存阈值 |
填写0-100之间的整数,内存剩余量的阈值,当设备的内存剩余低于设置的数值时,便会告警。 |
图2-80 DNS告警统计
系统配置主要包含参数设置、全局过滤模块、数据清理、ddos引擎设置、国内网段设置、http cc、业务连续性和IP段地理位置信息。
参数设置内部包含报警设置、攻击报警清洗效果开关和阈值、CPU内存磁盘阈值、流量限制、攻击日志阈值设置(单设备统计)、会话状态、模式配置、REST接口认证模式和同步。
报警设置是服务器在收到攻击或设备故障时发出的告警。
邮件报警设置:可以将告警信息以邮件的形式发送,发送的邮箱可以是管理员邮箱或者其他邮箱,其他邮箱可在【客户群组-群组列表】进行配置。
管理员邮箱:收件邮箱;
发送间隔:发送邮件的时间间隔,间隔区间为0-36000秒;
攻击暂停检测时间:主要用于攻击日志状态显示;当设备无攻击且在攻击暂停检测时间内,攻击日志显示状态为攻击暂停;若在攻击暂停检测时间内再次出现攻击,则攻击日志继续显示正在攻击;若该时间内没有攻击则显示攻击结束。间隔区间为10-600秒
输入输出流量阈值填写范围:0-100000;输入输出包数阈值填写范围:0-14000000;输入输出连接数阈值限制为0-10000000。
图2-81 参数设置(报警设置)
攻击报警清洗效果开关:设置发送邮件的开关;
攻击报警清洗效果阈值:设置阈值,拦截率小于该值会发送告警邮件。
图2-82 参数设置(攻击报警清洗效果开关和阈值)
CPU内存磁盘阈值:设置CPU内存磁盘阈值,超过该阈值会记录日志并在页面告警。
图2-83 参数设置(CPU内存磁盘阈值)
流量限制:设置输入、输出的流量限速。流量输入输出限制为0-10000000
图2-84 参数设置(流量限制)
攻击日志阈值设置:设置流量和包数阈值,小于该阈值则不会记录攻击日志;
自动抓包:可以选择过滤前、过滤后和拦截包,抓包间隔可自定义。
图2-85 参数设置(攻击日志阈值设置 )
会话超时时间:建立tcp连接后无数据传输的超时时间,填写范围:0-3600s;
Syn信任时间:在改时间段内验证通过的源IP不会再被验证,填写范围:0-3600s。
图2-86 参数设置(会话状态)
转发模式:开启后设备不再对流量进行检测和拦截;
会话同步:模式一:统计经过AFC设备的会话连接信息显示;
模式二:集群模式下同步连接信息到所有设备。
图2-87 参数设置(模式配置)
REST接口认证模式:针对API用户,鉴权模式要求接口请求发送用户名和密码,免认证模式不需要接口用户发送用户名密码。
图2-88 参数设置(REST 接口认证模式)
数据同步:在集群部署环境中用来同步规则和黑白名单;
检查数据:检查集群设备中规则和黑白名单是否同步。
图2-89 参数设置(同步)
全局过滤模块包括:syn、udp、icmp、other、drop oversea ip、gamecc、tcp check、attack identify、Sample library filter。
图2-90 全局过滤模块
随着系统的使用,设备上会产生大量的日志信息,例如用户操作日志、用户登录错误日志、抓包记录、牵引历史、牵引日志、攻击日志、流量日志、CPU、内存日志等日志内容。如果不定时清理,管理磁盘有可能会被占满。使用定时清理功能,管理员设置好相关日志的保留时间,清洗系统会自动把该时间以前的日志都删除,从而避免磁盘被占满的可能。
图2-91 数据清理
DDOS引擎设置是针对清洗设备核心模块验证的设置,管理员请谨慎操作。通常用户不需要关心下面的参数,保持默认即可。
图2-92 DDOS引擎配置
打开清洗设备核心模块对国内IP设置的支持后,在此处导入国内网段IP。当在服务器IP上添加了应用规则,勾选可信源检测,在此服务器被DDOS攻击后,清洗系统核心模块就会将攻击中的国外IP过滤掉。
图2-93 国内网段设置
清洗系统集成CC插件,CC插件是被调用在规则集S_HTTP NEW CC V2.1中。在实际使用中,是在服务器IP上添加应用规则,将此规则集添加上。
图2-94 http CC
业务连续性开启后,设置好流量学习时间,设备会自动记录这段时间内的流量模型。
图2-95 业务连续性
如果管理员想在本地服务器上屏蔽属于某一地理位置的外部IP,需要在系统中导入相应的IP地理位置段。那么在引服务器上添加过滤规则,外部地址类型中选择IP地址位置,就可以按地理位置来在本地服务器上屏蔽外部IP了。
图2-96 IP段地理位置信息
客户群组中包含群组列表、发消息设置、报警白名单、告警自定义设置和设置流量告警阈值。
