中新金盾硬件防火墙安装手册

中新金盾防火墙系统产品安装手册版本号：20130717版权信息©安徽中新软件有限公司，版权所有2002－2013本文件所有内容受版权保护并且归中新软件所有。

未经中新软件明确书面许可，不得以任何形式复制、传播本文件（全部或部分）。

中新软件、JDFW、JDIS、金盾抗拒绝服务系统及其它中新商标均是安徽中新软件有限公司注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。

目录1前言 (1)1.1文档的目的 (1)1.2读者对象 (1)1.3约定 (1)1.3.1命令语法全部采用以下约定 (1)1.3.2图形界面操作的描述采用以下约定 (1)1.3.3网络拓扑中设备的约定 (1)1.4技术服务体系 (2)2产品介绍 (3)2.1产品概述 (3)2.2产品型号及参数 (4)2.2.1ZXFW-8110 (4)2.2.2ZXFW-8210 (5)2.2.3ZXFW-8410 (6)2.2.4ZXFW-8610 (7)2.2.5ZXFW-8810 (8)2.2.6ZXFW-8910 (9)3设备的安装 (10)3.1防火墙的硬件安装 (10)3.2登录中新金盾防火墙 (10)3.2.1串口连接 (10)3.2.2WEB方式登录防火墙 (13)3.2.3SSH软件登录 (14)3.3中新金盾防火墙出厂设置 (15)3.3.1恢复出厂设置 (15)4配置案例 (17)4.1案例1：作为路由网关 (17)4.1.1网络拓扑结构如下所示 (17)4.1.2网络拓扑简介 (18)4.1.3用户的配置需求 (18)4.1.4具体的配置步骤 (18)4.2透明模式接入网络 (20)4.2.1网络拓扑结构如下 (20)4.2.2网络拓扑简介 (20)4.2.3用户的配置需求 (21)4.2.4具体的配置步骤 (21)4.3案例三：防火墙作为VPN网关接入网络 (23)4.3.1网络拓扑结构如下 (23)4.3.2网络拓扑简介 (23)4.3.3用户的配置需求 (23)4.3.4具体的配置步骤 (23)4.4案例四：防火墙主备模式接入网络 (26)4.4.1网络拓扑结构如下 (26)4.4.2网络拓扑简介 (26)4.4.3用户的配置要求 (27)4.4.4具体的配置步骤 (27)5常见问题故障处理 (29)5.1口令丢失情况下的处理 (29)5.2电源系统故障处理 (29)5.3配置系统故障处理 (29)1前言本手册主要介绍中新金盾防火墙的安装和使用。

金盾硬件防火墙系列介绍金盾硬件防火墙JDFW-300+目标客户：金盾300+硬件防火墙,千兆电口接入,支持多网段防护,跨路由模式,跨网段模式,跨VLAN等模式的防护,适合百兆环境,小中型企业,IDC服务商及系统集成工程,可支持255台机器有效的防护工作!产品性能：金盾抗DDOS防火墙针对目前广泛存在的DOS, DDOS等攻击而设计，为您的网站、信息平台基于Internet的服务等提供完善的保护使其免受别有用心之人的攻击破坏。

基于各个平台底层的核心模块，提供高效率的防护手段。

优秀的系统核心，使得本产品可抵御大规模的攻击经测试，百兆网络条件，本产品在平均90MBPS的DOS，DDOS攻击流量下仍可保证100%的连接成功率，千兆网络条件，本产品可抗300-500MBPS攻击流量。

1.高效率的核心攻击检测&防护模块2.完善的攻击防护手段3.强大的连接跟踪机制4.独创的端口防护体制5.广泛的平台适应性6.简单的安装与设置7.易于配置的攻击检测&防护参数8.规则设置及日志记录9.完善的售后服务金盾硬件防火墙JDFW-1000+产品发展介绍：2003年02月成立“金盾抗DDOS防火墙”研发项目组2003年11月：“金盾”产品推向市场，并申请国家发明专利2004年03月：“金盾”百兆级产品隆重推出2004年05月：“金盾”千兆级产品隆重推出2004年12月：“金盾”自发布后，成功地为数万个用户抵御了DDOS攻击2005年1月07日：“金盾”顺利通过国家安全产品检测中心检测2005年3月14日：金盾又获“公安部安全产品销售许可证”2005年06月：“金盾”百兆和千兆级产品成功应用于IDC服务商、ICP服务商和ISP运营商2005年10月：“金盾”百兆和千兆产品成功用于政府行业公司简介：安徽中新软件有限公司（简称“中新软件” ）创立于2002年，是集网络安全产品、软硬件开发的高科技公司。

公司自2002年已开始针对DDoS攻击的产品研发，次年，“金盾抗DDOS防火墙” 正式推向市场，市场反应强烈。

如何安装防火墙防火墙是保护我们网络的第一道屏障，如果这一道防线失守了，那么我们的网络就危险了!所以我们有必要把注意一下安装防火墙的注意事项!下面是店铺收集整理的如何安装防火墙，希望对大家有帮助~~安装防火墙安装防火墙的方法在xp系统中双击打开“我的电脑”点击打开“控制面板”点击打开“安全中心”在windows xp系统下载一般情况下从防火墙的软、硬件形式来分，防火墙可以分为软件防火墙、硬件防火墙以及芯片级防火墙第一种：软件防火墙:软件防火墙运行于特定的计算机上，ghost xp sp3它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。

俗称“个人防火墙”。

软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。

防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。

win7系统或xp系统使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。

第二种：硬件防火墙:这里说的硬件防火墙是指“所谓的硬件防火墙”。

之所以加上"所谓"二字是针对芯片级防火墙说的了。

它们最大的差别在于是否基于专用的硬件平台。

系统下载目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的xp系统家庭用的PC没有太大区别。

在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。

值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS(操作系统)本身的安全性影响。

传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区(非军事化区)，现在一些新的硬件防火墙往往扩展了端口，xp系统中常见四端口防火墙一般将第四个端口做为配置口、管理端口。

