KFW傲盾防火墙企业网站防护版手册

1傲盾科技KFW傲盾防火墙网站防护版(3.0)版功能说明功能简介KFW傲盾防火墙网站防护版是一款针对各种网站、信息平台、Internet服务等，集成多种功能模块的安全平台。本软件是具有完全知识版权的防火墙，使用了目前最先进的第三代防火墙技术《DataStreamFingerprintInspection》数据流指纹检测技术，与企业级防火墙CheckPoint和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击，保护您的服务器免受来自Internet上的黑客和入侵者的攻击、破坏。通过最先进的企业级防火墙的技术，提供各种企业级功能，功能强大、齐全，价格低廉，是目前世界上性能价格比最高的网络防火墙产品。功能列表1.数据包规则过滤2.数据流指纹检测过滤3.数据包内容定制过滤4.网关路游支持5.NAT功能(支持FTPPASV和port,支持irc的ddc等动态端口模式，安装防火墙后不用设置PASV之类的端口)6.端口映射功能7.流量控制8.强大的包抓分析模块9.log模块，10.采用最先进的数据流指纹技术，提供强大的DOS(拒绝服务)攻击防护，彻底防护各种已知和未知的DOS攻击。11.流量分析监测12.实时访问连接监控13.支持dmz区的建立14.账号，权限管理15.分布式管理2技术优势和特点KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则（SecurityRules）把守企业网络，提供强大的访问控制、状态检测、网络地址转换（NetworkAddressTranslation）、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。与国内外的防火墙产品所比较，傲盾防火墙有以下突出的技术优势和特点1.特有的DdoS、Dos攻击防御DoS攻击（DenialofService拒绝服务攻击）或着是DDoS攻击（DistributeDenialofService分布式拒绝服务攻击）是近年来流行的一种危害极大的网络攻击方式。当DoS攻击发动的时候，有时甚至可以完全使网络服务器所提供的服务失效。DoS攻击的原理，简而言之，就是针对TCP/IP协议的薄弱环节，利用IP欺骗技术，对要攻击的节点疯狂地发出数据包；使得被攻击节点忙于处理这些虚假来源的数据包，从而使合法的使用者无法正常的连接到被攻击的节点。而且由于DoS攻击的发动者采用IP地址欺骗，使得很难对攻击来源进行定位。由于DoS攻击的这些特点，使它成为最有效，也最难防护的攻击手段之一。针对DoS攻击的这些特点，KFW傲盾防火墙专门设计了特有的DoS防御网关，可以有效的抵御各种DoS、DDoS攻击。这里简要叙述KFW傲盾防火墙DoS防御网关的原理：KFW傲盾防火墙所采用的特有专利技术，使得防火墙本身是不受DoS攻击的，这也是KFW傲盾防火墙能够有效防护需要保护的站点免受DoS攻击的先决条件。在这个条件的基础上，KFW傲盾防火墙采用经过优化的TCP连接监控方式来保护防火墙内的脆弱机器。这种算法的特点是在处理TCP连接请求的时候，在确定连接请求是否合法以前，用户端与服务端是隔断的。这就令到DoS攻击者在发动攻击的时候并不能直接连接到防火墙内部的机器，所以攻击者所发出的所有DoS攻击包只能到达防火墙，从而保护了防火墙内部的机器不受到DoS攻击。而且，KFW傲盾防火墙通过高效的离散算法提供了超过60万以上的同时连接数的容量，为数据传输的高效和可靠提供了强有力地保障。2.世界领先《DataStreamFingerprintInspection》数据流指纹检测技术传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，KFW傲盾防火墙独创的《DataStreamFingerprintInspection》数据流指纹检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。KFW傲盾防火墙的核心数据流指纹检测技术，可以确保每个进入的数据包都是合法有效的，一旦确认连接的合法性防火墙就会信任这个连接，不在对后续包进行复杂的处理，从而大大提高了效率33．特有的TCP标志位检测功能：在大多数的防火墙里，都缺少对连接是从哪方主动发起进行判断的选项，这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。例如，如果允许内部主机访问外部主机的telnet服务，这个方向连接的所有包应该是必须包含ACK位的，也就是说，不是主动发起的连接。但通常的防火墙的包过滤功能里并没有检查ACK位的设置，因此，攻击者就可以从外部主机的源23端口发起连接到内部主机的高端口(1023)。KFW傲盾防火墙系统通过在安全规则上的设置对数据包的SYN/ACK等标志位进行合法性检测和判断，防止不法攻击者利用常用服务的低端口与内部主机的高端口的连接，从而攻击内部主机。国内包括国外的许多防火墙系统都无此防护功能。4.强大的NAT地址转换功能当Internet技术变成热门技术，获取有效IP地址的热潮即将耗尽有限的网络地址空间，因此有关地址扩展的建议如IPng已被确定为一个新IP编址标准--IPv6。所有的标准需要一定时间被广为接收和实现，在这之前，我们必须有一个代替的方法。另一方面，在网络安全问题上，能够隐蔽的私有地址会提供更为理想的安全性。由此，NAT技术应运而生。在KFW傲盾防火墙里，我们可以方便地应用NAT的方式使具备私有地址编址方式的机器能够安全的连上外部网络，并且应用INTERNET所提供的多姿多彩的生活；NAT的重定向功能使得即便是私有地址空间的机器也能够在公有网络上提供INTERNET服务，这对那些想在网上安个家，而又只能用私有地址的用户来说再合适不过了，通过NAT功能可以方便的建立起dmz区，把服务器和Interenet隔离开。