服务器在被攻击或者被牵引时,可以通过群组功能,把该事件通知给用户,以告知用户业务实时情况。管理员可以添加多个群组,为每个群组可添加不同或相同的用户与IP段。同时支持发送邮件通知其他用户。如果设置了流量或者包数报警阈值,那么在服务器被攻击的时候,只有流量大于该值才会发送邮件。如果勾选了发送给管理员,那么不但会发送邮件给所设置的群组邮件,还会发送邮件通知管理员。管理员邮件在【防护配置-系统设置-参数设置】页面添加。参数设置中发送间隔用于控制邮件发送,是指在服务器被持续攻击较长时间时,发送第二封邮件的间隔时长。最短为0秒,如果置空,邮件则无法正常发送。
表2-27 群组列表
编号 |
名称 |
定义 |
1 |
群组名称 |
自定义; |
2 |
备注 |
自定义; |
3 |
群组邮箱 |
客户运维或技术人员邮箱; |
4 |
邮件提醒开关 |
可选择发送牵引、攻击开始、攻击结束和攻击频率告警邮件; |
5 |
发送给管理员 |
默认为不发送; |
6 |
攻击流量报警阈值 |
超过该阈值才会发送邮件; |
7 |
攻击包数报警阈值 |
超过该阈值才会发送邮件; |
8 |
设置IP段 |
群组列表中包含的ip 包含单一ip、范围ip、网络ip、例外ip |
9 |
攻击频率告警 |
勾选后,攻击频率检测周期、攻击次数、全局统计或每IP统计全部满足后才会发送告警; |
10 |
攻击频率检测周期 |
在此时间内检测攻击次数; |
11 |
攻击次数 |
在攻击频率检测周期时间内检测攻击次数; |
12 |
全局统计 |
统计在IP范围列表内的所有IP攻击次数总和; |
13 |
每IP统计 |
统计IP范围列表内单IP的攻击次数; |
14 |
IP范围列表 |
客户群组中所有的IP。 |
图2-97 添加群组列表
添加好之后列表中会显示一条群组列表记录,包括范围类别、IP参数1、IP参数2和操作,操作中可以删除这条记录。
图2-98 群组列表
系统要想发送邮件通知群组用户,还需要设置上发件箱。添加好后,使用发送测试邮件来测试该功能是否正常,填写保存之后只能更改,不能删除。
表2-28 发消息设置
编号 |
名称 |
定义 |
1 |
发件箱设置 |
发件邮箱地址; |
2 |
密码 |
发件邮箱密码; |
3 |
SMTP服务器 |
邮件服务器IP; |
4 |
收件邮箱 |
接收测试邮件的邮箱。 |
图2-99 发消息设置
在群组中添加IP时,可以按一个范围来填写。如果其中有某些IP在攻击或者被牵引时,不需要发送邮件告知用户。可以把这些IP添加到报警白名单中。添加支持单一IP或范围IP。
选择类型:单一IP或范围IP;
IP:不需要发送邮件的IP,默认为IPv4地址;
添加白名单列表中包括起始IP、结束IP、编辑时间和操作,操作中可以删除这条记录。
图2-100 报警白名单
在给群组用户发送告警邮件时,管理员可以通过自定义设置来选择发送的内容,如:防护方式、服务器峰值流量、拦截峰值流量、峰值包数、拦截包数、持续时间等,还可以根据客户需求在发告警邮件时自定义邮件首部。
设置LOGO:设置日志中心-安全报表的LOGO。图片无论是选择还是选取,都需要进行【提交图片】操作
图2-101 告警自定义设置
可根据之前添加的大客户群组定义流量告警阈值,超出后发送告警邮件。
点击添加按钮添加一条告警策略。
表2-29 设置流量告警阈值
编号 |
名称 |
定义 |
1 |
名称 |
自定义; |
2 |
流量告警阈值 |
如图所示,达到黑洞牵引规则列表中的设置的阈值的80%,会给客户群组中设置的邮箱发送告警邮件; |
3 |
黑洞牵引规则列表 |
选择该客户群组设置的黑洞路由规则; |
4 |
添加客户群组 |
将客户群组添加进流量告警阈值规则中。 |
图2-102 设置流量告警阈值
日志中心中包括:【攻击日志】、【攻击源IP分布图】、【操作日志】、【流量日志】、【日志外发设置】、【CPU、内存日志】、【邮件发送历史】、【攻击统计】、【连接监控日志设置】、【连接监控日志】、【链路状态变化日志】、【系统日志】、【设备重启日志】、【安全报表】、【安全报表定时任务】等信息。攻击日志记录总计5万条,超出后自动清理进行循环记录。
显示清洗系统当前实时输入和输出流量,输入和输出包数及清洗系统运行状态。管理员可以在界面上方的控制台通过【服务器IP】、【客户群组】、【时间】、【包类型】、【拦截峰值流量】、【防护方式】来查询相关的攻击日志。可以将日志导出备份,导出文件支持的格式包括:Excel、Html、Xml、Word、PDF等格式。
