ATIC设备安装及系统部署指南.docx
《ATIC设备安装及系统部署指南.docx》由会员分享,可在线阅读,更多相关《ATIC设备安装及系统部署指南.docx(14页珍藏版)》请在冰点文库上搜索。
ATIC设备安装及系统部署指南
设备侧配置准备
•ATIC安装准备•ATIC安装过程•ATIC安装验证
设备侧配置准备
•设备已经安装在网络中,相关的路由等已经调通。
为了适配ATIC
运行Anti-DDoS业务,
还需要进行下列配置:
/配置接口流量统计
/指定检测或清洗业务板(AntiDDoSlOOO无须配置)
/配置接口为清洗口或检测口(可选,AntiDDoSlOOO无须配置)
/检测设备接口管理流量使能(可选)
/配置首包丢弃(可选)
/配置BGP引流路由的下一跳及FIB过滤
配置接口流量统计
>[undo]anti-ddosflow-statisticenable
•使用说明
>anti-ddosflow-statisticenable命令用于使能基于接口的流量统计功能,检测和清洗设备都需要配置。
>undoanti-ddosflow-statisticenable命令用于关闭基于接口的流量统计功能。
>系统默认不使能,必须进行配置使能,对进入接口的流量做统计,从接口进入的流量才会进入DDoS模块处理。
举例:
[AntiDDoS8000-GigabitEtherne11Z0/6Jdisthis10:
50:
052013/05/22
ft
:
interfaceGigabitEthern巳
undoshutdown
ipaddressG.6.6.2255.255.255.0
tpa£fic-policp245inbound
anti-ddoscleanenable
•antirWosflow-statisticenable
tt
return
[AntiDDoS8000-GigabitEthei*ne11Z0/&]
指定检测或清洗业务板
>[undo]firewallddos{detect-spu|clean-spu}slotslot-id
•使用说明
>缺省情况下,业务板类型为防火墙业务板。
>firewallddos{detect-spu|clean-spu}slotslot-id命令用来指定业务板为检测业务板或清洗业务板。
>undofirewallddos{detect-spu|clean-spu}slotslot-id命令用来取消业务板上指定的检测或清洗类型,业务板类型恢复为防火墙业务板
>配置完此命令后,需要重启业务板,功能才生效,否则不生效。
举例:
systen)-uiew
10:
58:
322013/05/22
Entepsystemuiew,returnuseruiewwithCtrl+Z.[flntiDDoSS000Jfirewallddosclean-spuslot1
配置接口为清洗口或检测口
>[undo]anti-ddos{clean|detect}enable
•使用说明
>anti-ddos{clean|detect}enable命令用来指定接口为清洗或检测口。
>undoanti-ddos{clean|detect}enable命令用来取消业接口上指定的DDoS类型。
>缺省情况下,接口类型为转发口,即从转发口接收的流量直接上送到防火墙业务板处理。
举例:
EAnt1DD0S8000-GigabitEthei*netl/0/&Jdisthis10:
50:
052013/05/22
ft
:
interfaceGigabitEthern巳
undoshutdown
ipaddressG.6.6.2255.255.255.0
tpa£fic-policp245inbound
anti-ddoscleanenable
•antirWosflow-statisticenable
tt
return
[AntiDDoS8000-GigabitEthei*ne11Z0/&]
检测设备接口管理流量使能(可选)
•命令行
>[undo]anti-ddosdetect-devicemanage-portenable
•使用说明
>检测设备默认对进入的流量检测完毕作丢弃处理,必须把管理流量通过管理口区别开来,在与ATIC进行交互的接口下配置该命令。
>anti-ddosdetect-devicemanage-portenable命令用于使能检测设备基于接口的管理流量功能。
>undoanti-ddosdetect-devicemanage-portenable命令用于关闭检测设备基于接口的管理流量功能。
>默认为关闭使能。
首包丢弃原理
•原理和应用场景
原有的基于源探测的防御方法,会引起上行链路压力太大,即:
LG的下行攻击流量,会造成2G上行探测流量,从而对整个网络,或者客户链路造成压力,甚至引起反射攻击。
首包丢弃作为系统初级信誉用于防御流程,利用TCP协议或应用协议重传的特点,丢弃当前源的第—个报文,等该源的第二个报文在指定时间范围内到达即可认为通过信誉检查,进入后续源认证防御流程;否则丢弃。
•缺陷
对于正常应用,首包丢弃+源探测,典型的正常源需要9S才能连接到服务起上。
因为正常的重传时间是3s。
为此,需要增加信誉机制,在静态引流的场景下,对于源的行为进行检查,把符合行为的源加入白名单,这样,这些源在发生攻击时就不会受到影响。
首包丢弃配置(可选)
•系统视图、大客户视图下,命令行:
>[Eudemon]anti-ddosfirst-packet-check[interval{[lower-limitlower-value]|[upper-limitupper-value]}*]
>lower-limit^DUpper-limit的意思是指:
重传包和首包的时间差必须落入lower-limit和Upper-limit界定的时间范围内,才算通过信誉检查,否则丢弃;lower・limit默认为0,Upper-limit默认为6
>系统视图用于接口下得首包检查,大客户视图用于大客户下的精细化防范。
・配置说明
>首包丢弃开启后,会在synfloodssyn-ackfloodsackfloodsfinfloodsDNSReplyfloodsDNSRequestflood源认证流程之前进行。