很多防火墙还可以进一步扩展端口数目。

第三种：芯片级防火墙:芯片级防火墙基于专门的硬件平台，没有xp操作系统。

专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。

中新金盾抗拒绝服务系统使用说明书版本号：201001A目录一、用户手册简介 (5)1.1用途 (5)1.2约定 (5)1.3概述 (5)二、安装指南 (6)2．1设备类型及构成 (6)2.1.1 JDFW-500+ (6)2.1.2 JDFW-1000+ (6)2.1.3 JDFW-8000+ (7)2.1.4 JDFW-2000+ (7)2.1.5 JDFW-4000+ (8)2.1.6集群型号 (9)2.2硬件设备安装 (9)2.2.1 单路型 (9)2.2.2双路 (9)2.2.3集群型 (10)2.3注意事项 (10)三、产品概述 (11)3.1DOS/DDOS简介 (11)3.2金盾抗拒绝服务系统 (11)3.2.1技术优势 (11)3.2.2防护原理 (12)3.2.3产品系列 (14)四、功能描述 (15)4.1用户登录 (15)4.2系统信息 (15)4.2.1 内核版本号 (15)4.2.2 序列号码 (15)4.2.3 设备连接状态及地址 (15)4.3规则设置 (15)4.3.1 地址 (15)4.3.2 端口 (16)4.3.3 模式匹配 (16)4.3.4 方向选择 (16)4.3.5 规则行为 (16)4.4防护状态 (16)4.4.1 SYN保护模式 (16)4.4.3 ACK&RST保护模式 (16)4.4.4 UDP保护模式 (16)4.4.5 ICMP保护模式 (17)4.4.6 碎片保护模式 (17)4.4.7 NonIP保护模式 (17)4.4.8 忽略模式 (17)4.4.9 禁止模式 (17)4.4.10 WebCC保护模式 (17)4.4.11 GameCC保护模式 (17)4.4.12 高级UDP保护模式 (17)4.5参数设置 (18)4.5.1 系统操作环境 (18)4.5.2 主机防护参数 (18)4.5.3 系统防护参数 (18)4.5.4变量设置 (19)4.6端口策略 (19)4.6.1 TCP端口保护 (19)4.6.2 UDP端口保护 (20)五、管理及配置 ............................................................... . 215.1登录页面 (21)5.1.1 语言 (21)5.1.2 用户/密码 (21)5.1.3 修改密码 (22)5.1.4 重置 (22)5.2状态监控 (22)5.2.1 全局统计 (22)5.2.2 系统负载 (23)5.2.3 主机状态 (24)5.2.4 主机设置 (25)5.2.5 连接监控 (26)5.2.6 屏蔽列表 (27)5.2.7 黑名单管理 (28)5.2.8 域名管理 (29)5.3 攻击防御 (31)5.3.1 全局参数 (31)5.3.2 规则设置 (34)5.3.3 TCP端口保护 (36)5.3.4 UDP端口保护 (39)5.4 日志分析 (40)5.4.1日志列表 (40)5.4.2 分析报告 (41)5.5 系统配置 (42)5.5.2 系统设备 (43)5.5.3 集群参数 (44)5.5.4 用户管理 (45)5.5.5 SNMP系统配置 (46)5.5.6 SNMP用户 (46)5.5.7 SNMP视图列表 (48)5.6 服务支持 (48)5.6.1 关于我们 (48)5.6.2 版本信息 (49)5.6.3 报文捕捉 (50)5.6.4 产品升级 (50)一、用户手册简介首先，感谢您购买中新金盾抗拒绝服务系统产品！本设备功能实用，性能优秀，配置简单，是您安全链条中不可缺少的一环。