表3-1 攻击日志
编号 |
名称 |
定义 |
1 |
服务器IP |
流量经过本系统的服务器的IP地址,可根据服务器IP地址查询针对本服务器的攻击日志; |
2 |
客户群组 |
一些客户可能会拥有多个服务器,为了方便管理为其创建群组,可根据群组查看全组的攻击日志; |
3 |
时间 |
可根据攻击的开始和结束时间或者某一段时间来查询攻击日志; |
4 |
包类型 |
包括:全部、UNKNOWN、OTHER、TCP_SYN、TCP_ACK_RST、TCP、ICMP、UDP等类型,可根据数据包的不同类型来查询相关的攻击日志; |
5 |
拦截峰值流量 |
单位为:Mbps;管理员可根据>=(<=)需要的流量来查询相关的攻击日志; |
6 |
防护方式 |
包括:全部、全局模块防护、过滤规则防护、规则集防护、黑名单防护、特征库匹配等防护模式,可根据不同的防护模式来查询相应的攻击日志; |
7 |
攻击源 |
被判定为攻击者的IP地址,鼠标放置在该列显示全部攻击源信息; |
8 |
源端口 |
被判定为攻击者的IP地址,鼠标放置在该列显示全部源端口; |
9 |
服务器 |
受到攻击的服务器IP地址,鼠标放置在该列显示全部服务器ip; |
10 |
目的端口 |
服务器受到攻击的端口,鼠标放置在该列显示全部目的端口; |
11 |
攻击状态 |
正在攻击、攻击暂停、攻击结束等三种攻击状态; |
12 |
防护方式 |
攻击触发的防护方式; |
13 |
服务器峰值流量(Mbps) |
攻击流量达到的最大流量; |
14 |
拦截峰值流量(Mbps) |
被防火墙拦截的攻击流量的最大值; |
15 |
峰值包数(pps) |
攻击数据包的最大时的数量; |
16 |
拦截包数(pps) |
被防火墙拦截的数据包的个数; |
17 |
拦截率(%) |
防火墙对攻击进行拦截的百分比; |
18 |
包类型 |
攻击包的类型,包括:OTHER、TCP_SYN、TCP_ACK_RST、TCP、ICMP、UDP等类型; |
19 |
起始时间 |
攻击的开始时间; |
20 |
持续时间 |
攻击的持续时间。 |
图3-1 攻击日志
在这里动态显示本地服务器接收的异常流量的地理位置分布。管理员可以通过鼠标进行拖拽放大等操作。
图3-2 攻击源IP分布图
在这里统计管理员或者其它用户在本系统中后进行的各种操作,管理员可在控制台通过编写以下信息进行查询操作日志:
表3-2 操作日志
编号 |
名称 |
定义 |
1 |
开始、结束时间 |
管理员或其它用户进行操作的时间; |
2 |
操作者 |
进行过操作的用户的名称; |
3 |
详细信息 |
对用户操作的具体描述; |
4 |
级别 |
用户操作的等级分为低、中、高三个等级; |
5 |
日志类型 |
日志分为操作日志、审记日志、异常日志三种类型;每种类型都有一种子类型如:操作日志→操作记录、审记日志→登录记录、异常日志→信息。 |
图3-3 操作日志
流量日志主要用于显示本地服务器经过异常流量清洗系统的总流量。
管理员可在本界面查询【峰值】、【均值】两种流量日志,系统提供【主机】、【设备】、【日期】多种选项来协调查询。流量图下方的查询周期内的值默认单位为B,超出会显示为K、M或G等。
表3-3 流量日志
编号 |
名称 |
定义 |
1 |
主机 |
添加上主机地址时,查询的只是该主机的流量; |
2 |
设备 |
在集群环境下选择了一台设备,查询的是该主机(或该群组内所有主机)经过该设备的流量; |
3 |
日期 |
查询单ip按日期查询最多查询一个月; |
4 |
峰值日志 |
通过折线图的显示方式,以分钟为单位记录流量当前的最大值。管理员可以选择查看需求周期内的【滤前流量】、【过滤后流量】、【拦截流量】、【并发连接】、【新建连接】、【过滤前包数】、【过滤后包数】、【拦截包数】等多种日志信息; |
5 |
滤前流量 |
经过异常流量清洗系统被拦截过滤之前的流量; |
6 |
过滤后流量 |
经过异常流量清洗系统被拦截过滤之后剩余的流量; |
7 |
拦截流量 |
经过异常流量清洗系统被拦截过滤的流量; |
8 |
并发连接 |
与当前主机建立的总连接数; |
9 |
新建连接 |
每秒与当前主机建立的连接数; |
10 |
过滤前包数 |
经过异常流量清洗系统被拦截过滤之前的包数; |
11 |
过滤后包数 |
经过异常流量清洗系统被拦截过滤之后剩余的包数; |
12 |
拦截包数 |
经过异常流量清洗系统被拦截过滤的包数; |
13 |
均值日志 |
