此文章主要講述的是KFW傲盾防火墻如何防范CC攻擊，總所周知CC攻擊是DDOS攻擊的一種,CC攻擊模擬多個用戶不停的進行訪問某個頁面直到系統崩潰。kfw傲盾防火墻獨特的算法,區別于其他防火墻。

不但可以根據單個IP的連接數量,也可以根據頁面的內容進行智能定制防護,可以有效防范cc攻擊,設置如下:

CC攻擊是DDOS攻擊的一種,CC攻擊模擬多個用戶不停的進行訪問某個頁面直至系統崩潰。kfw傲盾防火墻獨特的算法,區別于其他防火墻,不但可以根據單個IP的連接數量,也可以根據頁面的內容進行智能定制防護,可以有效防范cc攻擊,設置如下:

1.登陸KFW傲盾防火墻管理器-設置-防火墻規則-防火墻規則設置-添加(如圖)

名稱填寫: 保護80端口,防范CC攻擊,協議類型選TCP,發送端是訪問web的客戶端,接受端是需要保護的WEB服務器的IP地址.這里我們假設是192.168.1.102 , 選擇接受端‘等于單一IP地址’, 通常web服務器的端口是80,這里我們選擇‘等于端口’ 80.‘協議屬性設置’默認情況是防護下面所有的FIN,ACK,SYN,PSH,RST,URG 協議. 這個選項我們一般不需要動. ‘攔截設置’ 我們選‘條件符合時攔截’

.

2. 然后點擊 ‘高級設置’,進入‘高級設置’ 界面.選擇‘大量IP刷服務器'

.

如上圖,我們選擇 1. ‘進行大量IP刷服務器防護’, 2. ‘按訪問限制’ , 3. ‘WEB SERVER HTTP協議防護’.WEB SERVERHTTP協議防護是KFW傲盾防火墻所獨有的功能,如果選上這個選項,那么防火墻根據每個訪問IP打開你頁面的所需要下載的圖片,flash, 等計算訪問服務器次數.假如你的頁面很大圖片,和flash,就需要增加‘60秒內允許訪問的次數. 可以從50次增加到100或者200次.根據你自己的情況靈活調節你可以一邊調節這個數值,一邊訪問自己的網站,如果發現登陸不上去了,就可以加大數值.#p#

如果你要根據每個IP和服務器建立的連接來進行防護,(不推薦這樣,應為連接數通常不準確) 就可以不選WEB SEVER HTTP 協議防護,這樣就是按照鏈接數進行防護了.

3.上圖中的選項‘加入IP拒絕訪問列表后多少秒內釋放’ 是指超出60秒訪問50次的IP將會被冰凍起來,加入IP拒絕訪問列表, 我們可以冰凍這個IP達600秒,當然也可以設置成500或者300秒.解凍后允許它訪問服務器10次,這個數值也可以根據情況再進行設置.

4. 如果CC攻擊的數量很大,你也可以禁止HTTP代理連接.但是這樣做會使一部分使用HTTP代理的用戶訪問不了你的網站.

點擊‘設置’--—‘DOS攻擊防護’---‘SYN拒絕服務攻擊防護’ 如下圖

然后添加一個規則如下圖:

描述寫:防止HTTP代理連接, ‘IP類型’選’任何IP地址’, ‘端口類型’ 選‘任何端口’ , 然后點擊 ‘禁止http代理連接’ 如下圖:

通過上述幾個步驟的設置,KFW傲盾防火墻就可以防護針對WEB的CC和空連接攻擊了.