请教关于spi firewall参数问题

hedandi

* Intrusion Detection Feature

      SPI and Anti-DoS firewall protection          yes/no
      RIP defect                                                  yes/no
      

    * Stateful Packet Inspection

      Packet Fragmentation        
      TCP Connection         yes/no
      UDP Session         yes/no
      FTP Service         yes/no
      H.323 Service         yes/no
      TFTP  Service     yes/no

    *  Connection Policy

      Fragmentation half-open wait: secs

      TCP SYN wait: sec.

      TCP FIN wait: sec.

      TCP connection idle timeout: sec.

      UDP session idle timeout: sec.

      H.323 data channel idle timeout: sec.

    * DoS Detect Criteria:

      Total incomplete TCP/UDP sessions HIGH: session

      Total incomplete TCP/UDP sessions LOW: session

      Incomplete TCP/UDP sessions (per min) HIGH: session

      Incomplete TCP/UDP sessions (per min) LOW: session

      Maximum incomplete TCP/UDP sessions number from same host:

      Incomplete TCP/UDP sessions detect sensitive time period: msec.

      Maximum half-open fragmentation packet number from same host:

      Half-open fragmentation detect sensitive time period: msec.

      Flooding cracker block time: sec.
这里有几个地方搞不明白的.
1. SPI and Anti-DoS firewall protection          yes/no这个选项与下面的Stateful Packet Inspection有没有关系啊.网上有说SPI就是 -m state --state ESTABLISHED,RELATED -j ACCEPT,那么后面的那些Stateful Packet Inspection中的参数是什么作用啊,是不是可以理解为:state ESTABLISHED,RELATED -j ACCEPT,然后选中的服务比如说tcp,udp在不满足前满这个状态的情况下可以accept,但是其他的任何服务,到最后全部DROP呢?如果 SPI and Anti-DoS firewall protection          yes/no这个选项不选,那么Stateful Packet Inspection中的参数又是什么作用呢?
2.RIP defect.这个是说不响应RIP请求数据包，那么它将保留在输入队列中不能被发送.iptables中有这种匹配可以清除队列中的包的命令么?
3.Connection Policy这个连接policy有时间控制,有什么参数可以匹配空闲时间呢
4.DoS Detect Criteria 这个里面是用session来控制的,也就是说需要用到connlimit.现在有没有可以连udp一起匹配的模块呢...
谢谢

hedandi

关于 2.RIP defect.这个是说不响应RIP请求数据包，那么它将保留在输入队列中不能被发送.iptables中有这种匹配可以清除队列中的包的命令么?
我想应该是确定不响应请求包,就在input和forward中去匹配rip,然后drop.

ssffzz1

这个你还是问厂商比较清楚。

设备特性的东西除了厂商别人很难说好的。

hedandi

关于 3.Connection Policy这个连接policy有时间控制,有什么参数可以匹配空闲时间呢 这个设置netfilter参数就可以了.恩,还有其他两个问题,不太清楚...

hedandi

下面的是参数说明:
入侵侦测
SPI and Anti-DoS防火墙保护（默认：激活）
侵入侦测特点限制了来自WAN端口的访问。当SPI特点开启后，所有引入的数据包将被阻止，除非某些传输类型通过用户的检测。
RIP过失（默认：激活）
如果路由器不响应RIP请求数据包，那么它将保留在输入队列中不能被发送。堆积的数据包会导致输入队列形成饱和，对所有协议构成威胁。激活此功能可防止数据包发生堆积。
从WAN丢弃PING（默认：禁用）
防止从路由器的WAN端口发送到网络中一个PING。
全状态检测包
所谓“全状态”检测包是因为其检测信息满足检定情形，即确保规定的目的机当前的信息有被请求过的信息。此方式可确保所有的信息在可容机中开始，和从先前交换过的已知及信任的源始机中交换。在检测包中增加更多的严格检测，直到特殊端口被请求连接时检测防火墙一直关闭。
当特殊类型的数据流被检测时，只允许来自内部的LAN的数据流通过，例：如果用户只检测在全状态检测包中的“FTP服务”时，除了源自本地LAN中FTP被连接之外，所有引入的数据流将阻塞。
可选择使用动态端口成员的不同应用类型。如需使用全状态包检测（SPI）为分模块化数据包，请点击“Enable SPI and Anti-DoS firewall protection”字段内的“Yes”无线电按钮，并检查所需的侦测类型，如Packet Fragmentation, TCP Connection, UDP Session, FTP Service, H.323 Service, TFTP Service。
当黑客企图闯入您的网络，我们会以e-mail的方式发出警告——输入E-mail地址，SMTP服务器地址，POP3服务器地址，邮件帐号的用户名及密码。
连接政策——如下表描述，输入合适的TCP/UDP对话值。
Fragmentation half-open wait 10秒 配置数据包状态结构保持活动的时间。若超时，路由器开始丢弃未结合的数据包，解除原来的结构，供另一个数据包所使用。
TCP SYN wait 30秒 定义软件在丢弃TCP会话前等待此会话到达确定状态的时间
TCP FIN wait 5秒 定义在防火墙侦测到FIN交换后，TCP会话将被管理的时间
TCP connection idle timeout 3600秒
（1hour） 如果没有活动，TCP会话被管理的时间
UDP session idle timeout 30秒 如果没有活动，UDP会话被管理的时间
H.323 data channel idle timeout 180秒 如果没有活动，H.323会话被管理的时间
DoS侦测标准和端口检测标准
Total incomplete TCP/UDP sessions HIGH 300秒 定义新的未确定的会话（它们会导致软件开始删除半开状态的会话）的等级
Total incomplete TCP/UDP sessions LOW 250秒 定义新的未确定的会话（它们会导致软件停止删除半开状态的会话）的等级
Incomplete TCP/UDP sessions (per min) HIGH 250秒 每分钟允许不完整的TCP/UDP会话的最大数目
Incomplete TCP/UDP sessions (permin) LOW 200秒 每分钟允许不完整的TCP/UDP会话的最小数目，但不能设置0为最小值
Maximum Incomplete TCP/UDP sessions number from same host 10 来自同一个主机的不完整的TCP/UDP会话的最大数目
Incomplete TCP/UDP sessions detect sensitive time period 300兆秒 在一个不完整的TCP/UDP会话被侦测到前的时间
Maximum half-open fragmentation packet number from same host 30 来自同一个主机的半开的破碎数据包的最大数目
Half-open fragmentation detect sensitive time period 10000兆秒 在一个半开的破碎会话被侦测到前的时间
Flooding cracker block time 300秒 从侦测一个泛洪攻击到阻塞此攻击所用的时间