记录流量的平均值。 |
图3-4 峰值日志
图3-5 均值日志
日志外发设置主要用于将日志信息通过syslog、邮件、FTP的方式发到指定位置。
管理员可以发送日志信息的方式:【syslog】、【邮件】、【FTP】,可以同时勾选多个选项。
需要编辑【Syslog IP】、【Syslog 端口】、【邮件地址】、【FTP地址】、【FTP账号】、【FTP密码】,并设置日志信息【发送时间间隔】,以分钟为单位,最短1分钟,最长1小时。
勾选需要发送的日志信息:【流量趋势报表】、【操作日志】、【攻击日志】、【链路状态变化日志】、【设备重启日志】、【系统日志】等信息。
图3-6 日志外发设置
CPU、内存日志主要用来记录硬件设备的CPU使用率、内存余量等信息,管理员可以查询需求周期内CPU使用率的最大值和最小值、内存的最大剩余资源和最小剩余资源。
图3-7 CPU、内存日志
邮件发送历史主要记录设备发送邮件的【时间】、【邮件的标题】、【内容】、【收件箱】、【收件人】、【发送结果】等信息。
管理员可以在控制台通过【开始日期】、【结束日期】来查询相关的日志信息。
图3-8 邮件发送历史
攻击统计主要用于查询主机受到攻击的攻击类型、攻击次数、攻击时间等信息。
管理员可以在控制台通过服务器IP(可以是单个或多个)来查询相关服务器受到的攻击的详细信息。
表3-4 攻击统计
编号 |
名称 |
定义 |
1 |
服务器IP段 |
管理员可以指定一个服务器或多个IP相连的服务器; |
2 |
日期 |
管理员可以查看某一天的攻击信息; |
3 |
攻击类型统计 |
显示一个或多个服务器在某一天的每个小时内的攻击类型、攻击次数、攻击时间; |
4 |
攻击趋势统计表 |
显示一天24小时,每个小时为一个时间段,进行统计攻击类型、峰值流量、拦截峰值; |
5 |
攻击服务器统计 |
显示受到攻击的服务器,以及该服务器受到的攻击次数; |
6 |
拦截峰值流量 |
以>=(<=)管理员指定的流量数值为条件查询有哪些服务器,以及受到的攻击次数; |
7 |
攻击源统计 |
显示进行攻击的源IP地址、攻击次数、攻击类型、源IP的归属地、ISP线路、攻击时间段、攻击目标服务器IP等信息,统计列表以攻击的次数为条件,以降序的方式进行排列显示; |
8 |
攻击源TOP |
控制统计列表显示条目的数量,可选择数量为:10、20、50、100、500、1000、2000、3000、5000。 |
图3-9 攻击统计
连接监控日志设置主要用于设置是否开启连接监控日志,以及监控的IP地址段。
【打开连接监控IP配置】:用于控制是否生成连接监控日志。
【连接监控IP列表】:管理员可设置针对哪些服务器生成连接监控日志。可以是一个服务器或多个IP相连的服务器。
图3-10 连接监控日志设置
连接监控日志主要用于查询某个时间段内与服务器建立的连接信息。
管理员可以在控制台以【目的IP】、【源IP】、【时间】为条件查询具体的连接信息。
表3-5 链接监控日志
编号 |
名称 |
定义 |
1 |
目的IP |
服务器IP地址; |
2 |
源IP |
外部IP,及与服务器建立连接的IP地址; |
3 |
时间 |
作为查询条件,可以是1天或1个月; |
4 |
连接监控日志列表 |
显示目的IP、目的端口、源IP、源端口、协议类型、连接状态、连接描述、连接时间等信息。 |
图3-11 连接监控日志
链路状态变化日志主要用于记录设备链路状态变化信息。
管理员可以在控制台以【设备】、【时间】为条件查询设备链路状态变化的记录信息。
【链路状态日志列表】:具体显示某设备、某时间、链路发生变化的事件。
图3-12 链路状态变化日志
系统日志主要用于记录设备发生故障的类型、原因、时间等信息。
管理员可查询某时间段内设备发生故障的次数、故障类型、故障原因、时间等信息,并可以进行导出操作。
表3-6 系统日志
编号 |
名称 |
定义 |
1 |
设备IP |
设备的管理地址; |
2 |
日志类型 |
根据不同的故障类型分为多个日志类型,包括:cpu异常日志、内存异常日志、管理端故障、核心进程异常等类型; |
3 |
详情 |
设备异常原因; |
4 |
时间 |
设备发生故障的时间,精确到秒。 |
图3-13 系统日志
设备重启日志主要用于记录设备进行重启的时间。
管理员可以查询某设备的重启次数和时间点。
图3-14 设备重启日志
安全报表主要用于查询指定时间段内的某个或多个服务器的日攻击峰值流量和、服务器峰值流量、攻击类型-攻击次数、攻击类型-攻击包数、IP攻击总流量、IP攻击总次数、IP攻击总包数、IP攻击总时间等信息,分别以降序的方式取前十进行显示。