金盾抗DDOS防火墙用户操作手册选择金盾，铸就成功―――――――――――――――――――――――――――――AnHui ZXSoft Co. Ltd.©版权所有 2002-2008目录物品清单一、用户手册简介 (2)1. 用途 (2)2. 约定 (2)3. 概述 (2)二、产品概述 (3)1. DOS/DDOS简介 (3)2. 金盾抗DDOS防火墙 (3)1) 技术优势 (3)a)DOS/DDOS攻击检测及防护 (3)b)通用方便的报文规则过滤 (4)c)专业的连接跟踪机制 (4)d)简洁丰富的管理 (4)e)广泛的部署能力 (4)f)优质的售后服务 (4)2) 防护原理 (4)a)攻击检测 (4)b)协议分析 (5)c)主机识别 (5)d)连接跟踪 (5)e)端口防护 (5)3) 产品系列 (5)a) 软件产品 (5)b)硬件产品 (5)三、安装指南 (6)1.设备类型及构成 (6)1)JDFW-100+ (6)2)JDFW-1000+ (6)3)JDFW-8000+ (7)4) J DFW-2000+ (7)5) 集群型号 (8)2.硬件设备安装 (8)1) 单路型防火墙 (8)2) 双路型防火墙 (8)3) 集群型防火墙 (8)3.注意事项 (9)四、防火墙功能描述 (10)1.用户登录 (10)2.系统信息 (10)1)内核版本号及构建日期 (10)2)序列号码 (10)AnHui ZXSoft Co. Ltd.©版权所有 2002-20083.规则设置 (10)1)地址 (10)2) 端口 (11)3)标志位 (11)4)模式匹配 (11)5)方向选择 (11)6)规则行为 (11)4.防护状态 (11)1) SYN保护模式 (11)2) SYN危急保护模式 (12)3) ACK&RST保护模式 (12)4) UDP保护模式 (12)5) ICMP保护模式 (12)6)碎片保护模式 (12)7) NonIP保护模式 (13)8) 忽略模式 (13)9) 禁止模式 (13)10) WebCC保护模式 (13)11) GameCC保护模式 (13)12) 高级UDP保护模式 (13)5.参数设置 (13)1) 系统控制 (14)a)系统时间 (14)b) 流量控制 (14)c）策略选项 (14)2)攻击检测 (14)a)SYN Flood保护 (14)b）SYN Flood高压保护 (14)c）SYN Flood单机保护 (14)d）ACK&RST Flood保护 (14)e）TCP端口自动关闭触发 (15)f）UDP保护触发 (15)g ) ICMP保护触发 (15)h) 碎片保护触发 (15)i) NonIP保护触发 (15)3) 流量限制 (15)a）紧急触发状态 (15)b）简单过滤流量限制 (15)c）忽略主机流量限制 (15)d）伪造源流量限制 (15)4) TCP防护 (15)a) 屏蔽持续时间： (16)b) 连接数量保护 (16)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008d) 默认黑名单策略 (16)5) UDP防护设置 (16)a) 请求连接超时 (16)b) 建立连接超时 (16)6) 变量设置 (16)6.端口策略 (16)1)防护类型 (16)a)标准防护(default) (16)b) 动态验证(WEB Service Protection) (17)c) 频率保护(Game Service Protection) (17)2) 连接攻击检测 (17)3) 连接数量限制 (17)4) 端口探测限制 (17)5) 防护标志 (17)a) 超时连接 (17)b) 超出屏蔽 (17)c) 延时提交 (17)d) 接受协议 (18)6)模块参数 (18)五、管理及配置 (18)1.登录页面 (18)1)语言 (18)2)用户/密码 (18)2.状态监控页面 (19)1)全局统计 (18)2) 系统负载 (19)3) 主机状态 (20)a) 主机 (20)b) 带宽 (21)c) 频率 (21)d) 连接 (21)e) 防护模式 (21)4) 单一主机状态 (21)a)主机地址 (22)b)网关IP地址 (22)c)网关MAC地址 (22)d)流量策略 (22)e) 连接策略 (22)f) 黑名单策略 (22)g) 保护设置集序号 (23)h) 分时流量 (23)i)防护插件 (23)5)连接监控 (23)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008b) 本地地址 (23)c)远端地址 (23)d)当前状态 (23)e)选择连接 (24)6)屏蔽列表 (24)a) 控制 (24)b) 本地地址 (24)c)远端地址 (24)d)当前状态 (24)7) 黑名单管理 (24)3.攻击防御页面 (25)1) 全局参数 (25)2) 规则设置 (25)a)规则设置集 (26)b)控制 (26)c)协议 (26)d)地址 (26)e)细节 (26)f)匹配 (26)3)规则编辑页面 (26)a) 规则序号 (27)b) 规则描述 (27)c) 报文长度 (27)d) 本地地址 (27)e) 远程地址 (27)f)协议类型 (27)g)本地端口/远程端口 (27)h)TCP标志位 (27)i)ICMP类型/ICMP代码 (28)j)模式匹配 (28)k)方向选择 (28)l)规则行为 (28)4.日志记录页面 (29)5.系统配置页面 (30)1）保存配置 (30)2）系统设备 (31)3)集群参数 (31)4)用户管理 (32)5) SNMP系统配置 (33)6) SNMP用户 (33)7)SNMP视图列表 (34)6.服务支持 (35)1) 关于我们 (35)AnHui ZXSoft Co. Ltd.©版权所有 2002-20082）版本信息 (35)3）报文捕捉 (35)4)产品升级 (36)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008物品清单小心打开包装箱，检查包装箱里应有的配件：➢一台防火墙➢一根交流电源线➢一根直连网线➢一根交叉网线➢一份《用户手册》➢一份宣传册➢一对LC-LC光纤线➢螺丝若干一、用户手册简介首先，感谢您购买我公司的防火墙产品！本防火墙功能实用，性能优秀，配置简单，是您安全链条中不可缺少的一环。

金盾Cis7系统安装手册一、金盾cis7服务器的初始配置：1、金盾cis7服务器的IP设置服务器默认IP为192.168.0.2，如果需要重新配置服务器IP,可以通过网页进行修改。

按照下图的拓扑使用568B标准网线进行连接，配置pc的IP地址为192.168.0.x，掩码为255.255.255.0，交换机连接cis7服务器的LAN1口，或LAN2口。

图1.1.1金盾cis7服务器配置连接拓扑图或者使用交叉线连接计算机的网卡和金盾cis7服务器的LAN1或LAN2接口。

打开浏览器输入“http://192.168.0.2/ipindex.php”打开网页，进行管理员登陆：默认用户名为“admin”，密码为空；图1.1.2金盾cis7服务器IP配置登陆网页点击登陆跳转到以下网页：图1.1.3金盾cis7服务器IP配置网页输入要修改的IP地址和子网掩码信息，点击保存，服务器自动重新启动，启动后服务器IP修改为新配置的IP.地址。

服务器IP修改完成后即可将服务器放至局域网中；2、金盾cis7服务端接入拓扑连接图1.2.1金盾CIS7服务端拓扑连接1图1.2.2金盾CIS7服务端拓扑连接2二、金盾cis7管控平台的安装和登陆：1、金盾cis7管控平台的安装将产品附带光盘放入光驱，双击Setup.msi (控制台安装程序), 弹出金盾cis7管控平台安装向导，点击下一步选择控制台安装目录，点击下一步图2.1.2金盾cis7管控平台安装目录选择窗口点击安装开始控制程序的安装图2.1.3金盾cis7管控平台安装过程图2.1.4金盾cis7管控平台安装向导完成窗口点击完成，退出安装程序，金盾cis7管控平台安装成功。

