网路游侠:使用WEB应用防火墙保护网站安全

简介:
 其实这台WEB应用防火墙(WAF)在公司放了很久了,平时看看,但是基本没有静下心来仔细看看。现在到下班还有半个小时,粗略的过一下吧,看看WAF的功能。
  实际上WAF和传统防火墙的区别比较大,比如传统防火墙一般通过对IP和Port的过滤实现安全性,而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断,如SQL注入攻击、XSS攻击等,下面网路游侠给大家举例子看WAF是如何对网站进行防护的。
  网络的拓扑是这样的:

  网路游侠用的是笔记本电脑,通过交换机到WEB服务器,在服务器前我串接了WAF,是透明接入。说一句:我用的这台WAF透明接入,一个网卡是in,一个网卡是out,还有一个Admin口,部署相当便捷,可以说5分钟就可以调试。用Console线设置下IP地址,就可以通过Admin口用浏览器访问了。
  我关闭了WAF的阻断功能,就是说,现在虽然WAF部署在WEB服务器前,但是是不对网站进行防护的。然后找了一套企业网站CMS程序,服务器是Windows 2003 + IIS,为了省事,程序理所当然的选择的ASP的。下面我们看看演示,下图是用明小子Domain的扫描结果,提示有注入漏洞:

  找一个连接,复制到浏览器,手工输入个判断SQL注入的语句看看:

  说找不到产品,实际上输入关键词继续用工具注入是可以扫描出用户名、密码的。相信诸位也经常做WEB渗透测试,这个不用游侠我多说。我们下面开启WEB应用防火墙:

  开启了WAF后,我们尝试下SQL注入,手工就OK了。

  看到了吧?并没有出现什么提示,而是被WAF直接就阻断掉了。
  登录WAF看看报警提示:

  攻击IP、时间,攻击的形式,都可以展现在管理员面前。
  点击报警的记录,还可以展现更详细的内容:

  WAF对攻击的四种处理方式:检测、阻断、直接放行、丢弃
  当然,阻断SQL注入攻击仅仅是WAF的一个小功能,其它的像XSS、Cookies也都可以搞定。下图是我选择的一部分自带策略,大家可以看看,手头这个设备的策略还是比较丰富的。

  本款WAF支持WEB缓存加速,并且配置非常简单。大家看下图:

  只需要开启就可以了,并且鼠标放到“?”图标上就可以看到即时帮助,这个还是很人性化的。

  不得不说的还有报表功能,除了可以自定义时间段、攻击类型、IP地址等等常见的功能,导出功能也比较强大,还有我比较喜欢的PDF和PPT类型,不得不说是比较人性化。下面是生成的一份图形报告:
  

  好了,WEB应用防火墙就介绍到这里,近期会介绍数据库审计与风险控制系统,敬请关注张百川(网路游侠)的博客!



本文转自网路游侠 51CTO博客,原文链接:http://blog.51cto.com/youxia/200258

相关文章
|
10月前
|
存储 移动开发 安全
「网络安全」Web防火墙和下一代防火墙的区别
「网络安全」Web防火墙和下一代防火墙的区别
|
10月前
|
数据采集 云安全 安全
DDos防护、Web应用防火墙 与 云防火墙 有什么区别?
《云计算小白学习云产品》:云安全产品介绍
|
安全 Shell Apache
记一次从web到内网的渗透
记一次从web到内网的渗透
106 0
|
数据采集 安全 搜索推荐
阿里云web应用防火墙是什么?主要防护内容有哪些?
本文主要介绍了阿里云web应用防火墙是什么?是否安全及主要防护内容有哪些
950 1
阿里云web应用防火墙是什么?主要防护内容有哪些?
|
网络安全 Linux Windows
网站防CC攻击软件防火墙和WEB防火墙大比较
CC攻击是一种成本极低的DDOS攻击方式,只要有上百个IP,每个IP弄几个进程,那么可以有几百上千个并发请求,很容易让服务器资源耗尽,从而造成网站宕机;防御CC攻击,硬件防火墙的效果不怎么明显,因为CC攻击的IP量太小,很难触发防御机制,反而是软件防火墙、WEB防火墙更容易防御。
|
安全 网络安全 CDN
为什么web网站容易受到DDoS攻击
Web服务器保护无疑是一个热门话题。随着技术发展成熟,人们对便捷性的期待越来越高,服务器Web应用成为主流业务系统载体。存储在Web上的Web关键业务系统中的数据的价值已经引起了攻击者的关注,Web漏洞攻击和攻击工具的在线漏洞降低了攻击的门槛,并且使得攻击盲目和随机。
|
Web App开发 JavaScript 安全
臭名昭著的十种Web恶意攻击软件
传播恶意软件的网站可能已经趋于稳定,但是web所滋生的恶意软件却在与日俱增。根据思科所发布的2010年全球威胁报告的内容,犯罪份子正利用搜索引擎优化和社交工程来使其伎俩更高效,将更多的目标受害者吸引到少量的网址上。
2572 0
|
Web App开发 算法 网络安全
【WAF】三分钟了解Web应用防火墙
帮您快速掌握Web应用防火墙。
8915 0
|
Web App开发 安全 算法
web网站安全之虚拟币网站安全部署
区块链的安全构建分三个层次安全部署,首先是区块链的基础核心安全部署,分区块链数据,区块链的网络,第二层是区块链平台层的安全部署,分共识安全,激励安全,区块链合约安全。第三层就是区块链的应用层安全部署,服务器节点的安全部署,加密钱包的安全部署,币跟币之间的交易转账安全部署。
1378 0