网御异常流量管理系统清洗设备用户手册.pdf
- 文档编号:3430280
- 上传时间:2023-05-05
- 格式:PDF
- 页数:95
- 大小:4.44MB
网御异常流量管理系统清洗设备用户手册.pdf
《网御异常流量管理系统清洗设备用户手册.pdf》由会员分享,可在线阅读,更多相关《网御异常流量管理系统清洗设备用户手册.pdf(95页珍藏版)》请在冰点文库上搜索。
网御异常流量管理系统-清洗设备用户手册北京网御星云信息技术有限公司网御星云网御星云异常流量管理系统异常流量管理系统-清洗设备清洗设备用户手册用户手册北京网御星云信息技术有限公司修订版本TAM-Guard-Rev3.0-2013-0901网御异常流量管理系统-清洗设备用户手册北京网御星云信息技术有限公司声明声明本手册所含内容若有任何改动,恕不另行通知。
在法律法规的最大允许范围内,北京网御星云信息技术有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
在法律法规的最大允许范围内,北京网御星云信息技术有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。
本手册含受版权保护的信息,未经北京网御星云信息技术有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。
北京网御星云信息技术有限公司北京市海淀区东北旺西路8号中关村软件园21号楼网御异常流量管理系统-清洗设备用户手册北京网御星云信息技术有限公司目录前言.7导言.7本书适用对象.7本书适合的产品.71.TAM系统简介.82.系统管理.102.1系统工作原理.102.2登录界面.102.3修改密码.112.4设备管理.112.4.1设备列表.112.4.2添加设备.122.5用户管理.122.5.1用户列表.122.5.2用户组列表.132.5.3添加用户.132.5.4添加用户组.132.5.5添加一次性口令用户.142.5.6用户操作日志.142.5.7用户登陆错误日志.142.6系统参数.152.6.1基本设置.152.6.2IP设置.152.6.3访问控制.152.6.4数据清理.162.6.5Syslog设置.163设备管理.173.1异常流量管理系统设备配置.173.1.1设备状态.173.1.2网卡设置.18网御异常流量管理系统-清洗设备用户手册北京网御星云信息技术有限公司3.1.3License设置.183.1.4SNMP设置.194状态监控.204.1系统状态.204.2防护列表.214.3连接监控.244.4数据分析.244.5记录分析.254.6数据包分析.264.7HTTP分析.274.8DATA分析.284.9内网异常流量.284.10TOP排名.294.11黑名单列表.294.12白名单列表.305安全配置.315.1安全配置概述.315.2内网IP段.315.3参数配置.325.3.1参数配置.325.3.2报警设置.325.3.3流量限制.335.3.4攻击抓包设置.335.3.5同步.335.4全局模块配置.336流量牵引.356.1牵引概述.356.2牵引状态.356.2.1手动牵引.356.3牵引历史.366.4牵引信息.366.5牵引操作.37网御异常流量管理系统-清洗设备用户手册北京网御星云信息技术有限公司6.5.1添加牵引操作.376.6流量牵引策略.376.6.1添加流量牵引策略.386.7流量牵引配置说明.386.7.1添加牵引设备.386.7.2添加牵引设备操作.396.7.3测试牵引设备操作是否成功.406.7.4添加流量牵引策略.417防护策略.427.1本章简介.427.2数据过滤流程.427.3触发规则.447.3.1全局触发规则.447.3.2防护触发规则.467.4防护规则.477.4.1快速规则.477.4.2插件规则.487.4.3漏洞规则.487.5防护规则集.527.6应用规则.547.6.1添加.557.6.2删除.567.6.3激活.567.6.4禁用.577.6.5修改.577.7过滤规则.588域名防护.648.1过滤参数.648.2域名黑名单.658.3域名白名单.658.4过滤提示信息.669日志审记.67网御异常流量管理系统-清洗设备用户手册北京网御星云信息技术有限公司9.1攻击日志.679.2流量日志.689.3系统日志.699.4攻击统计.709.4.1攻击类型统计.709.4.2攻击服务器统计.7010插件管理