2、金盾cis7管控平台的登陆安装完成，会在桌面生成金盾cis7管控平台快捷方式，双击快捷方式进入控制台登陆界面图2.2.1金盾cis7管控平台登陆对话框默认用户名：admin 密码为空；输入数据库服务器IP地址，服务器IP地址，点击登陆进入金盾cis7管控平台。

中新金盾防火墙系统产品白皮书版本号：201120626版权声明©安徽中新软件有限公司，版权所有2002－2012本文件所有内容受版权保护并且归中新软件所有。

未经中新软件明确书面许可，不得以任何形式复制、传播本文件（全部或部分）。

中新软件、JDFW、JDIS、金盾抗拒绝服务系统及其它中新商标均是安徽中新软件有限公司注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。

目录版权声明 (I)1概述 (1)2产品概况 (2)3技术优势 (3)4产品功能 (4)5典型部署方式 (10)5.1防火墙作为安全网关双外线部署 (10)5.2防火墙作为VPN网关楼层交换部署 (11)5.3防火墙作为VPN网关跨地域网络互联部署 (12)1概述防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet 与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术，是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

当今社会，互联网已经融入了社会生活的方方面面，成为人们生活和企业生存中不可或缺的一部分。

在网络中如何保护网络的一部分不受外界的干扰和入侵成为了一件具有重大意义的事情，而防火墙恰恰是解决这一问题的关键。

防火墙可以做到：保护脆弱的服务通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。

例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包。

中新金盾抗拒绝服务系统攻击监控软件版本号：201101A中新金盾抗拒绝服务系统攻击监控软件使用说明版本V1.1.0.2为便于客户管理多台以及集群抗拒绝服务系统，我们为您提供了金盾抗拒绝服务系统管理软件。

可针对金盾抗拒绝服务系统进行实时监控，根据流量和连接设置报警参数。

一、软件下载：下载地址：/services_06.html文件名称：中新金盾抗拒绝服务系统监控软件下载jdfwmon.rar 后解压缩到 jdfwmon. 目录，可看到 config.ini fwmon.exe hosts.ini 和说明四个文件 config.ini 为配置文件（请不要修改） fwmon.exe 为控制器主文件 hosts.ini为单一IP监控报警配置文件jdfwmon文件注：在使用过软件的流量牵引功能后，会自动在目录下生成一个日志文件flowdiv.log二、使用说明：运行 fwmon.exe 文件，界面如图一：（图一）1、攻击监控界面：（图二）1.1设备管理设备地址：通过此项设置抗拒绝服务系统管理地址，设置格式为：*.*.*.*：28099（*.*.*.*表示外网管理IP地址）用户名：输入抗拒绝服务系统管理用户名密码：输入抗拒绝服务系统管理控制密码设置：输入抗拒绝服务系统管理地址、用户名和密码后，点击“设置”即可添加受监控抗拒绝服务系统删除：选中受监控抗拒绝服务系统后点击“删除”可取消该台抗拒绝服务系统的监控注: 双击流量记录下的列表，会出来这台抗拒绝服务系统的主机列表1.2流量记录设备信息：显示管理地址、用户、状态当前状态：显示流量、连接详细统计：显示攻击频率2、参数设置：（图三）设备查询间隔：默认值60秒，即监控器对于设备进行查询的间隔时间为60秒查询一次，可根据客户需要调整数值重复报警间隔：默认值300秒，即当首次报警后如仍符合报警条件会在300秒后进行二次报警，可根据客户需要调整数值主机显示数量：默认值10个，即在主机列表中显示最大流量的前10台主机状态，可根据客户需要调整数值流量统计方式：表示进行流量报警设置时可选择IN、OUT或IN+OUT形式进行流量计算连接统计方式：表示进行连接报警设置时可选择TCP in、TCP out、TCP（TCP总连接）、UDP（总连接）、及TCP+UDP形式进行连接计算SYSLOG服务器：设置SYSLOG服务器报警方式，通过添加SYSLOG服务器地址，便于客户对日志信息进行管理3、报警设置：（图四）3.1报警条件总流量报警：指受监控抗拒绝服务系统的流量和，即所有受监控抗拒绝服务系统的流量（in流量和out流量和）达到此设置数值时，开始报警，单位为MBPS。

中新金盾抗拒绝服务系统安装指南金盾JDFW-500+电口ETH0-ETH3所对应的地址是：ETH0 ----192.168.100.1（数据进口，此地址不可修改）ETH1 ----192.168.101.1（数据出口，此地址不可修改）ETH2 ----192.168.102.1（管理口，可修改）输入默认用户名admin和密码123，即可进入设备的管理界面。

3.公网管理配置方法，内网配置好以后，进入管理页面，选择“系统配置”，进入系统设备配置。

将设备2或设备3的地址修改为可用的外网7个接口及其对应地址由左至右依次是：F1 ---- 192.168.106.1（外网数据接口，光口）F0 ---- 192.168.105.1（内网数据接口，光口）E4 ---- 192.168.104.1（外网数据接口，电口）E3 ---- 192.168.103.1（内网数据接口，电口）3.公网管理配置方法，内网配置好以后，进入设备管理页面，选择“系统配置”，进入系统设备配置。

将设备1或设备2的地址修改为可用的外网IP地址，并输入正确的子网掩码和网关，点击“提交”，用普通网线将设备E1口或E2口与外网交换机相连。

这样您在任何联网的地方，只要输8个接口对应地址由左至右依次是：（F为光纤口，E为心跳、管理口）F0 ---- 192.168.100.1 E0 ---- 192.168.104.1F1 ---- 192.168.101.1 E1 ---- 192.168.105.1F2 ---- 192.168.102.1 E2 ---- 192.168.106.1F3 ---- 192.168.103.1 E3 ---- 192.168.107.11．接入网络，将设备通电，一分钟后，将上层的两根光纤线分别接到设备的F0，F2，下层的的进出口是在桥接模式下，此时加入到现有网络中，不需要更改网络结构。

