开发者社区> 科技小能手> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

网路游侠:使用WEB应用防火墙保护网站安全

简介:
+关注继续查看
 其实这台WEB应用防火墙(WAF)在公司放了很久了,平时看看,但是基本没有静下心来仔细看看。现在到下班还有半个小时,粗略的过一下吧,看看WAF的功能。
  实际上WAF和传统防火墙的区别比较大,比如传统防火墙一般通过对IP和Port的过滤实现安全性,而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断,如SQL注入攻击、XSS攻击等,下面网路游侠给大家举例子看WAF是如何对网站进行防护的。
  网络的拓扑是这样的:

  网路游侠用的是笔记本电脑,通过交换机到WEB服务器,在服务器前我串接了WAF,是透明接入。说一句:我用的这台WAF透明接入,一个网卡是in,一个网卡是out,还有一个Admin口,部署相当便捷,可以说5分钟就可以调试。用Console线设置下IP地址,就可以通过Admin口用浏览器访问了。
  我关闭了WAF的阻断功能,就是说,现在虽然WAF部署在WEB服务器前,但是是不对网站进行防护的。然后找了一套企业网站CMS程序,服务器是Windows 2003 + IIS,为了省事,程序理所当然的选择的ASP的。下面我们看看演示,下图是用明小子Domain的扫描结果,提示有注入漏洞:

  找一个连接,复制到浏览器,手工输入个判断SQL注入的语句看看:

  说找不到产品,实际上输入关键词继续用工具注入是可以扫描出用户名、密码的。相信诸位也经常做WEB渗透测试,这个不用游侠我多说。我们下面开启WEB应用防火墙:

  开启了WAF后,我们尝试下SQL注入,手工就OK了。

  看到了吧?并没有出现什么提示,而是被WAF直接就阻断掉了。
  登录WAF看看报警提示:

  攻击IP、时间,攻击的形式,都可以展现在管理员面前。
  点击报警的记录,还可以展现更详细的内容:

  WAF对攻击的四种处理方式:检测、阻断、直接放行、丢弃
  当然,阻断SQL注入攻击仅仅是WAF的一个小功能,其它的像XSS、Cookies也都可以搞定。下图是我选择的一部分自带策略,大家可以看看,手头这个设备的策略还是比较丰富的。

  本款WAF支持WEB缓存加速,并且配置非常简单。大家看下图:

  只需要开启就可以了,并且鼠标放到“?”图标上就可以看到即时帮助,这个还是很人性化的。

  不得不说的还有报表功能,除了可以自定义时间段、攻击类型、IP地址等等常见的功能,导出功能也比较强大,还有我比较喜欢的PDF和PPT类型,不得不说是比较人性化。下面是生成的一份图形报告:
  

  好了,WEB应用防火墙就介绍到这里,近期会介绍数据库审计与风险控制系统,敬请关注张百川(网路游侠)的博客!



本文转自网路游侠 51CTO博客,原文链接:http://blog.51cto.com/youxia/200258

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【C++】优先级队列 priority_queue的使用及模拟实现@STL —— 仿函数
优先级队列也是一种容器适配器,默认情况下它适配的是vector,以支持堆的算法中频繁的随机访问。priority_queue不像stack & queue的适配只是简单复用,还搭配了堆的算法。那么,如何控制大堆还是小堆呢?就要通过简单的**仿函数**啦。let's go!
21 0
好客租房158-在城市界面使用navbar
好客租房158-在城市界面使用navbar
14 0
网站用什么IDS防火墙防入侵等黑客攻击问题
IDS防火墙无法发现的威胁,入侵检测系统善于捕获已知的显式恶意攻击。而一些专家会说,一个正确定义的ids可以捕获任何安全威胁,包括事实上最难发现和预防的滥用事件。例如,如果外部黑客使用社会工程技术获得CEO密码,许多入侵检测系统将不会注意到。如果站点管理员无意中向世界公共目录提供机密文件,ids将不会注意到。如果攻击者使用默认密码管理帐户,则应在系统安装后更改账户,而入侵检测系统很少注意到。如果黑客进入网络并复制秘密文件,id也很难被注意到。这并不是说ids不能用来检测前面提到的每一个错误事件,但是它们比直接攻击更难检测。攻击者绕过ids的最有效方法是在许多层(第二、第三和第七层)中加密数据。
89 0
阿里云云盾·Web应用防火墙 获“2018网络安全创新产品(技术)评选”一等奖
2018年8月14日-16日,由国家互联网应急中心主办的2018中国网络安全年会在北京顺利举行。现场,阿里云云盾·Web应用防火墙(以下简称“阿里云WAF”)凭借创新技术与产品优势以全场最高分获得“2018网络安全创新产品(技术)”一等奖。
2893 0
让黑客无隙可乘——企业级Web网站安全解决方案揭秘
在3月10日举办的阿里云网站热点研讨会上,阿里云资深安全业务架构师蕴藉就网站Web应用的安全性及业务可用性进行了一系列细致的讲解和介绍,接下来我们就来共同了解一下他分享的内容。
12639 0
推荐8款优秀的餐饮网站模板
  这篇文章收集了8款优秀的餐饮网站模板,希望这些网站模板能帮助到您。当你想快速制作出一个网站的时候,网站模板就非常有用了。学习网页设计的朋友也可以从网站模板入手,学习模板网站的布局方式和编码风格。 Delicious Restaurant WordPress Theme Restauran...
739 0
23703
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载