.7210.1HttpCC问题回答.7211DNS插件.7311.1DNSDDOS概述.7311.2DNS插件.7311.3DNS黑白名单.7311.4DNS宕机保护.7411.5DNS域名绑定.7511.6DNSQPS状态图.7511.7DNS访问控制.7611.8DNSIP地址TopN.7611.9DNS域名TopN.7711.10DNS动态缓存.7711.11DNS随机域名限制.7811.12DNS域名劫持.7811.13DNS随机域名限制统计.7912攻防实例.8012.1UDP攻击防护.8012.2ICMP攻击防护.8412.3游戏端口假人攻击防护.8612.480端口GET首页攻击防护.91网御异常流量管理系统-清洗设备用户手册北京网御星云信息技术有限公司前前言言导言导言网御异常流量管理系统用户手册-清洗设备是网御异常流量管理系统(TAM)管理员手册中的一本。
该手册介绍了如何使用Web界面对TAM-Guard进行管理。
本书适用对象本书适用对象本手册适用于负责支持、维护TAM-Guard的安全管理员,使用本手册的读者,应掌握TCP/IP协议、IP地址及子网掩码等基本网络知识。
本书适合的产品本书适合的产品本书适合网御异常流量管理系统-清洗设备,以后简称TAM-Guard,不再说明。
网御星云异常流量管理系统清洗设备功能使用手册北京网御星云信息技术有限公司1.TAM系统系统简介简介网御星云根据多年对网络攻击和防护的深刻理解,倾力打造了异常流量管理系统(TAM)。
系统包括异常流量检测(TAM-Detector)、异常流量清洗(TAM-Guard)和管理中心(TAM-Manager)三个独立产品。
其中,Detector可对不同网络节点的流量进行检测分析,Guard对异常流量完成牵引和过滤,Manager则实现对Detector和Guard统一的信息管理、日志收集、报表呈现。
图1.1TAM产品针对采用带宽占用、服务处理能力消耗、异常包攻击等多种方式的DDOS攻击进行探测分析,基于已形成的安全基线,在发现有异常流量存在时,实现异常流量过滤并将正常的用户数据回注到主干网中,从而保证网络畅通和正常业务的连续性。
TAM整个系统协同完成全网流量分析、异常流量牵引、DDoS攻击流量清洗、可视化监控等功能,实现了检测-清洗-管理“三位一体”的解决方案,帮助用户实时了解网络运行状况,及时发现网络中出现的问题并自动对异常行为作出响应,从而快速清除异常流量造成的危害。
网御异常流量管理系统-清洗设备用户手册9/95北京网御星云信息技术有限公司图1.2TAM系列产品,应用了我司自主研发的抗拒绝服务攻击算法,对SYNFlood、UDPFlood、ICMPFlood、IGMPFlood、ACKFlood、DNSQueryFlood、PingSweep等流量型攻击,HTTPProxyFlood、HTTPGetFlood、CCProxyFlood、ConnectionExhausted等连接型攻击和Smurf、Land-based、Teardrop、FragmentFlood、RedCode等漏洞型攻击及其他各种常见的攻击行为均可有效识别,并通过内部集成的抗DDoS拒绝服务模块、策略模板功能模块、异常流量牵引模块、自动配置功能模块、数据包底层分析模块、IP连接监控模块、帐号管理模块、非法信息监控系统联动模块等多种功能模块,实时对攻击流量进行阻断处理,保障业务系统正常运行。
网御异常流量管理系统-清洗设备用户手册10/95北京网御星云信息技术有限公司2.2.系统管理系统管理2.1系统工作原理TAM-Guard支持采用串/并联模式部署在被保护与不被保护区域的交换或路由之间。
串联部署时,设备本身默认启用透明网络模式,开启透明模式该设备将不被网络上层与网络下层设备所侦测。
TAM-Guard接入后,上下层网络设备将不必重新配置路由信息,网络数据即可正常传输。
TAM-Guard采用数据流指纹过滤技术对流入与流出数据匹配,拦截异常流量,实现攻击防护。
2.2登录界面图2.1系统为B/S管理模式,支持中英文管理,使用浏览器管理维护;产品默认从第1个接口登陆,登录方式:
https:
/192.168.61.99:
16010,登陆后用户可根据实际需求进行接口配置;初始用户名:
root,初始密码:
12345(密码可在登录系统后右上角修改);网御异常流量管理系统-清洗设备用户手册11/95北京网御星云信息技术有限公司2.3修改密码图2.2图中红框中的按钮可以用于修改当前登录用户的管理密码。