输入设备的默认用户名admin和密码123就可以进入设备的管理界面了。

目录金盾抗DDOS防火墙用户手册一、用户手册简介 (1)1．用途 (1)2．约定 (1)3．概述 (1)二、安装指南 (2)1.设备类型及构成 (2)1）JDFW-100+ (2)2）JDFW-1000+ (2)3）JDFW-8000+ (3)4）JDFW-2000+ (3)5）JDFW-4000+ (4)6）集群型号 (4)2.硬件设备安装 (5)1) 单路型防火墙 (5)2) 双路型防火墙 (5)3) 集群型防火墙 (5)3.注意事项 (6)三、产品概述 (7)1. DOS/DDOS简介 (7)2. 金盾抗DDOS防火墙 (7)1) 技术优势 (7)a) DOS/DDOS攻击检测及防护 (7)b) 通用方便的报文规则过滤 (8)c) 专业的连接跟踪机制 (8)d) 简洁丰富的管理 (8)e) 广泛的部署能力 (8)f) 优质的售后服务 (8)2) 防护原理 (8)a) 攻击检测 (8)b) 协议分析 (9)c) 主机识别 (9)d) 连接跟踪 (9)e) 端口防护 (9)3) 产品系列 (9)a）软件产品 (9)b）硬件产品 (9)四、防火墙功能描述 (10)1.用户登录 (10)2.系统信息 (10)1）内核版本号 (10)2）序列号码 (10)3）设备连接状态及地址 (10)3.规则设置 (10)1）地址 (10)2）端口 (11)3）标志位 (11)4）模式匹配 (11)5）方向选择 (11)6）规则行为 (11)4.防护状态 (11)1）SYN保护模式 (11)2）SYN危急保护模式 (11)3）ACK&RST保护模式 (12)4）UDP保护模式 (12)5）ICMP保护模式 (12)6）碎片保护模式 (12)7）NonIP保护模式 (12)8）忽略模式 (12)9）禁止模式 (12)10）WebCC保护模式 (13)11）GameCC保护模式 (13)12）高级UDP保护模式 (13)5.参数设置 (13)1）系统控制 (13)a）系统时间 (13)b）流量控制 (13)c）策略选项 (13)a.服务器自动发现模式 (13)b.TCP严格序列号检测 (13)2）攻击检测 (14)a）SYN Flood保护 (14)b）SYN Flood高压保护 (14)c）SYN Flood单机保护 (14)d）ACK&RST Flood保护 (14)e）TCP端口自动关闭触发 (14)f）UDP保护触发 (14)g ）ICMP保护触发 (14)h）碎片保护触发 (14)i）NonIP保护触发 (14)3）流量限制 (15)a）紧急触发状态 (15)b）简单过滤流量限制 (15)c）忽略主机流量限制 (15)d）伪造源流量限制 (15)4）TCP防护 (15)a）屏蔽持续时间： (15)b）连接数量保护 (15)c）连接空闲超时 (15)d）默认黑名单策略 (15)5）UDP防护设置 (15)a）请求连接超时 (15)b）建立连接超时 (15)6）变量设置 (16)6.端口策略 (16)1）防护类型 (16)a）标准防护(default） (16)b）动态验证(WEB Service Protection） (16)c）频率保护(Game Service Protection） (16)2）连接攻击检测 (16)3）连接数量限制 (16)4）踢出/探测权重限制 (17)5）防护标志 (17)a）超时连接 (17)b）超出屏蔽 (17)c）延时提交 (17)d）接受协议 (17)6）模块参数 (17)五、管理及配置 (18)1.登录页面 (18)1）语言 (18)2）用户/密码 (18)2.状态监控页面 (19)1）全局统计 (19)2）系统负载 (19)3）主机状态 (20)a）主机 (20)b）带宽 (21)c）频率 (21)d）连接 (21)e）防护模式 (21)f）网络地址设置 (21)4）单一主机状态 (21)a）主机地址 (22)b）网关IP地址 (22)c）网关MAC地址 (22)d）流量策略 (22)e）连接策略 (22)f）保护设置集序号 (23)g）分时流量 (23)h）防护插件 (23)5）连接监控 (23)a）控制 (23)b）本地地址 (23)c）远端地址 (23)d）当前状态 (23)e）选择连接 (23)6）屏蔽列表 (24)a）控制 (24)b）本地地址 (24)c）远端地址 (24)d）当前状态 (24)7）黑名单管理 (24)3.攻击防御页面 (25)1）全局参数 (25)2）规则设置 (26)a）规则设置集 (26)b）控制 (26)c）协议 (26)d）地址 (26)e）细节 (26)f）匹配 (27)3）规则编辑页面 (27)a）规则序号 (27)b）规则描述 (27)c）报文长度 (27)d）本地地址 (27)e）远程地址 (27)f）协议类型 (27)g）本地端口/远程端口 (28)h）TCP标志位 (28)i）ICMP类型/ICMP代码 (28)j）模式匹配 (28)k）方向选择 (28)l）规则行为 (28)4）TCP端口保护 (28)5）UDP端口保护 (28)4.日志记录页面 (29)1）日志列表 (29)2）分析报告 (30)5.系统配置页面 (31)1）保存配置 (31)2）系统设备 (31)3）集群参数 (32)4）用户管理 (32)5）SNMP系统配置 (33)6）SNMP用户 (34)7）SNMP视图列表 (35)6.服务支持 (35)1）关于我们 (35)2）版本信息 (36)3）报文捕捉 (36)4）产品升级 (37)一、用户手册简介首先，感谢您购买我公司的防火墙产品！本防火墙功能实用，性能优秀，配置简单，是您安全链条中不可缺少的一环。