管理员可将安全报表导出为PDF格式的文件进行查看或备份。
【安全报表导出列表】:显示安全报表的时间、报表类型、报表名称、是否已发邮件;管理员可以对列表中的信息进行查看、删除等操作。
图3-15 安全报表
安全报表定时任务主要用于设置安全报表自动生成的周期。
管理员可点击【添加】配置定期生成安全报表任务,需要编辑【任务名称】、选择【报表生成周期】、【是否发送邮件】、填写【IP范围】等信息。
【报表生成周期】:指每隔一定时间自动生成一个报表,可选择月报、周报、日报。
【IP范围】:指针对单个或IP地址相连的多个服务器生成报表。
图3-16 安全报表定时任务
系统配置包含:设备、平台设置、用户配置和备份管理。
在设备这一栏中包含:设备管理、添加设备、授权信息和设备检查。
在设备管理中可以看到设备列表,其中列出当前管理机所管理的清洗设备。地址为异常流量清洗系统的管理地址,端口为16001,状态为开启,表示管理机与该设备间通信正常(状态还会有自动关闭、手动关闭两种状态),在添加集群设备时,可在管理机中提前添加好集群设备,设备状态为自动关闭,待集群设备上架好之后手动开启即可。可以对设备列表中的设备进行:禁用、配置、编辑、删除、导入、导出、重启设备、切换为一体机等操作;如图4-1显示。点击【禁用】此设备,此时状态会显示为手动关闭,管理机将不会向此设备下发配置。如果需要对单台设备进行配置,可以点击【配置】可以通过设备配置、路由配置来对本设备进行配置;如4.1.1、4.1.2显示。点击【编辑】可以对本设备的设备类型、设备名称、设备IP进行编辑。点击【删除】可以将本设备从设备列表中删除,点击【导入】可以将adx 格式的可以配置本设备的文件导入到本设备中进行设备配置,导出的adx文件不可修改。点击【导出】可以将本设备的配置文件导出到本地。点击【重启设备】后可以输入管理员密码将本设备进行重启操作。节点设备切换为一体机可点击【切换为一体机】
图4-1 设备列表
用于为异常流量清洗系统添加设备,在编辑设备类型、设备名称、设备IP(一体机的IP为127.0.0.1)后,点击【确定】即可生效,之后可以在设备管理中查看已添加的设备。
图4-2 添加设备
在本界面可以看到硬件设备的设备名称、SN号、产品型号、license等信息。
图4-3 授权信息
用于检查设备释放学到对端MAC地址,串联部署时,对端MAC为00:00:00:00:00:00。
图4-4 设备检查
这里用于显示设备状态、服务状态以及模块版本。在设备状态中会显示:设备ID、设备类型、设备名称、设备IP、设备端口等信息;在服务状态中会显示该设备当前的路由模块(包括BGP路由服务、OSPF路由服务(IPV4)、RIP路由服务)是否开启;在模块版本中会显示当前设备的核心版本号(包括:Auto_filter、game_cc、http_cc、ip_control、dns等模块的版本号)。模块版本这块能够显示正常,则认为设备管理设备正常。
图4-5 设备状态
License用于对异常流量清洗系统使用服务的限制。其中会列出当前设备的License到期时间(有期限的和无限制两种)、License状态(License有效和无效两种)、设备类型(dpdk)、系统类型(清洗系统)、SN、产品型号、设备信息文件和导入License激活文件。点击导入,可以将.dat和.lic格式的License权限文件导入到设备中,用于对本设备进行License授权,点击下载可以将设备信息文件下载到本地,格式为.data。可以点击“license使用指南”查看license相关操作指导。可以扫描二维码查看license相关操作指导。
图4-6 License授权信息
网口状态显示该异常流量清洗系统网口状态和本地ARP的信息。例如网口的名称、状态(up、down和admindown)、MAC地址、IP地址、速率(表示接口速率:1 Gbps =千兆口、10 Gbps =万兆口)、每秒接收/发送的流量(单位bps)、每秒接收/发送包数(单位pps)、每秒接收/发送错误报文数、每秒接收/发送DROP报文数;在本地ARP列表中会显示所有接口的当前 ARP 缓存表包括:IP地址、地址类型、MAC地址、Iface(获取该IP地址的网口名称)。
图4-7 网口状态
