使用 WEB 应用防火墙保护网站安全
其实这台 WEB 应用防火墙(W AF )在公司放了很久了,平时看看,但是基本没有
静下心来仔细看看。现在到下班还有半个小时,粗略的过一下吧,看看WAF 的功能。
实际上 W AF 和传统防火墙的区别比较大,比如传统防火墙一般通过对 IP 和 Port的过
滤实现安全性,而 W AF 则是通过对数据包的深层检测实现 WEB 攻击的检测和阻断,如 SQL
注入攻击、XSS 攻击等,下面我举例子看 WAF 是如何对网站进行防护的。
网络的拓扑是这样的:
我用的是笔记本电脑,通过交换机到 WEB 服务器,在服务器前我串接了 W AF ,是透
明接入。说一句:我用的这台 W AF 透明接入,一个网卡是 in,一个网卡是 out,还有一个
Admin 口,部署相当便捷,可以说 5 分钟就可以调试。用 Console线设置下 IP 地址,就可
以通过Admin 口用浏览器访问了。
我关闭了W AF 的阻断功能,就是说,现在虽然 WAF 部署在 WEB 服务器前,但是是不
对网站进行防护的。然后找了一套企业网站CMS 程序,服务器是Windows 2003 + IIS,为
了省事,程序理所当然的选择的 ASP 的。下面我们看看演示,下图是用明小子 Domain 的 扫
描结果,提示有注入漏洞:
找一个连接,复制到浏览器,手工输入个判断SQL 注入的语句看看:
评论0
最新资源