中新金盾防火墙攻击监控软件使用说明为便于客户管理多台以及集群防火墙，我们为您提供了金盾防火墙管理器。

可针对金盾防火墙进行实时监控，根据流量和连接设置报警参数。

一、软件下载：下载地址： :8022/jdfwmon.rar文件名称：中新金盾防火墙管理器下载jdfwmon.rar 后解压缩到jdfwmon. 目录，可看到 config.ini fwmon.exe ringin.wav 三个文件其中 config.ini 为配置文件（请不要修改） fwmon.exe 为控制器主文件 ringin.wav 为声音文件。

jdfwmon文件AnHui ZXSoft Co. Ltd.©版权所有 2002-20081 页AnHui ZXSoft Co. Ltd.©版权所有 2002-20082 页二、 使用说明：运行 fwmon.exe 文件，界面如图一：（图一）1、攻击监控界面：AnHui ZXSoft Co. Ltd.©版权所有 2002-20083 页（图二） ¾ 设备管理设备地址：通过此项设置防火墙管理地址，设置格式为：*.*.*.*：28099（*.*.*.*表示外网管理IP 地址）用户名：输入防火墙管理用户名 密码：输入防火墙管理控制密码设置：输入防火墙管理地址、用户名和密码后，点击“设置”即可添加受监控防火墙删除：选中受监控防火墙后点击“删除”可取消该台防火墙的监控¾ 流量记录设备信息：显示管理地址、用户、状态 当前状态：显示流量、连接 详细统计：显示攻击频率2、参数设置：（图三）设备查询间隔：默认值60秒，即监控器对于设备进行查询的间隔时间为60秒查询一次，可根据客户需要调整数值重复报警间隔：默认值300秒，即当首次报警后如仍符合报警条件会在300秒后进行二次报警，可根据客户需要调整数值主机显示数量：默认值10个，即在主机列表中显示最大流量的前10台主机状态，可根据客户需要调整数值流量统计方式：表示进行流量报警设置时可选择IN、OUT 或IN+OUT 形式进AnHui ZXSoft Co. Ltd.©版权所有 2002-20084 页行流量计算连接统计方式：表示进行连接报警设置时可选择TCP in、TCP out、TCP （TCP 总连接）、UDP（总连接）、及TCP+UDP 形式进行连接计算SYSLOG 服务器：设置SYSLOG 服务器报警方式，通过添加SYSLOG 服务器地址 ，便于客户对日志信息进行管理3、 告警设置：¾ 报警条件（图四）总流量报警：指受监控防火墙的流量和，即所有受监控防火墙的流量（in 流量和out 流量和）达到此设置数值时，开始报警，单位为MBPS。

一、金盾/千M双路防火墙解决方案百M/千M双路防火墙采用双路数据通道，可抵御200Mbps（JDFW-200型）或者2GBps（JDFW-2000型）的攻击流量，充分利用现有的带宽实现更强的防御效果。

1. 设备配置如下图所示为金盾防火墙双路型基本配置图。

JDFW-200型设备配置图JDFW-2000型设备配置图2. 接入步骤：金盾双路型防火墙接入图如下所示：金盾双路型防火墙接入图其主要接入步骤如下：a) 首先在交换机的相应端口设置端口聚合——Port Trunking（某些交换机称为链路聚合——Link Aggregation），或者直接设置路由器完成线路的聚合。

外部交换机和内部交换机都需要设置；b) 接入防火墙，第一路数据通道和第二路数据通道的进口接入外部交换机上设置聚合的两个端口，出口则接入内部交换机设置聚合的两个端口；c) 将配置端口接入内部交换机，开启防火墙，完成安装。

3. 基本参数JDFW-200型防火墙基本参数如下：硬件设备：JDFW-200型硬件防火墙一台接入环境：双百兆线路管理方式：WEB，SSH，UART性能参数：可达双百兆线速，即64字节报文下可达200Mbps的报文处理能力JDFW-2000型防火墙基本参数如下：硬件设备：JDFW-2000型硬件防火墙一台接入环境：双千兆线路管理方式：WEB，SSH，UART性能参数：64字节报文下可达1.2Gbps的处理能力128字节报文下可达1.6Gbps的处理能力256-1514字节报文下可达1.9Gbps的处理能力二、防火墙集群解决方案针对目前广泛存在的多路接入环境，我们推出了防火墙集群解决方案。

最多可实现4台金盾防火墙组成集群，抵御近4Gbps的攻击流量。

1. 设备配置如下图所示为金盾防火墙集群型基本配置图。

JDFW-100集群型设备配置图JDFW-1000集群型设备配置图2. 接入步骤：金盾集群型防火墙接入图如下所示：金盾集群型防火墙接入图其主要接入步骤如下：a) 首先在交换机的相应端口设置端口聚合——Port Trunking（某些交换机称为链路聚合——Link Aggregation），或者直接设置路由器完成线路的聚合。

