请教关于spi firewall参数问题

hedandi

* Intrusion Detection Feature\r\n\r\n      SPI and Anti-DoS firewall protection          yes/no\r\n      RIP defect                                                  yes/no\r\n       \r\n\r\n    * Stateful Packet Inspection\r\n\r\n      Packet Fragmentation         \r\n      TCP Connection         yes/no\r\n      UDP Session         yes/no\r\n      FTP Service         yes/no\r\n      H.323 Service         yes/no\r\n      TFTP  Service     yes/no\r\n\r\n    *  Connection Policy\r\n\r\n      Fragmentation half-open wait: secs\r\n\r\n      TCP SYN wait: sec.\r\n\r\n      TCP FIN wait: sec.\r\n\r\n      TCP connection idle timeout: sec.\r\n\r\n      UDP session idle timeout: sec.\r\n\r\n      H.323 data channel idle timeout: sec.\r\n\r\n    * DoS Detect Criteria:\r\n\r\n      Total incomplete TCP/UDP sessions HIGH: session\r\n\r\n      Total incomplete TCP/UDP sessions LOW: session\r\n\r\n      Incomplete TCP/UDP sessions (per min) HIGH: session\r\n\r\n      Incomplete TCP/UDP sessions (per min) LOW: session\r\n\r\n      Maximum incomplete TCP/UDP sessions number from same host:\r\n\r\n      Incomplete TCP/UDP sessions detect sensitive time period: msec.\r\n\r\n      Maximum half-open fragmentation packet number from same host:\r\n\r\n      Half-open fragmentation detect sensitive time period: msec.\r\n\r\n      Flooding cracker block time: sec.\r\n这里有几个地方搞不明白的.\r\n1. SPI and Anti-DoS firewall protection          yes/no这个选项与下面的Stateful Packet Inspection有没有关系啊.网上有说SPI就是 -m state --state ESTABLISHED,RELATED -j ACCEPT,那么后面的那些Stateful Packet Inspection中的参数是什么作用啊,是不是可以理解为:state ESTABLISHED,RELATED -j ACCEPT,然后选中的服务比如说tcp,udp在不满足前满这个状态的情况下可以accept,但是其他的任何服务,到最后全部DROP呢?如果 SPI and Anti-DoS firewall protection          yes/no这个选项不选,那么Stateful Packet Inspection中的参数又是什么作用呢?\r\n2.RIP defect.这个是说不响应RIP请求数据包，那么它将保留在输入队列中不能被发送.iptables中有这种匹配可以清除队列中的包的命令么?\r\n3.Connection Policy这个连接policy有时间控制,有什么参数可以匹配空闲时间呢\r\n4.DoS Detect Criteria 这个里面是用session来控制的,也就是说需要用到connlimit.现在有没有可以连udp一起匹配的模块呢...\r\n谢谢

hedandi

关于 2.RIP defect.这个是说不响应RIP请求数据包，那么它将保留在输入队列中不能被发送.iptables中有这种匹配可以清除队列中的包的命令么?\r\n我想应该是确定不响应请求包,就在input和forward中去匹配rip,然后drop.

ssffzz1

这个你还是问厂商比较清楚。\r\n\r\n设备特性的东西除了厂商别人很难说好的。

hedandi

关于 3.Connection Policy这个连接policy有时间控制,有什么参数可以匹配空闲时间呢 这个设置netfilter参数就可以了.恩,还有其他两个问题,不太清楚...

hedandi

下面的是参数说明:\r\n入侵侦测\r\nSPI and Anti-DoS防火墙保护（默认：激活）\r\n侵入侦测特点限制了来自WAN端口的访问。当SPI特点开启后，所有引入的数据包将被阻止，除非某些传输类型通过用户的检测。\r\nRIP过失（默认：激活）\r\n如果路由器不响应RIP请求数据包，那么它将保留在输入队列中不能被发送。堆积的数据包会导致输入队列形成饱和，对所有协议构成威胁。激活此功能可防止数据包发生堆积。\r\n从WAN丢弃PING（默认：禁用）\r\n防止从路由器的WAN端口发送到网络中一个PING。\r\n全状态检测包\r\n所谓“全状态”检测包是因为其检测信息满足检定情形，即确保规定的目的机当前的信息有被请求过的信息。此方式可确保所有的信息在可容机中开始，和从先前交换过的已知及信任的源始机中交换。在检测包中增加更多的严格检测，直到特殊端口被请求连接时检测防火墙一直关闭。\r\n当特殊类型的数据流被检测时，只允许来自内部的LAN的数据流通过，例：如果用户只检测在全状态检测包中的“FTP服务”时，除了源自本地LAN中FTP被连接之外，所有引入的数据流将阻塞。\r\n可选择使用动态端口成员的不同应用类型。如需使用全状态包检测（SPI）为分模块化数据包，请点击“Enable SPI and Anti-DoS firewall protection”字段内的“Yes”无线电按钮，并检查所需的侦测类型，如Packet Fragmentation, TCP Connection, UDP Session, FTP Service, H.323 Service, TFTP Service。\r\n当黑客企图闯入您的网络，我们会以e-mail的方式发出警告——输入E-mail地址，SMTP服务器地址，POP3服务器地址，邮件帐号的用户名及密码。\r\n连接政策——如下表描述，输入合适的TCP/UDP对话值。\r\nFragmentation half-open wait 10秒 配置数据包状态结构保持活动的时间。若超时，路由器开始丢弃未结合的数据包，解除原来的结构，供另一个数据包所使用。\r\nTCP SYN wait 30秒 定义软件在丢弃TCP会话前等待此会话到达确定状态的时间\r\nTCP FIN wait 5秒 定义在防火墙侦测到FIN交换后，TCP会话将被管理的时间\r\nTCP connection idle timeout 3600秒\r\n（1hour） 如果没有活动，TCP会话被管理的时间\r\nUDP session idle timeout 30秒 如果没有活动，UDP会话被管理的时间\r\nH.323 data channel idle timeout 180秒 如果没有活动，H.323会话被管理的时间\r\nDoS侦测标准和端口检测标准\r\nTotal incomplete TCP/UDP sessions HIGH 300秒 定义新的未确定的会话（它们会导致软件开始删除半开状态的会话）的等级\r\nTotal incomplete TCP/UDP sessions LOW 250秒 定义新的未确定的会话（它们会导致软件停止删除半开状态的会话）的等级\r\nIncomplete TCP/UDP sessions (per min) HIGH 250秒 每分钟允许不完整的TCP/UDP会话的最大数目\r\nIncomplete TCP/UDP sessions (permin) LOW 200秒 每分钟允许不完整的TCP/UDP会话的最小数目，但不能设置0为最小值\r\nMaximum Incomplete TCP/UDP sessions number from same host 10 来自同一个主机的不完整的TCP/UDP会话的最大数目\r\nIncomplete TCP/UDP sessions detect sensitive time period 300兆秒 在一个不完整的TCP/UDP会话被侦测到前的时间\r\nMaximum half-open fragmentation packet number from same host 30 来自同一个主机的半开的破碎数据包的最大数目\r\nHalf-open fragmentation detect sensitive time period 10000兆秒 在一个半开的破碎会话被侦测到前的时间\r\nFlooding cracker block time 300秒 从侦测一个泛洪攻击到阻塞此攻击所用的时间