此文章主要講述的是KFW傲盾防火墻如何防范CC攻擊，總所周知CC攻擊是DDOS攻擊的一種,CC攻擊模擬多個(gè)用戶不停的進(jìn)行訪問某個(gè)頁面直到系統(tǒng)崩潰。kfw傲盾防火墻獨(dú)特的算法,區(qū)別于其他防火墻。

不但可以根據(jù)單個(gè)IP的連接數(shù)量,也可以根據(jù)頁面的內(nèi)容進(jìn)行智能定制防護(hù),可以有效防范cc攻擊,設(shè)置如下:

CC攻擊是DDOS攻擊的一種,CC攻擊模擬多個(gè)用戶不停的進(jìn)行訪問某個(gè)頁面直至系統(tǒng)崩潰。kfw傲盾防火墻獨(dú)特的算法,區(qū)別于其他防火墻,不但可以根據(jù)單個(gè)IP的連接數(shù)量,也可以根據(jù)頁面的內(nèi)容進(jìn)行智能定制防護(hù),可以有效防范cc攻擊,設(shè)置如下:

1.登陸KFW傲盾防火墻管理器-設(shè)置-防火墻規(guī)則-防火墻規(guī)則設(shè)置-添加(如圖)

名稱填寫: 保護(hù)80端口,防范CC攻擊,協(xié)議類型選TCP,發(fā)送端是訪問web的客戶端,接受端是需要保護(hù)的WEB服務(wù)器的IP地址.這里我們假設(shè)是192.168.1.102 , 選擇接受端‘等于單一IP地址’, 通常web服務(wù)器的端口是80,這里我們選擇‘等于端口’ 80.‘協(xié)議屬性設(shè)置’默認(rèn)情況是防護(hù)下面所有的FIN,ACK,SYN,PSH,RST,URG 協(xié)議. 這個(gè)選項(xiàng)我們一般不需要?jiǎng)? ‘攔截設(shè)置’ 我們選‘條件符合時(shí)攔截’

.

2. 然后點(diǎn)擊 ‘高級(jí)設(shè)置’,進(jìn)入‘高級(jí)設(shè)置’ 界面.選擇‘大量IP刷服務(wù)器'

.

如上圖,我們選擇 1. ‘進(jìn)行大量IP刷服務(wù)器防護(hù)’, 2. ‘按訪問限制’ , 3. ‘WEB SERVER HTTP協(xié)議防護(hù)’.WEB SERVERHTTP協(xié)議防護(hù)是KFW傲盾防火墻所獨(dú)有的功能,如果選上這個(gè)選項(xiàng),那么防火墻根據(jù)每個(gè)訪問IP打開你頁面的所需要下載的圖片,flash, 等計(jì)算訪問服務(wù)器次數(shù).假如你的頁面很大圖片,和flash,就需要增加‘60秒內(nèi)允許訪問的次數(shù). 可以從50次增加到100或者200次.根據(jù)你自己的情況靈活調(diào)節(jié)你可以一邊調(diào)節(jié)這個(gè)數(shù)值,一邊訪問自己的網(wǎng)站,如果發(fā)現(xiàn)登陸不上去了,就可以加大數(shù)值.#p#

如果你要根據(jù)每個(gè)IP和服務(wù)器建立的連接來進(jìn)行防護(hù),(不推薦這樣,應(yīng)為連接數(shù)通常不準(zhǔn)確) 就可以不選WEB SEVER HTTP 協(xié)議防護(hù),這樣就是按照鏈接數(shù)進(jìn)行防護(hù)了.

3.上圖中的選項(xiàng)‘加入IP拒絕訪問列表后多少秒內(nèi)釋放’ 是指超出60秒訪問50次的IP將會(huì)被冰凍起來,加入IP拒絕訪問列表, 我們可以冰凍這個(gè)IP達(dá)600秒,當(dāng)然也可以設(shè)置成500或者300秒.解凍后允許它訪問服務(wù)器10次,這個(gè)數(shù)值也可以根據(jù)情況再進(jìn)行設(shè)置.

4. 如果CC攻擊的數(shù)量很大,你也可以禁止HTTP代理連接.但是這樣做會(huì)使一部分使用HTTP代理的用戶訪問不了你的網(wǎng)站.

點(diǎn)擊‘設(shè)置’--—‘DOS攻擊防護(hù)’---‘SYN拒絕服務(wù)攻擊防護(hù)’ 如下圖

然后添加一個(gè)規(guī)則如下圖:

描述寫:防止HTTP代理連接, ‘IP類型’選’任何IP地址’, ‘端口類型’ 選‘任何端口’ , 然后點(diǎn)擊 ‘禁止http代理連接’ 如下圖:

通過上述幾個(gè)步驟的設(shè)置,KFW傲盾防火墻就可以防護(hù)針對(duì)WEB的CC和空連接攻擊了.