不同型号的异常流量清洗系统出厂网口数量不同。网口配置主要用于设备在上架时,根据部署模式来设置业务网口的角色,除非需要更换部署模式或删除设备,否则设备一旦上架并接入业务,就不需要再重新配置网口,而且配置完网卡ip需要进行应用配置下发,否则配置不生效。在网口配置这里可以看到网卡名称、IPv4地址、ipv6地址、子网掩码、网口类型、负载均衡、数据口、ipv4下一跳IP、ipv6下一跳IP、下一跳mac、ipv4上一跳IP、ipv6上一跳IP、上一跳mac、操作。插卡或拔卡后需要点击应用配置重新应用网卡配置。
图4-8 网口配置
设备出厂默认显示2种角色(管理口和未设定),点击操作一栏的中的【修改】可以对网卡进行配置,需要填写该网卡的IP地址、子网掩码、选择网口类型(包括:串联内网口、串联外网口、同步口、牵引口、回注口、源口回住)、负载均衡(包括:绑定接口、源目的IP负载、源IP负载、目的IP负载)、数据口(传输业务的网口)、IPv4上一跳IP(一般用于旁路单臂路由中的源口回注,将引入设备的流量通过上一跳IP源口回注回去)、网关IP。网口配置中仅支持IP地址和MAC地址形式的字符。根据不同型号的设备以及不同型号的插卡会有业务口配置数量上限。
管理口中必填项:IPv4、子网掩码、类型、网关;
串联部署中必填项:类型、数据口;
旁路部署中必填项:IPv4、子网掩码、类型、IPv4上一跳IP。
图4-9 网卡配置
参数设置内包含名称、GRE tunnel IP、本地IP地址、远端IP地址。点击【添加】将这四项内容配置好以后点击【应用配置】后方能生效。
图4-10 Gre Tunnel
本界面会显示:被保护IP、子网掩码、Vlan ID、Gre Tunnel、mpls、负载均衡、回注口、操作等信息。如图4-11所示;如果需要新增回注规则需要点击【添加】内容及含义如图4-12即以下内容所示。点击【全部删除】可以对列表中数据进行删除操作;在配置完回注规则后需要点击应用配置方可生效。添加回注规则时仅支持IPv4、IPv6地址或数字形式字符。
图4-11 回注规则配置
图4-12 编辑回注规则
异常流量清洗系统支持多端口捆绑,通常在旁路部署时,把多个接口绑定在一起,与交换机建立互联关系。可以为交换机节省IP资源。在端口聚合配置处添加成员接口,最后在应用配置。应用时需要勾选相应的模式。其中静态为静态绑定,如果需要动态协商,需要选择动态。配置成功后,在网口配置处就会看到创建成功的捆绑接口,再此接口上做进一步接口配置。
注:无论绑定的端口是否插线,命令行查看已配置bond状态均为up
如图4-17、4-18所示:
图4-13 端口聚合配置
图4-14 添加端口聚合
图4-15 编辑网口配置
异常流量清洗系统旁路部署时,可以查询本地清洗设备的路由表信息。在路由类型中包括:本地(ipv4)路由、本地(ipv6)路由、rip路由、ripng路由、ospfv2路由、ospfv3路由、bgp(ipv4)路由、bgp(ipv6)路由、isis(ipv4)路由、isis(ipv6)路由、LDP信息等选项。
图4-16 本地路由列表
异常流量清洗系统支持对网口绑定Vlan,在本界面可以看到:IP地址、子网掩码、Vlan ID、绑定接口的名称、远端IP地址、远端MAC地址、可以对已添加条目进行操作。点击【添加】,输入要绑定的IP地址、子网掩码、Vlan ID、选择要绑定接口、远端IP地址后点击保存后,即可在VLAN接口配置列表中看到该条目,并可对其进行修改等操作。添加新的信息后需要点击【应用配置】方可生效,对列表内容进行修改后需要点击【更新配置】。如果在配置BAGG场景下【应用配置 】后,需要手动点击【更新配置】 才可以刷出 远端MAC。
图4-17 VLAN接口配置
设备SSH服务默认为关闭状态,如需使用SSH服务,点击SSH服务开关即可。
图4-18 SSH配置
RIPNG协议是RIP协议的IPv6版本。界面只要勾选【启动RIPNG】后再点击确定即可生效。
图4-19 RIPNG配置
LDP指标签分发协议。参数设置内部包含启动LDP、会话端口,配置好以上设置后需点击【应用配置】后生效。勾选表示使能LDP功能,激活运行LDP的接口,否则,相反。
图4-20 LDP路由配置
ISIS指的是中间系统到中间系统,并且是为ISO无连接网络协议(ISO's Connectionless Network Protocol,CLNP)设计的路由选择协议。参数设置内部包含启动ISIS、NET地址、路由器角色、网口配置,配置好以上设置后需点击【应用配置】后生效。
图4-21 ISIS路由配置