金盾抗DDOS防火墙用户操作手册选择金盾，铸就成功―――――――――――――――――――――――――――――AnHui ZXSoft Co. Ltd.©版权所有 2002-2008目录一、产品概述 (1)1. DOS/DDOS简介 (1)2. 金盾抗DDOS防火墙 (1)1) 技术优势 (1)a) DOS/DDOS攻击检测及防护 (1)b) 通用方便的报文规则过滤 (2)c) 专业的连接跟踪机制 (2)d) 简洁丰富的管理 (2)e) 广泛的部署能力 (2)f) 优质的售后服务 (2)2) 防护原理 (2)a) 攻击检测 (2)b) 协议分析 (3)c) 主机识别 (3)d) 连接跟踪 (3)e) 端口防护 (3)3) 软件产品系列 (3)4) 售后服务政策 (3)二、防火墙功能描述 (4)1.用户登录 (4)2.规则设置 (4)1)地址 (4)2)端口 (4)3)标志位 (4)4)模式匹配 (4)5)方向选择 (4)6)匹配行为 (5)3.防护状态 (5)1) SYN保护模式 (5)2) ACK保护模式 (5)3) UDP保护模式 (5)4) ICMP保护模式 (5)5) 碎片保护模式 (6)6) 忽略模式 (6)7) 禁止模式 (6)8) WebCC保护模式 (6)9) GameCC保护模式 (6)10) 高级UDP保护模式 (6)4.参数设置 (7)1) 预定规则 (7)a) 屏蔽135-139端口，阻止异域网及信息泄露 (7)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008b) 允许自己用ping命令探测其他机器 (7)c）防止别人用ping命令探测 (7)d）<<传奇>>攻击防护 (7)e）<<魔域>>攻击防护 (7)2) 攻击检测 (7)a)SYN保护触发 (7)b）SYN单机屏蔽 (7)c）ACK保护触发 (8)d）UDP保护触发 (8)f) ICMP保护触发 (8)g) 碎片保护触发 (8)3) 防护设置 (8)a) 地址屏蔽时间： (8)b) 连接数量保护 (8)c) 连接空闲超时 (8)4) 黑名单策略 (8)5.端口策略 (8)1) 端口范围 (9)2) 连接数量限制 (9)3) 连接频率限制 (9)4) 协议类型 (9)5) 防护标志 (9)a) 超时连接 (9)b) 延时提交 (9)c) 超时屏蔽 (9)d) 接受协议 (9)6) 防护模块 (9)a) 标准防护(default) (9)b) 动态验证(WEB Service Protection) (9)c) 频率保护(Game Service Protection) (10)5)模块参数 (10)三、页面管理 (11)1.登录页面 (11)2.关于页面 (11)3.状态监控页面 (12)1) 主机 (12)2) 带宽 (12)3)攻击频率 (12)4) 连接 (12)5) 状态 (13)4.连接监控页面 (13)1) 本地地址 (13)2) 远端地址 (13)3) 连接总数 (13)AnHui ZXSoft Co. Ltd.©版权所有 2002-20085.屏蔽列表页面 (13)1) 本地地址 (14)2) 远端地址 (14)3) 屏蔽时间 (14)6.黑名单列表页面 (14)1) 黑名单地址 (15)2) 访问次数 (15)3）设置黑名单 (15)4）清除黑名单 (15)7.规则设置页面 (15)8.参数设置页面 (16)9.端口保护设置页面 (17)10.日志记录页面 (18)11. 帮助-关于页面 (19)AnHui ZXSoft Co. Ltd.©版权所有 2002-2008一、产品概述本防火墙针对目前广泛存在的DOS/DDOS攻击而设计，为您的网站、信息平台、互动娱乐等基于Internet的网络服务提供完善的保护，使其免受恶意的攻击、破坏。

中新金盾抗拒绝服务系统技术白皮书版本号：201101A文档信息版权声明本文件所有内容受版权保护并且归中新软件所有。

未经中新软件明确书面许可，不得以任何形式复制、传播本文件（全部或部分）。

中新软件、JDFW、金盾抗拒绝服务系统是安徽中新软件有限公司注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。

本文件仅供技术学习参考，安徽中新软件不对本文件的内容及使用负任何责任或保证。

另外，安徽中新软件对本文件保留修改权利。

目录概述 (4)产品概况 (5)金盾JDFW-500+ (5)金盾JDFW-1000+ (6)金盾JDFW-2000+ (7)金盾JDFW-4000+ (8)金盾JDFW-8000+ (9)金盾NP-10000 (10)产品技术规范和标准 (11)金盾抗拒绝服务系统技术创新 (12)金盾抗拒绝服务系统防护功能介绍 (13)产品功能 (13)防护原理 (14)部署方式 (16)单机串联 (16)双机热备 (17)串联集群 (18)旁路（回流模式） (19)旁路（注入模式） (20)概述拒绝服务攻击（DOS/DDOS）是近年来愈演愈烈的一种攻击手段，其主要目的是造成目标主机的TCP/IP协议层拥塞、或者导致应用层异常终止而形成拒绝服务现象。

目前，DOS/DDOS 攻击方式主要有以下几种：◆利用TCP/IP协议的漏洞，消耗目标主机的系统资源，使其过度负载。

此种攻击也是目前最普遍存在的一种攻击形式，攻击者动辄发起几十兆甚至上百兆的攻击流量，造成目标的彻底瘫痪。

常见的有SYN Flood，UDP Flood，ICMP Flood等等；◆利用某些基于TCP/IP协议的软件漏洞，造成应用异常。

此种攻击比较单一，通常是针对某个软件的特定版本的攻击，影响范围较小，且具有时限性。

但通常此种攻击较难防治，漏洞查找较困难；◆不断尝试，频繁连接的野蛮型攻击。

此种攻击早期危害有限，但随着代理型攻击的加入，已渐有成为主流之势。

Hillstone统一智能防火墙安装手册目录第1章介绍 (1)第2章准备工作 (3)第3章安装与升级 (7)安装统一智能系统软件到虚拟机 (8)升级企业安全网关到指定的系统固件 (10)第4章初始化 (12)初始化 (12)第5章登录统一智能防火墙 (17)第6章高级功能设置 (18)查看统一智能系统接口信息 (18)配置统一智能系统接口 (18)修改统一智能系统登录密码 (18)升级统一智能防火墙 (18)通过WebUI升级 (18)通过CLI升级 (20)升级或回退企业安全网关的系统固件 (20)删除统一智能系统 (21)查看统一智能系统软件的版本及企业安全网关系统固件的版本 (21)配置可信主机 (21)智一能系统与企业安全网关连接通道的加密 (22)关于本手册手册内容该文档介绍统一智能防火墙的安装部署，具体内容包括：♦第1章介绍♦第2章准备工作♦第3章安装与升级♦第4章初始化♦第5章登录统一智能防火墙♦第6章高级功能设置手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示Hillstone设备WebUI界面上的链接、标签或者按钮。