>可以单独的配置首报的时间定义,从而在发生攻击时进行调整,避免清洗效果较差或影响正常业务的情况发生。
•命令行
>[undo]firewallddosbgp-next-hop{ip\ipv6ipv6}
・操作说明
>firewallddosbgp-next-hop命令用于配置主机路由使用的下一跳。
清洗设备会根据此命令指定的下一跳生成一个主机路由,然后通过EBGP发布到核心路由器,从而改变核心路由器的路由选择,达到引流的目的。
>undofirewallddosbgp-next-hop命令用于取消主机路由使用的下一跳。
>下一跳地址的配置与引流回注的方式相关,例如,若使用静态路由回注,
则需要将下一条配置成对端的回注接口的IP。
BGP引流时配置下一跳是否进行FIB过滤
•命令行
>[undo]firewallddosbgp-next-hopfib-filter
•使用场景:
存在多条回注链路时,并不能简单的使用清洗设备上的这条静态路由实现流量的回注。
此时需要过滤清洗设备生成的这条静态路由,使其不下发到FIB表中,不能影响回注流量,同时配置其他回注策略,将流量送回原链路。
・操作说明
>firewallddosbgp-next-hopfib-filter命令用于在清洗设备启动FIB过滤开关,即对于利用下
—跳生成的主机路由不进行下发路由表的操作。
>undofirewallddosbgp-next-hopfib-filter命令用于取消FIB过滤开关。
>在配置此命令时,要确认当前系统尚未配置任何引流策略,如果已经配置,需要首先将取消所有引流策略。
>FIB过滤的作用在于,BGP引流,多个接口回注时,引流路由只用于BGP发布,不会在本地指导转发。
如BGP引流,策略路由回注或MPLSVPN/MPLSLSP回注,就需要配置FIB过滤。
•对于通过BGP发布的引流路由,需要注意在路由器侧配置相应路
由过滤策略,将从清洗设备学习到的BGP路由限定在一定范围,避免扩散到全网,否则可能引起全网路由环路。
ATIC安装准备
•检查硬件配置
/CPU要求至少双核,内存至少4G,硬盘至少lOOGo
/建议磁盘分为C、D两个分区,C区安装操作系统,D区安装ATICo
•检查操作系统
(32bit)
(64bit)
/WindowsServer2003R2StandardwithSP2
/WindowsServer2008R2StandardwithSP1
需要检查相关端
•检查网络配置
/ATIC和NIP设备之间路由可达,如果有防火墙,
口是否开通。
/只能配置IPV4的地址。
•检查设备配置
/ATIC只支持单向下发策略,不能从设备读取已经配置的策略,所以,请先清空设备上的防护对象及其策略,通过ATIC进行配置下发。
ATIC安装准备
注意事项:
/Windows操作系统的“区域和语言选项”必须是中文或英文,并且安装后不能修改。
/安装路径只能包含字母、数字、下划线,不能包含空格、括号、中文字符等其他字符。
/安装前要调整好服务器和设备的时间,保持一致并且和准确,安装后如果需要调整ATIC服务器的时间,需要重启服务器。
建议Anti-DDoS设备和ATIC服务器都配置NTP和统一的时间服务器同步。
/ATIC提供Mysql静默安装。
如果系统之前安装过Mysql,请关闭该服务,并把启动模式设置为“手动”O
/安装完成后,提示安装安全加固。
安全加固的安装指南请参考vsm_secharden力p包里提供的说明文档。
ATIC安装规划
•集中式安装
>适合设备数量比较少或防护的ip数量比较少的场景。
要求高端设备小于等于2台。
•分布式安装
>适合设备数量比较多的场景,采集器分布式安装在不同的服务器上,每个采集器可以关联不多于2台高端设备。
>推荐每个采集器对应一台高端设备。
>分布式安装要求管理中心和采集器、采集器和设备、管理中心和设备之间的链路互通。
>最多支持20台采集器分布式部署。
第一步:
启动安装
1、使用Administrator登录操作系统,关闭所有正在运行程序;
2s运行安装光盘或安装软件包中的install.
exe文件,启动安装程序
安装ATIC
第二步:
选择安装组件(全部选中)
5Anti-DDoS参数
8确认汇总佶息
上一步(E)]
卞二步迪
取消
(2)
第三步:
检测系统环境
检查HTTP、HTTPS端口是否被占用。
如端口已经被其他程序使用,将提示“被占用”o此时可以选择修改ATIC的端口或者释放被系统其他应用程序占用的端口。
第四步:
配置安装目录和固定的IP地址
第五步:
配置采集器参数
安装ATIC
第七步:
安装信息汇总
安装ATIC
•开始安装
•安装完成,选择是否立即启动
提示
匕】ATIC软件安装成功。
如需对物理服务器的操作系统和数据库进行安全加固,请阅读并依胆《安装指南》手册进行操作。
団立即启动ATIG软件。
匚jeE!
验证安装正确性
选择“开始〉控制面板>管理工具>服务”o
确认以下服务是否存在,并且已经启动。
1、采集器服务
^ArLti-DDciSCollector
・・・・
MonitccrE...
Anti-DDoSCollectorMon...己启話
自动
■本地茶统」
JArLti-DDoSCollector
Service
Anti-DDoSCollectorSer.
已启动
手动
本地系绒
、Web服务
iLEGOMonitor
C・•…・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・—・・・・・・・・・・・・,
LegoMonitorService.
已启动
自动
李地粥」
iLECTService
LegoService・
已启动
手动
本地系统
iLEGOWebSrv
LegoWebService.
已启动
手动
本地系统
、数据库服务
^mysqlservice
已启动自动
本地系统1
•如果服务存在并且已经启动,说明安装正确。
・如果服务存在但是没有启动,请右键单击该服务,在弹出的快捷菜单中选择“启动”。
•如果服务不存在,请卸载重新安装。
验证安装正确性
•在安装ATIC的服务器上启动E,输入http:
//127.0.0.1:
8080,出现登录界面,说明系统安装正确。
ATIC
语言;简体中文
升级会员 