BGP常用于旁路部署时,清洗设备中交换机建立BGP邻居关系,清洗设备发布主机路由。将业务流从交换机牵引进清洗设备,清洗设备把异常流量过滤后的流量回注给交换机。交换机再次向下转发。在将网口配置好后,需要勾选【启动BGP】来激活BGP模块,并配置本地AS号,还需要把对端IP地址和AS号添加进来,就完成清洗设备上所有BGP的配置。可以进行多条BGP路由配置,当对端IP可达性为:可达,且BGP状态为:Established时,表示该条BGP配置成功,完成后需要点击【应用配置】才能生效。
图4-22 BGP路由配置
OSPF协议是IETF组织建议使用的内部网关协议(IGP)。同时是一个链路状态协议,它使用Dijkstra的最短路径优先算法。新版本支持IPV6版,勾选【启动OSPF】激活OSPF路由模块,可以选择不加密、明文口令、加密口令等三种认证方式。将所有内容配置完成后需要点击【应用配置】方可生效。cost值添加范围为1-65535、area值添加范围为 0-4294967295,支持IP地址填写范围为0.0.0.0-255.255.255.255、Metric值添加范围为0-16777214。
图4-23 OSPF配置
RIP协议是最早的距离矢量型IP路由选择协议。当前存在两个版本,本节配置的是RIPv1,它是应用于IPv4的。只要勾选【启动RIP】后再点击【确定】即可生效。
图4-24 RIP路由配置
在本界面可以看到网卡名称、网卡状态、MAC地址、IP地址、子网掩码等信息,需要配置设备管理IP地址、子网掩码、网关地址、DNS地址,完成后点击【保存】。配置成功后,还可以进行系统向外的ping测试。
图4-25 IP设置
恢复出厂设置会把当前用户的所有配置(包括用户组权限)清空,还原到系统出厂配置。在此过程中请不要关闭浏览器或其它方式中断操作!
注:恢复出厂设置只保存license以及管理口信息;鉴于系统可能为串联部署,因此网口信息暂时保留但数据库中已清理,请恢复出厂之后网口配置页面进行重新配置
图4-26 恢复出厂设置
NTP时间同步用于管理员设置当前管理机的时间。分为手动(如果设定时间超过页面登录超时时间需要重新登录。)、自动2种同步方式。配置完成后需要点击【应用】方可生效。NTP服务器地址输入框只限制特殊字符,对字母和不合法IP不做限制。手动设置时间后再填写NTP时间配置,点击应用后在取消,再应用后点击立即同步,会导致设备时间未按照NTP服务器同步时间,显示时间错误。
图4-27 NTP时间同步
配置管理可对系统的相关配置进行备份与恢复。包括当前所有配置、牵引设置、域名过滤配置、服务器群组配置、DDoS引擎配置、DDoS规则配置(可以分别对触发规则、防护规则、防护规则集等规则,单独导入导出,勾选哪项就表示针对哪项规则,不勾选默认为空)、平台配置、用户配置。
图4-28 配置管理
在本界面可以对:密码过期设置、登录错误限制、登录模式选择、访问限制开关、白名单、黑名单、IP绑定等模块进行操作。其中密码过期设置用于定期提醒管理员更换WEB页面的登录密码,可以设置是否需要首次登录修改密码、密码是否会过期以及密码过期时间、过期前提醒天数、再次修改密码的最短时间间隔为几天等操作。登录错误限制是防止非法人员恶意破解WEB页面的登录权限,可以设置允许连续登录失败次数、登录限制时间以及登录失败禁用的方式(①禁用登录账号②禁用登录IP)。
登录模式选择可以让管理员切换访问WEB页面的方式,可以选择http、https两种模式,并且可以设置是否为单点登录(每个用户只能由一个IP登录)。访问限制开关(访问控制)分为开启白名单(表示只允许白名单中的IP可以访问)、开启黑名单(表示只拒绝黑名单中的IP访问)、关闭(表示关闭访问限制这一模块)等三种模式;黑白名单为访问控制的黑白名单,需要输入起始IP和结束IP(可以是单个IP也可以是IP范围),然后点击【添加】才算操作成功;IP绑定可以将本系统中的用户与黑白名单中的IP进行绑定(可以是单个也可以是多个)。白名单与黑名单中的IP为访问限制开关和IP绑定公用的黑白名单,登录时首先判断是否开启了IP绑定,如开启则按照用户绑定的IP进行访问限制,如果没有开启IP绑定,则按照全局的IP黑白名单进行访问限制。
图4-29 登录安全配置
认证配置用于设置登录WEB页面的用户认证方式。异常流量清洗系统支持三种认证模式,分别为:本地认证、radius认证、先radius后本地认证。
注:radius认证时,清洗系统必须存在相同的用户信息
图4-30 登录认证配置
设备支持在线升级,将升级包导入后点击升级即可对设备进行在线升级。
浏览:选择升级包;
选择更新设备:选择需要升级的设备,127.0.0.1是本机,若有集群部署,则剩余设备地址为管理口地址;
