网路游侠：使用WEB应用防火墙保护网站安全

　　其实这台WEB应用防火墙（WAF）在公司放了很久了，平时看看，但是基本没有静下心来仔细看看。现在到下班还有半个小时，粗略的过一下吧，看看WAF的功能。
　　实际上WAF和传统防火墙的区别比较大，比如传统防火墙一般通过对IP和Port的过滤实现安全性，而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断，如SQL注入攻击、XSS攻击等，下面网路游侠给大家举例子看WAF是如何对网站进行防护的。
　　网络的拓扑是这样的：



　　网路游侠用的是笔记本电脑，通过交换机到WEB服务器，在服务器前我串接了WAF，是透明接入。说一句：我用的这台WAF透明接入，一个网卡是in，一个网卡是out，还有一个Admin口，部署相当便捷，可以说5分钟就可以调试。用Console线设置下IP地址，就可以通过Admin口用浏览器访问了。
　　我关闭了WAF的阻断功能，就是说，现在虽然WAF部署在WEB服务器前，但是是不对网站进行防护的。然后找了一套企业网站CMS程序，服务器是Windows 2003 + IIS，为了省事，程序理所当然的选择的ASP的。下面我们看看演示，下图是用明小子Domain的扫描结果，提示有注入漏洞：



　　找一个连接，复制到浏览器，手工输入个判断SQL注入的语句看看：



　　说找不到产品，实际上输入关键词继续用工具注入是可以扫描出用户名、密码的。相信诸位也经常做WEB渗透测试，这个不用游侠我多说。我们下面开启WEB应用防火墙：



　　开启了WAF后，我们尝试下SQL注入，手工就OK了。



　　看到了吧？并没有出现什么提示，而是被WAF直接就阻断掉了。
　　登录WAF看看报警提示：



　　攻击IP、时间，攻击的形式，都可以展现在管理员面前。
　　点击报警的记录，还可以展现更详细的内容：



　　WAF对攻击的四种处理方式：检测、阻断、直接放行、丢弃
　　当然，阻断SQL注入攻击仅仅是WAF的一个小功能，其它的像XSS、Cookies也都可以搞定。下图是我选择的一部分自带策略，大家可以看看，手头这个设备的策略还是比较丰富的。



　　本款WAF支持WEB缓存加速，并且配置非常简单。大家看下图：



　　只需要开启就可以了，并且鼠标放到“？”图标上就可以看到即时帮助，这个还是很人性化的。



　　不得不说的还有报表功能，除了可以自定义时间段、攻击类型、IP地址等等常见的功能，导出功能也比较强大，还有我比较喜欢的PDF和PPT类型，不得不说是比较人性化。下面是生成的一份图形报告：


　　
　　好了，WEB应用防火墙就介绍到这里，近期会介绍数据库审计与风险控制系统，敬请关注张百川（网路游侠）的博客！