使用WEB应用防火墙保护网站安全.docVIP

使用WEB应用防火墙保护网站安全 　　其实这台WEB应用防火墙（WAF）在公司放了很久了，平时看看，但是基本没有静下心来仔细看看。现在到下班还有半个小时，粗略的过一下吧，看看WAF的功能。 　　实际上WAF和传统防火墙的区别比较大，比如传统防火墙一般通过对IP和Port的过滤实现安全性，而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断，如SQL注入攻击、XSS攻击等，下面我举例子看WAF是如何对网站进行防护的。 　　网络的拓扑是这样的： 　　我用的是笔记本电脑，通过交换机到WEB服务器，在服务器前我串接了WAF，是透明接入。说一句：我用的这台WAF透明接入，一个网卡是in，一个网卡是out，还有一个Admin口，部署相当便捷，可以说5分钟就可以调试。用Console线设置下IP地址，就可以通过Admin口用浏览器访问了。 　　我关闭了WAF的阻断功能，就是说，现在虽然WAF部署在WEB服务器前，但是是不对网站进行防护的。然后找了一套企业网站CMS程序，服务器是Windows 2003 + IIS，为了省事，程序理所当然的选择的ASP的。下面我们看看演示，下图是用明小子Domain的扫描结果，提示有注入漏洞： 　　找一个连接，复制到浏览器，手工输入个判断SQL注入的语句看看： 　　说找不到产品，实际上输入关键词继续用工具注入是可以扫描出用户名、密码的。相信诸位也经常做WEB渗透测试，这个不用游侠我多说。我们下面开启WEB应用防火墙： 　　开启了WAF后，我们尝试下SQL注入，手工就OK了。 　　看到了吧？并没有出现什么提示，而是被WAF直接就阻断掉了。 　　登录WAF看看报警提示： 　　攻击IP、时间，攻击的形式，都可以展现在管理员面前。 　　点击报警的记录，还可以展现更详细的内容： 　　WAF对攻击的四种处理方式：检测、阻断、直接放行、丢弃 　　当然，阻断SQL注入攻击仅仅是WAF的一个小功能，其它的像XSS、Cookies也都可以搞定。下图是我选择的一部分自带策略，大家可以看看，手头这个设备的策略还是比较丰富的。 　　本款WAF支持WEB缓存加速，并且配置非常简单。大家看下图： 　　只需要开启就可以了，并且鼠标放到“？”图标上就可以看到即时帮助，这个还是很人性化的。 　　不得不说的还有报表功能，除了可以自定义时间段、攻击类型、IP地址等等常见的功能，导出功能也比较强大，还有我比较喜欢的PDF和PPT类型，不得不说是比较人性化。下面是生成的一份图形报告： 　　 　　好了，WEB应用防火墙就介绍到这里，近期会介绍数据库审计与风险控制系统，敬请关注张百川（网路游侠）的博客（http://）！