系统升级:升级包和设备选好后点击系统升级即可升级。
设备升级期间会弹出设备升级页面,升级页面会显示升级进度,当进度达到100%时,即表示升级完成,可以将升级进度页面关闭,刷新设备web页面登录即可。
在设备升级过程中显示404页面属于正常现象,因为设备升级完成之后会重启进程,导致页面暂时访问不通,稍等片刻即可。
图4-31 系统升级
SNMP设置用于设置当前系统的SNMP。使用本功能需要勾选【启动SNMP】,然后编辑:SNMP端口、只读权限组名称、读写权限组名称、trap权限组名称、trap IP地址、trap 端口、SNMP版本(v1、v2c、v3)、安全级别(高、低)、用户名、认证方式(MD5、SHA)、认证密钥、加密模式(DES、AES)、加密口令等信息,编辑完成后,点击【应用配置】即可生效(【只读权限组名称】和【读写权限组名称】具有文本框校验,限制4-32字符,不能出现中文及中文特殊字符,不能包含特殊字符:“?”)。
图4-32 SNMP配置
设备SSH服务默认为关闭状态,如需使用SSH服务,点击SSH服务开关即可。
图4-33 SSH服务
系统支持配置主备模式。
图4-34 主备配置
表4- 3 数据分析
编号 |
名称 |
定义 |
1 |
主备模式开关 |
可选择开启或关闭主备模式,配置主备的两台设备建议型号一致; |
2 |
浮动管理IP地址 |
用于管理主设备(最好配置不同于原管理IP网段的地址); |
3 |
浮动管理IP网关地址 |
浮动管理IP的网关; |
4 |
组ID |
范围0-255,主备系统该字段必须一致; |
5 |
本机角色 |
可选择主设备或备设备; |
6 |
备/主设备IP |
若本机为主设备,则填写备设备管理IP;若本机为备设备,则填写主设备管理IP; |
7 |
抢占模式 |
只有主设备可开启抢占模式,建议勾选; |
8 |
链路异常自动切换 |
若设备探测到主设备链路异常则将业务切换到备设备,建议勾选; |
9 |
转发异常自动切换 |
若设备探测到主设备转发异常则将业务切换到备设备,建议勾选; |
10 |
主备设备状态列表 |
展示主/备设备的状态,包括管理地址、状态、状态持续时间、切换次数及切换原因; |
用户配置主要是对使用系统的用户做账号的分配及权限的划分。
管理员可以通过权限分配,创建不同的账号分配不同的权限等级给使用此系统的其它运维人员。增加使用此系统的安全性。在本界面可以通过用户登录名和用户状态(全部用户、普通用户、禁止用户、一次性用户、api用户)来查询指定的用户信息;可以看到用户的用户登录名、用户名称、用户组、状态等信息,对于用户的权限控制通过【权限】来控制。【禁用】选项可以禁止此用户登录系统。如果要创建用户需要点击【添加】,需要配置:用户登录名(必填)、用户名称(必填)、用户密码(必填)、用户邮件、用户性别、用户状态、用户qq、用户手机、用户电话号、用户身份证号码等信息,点击【保存】即可。
图4-35 用户
一次性账号主要是方便演示使用,当该账号登录过此系统,一旦退出,该账号就会自动变为禁用状态。
图4-36 一次性用户列表
如果需要创建多个账号,并且所分配的权限是一样的。管理员可以通过创建用户组的方式,把这些账号添加到此组中,给该组分配权限。那么该用户组中的所有账号,将会得到相同的权限。减少管理员给账号分配权限的工作量。同时删除包含成员和不包含成员的用户组时,批量删除提示成功,实际包含成员的用户组不会被删除,提示信息处后续版本会做出修改。
图4-37 用户组
填写FTP主机ip、端口、用户名、密码、和FTP路径进行数据备份。添加FTP配置时名称和备注仅支持中文、英文、“()”、“【】”、“[]”、“_”、“-”。
图4-38 FTP配置
可以根据自身需求进行手动或者自动规则备份,备份的文件可存入本地或者远端ftp,需要备份远端ftp情况下需要先进行ftp配置。添加备份规则时名称和备注仅支持中文、英文、“()”、“【】”、“[]”、“_”、“-”。
注:当前只支持linux系统下ftp服务器
图4-39 备份规则
参数 |
值 |
管理口 |
AFC2040-G2:GE0/7;其它型号:GE0/0 |
管理IP |
192.168.0.1/24 |
https服务端口 |
443 |
参数 |
值 |
用户名 |
admin |
密码 |
admin |
参数 |
值 |
用户名 |
admin |
密码 |
admin |
端口 |
16222 |
参数 |
值 |
用户名 |
admin |
密码 |
admin |
波特率 |
115200 |