2.4设备管理2.4.1设备列表图2.3完整的设备通过各个功能子模块组成,各模块通过设备列表查看。
IDID号:
号:
当前设备的编号;类型:
类型:
设备具体类型显示,不同设备将显示不同信息,如:
异常流量管理系统设备、其他牵引设备等;名称:
名称:
设备定义的具体名称;IPIP:
设备管理IP地址;端口:
端口:
设备数据通信端口;状态:
状态:
显示设备的工作状态,开启或关闭;操作:
操作:
设备配置操作,可进行关闭、配置、重启,三项选择操作。
网御异常流量管理系统-清洗设备用户手册12/95北京网御星云信息技术有限公司2.4.2添加设备图2.4如在实际环境中需扩展网御星云任意一款设备均可通过该模块添加:
设备类型:
设备类型:
选择被添加产品的类型;(如异常流量管理、异常流量检测系统等);设备名称:
设备名称:
添加系统平台标识号;设备设备IPIP:
添加系统平台管理IP地址;设备端口:
设备端口:
添加系统平台数据通信接口。
2.5用户管理2.5.1用户列表图2.5用户列表:
用户列表:
显示所有用户相关属性;操作选项可将用户删除、设置为管理员、设置为普通用户(管理员与普通用户有权限区别)、禁用、修改。
网御异常流量管理系统-清洗设备用户手册13/95北京网御星云信息技术有限公司2.5.2用户组列表图2.6方便系统管理人员,管理员可将不同区域用户添加相应用户组,并对用户组赋予权限级别。
2.5.3添加用户图2.7用户帐号:
用户帐号:
用户登录ID;用户名称:
用户名称:
管理员可添加用户本人姓名或其它信息;用户密码:
用户密码:
登录口令;填写完毕用户相关信息,选择相应用户组(双击用户组点击添加),选择确定,用户添加完毕。
2.5.4添加用户组图2.8网御异常流量管理系统-清洗设备用户手册14/95北京网御星云信息技术有限公司添加用户组:
添加用户组:
通过定义用户组名称添加备注信息,点击确定完成用户组添加。
用户组权限可在用户组列表修改。
2.5.5添加一次性口令用户图2.9添加一次性口令添加一次性口令:
获取用户权限只可登陆系统一次生效,该权限只有查看功能。
2.5.6用户操作日志图2.10记录所有用户操作日志,附加数据导出功能;2.5.7用户登陆错误日志图2.11用户登陆详细信息报表。
包括登陆账号、登录IP、登录时间,有利运维管理。
网御异常流量管理系统-清洗设备用户手册15/95北京网御星云信息技术有限公司2.6系统参数2.6.1基本设置图2.12安全中心标识:
安全中心标识:
管理中心对不同区域用户区分标识符,默认空白;会话超时时间:
会话超时时间:
登录超时时间设置,超时设备自动断开管理连接;2.6.2IP设置图2.13配置系统管理IP,包括IP地址、子网掩码、网关地址等。
配置成功后,还可以进行系统向外的ping测试。
2.6.3访问控制图2.14可设置开启访问控制,并添加信任IP,未添加信任的用户IP将无法登录管理系统。
网御异常流量管理系统-清洗设备用户手册16/95北京网御星云信息技术有限公司2.6.4数据清理图2.15可在此清理系统日志,或设置自动清理功能。
可对用户操作日志、用户登录错误日志、抓包记录、牵引历史、牵引日志、攻击日志、流量日志、CPU、内存日志等日志内容进行操作。
2.6.5Syslog设置图2.16可在此设置设备记录系统日志的功能,如果勾上启动syslog,下面填存储日志的服务器IP,那么日志会保存到相应的服务器上,如果不勾选就是存在本地,也就是异常流量管理系统上,默认为不勾选。
网御异常流量管理系统-清洗设备用户手册17/95北京网御星云信息技术有限公司33设备管理设备管理3.1异常流量管理系统设备配置在系统管理中的设备列表里,点击相应设备的【配置】按钮,进入异常流量管理系统设备配置页面。
图3.13.1.1设备状态用于显示设备当前状态。
图3.2设备状态:
设备状态:
设备状态包含设备ID、设备类型、设备名称、设备IP、设备端口、序列号、CPU、内存、硬盘、设备的启动、运行和当前时间等。
模块版本:
模块版本:
模块版本包含各系统防护模块的软件版本号,用于系统是否需要升级的依据。
网御异常流量管理系统-清洗设备用户手册18/95北京网御星云信息技术有限公司3.1.2网卡设置图3.3查看网卡的工作状态、MAC地址、当前角色、IP地址、MTU、错误包数、网卡模式。
网卡网卡名称:
名称:
显示网口名称;链路链路状态状态:
显示网口的工作状态(up、down);MACMAC地址:
地址:
显示网口的硬件MAC地址;当前角色当前角色:
当前网卡角色(外部网络、内部网络、管理口、同步口);IPIP:
网卡IP地址;MTUMTU:
网卡MTU值;错误包数:
错误包数:
当前网卡上出现的错误包数(接收和发送);网卡模式:
网卡模式:
当前网卡的工作模式(自动协商、全双工、半双工);3.1.3License设置用于显示License到期时间和导入新的License文件,来延长服务的使用时间。
图3.4选择导入选择导入LicenseLicense文件:
文件:
选择新的License文件进行导入,来延长服务的使用时间。
网御异常流量管理系统-清洗设备用户手册19/95北京网御星云信息技术有限公司图3.53.1.4SNMP设置如果网络中已经部署SNMP服务,可以在设备上启用SNMP的网络管理功能,方便管理员管理设备,默认是不启用的如果需要可以填写SNMP服务器的信息来开启该功能。
图3.6网御异常流量管理系统-清洗设备用户手册20/95北京网御星云信息技术有限公司44状态状态监控监控4.1系统状态系统系统状态状态:
用于显示异常流量管理当前实时输入和输出流量,输入和输出包数及异常流量管理运行状态。
图3.1攻击流量:
攻击流量:
红色曲线(单位位/每秒);输入流量:
输入流量:
浅蓝曲线(单位位/每秒);输出流量:
输出流量:
粉红曲线(单位位/每秒);输入数据包:
输入数据包:
黄色曲线(单位个/每秒);输出数据包:
输出数据包:
浅绿曲线(单位个/每秒);输入连接数:
输入连接数:
紫色曲线(单位个/每秒);输出连接数:
输出连接数:
深蓝曲线(单位个/每秒);日攻击类型分布图:
日攻击类型分布图:
24小时攻击类型统计;日攻击服务器分布图:
日攻击服务器分布图:
24小时被攻击服务器统计;网御异常流量管理系统-清洗设备用户手册21/95北京网御星云信息技术有限公司设备:
设备:
异常流量管理群集中用于区分各台设备的IP地址与设备名称;方向:
方向:
区分异常流量管理内网口(输出)与外网口(输入);拦截前流量:
拦截前流量:
未经异常流量管理数据处理前总流量;拦截后流量:
拦截后流量:
经异常流量管理防护完毕后总流量;包数:
包数:
流经异常流量管理总包数个数;连接数:
连接数:
当前墙下单台墙下所有服务器连接数;系统负载:
系统负载:
显示异常流量管理CPU使用率与系统内存剩余量;全局信息:
全局信息:
显示异常流量管理系统全局配置信息;4.2防护列表防护防护列表:
列表:
监控异常流量管理下所有的服务器实时状态,可详细监控到异常流量管理下所有IP的输入包数、输入流量、输出拦截、输入拦截、输出包数、输出流量。
支持顺序排列顺序排列,管理员可通过点击主机、总包数、UDP、ICMP、TCP、其他等,来完成顺序排列,如图4.2:
图4.2单个或多个IP输入包数或输入流量异常增大,可能是此IP遭受网络攻击,可对该IP抓取数据包分析,设置相应的防护规则实现攻击拦截。
数据包抓取:
数据包抓取:
点击需抓取数据包IP。
网御异常流量管理系统-清洗设备用户手册22/95北京网御星云信息技术有限公司图4.3图4.4图4.4已点击IP进入IP添加规则列表,通过点击抓包,如图4.5:
网御异常流量管理系统-清洗设备用户手册23/95北京网御星云信息技术有限公司图4.5点击开始点击开始:
异常流量管理以及开始抓取指IP流经异常流量管理数据包;点击停止点击停止:
异常流量管理停止抓取数据包并可以下载被抓取数据包;下载完成点击确定下载完成点击确定:
可以分析,系统开始重组数据包;点击查看点击查看:
显示抓取数据包信息;点击分析点击分析:
查看具体数据包内容(分析方法详见4.5记录分析);网御异常流量管理系统-清洗设备用户手册24/95北京网御星云信息技术有限公司4.3连接监控图4.6连接监控:
连接监控:
被保护区域内所有IP连接实时状态显示。
4.4数据分析图4.7抓包记录抓包记录:
通过对抓取的网络数据包分析功能,服务器遭受攻击时可以设置特定抓包规则抓取和分析攻击数据包,设置针对性的漏洞防护规则保护服务器,免遭受已知攻击和未知攻击。
图4.8网御异常流量管理系统-清洗设备用户手册25/95北京网御星云信息技术有限公司点击开始抓包,则进入抓包规则设置(图4.10):
选择设备选择设备:
异常流量管理群集中指定抓包异常流量管理;抓包方式抓包方式:
抓取指定IP数据包(被保护区域内具体服务器IP的数据)抓取所有包(流经异常流量管理所有数据包);模式模式:
过滤前(没有添加任何防护规则)过滤后(添加防护规则之后);强制抓包强制抓包:
特殊情况下使用,如有管理人员已经在抓包,可使用该功能强制抓包;源源IPIP类型类型:
抓取的源IP的匹配范围(外部客户端地址);源源IPIP:
数据包源IP地址;目的目的IPIP类型类型:
抓取的目的IP的匹配范围(内部服务器地址);目的目的IPIP:
数据包的目的IP地址;协议类型协议类型:
IP、TCP、UDP、ICMP、IGMP;方向选择方向选择:
接收(被保护区域服务器接收的数据方向)发送(被保护区域内服务器发送的数据方向);4.5记录分析图4.9记录分析记录分析:
对抓取到的数据包分析(数据包抓取完毕进入抓包历史记录点击查看);序序号号:
列表序号;时间时间:
抓数据包所用的时间;源源IPIP:
发送端IP地址;源端口源端口:
发起连接的地址端口;网御异常流量管理系统-清洗设备用户手册26/95北京网御星云信息技术有限公司目的目的IPIP:
接收端IP地址;目的端口目的端口:
要连接的地址端口;协议协议:
数据包使用的协议类型;TTLTTL:
指定数据包被路由器丢弃之前允许通过的网段数量;TCPTCP标志位标志位/偏移量偏移量:
(URG、ACK、PSH、RST、SYN、FIN)/此标志位在TCP报头中的位置;包大小包大小:
数据包的大小,单位字节;操作操作:
可以分析和下载数据包;4.6数据包分析图4.10分析:
分析:
点击图4.11任意分析,进入数据包详细信息;TCP标志位/偏移量(图4.12)URGURG:
此标志表示TCP包的紧急指针域有效,用来保证TCP连接不被中断,并且督促中间层设备要尽快处理这些数据;ACKACK:
此标志表示确认标志位,为1表示此数据包为应答数据包;PSHPSH:
这个标志位表示Push操作。
所谓Push操作就是指在数据包到达接收端以后,立即传送给应用程序,而不是在缓冲区中排队;RSTRST:
这个标志表示连接复位请求。
用来复位那些产生错误的连接,也被用来拒绝错误和非法的数据包;SYNSYN:
连接请求标志位。
为1表示为发起连接的请求数据包;FINFIN:
表示发送端已经达到数据末尾,也就是说双方的数据传送完成,没有数据可以传送了,发送FIN标志位的TCP数据包后,连接将被断开;网御异常流量管理系统-清洗设备用户手册27/95北京网御星云信息技术有限公司数据包偏移量数据包偏移量:
从以太网报头作为基准点,向后开始计算特定字段的偏移量。
TCP标志位偏移量应该是以下报头的相加的总和:
Ethernet报头13,IP报头20,TCP源端口2,TCP目标端口2,TCP序列号4,TCP确认号4,TCP报头长度1,TCP偏移量1。
所以,在基于数据包偏移的情况下,该数据包的TCP标志字段偏移量是13+20+2+2+4+4+1+1=47;4.7HTTP分析图4.11HTTPHTTP分析分析:
客户端访问服务器的页面分析(图4.11);服务器服务器IPIP:
被保护区域内服务器IP地;域名:
域名:
服务器IP被访问主域名;访问的页面:
访问的页面:
服务器被访问具体页面;网御异常流量管理系统-清洗设备用户手册28/95北京网御星云信息技术有限公司4.8DATA分析图4.12DataData:
数据段以十六进制形式表示;TextText:
数据段以字符形式表示;偏移量:
偏移量:
数据位的起始位置;4.9内网异常流量网御异常流量管理系统-清洗设备用户手册29/95北京网御星云信息技术有限公司4.10TOP排名图4.13TOPTOP排名排名:
通过流量排名、数据包排名,快速查询(默认显示前10名),并可对异常流量快速牵引导入黑洞路由,避免巨大流量攻击使网络瘫痪。
4.11黑名单列表黑名单列表中的IP,为不授信任外部客户端IP地址,可由管理员人工添加也可以通过安全过滤插件自动识别。
列表中的客户端IP异常流量管理系统将直接将通信数据丢弃,提高管理员安全操作的灵活性。
图4.14按被封按被封IPIP解封解封:
按被加入黑名单的客户端IP解封;按服务器按服务器IPIP解封解封:
按墙下服务器对被加黑的客户端IP解封;全部解封全部解封:
解封所有被封的客户端IP;导出导出:
导出黑名单列表;网御异常流量管理系统-清洗设备用户手册30/95北京网御星云信息技术有限公司导入:
导入:
导入黑名单列表;序号序号:
顺序排列编码;被封被封IPIP:
触发相应规则的外部客户端IP;服务器服务器IPIP:
客户端IP被加入黑名单时访问的内部服务器IP;规则
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 异常 流量 管理 系统 清洗 设备 用户手册