waf日志解析总结计划报告总结计划.docx

waf日志解析总结计划报告总结计划 waf日志解析总结计划报告总结计划 PAGE PAGE9 waf日志解析总结计划报告总结计划 PAGE 衡固WEB应用安全网关 日记剖析报告 10月1日-10月31日 科技发展有限企业 2012年11月 一、 WAF部署方式 WAF 的部署方式有 3种：串接，并接和双机热备。串接主要部署在迅速部署的系统中， 工作于透明模式，拥有 bypass的功能；并接主要针对不可以中止的系统；双机热备则拥有更高 的安全性和靠谱性，当一台 waf出现故障，另一台会自动开启防备功能。 二、 资源占用状况统计和剖析 图2-1waf 的CPU和内存使用率 从上图中能够看出，10月1日到10月31日，waf的CPU应用率均匀%，内存使用的均匀 利用率为%，整体资源耗资不大，但在不停的流量监控的过程中 CPU的使用会出现较高的峰值。 三、 网站的接见恳求、应用流量和响应时间统计 图3-1接见恳求统计 图3-2应用流量统计 图3-3响应时间统计 网站的均匀总接见量为 1119000个，均匀总应用流量为 106154KBytes，网站的均匀响应 时间为11毫秒。 四、 WEB服务受攻击与 WAF网站防备对照剖析 图4-1 攻击防备 图4-2攻击源统计 从以上的攻击防备与攻击源的图能够看出，绝大部分防备的是网络爬虫，而网络爬虫的 作用是使网站在各大搜寻引擎中更简单被找到，所以正常的网络爬虫没有危害，若某些IP大批使用一种爬虫而造成网站的接见很迟缓的状况，则需要阻断这些IP的接见使得网站接见正常。 此外，waf防备的攻击还有 SQL注入，所谓的 SQL注入，就是攻击者经过欺诈数据库服 务器履行非受权的随意查问过程。攻击者经过 SQL注入可获得管理员权限，从而操作后台数 据，窜改网页内容。 五、 历史同期的比较 攻击种类 较上月剖析，CC攻击、目录遍历、远程文件包括攻击在10月份均没有出现，并且SQL注入攻击也较上月的52次降到38次。 接见流量 下列图为10月份用户接见恳求的流量图。 接见流量的对照将在下个月的剖析报告中表现 攻击源地点 攻击的IP地点对应的地域绝大部分来自北京， 和上月同样。造成这类状况形成的原由可 能是因为使用扫描器对网站进行扫描，使用不一样的攻击代码对网站接见时， waf都会记录攻 击信息，生成攻击防备日记。 六、 跟其余单位waf的比较 人口信息中心 商委 教委 质监局 SQL注入38次 SQL注入814 次 SQL注入38 次 SQL注入25次 攻击种类与次数 跨站脚本3 次 跨站脚本15 次 目录遍历8 次 目录遍历43 次 命令注入1 次 远程文件包括 24次 1119 792 均匀接见恳求（个） 均匀应用流量 KBytes） 攻击次数最多根源  106154 66299 辽宁大连 北京电信 北京 电信 七、 改良举措 1）开启DDOS防备，防备DDOS攻击 2 ）封闭爬虫防备，减少防备日记，提升 waf性 能 3 ）开启网站的破绽扫描，防止因为网站破绽带来的威迫。 八、 定性剖析 从上边的剖析中能够看出， WAF有效的检测并阻断各种攻击，防止 SQL注入破绽的检测 和攻击，解决了 SQL注入带来的危害，经过报表统计能够看到攻击的根源，能够更有效的追 溯攻击根源，使得网站的安全获得保障。