F5 ASM与Oracle DBFW结合解决方案及配置.docxVIP

F5 ASM与Oracle DBFW结合 为什么要采用F5 ASM + Oracle DBFW双层防御？ Oracle Database Firewall 可做到针对Oracle数据库攻击防护。 部署在数据库前端。 ASM单机L4处理能力可以超过160Gbps，业界最领先性能。即使采用低端产品，也能获得较高的性能。 内置SSL硬件加解密芯片，在市场上的主要竞争对手不具备。 采用CMP技术,内置并行处理机制,吞吐能力随硬件扩容线性增加。 部署在应用的前端。 能够对数据库用户、操作系统用户、IP地址进行行为跟踪和分析，强大的审计能力。 能够对有害SQL语句或SQL注入进行拦截和报警。 具体测试过程 测试设备是一台ASM+LTM，版本和Deployment Guide一样是10.2.1，V11有很多配置细节都与DG上不一样，所以没有使用。 建立一个Pool，里面的Pool Members是一台Webgoat服务器，数据库放在DBFW之后 新建一个Virtual Server，使用Standard类型，关联HTTP Profile和Enable ASM的HTTP Class。 建立相应的Web Application策略。 定义日志输出格式，需要将所有日志输出到DBFW， Storage Format必须严格按照Deployment Guide上的顺序进行选择。 选择Transparent模式，暂不做阻断。DBFW也采用学习模式。 对WebGoat服务器进行攻击，一个典型的SQL Injection，由于现在两个设备都不处于阻断模式，攻击成功。 在DBFW上可以看到详细的攻击类型，时间，以及从F5 ASM上面传递过来的信息。包括Support ID 通过Support ID搜索之后，可以看到如下的记录： 通过修改参数的方式进行注入攻击： 登录到某个普通员工的账号里： 在查看资料的时候，使用TempIE，将employee_id=101修改为employee_id=101 OR 1=1 ORDER BY salary desc，然后提交。目的是通过SQL注入，越权按薪水大小排序，并显示出薪水最高的员工的资料。 DBFW上可以识别到相应的攻击。 通过Support ID，在F5 ASM上进行查询。