使服务器免受黑客的攻击。5.独立开发的高效率系统核心KFW傲盾防火墙采用专门设计、自行开发的独立操作系统的网络核心。使得它有着最贴近系统底层的高效率。并且，由于完全是自行开发的系统，使得它可以告别一切不稳定的因素。网络部署极其安装安装本软件，实际上是对网络的安全部署，关系到整个网络的安全和部署成败所以请您仔细阅读研究下面的说明。安装注意事项1.防火墙不是越多越好，多个防火墙或者网络软件会造成系统紊乱大大降低网络效率尤其是一些个人版防火墙，由于技术和稳定性的原因，往往会造成蓝屏死机，网络缓慢，以及莫名的问题所以请彻底关闭，最好是卸载其它防火墙和网络产品(包括KFW个人版)！2.如果您在用win2000的路由和远程访问，或者Interent共享，以及winroute,sygate等类似软件请再服务里彻底禁止该服务，或者卸载3.如果您需要使用透明防火墙模式，而且安装了winroute等软件请卸载因为在我们的测试过程中发现关闭winroute不行winroute的核心驱动并不关闭还在继续工作，它在处理数据包的时候重新构造了数据包但是并不复制原始的数据包特性，造成透明模式失败。44.kfw企业版防火墙现在支持windows2000windowsxp系列，5.内存最少要128m（如果您的网络比较大推荐512M，越大越好）,硬盘空间应该剩余50M(如果空间用尽，纪录文件将无法保存)安装部署首先我们要确定网络的物理方式，考虑到局域网络上网方式的多样性,我们将针对具体情况分别介绍本安全平台有四种软件网络模式1.网关路由模式作为上Interent或者其他网络的网关，局域网内所有的机器需要把网关设置成防火墙安装的机器的IP地址。这种模式可以实现Interent共享，也就是只需要有一个Interent连接可以让局域网用户上网，同时进行安全保护和网络访问监控分析。Dmz区的建立也需要在这种模式下。2.透明防火墙模式安装在内部网和外部网之间，所有外出的数据包都会经过防火墙过滤，不需要改动以前的网络模式。这种模式下可以实现安全保护和网络访问监控分析。3.网关路由+透明防火墙模式针对一些复杂的网络，比如一些网络要求不能改动以前的网络模式同时又要对一些服务器进行dmz区域的建设。4.监控模式只对网络的使用进行监控分析针对不同的实际物理网络部署选择使用的模式下面针对具体物理模式来介绍:（注：下面KFW指安装KFW傲盾企业版防火墙的这台机器）对于以路由器为网络出口，有局域网1.网关路由模式KFW安装两个网卡，A网卡连接路由IP设置成固定的Interent地址，B网卡连接局域网的HUB或者交换机,IP设置成局域网地址，局域网所有需要上Interent的机器的网关设置成KFWB网卡的IP,如果需要DMZ区可以用端口映射来建立(参见下面的DMZ区建立)2.透明防火墙模式局域网的机器需有自己的Interent地址，KFW安装两个网卡，A网卡连接路由IP可以随便设置，B网卡连接局域网的HUB或者交换机，IP可以随便设置，局域网里的网关直接设置成路由的IP也就是说局域网设置不需要考虑防火墙的存在,3.透明防火墙+网关路由模式KFW安装两个网卡，A网卡连接路由IP设置成固定的Interent地址，B网卡连接局域网的HUB或者交换机,IP设置成局域网地址，能实现1,2的所有功能，适用于有一部分局域网机器有InterentIP地址需要直接上5Internet不用改动任何设置，另外一部分局域网机器需要用Nat功能共享一个或者多个Ip地址上网，服务器需要建立在dmz区4.监控模式KFW安装一个网卡，1、调整网线，以确保接路由器的网线和KFW的网线连到同一个HUB上。2、如果路由器通过交换机和内部网机器相连，且交换机带有设置Monitor端口(或分析端口、镜像端口)的功能，那么，可以将安装监控软件的机器网线插口设置为“Monitor端口”，而路由器的网线接口设置为“被管理端口”，这样，所有通过路由器网线的网络数据包都可以被“Monitor端口”接受，以此而达到监控的效果。对于拨号或者adslvdsl等设备，有局域网1.网关路由模式KFW本身有一个连接Interent的网路设备比如modem或者adsl网卡A，再安装B网卡连接局域网的HUB或者交换机,IP设置成局域网地址，（参见上面1）2.透明防火墙模式这种网络结构无法使用透明防火墙模式3.透明防火墙+网关路由模式这种网络结构无法使用透明防火墙+网关路由模式4.监控模式参见（上面4）对于拨号或者adslvdsl等设备，或者以路由器为网络出口，服务软件和KFW装在一台机器上1.网关路由模式KFW本身有一个连接Interent的网路设备比如modem或者adsl网卡A（参见上面1）2.透明防火墙模式这种网络结构无法使用透明防火墙模式3.透明防火墙+网关路由模式这种网络结构无法使用透明防火墙+网关路由模式4.监控模式参见（上面4）软件的安装以下是安装的具体步骤：1．在安装《KFW傲盾防火墙企业版》以前，请检查该机器以前是否安装了本产品，如有安装，请卸载。2．打开产品安装目录，执行安装程序。3．请用户认真阅读软件授权许可协议，如无异议，请选中“我接受以上许可协议中的条款”；按“下一步”以继续执行接下来的安装步骤。其间如出现“是否覆盖”的提示时，建议选择“全部覆盖”。4．文件安装完成后，将需要重新启动计算机5．重起完毕后，察看右下角托盘是否有K字样的图标，检查KFW是否在运行状态，如果没有运行请检查是否正确安装，请参见安装注意事项。6．在[开始][程序]菜单中打开“KFW傲盾防火墙企业版”，选择KFW企业版6管理器,接着您将会进入本系统的“管理器”画面。7．首先管理器菜单里的连接-连接到防火墙如果是在