其實這台WEB應用防火牆(WAF)在公司放了很久了,平時看看,但是基本沒有靜下心來仔細看看。現在到下班還有半個小時,粗略的過一下吧,看看WAF的功能。
實際上WAF和傳統防火牆的差別比較大,比如傳統防火牆一般通過對IP和Port的過濾實作安全性,而WAF則是通過對資料包的深層檢測實作WEB攻擊的檢測和阻斷,如SQL注入攻擊、XSS攻擊等,下面網路遊俠給大家舉例子看WAF是如何對網站進行防護的。
網絡的拓撲是這樣的:
網路遊俠用的是筆記本電腦,通過交換機到WEB伺服器,在伺服器前我串接了WAF,是透明接入。說一句:我用的這台WAF透明接入,一個網卡是in,一個網卡是out,還有一個Admin口,部署相當便捷,可以說5分鐘就可以調試。用Console線設定下IP位址,就可以通過Admin口用浏覽器通路了。
我關閉了WAF的阻斷功能,就是說,現在雖然WAF部署在WEB伺服器前,但是是不對網站進行防護的。然後找了一套企業網站CMS程式,伺服器是Windows 2003 + IIS,為了省事,程式理所當然的選擇的ASP的。下面我們看看示範,下圖是用明小子Domain的掃描結果,提示有注入漏洞:
找一個連接配接,複制到浏覽器,手工輸入個判斷SQL注入的語句看看:
說找不到産品,實際上輸入關鍵詞繼續用工具注入是可以掃描出使用者名、密碼的。相信諸位也經常做WEB滲透測試,這個不用遊俠我多說。我們下面開啟WEB應用防火牆:
開啟了WAF後,我們嘗試下SQL注入,手工就OK了。
看到了吧?并沒有出現什麼提示,而是被WAF直接就阻斷掉了。
登入WAF看看報警提示:
攻擊IP、時間,攻擊的形式,都可以展現在管理者面前。
點選報警的記錄,還可以展現更詳細的内容:
WAF對攻擊的四種處理方式:檢測、阻斷、直接放行、丢棄
當然,阻斷SQL注入攻擊僅僅是WAF的一個小功能,其它的像XSS、Cookies也都可以搞定。下圖是我選擇的一部分自帶政策,大家可以看看,手頭這個裝置的政策還是比較豐富的。
本款WAF支援WEB緩存加速,并且配置非常簡單。大家看下圖:
隻需要開啟就可以了,并且滑鼠放到“?”圖示上就可以看到即時幫助,這個還是很人性化的。
不得不說的還有報表功能,除了可以自定義時間段、攻擊類型、IP位址等等常見的功能,導出功能也比較強大,還有我比較喜歡的PDF和PPT類型,不得不說是比較人性化。下面是生成的一份圖形報告:
好了,WEB應用防火牆就介紹到這裡,近期會介紹資料庫審計與風險控制系統,敬請關注張百川(網路遊俠)的部落格!
本文轉自網路遊俠 51CTO部落格,原文連結:http://blog.51cto.com/youxia/200258
![Windows下配置Apache的SSL服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)