网路游侠:使用WEB应用防火墙保护网站安全

其实这台WEB应用防火墙(WAF)在公司放了很久了,平时看看,但是基本没有静下心来仔细看看。现在到下班还有半个小时,粗略的过一下吧,看看WAF的功能。

实际上WAF和传统防火墙的区别比较大,比如传统防火墙一般通过对IP和Port的过滤实现安全性,而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断,如SQL注入攻击、XSS攻击等,下面网路游侠给大家举例子看WAF是如何对网站进行防护的。

网络的拓扑是这样的:

网路游侠:使用WEB应用防火墙保护网站安全

网路游侠用的是笔记本电脑,通过交换机到WEB服务器,在服务器前我串接了WAF,是透明接入。说一句:我用的这台WAF透明接入,一个网卡是in,一个网卡是out,还有一个Admin口,部署相当便捷,可以说5分钟就可以调试。用Console线设置下IP地址,就可以通过Admin口用浏览器访问了。

我关闭了WAF的阻断功能,就是说,现在虽然WAF部署在WEB服务器前,但是是不对网站进行防护的。然后找了一套企业网站CMS程序,服务器是Windows 2003 + IIS,为了省事,程序理所当然的选择的ASP的。下面我们看看演示,下图是用明小子Domain的扫描结果,提示有注入漏洞:

找一个连接,复制到浏览器,手工输入个判断SQL注入的语句看看:

网路游侠:使用WEB应用防火墙保护网站安全

说找不到产品,实际上输入关键词继续用工具注入是可以扫描出用户名、密码的。相信诸位也经常做WEB渗透测试,这个不用游侠我多说。我们下面开启WEB应用防火墙:

网路游侠:使用WEB应用防火墙保护网站安全

开启了WAF后,我们尝试下SQL注入,手工就OK了。

网路游侠:使用WEB应用防火墙保护网站安全

看到了吧?并没有出现什么提示,而是被WAF直接就阻断掉了。

登录WAF看看报警提示:

网路游侠:使用WEB应用防火墙保护网站安全

攻击IP、时间,攻击的形式,都可以展现在管理员面前。

点击报警的记录,还可以展现更详细的内容:

网路游侠:使用WEB应用防火墙保护网站安全

WAF对攻击的四种处理方式:检测、阻断、直接放行、丢弃

当然,阻断SQL注入攻击仅仅是WAF的一个小功能,其它的像XSS、Cookies也都可以搞定。下图是我选择的一部分自带策略,大家可以看看,手头这个设备的策略还是比较丰富的。

网路游侠:使用WEB应用防火墙保护网站安全

本款WAF支持WEB缓存加速,并且配置非常简单。大家看下图:

只需要开启就可以了,并且鼠标放到“?”图标上就可以看到即时帮助,这个还是很人性化的。

不得不说的还有报表功能,除了可以自定义时间段、攻击类型、IP地址等等常见的功能,导出功能也比较强大,还有我比较喜欢的PDF和PPT类型,不得不说是比较人性化。下面是生成的一份图形报告:

网路游侠:使用WEB应用防火墙保护网站安全

好了,WEB应用防火墙就介绍到这里,近期会介绍数据库审计与风险控制系统,敬请关注张百川(网路游侠)的博客!

本文转自网路游侠 51CTO博客,原文链接:http://blog.51cto.com/youxia/200258

上一篇:配置IPF过滤防火墙
下一篇:把iptables防火墙配置为网关服务器