例如，“点击『登录』按钮进入Hillstone设备的主页”。

♦< >：用该方式表示WebUI界面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

例如，“改变MTU值，选中<手动>单选按钮，然后在文本框中输入合适的值”。

CLI约定本手册在描述CLI时，遵循以下约定：♦大括弧（{ }）：指明该内容为必要元素。

♦方括弧（[ ]）：指明该内容为可选元素。

♦竖线（|）：分隔可选择的互相排斥的选项。

♦粗体：粗体部分为命令的关键字，是命令行中不可变部分，用户必须逐字输入。

如何正确安装和配置计算机防火墙计算机防火墙在安全保护方面起着至关重要的作用。

它能够帮助我们保护计算机免受网络攻击、病毒和恶意软件的威胁。

正确地安装和配置计算机防火墙可以确保我们的计算机系统安全可靠。

本文将为你介绍如何正确安装和配置计算机防火墙。

一、选择适合的计算机防火墙软件在安装计算机防火墙之前，我们首先需要选择适合自己的计算机防火墙软件。

市面上有很多种计算机防火墙软件可供选择，如Windows 防火墙、Norton防火墙、360安全卫士等。

我们可以根据自身需求和实际情况选择适合的软件。

二、安装计算机防火墙软件选择好计算机防火墙软件后，我们需要按照软件的安装向导进行安装。

通常情况下，安装计算机防火墙软件与安装其他软件没有太大区别。

我们可以通过双击安装包文件来运行安装向导，按照提示完成软件安装。

三、配置计算机防火墙完成软件安装后，我们需要进行计算机防火墙的配置。

具体的配置方法可能因软件而异，下面以Windows防火墙为例，介绍如何配置计算机防火墙。

1. 打开Windows防火墙设置点击“开始”按钮，在搜索框中输入“Windows防火墙”并选择打开。

在打开的窗口中，点击“高级设置”。

2. 配置入站规则在高级安全设置中，选择“入站规则”。

点击“新建规则”，选择“端口”，点击“下一步”。

在此处我们可以选择“端口”或“实例”进行配置。

如果我们需要配置特定的端口，可以选择“端口”进行配置；如果我们需要配置某个程序或应用的访问权限，可以选择“实例”进行配置。

根据需要进行相关配置，并点击“下一步”。

3. 配置出站规则在高级安全设置中，选择“出站规则”。

点击“新建规则”，选择“端口”，点击“下一步”。

同样，我们可以选择“端口”或“实例”进行配置。

根据需要进行相关配置，并点击“下一步”。

4. 其他配置根据自己的需求和实际情况，还可以进行其他相关配置，如配置辅助规则、安全性监视器等。

四、监控和更新计算机防火墙安装和配置计算机防火墙后，我们还需要定期监控和更新防火墙。

怎么安装硬件防火墙硬件防火墙是指把防火墙程序“做”到硬件内核里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

下面是店铺收集整理的怎么安装硬件防火墙，希望对大家有帮助~~安装硬件防火墙的方法下面这个带硬件防火墙功能的路由器采用的是一块笔记本硬盘。

采购主板、CPU、内存、硬盘还是老路数，先去二手电脑市场转转，很快淘来一个二手套板：赛扬533+主板+256M的SD内存，主板集成显卡，价格相当便宜，就是下面这个。

瞧上去不错吧，回想当年笔者曾经为了买一套二手的赛扬233(超到400)+64M内存+4.3G硬盘的机器花去8000元!不得不慨叹，电脑发展真是好快啊。

这就是咱们今天要组装的防火墙的硬件平台了，欣赏一下吧，说真的，比笔者看过的有些名牌防火墙的板子都显得好。

准备防火墙机箱、防火墙电源另一个今天的主角当然就是机箱了，很多硬件防火墙不过是多网卡的PC机而已，只是采用了UNIX类操作系统，并定制了一个特殊的机箱——防火墙盒子，就身价百倍。

呵呵，这里说的那个能让PC配件身价百倍的“魔法盒子”就是一台千际出品的1U钢壳特制防火墙机箱。

今天笔者选用的是一台型号为千际1U1D360的防火墙路由器专业1U机箱，是北京千际公司的产品。

这台机箱内含一台350瓦大功率防火墙不间断纯净电源，6个高速滚珠风扇，可以保证温度较高的PC处理器和其他配件在狭小的1U空间里稳定持久地运行，其定位即是硬件防火墙、专业路由器DIY市场，所以比较全面地考虑了对市场上常见配件的兼容性，因而使用起来感觉非常顺手。

安装超薄CPU散热器虽然今天用的是温度较低的P3赛扬，但是要保持其能在仅仅4厘米高度的1U超薄空间里稳定持久地运行，也需要特殊的散热装备来保证，下面是一块铜冰三代P3涡轮纯铜超薄散热器，可以为全系列的P3处理器提供强劲的散热，对于一块赛扬，更是不在话下。

现在散热器已经装好在主板上了，看上去挺有专业感觉吧。

网卡改造、用特制转接卡安装网卡这块主板集成显卡但是不集成网卡，防火墙至少需要2个网卡，一个连接公网一个连接内网，所以今天我们要采用两块PCI转接卡，大家仔细看看，这两个转接卡有什么不同?对，这是两块不同的转接卡，上面那块是一块反向转接卡，而下面那块是一块常见的正向转接卡，用这两个转接卡，就可以想两个不同方向转接网卡，从而达到在1U机箱内转接两块网卡的目的。