网路游侠：某软件版WEB应用防火墙试用

　　去年的这个时候，游侠(www.youxia.org)认为WAF都是硬件的，后来在网上看到这个在国内做的不错的牌子。居然是软件的WAF，这样的话，一些服务器在机房托管的用户就特别需要这样的产品，因为1U的设备在电信机房的托管费用都有几千到上万，价格和便捷性的优势一下子就出来了……
　　拿到了厂家发过来的测试版，迫不及待的装上试试！
　　测试环境：
　　·Windows Server 2003
　　·IIS 6.0
　　·某有漏洞的ASP内容管理系统
　　这款软件的WAF部署实际上比较简单的，并且是纯绿色软件……不需要下一步，也不需要点安装协议，直接拷贝文件到某个目录下面，配置权限，在IIS或其它的WEB Server进行相关配置即可，不难，几分钟即可配置好。过程我就不说了，只谈感想。呵呵
　　可能不大懂WEB Server配置的人看到软件的说明书会感觉有点头大，因为里面写的都是配置文件以及配置说明，不过就像很多人喜欢开源的产品，这样的产品配置太自由了……任何过滤规则都可以自定义！充分体现了便捷性和功能强大多数时候不成正比的道理。
　　由于产品基本都是配置文件，我下面贴上几条报警规则，大家看看：
2009-09-11 10:56:49 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 11103 'SQL Injection Attack - 1' ARGS:ArticleID=95%20and%201=2
2009-09-11 10:57:21 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 12101 'Cross-site Scripting (XSS) Attack' ARGS:ArticleID=95<script>alert("youxia")</script>
　　报警日期、时间、远程IP、类型、提交路径、攻击类型、提交参数。还是比较详细的。可以看到把我提交的2个语句都给很明确的记录下来了。
　　本软件WAF默认攻击语句提交后转到网站首页，对攻击者不会有任何错误提示，并且默认禁止了.mdb等的下载。当然，如果你有别的类型，也可以自己在配置文件里面增加。
　　本款软件WAF通过IIS（或其它WEB Server）程序映射方式实现安全防护，没有进程，对系统资源占用较小，对系统资源极度敏感的用户应该很合适用这款软件，另外如果服务器在电信机房托管，选择软件的WAF也相当合适。
　　建议厂家增加GUI，这样看网站的报警日志的时候就轻松多了。
作者：张百川（网路游侠）
网站：http://www.youxia.org
　　　转载请注明来源！谢谢合作。