網路遊俠:使用WEB應用防火牆保護網站安全
其實這臺WEB應用防火牆(WAF)在公司放了很久了,平時看看,但是基本沒有靜下心來仔細看看。現在到下班還有半個小時,粗略的過一下吧,看看WAF的功能。
實際上WAF和傳統防火牆的區別比較大,比如傳統防火牆一般通過對IP和Port的過濾實現安全性,而WAF則是通過對資料包的深層檢測實現WEB攻擊的檢測和阻斷,如SQL隱碼攻擊、XSS攻擊等,下面網路遊俠給大家舉例子看WAF是如何對網站進行防護的。
網路的拓撲是這樣的:
網路遊俠用的是膝上型電腦,通過交換機到WEB伺服器,在伺服器前我串接了WAF,是透明接入。說一句:我用的這臺WAF透明接入,一個網路卡是in,一個網路卡是out,還有一個Admin口,部署相當便捷,可以說5分鐘就可以除錯。用Console線設定下IP地址,就可以通過Admin口用瀏覽器訪問了。
我關閉了WAF的阻斷功能,就是說,現在雖然WAF部署在WEB伺服器前,但是是不對網站進行防護的。然後找了一套企業網站CMS程式,伺服器是Windows 2003 + IIS,為了省事,程式理所當然的選擇的ASP的。下面我們看看演示,下圖是用明小子Domain的掃描結果,提示有注入漏洞:
找一個連線,複製到瀏覽器,手工輸入個判斷SQL隱碼攻擊的語句看看:
說找不到產品,實際上輸入關鍵詞繼續用工具注入是可以掃描出使用者名稱、密碼的。相信諸位也經常做WEB滲透測試,這個不用遊俠我多說。我們下面開啟WEB應用防火牆:
開啟了WAF後,我們嘗試下SQL隱碼攻擊,手工就OK了。
看到了吧?並沒有出現什麼提示,而是被WAF直接就阻斷掉了。
登入WAF看看報警提示:
攻擊IP、時間,攻擊的形式,都可以展現在管理員面前。
點選報警的記錄,還可以展現更詳細的內容:
WAF對攻擊的四種處理方式:檢測、阻斷、直接放行、丟棄
當然,阻斷SQL隱碼攻擊僅僅是WAF的一個小功能,其它的像XSS、Cookies也都可以搞定。下圖是我選擇的一部分自帶策略,大家可以看看,手頭這個裝置的策略還是比較豐富的。
本款WAF支援WEB快取加速,並且配置非常簡單。大家看下圖:
只需要開啟就可以了,並且滑鼠放到“?”圖示上就可以看到即時幫助,這個還是很人性化的。
不得不說的還有報表功能,除了可以自定義時間段、攻擊型別、IP地址等等常見的功能,匯出功能也比較強大,還有我比較喜歡的PDF和PPT型別,不得不說是比較人性化。下面是生成的一份圖形報告:
實際上WAF和傳統防火牆的區別比較大,比如傳統防火牆一般通過對IP和Port的過濾實現安全性,而WAF則是通過對資料包的深層檢測實現WEB攻擊的檢測和阻斷,如SQL隱碼攻擊、XSS攻擊等,下面網路遊俠給大家舉例子看WAF是如何對網站進行防護的。
網路的拓撲是這樣的:
網路遊俠用的是膝上型電腦,通過交換機到WEB伺服器,在伺服器前我串接了WAF,是透明接入。說一句:我用的這臺WAF透明接入,一個網路卡是in,一個網路卡是out,還有一個Admin口,部署相當便捷,可以說5分鐘就可以除錯。用Console線設定下IP地址,就可以通過Admin口用瀏覽器訪問了。
我關閉了WAF的阻斷功能,就是說,現在雖然WAF部署在WEB伺服器前,但是是不對網站進行防護的。然後找了一套企業網站CMS程式,伺服器是Windows 2003 + IIS,為了省事,程式理所當然的選擇的ASP的。下面我們看看演示,下圖是用明小子Domain的掃描結果,提示有注入漏洞:
找一個連線,複製到瀏覽器,手工輸入個判斷SQL隱碼攻擊的語句看看:
說找不到產品,實際上輸入關鍵詞繼續用工具注入是可以掃描出使用者名稱、密碼的。相信諸位也經常做WEB滲透測試,這個不用遊俠我多說。我們下面開啟WEB應用防火牆:
開啟了WAF後,我們嘗試下SQL隱碼攻擊,手工就OK了。
看到了吧?並沒有出現什麼提示,而是被WAF直接就阻斷掉了。
登入WAF看看報警提示:
攻擊IP、時間,攻擊的形式,都可以展現在管理員面前。
點選報警的記錄,還可以展現更詳細的內容:
WAF對攻擊的四種處理方式:檢測、阻斷、直接放行、丟棄
當然,阻斷SQL隱碼攻擊僅僅是WAF的一個小功能,其它的像XSS、Cookies也都可以搞定。下圖是我選擇的一部分自帶策略,大家可以看看,手頭這個裝置的策略還是比較豐富的。
本款WAF支援WEB快取加速,並且配置非常簡單。大家看下圖:
只需要開啟就可以了,並且滑鼠放到“?”圖示上就可以看到即時幫助,這個還是很人性化的。
不得不說的還有報表功能,除了可以自定義時間段、攻擊型別、IP地址等等常見的功能,匯出功能也比較強大,還有我比較喜歡的PDF和PPT型別,不得不說是比較人性化。下面是生成的一份圖形報告:
好了,WEB應用防火牆就介紹到這裡,近期會介紹資料庫審計與風險控制系統,敬請關注張百川(網路遊俠)的部落格!
本文轉自網路遊俠 51CTO部落格,原文連結:http://blog.51cto.com/youxia/200258
相關文章
- 網路安全中Web應用防火牆的作用是什麼?Web防火牆
- 【網路安全】什麼Web應用防火牆?它與雲防火牆有什麼差異?Web防火牆
- 好用且免費的防火牆推薦,幫你保護網站安全!防火牆網站
- Web應用防火牆是什麼?網路安全必備常識Web防火牆
- 網路安全必備常識:Web應用防火牆是什麼?Web防火牆
- 網路安全知識入門:Web應用防火牆是什麼?Web防火牆
- 華為云云防火牆在手,防護網站安全無憂!防火牆網站
- 保護網站安全網站
- 72 個網路應用安全實操要點,全方位保護 Web 應用的安全Web
- 網路安全——防火牆詳解防火牆
- 防火牆是什麼?F5保護Web應用的思路解讀防火牆Web
- 建立防火牆的主動性網路安全防護模型(轉)防火牆模型
- 網路安全的保護神——亢天防黑牆(轉)
- 網站安全公司對waf防火牆作用分析網站防火牆
- Web 應用防火牆:怎麼新增防護物件-域名Web防火牆物件
- 建立防火牆的主動性網路安全防護體系(轉)防火牆
- 實戰:Windows防火牆保護客戶端安全Windows防火牆客戶端
- 利用京東雲Web應用防火牆實現Web入侵防護Web防火牆
- 聯瑞Bypass網路卡:築牢網路安全“防火牆”防火牆
- “網路遊俠”張百川——暢遊網路世界的俠客
- 防火牆 | 網路協議防火牆協議
- 【網路安全技術篇】保護網站免受劫持的方法有哪些?網站
- 為你的網站帶上帽子 — 使用 helmet 保護 Express 應用網站Express
- 阿里雲Web應用防火牆知識,瞭解阿里雲Web應用防火牆阿里Web防火牆
- 什麼是Web應用防火牆?Web防火牆
- 騰訊雲Web應用防火牆有什麼用?Web應用防火牆是防禦原理介紹Web防火牆
- 騰訊安全釋出新一代Web應用防火牆Web防火牆
- 維護網路安全保護人民利益
- Nginx + Lua 搭建網站WAF防火牆Nginx網站防火牆
- 網路安全程式設計 windowns防火牆培訓程式設計防火牆
- 安全網路防火牆的十二個注意事項(轉)防火牆
- 保護企業網站安全,華為雲網站安全解決方案有絕招網站
- 網際網路公司資料安全保護新探索
- 什麼是 Web 應用防火牆(WAF)?Web防火牆
- 全新 Cloudflare Web 應用程式防火牆(WAF)CloudWeb防火牆
- 網路遊俠:關於安全這個圈子……有話說
- 使用這些 HTTP 頭保護 Web 應用HTTPWeb
- 網路安全行政命令:保護軟體供應鏈