标签： WEB应用防火墙

　　去年的这个时候，游侠(www.youxia.org)认为WAF都是硬件的，后来在网上看到这个在国内做的不错的牌子。居然是软件的WAF，这样的话，一些服务器在机房托管的用户就特别需要这样的产品，因为1U的设备在电信机房的托管费用都有几千到上万，价格和便捷性的优势一下子就出来了……
　　拿到了厂家发过来的测试版，迫不及待的装上试试！
　　测试环境：
　　·Windows Server 2003
　　·IIS 6.0
　　·某有漏洞的ASP内容管理系统
　　这款软件的WAF部署实际上比较简单的，并且是纯绿色软件……不需要下一步，也不需要点安装协议，直接拷贝文件到某个目录下面，配置权限，在IIS或其它的WEB Server进行相关配置即可，不难，几分钟即可配置好。过程我就不说了，只谈感想。呵呵
　　可能不大懂WEB Server配置的人看到软件的说明书会感觉有点头大，因为里面写的都是配置文件以及配置说明，不过就像很多人喜欢开源的产品，这样的产品配置太自由了……任何过滤规则都可以自定义！充分体现了便捷性和功能强大多数时候不成正比的道理。
　　由于产品基本都是配置文件，我下面贴上几条报警规则，大家看看：

2009-09-11 10:56:49 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 11103 'SQL Injection Attack - 1' ARGS:ArticleID=95%20and%201=2
2009-09-11 10:57:21 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 12101 'Cross-site Scripting (XSS) Attack' ARGS:ArticleID=95<script>alert("youxia")</script>


　　报警日期、时间、远程IP、类型、提交路径、攻击类型、提交参数。还是比较详细的。可以看到把我提交的2个语句都给很明确的记录下来了。
　　本软件WAF默认攻击语句提交后转到网站首页，对攻击者不会有任何错误提示，并且默认禁止了.mdb等的下载。当然，如果你有别的类型，也可以自己在配置文件里面增加。
　　本款软件WAF通过IIS（或其它WEB Server）程序映射方式实现安全防护，没有进程，对系统资源占用较小，对系统资源极度敏感的用户应该很合适用这款软件，另外如果服务器在电信机房托管，选择软件的WAF也相当合适。
　　建议厂家增加GUI，这样看网站的报警日志的时候就轻松多了。

作者：张百川（网路游侠）
网站：https://www.youxia.org
　　　转载请注明来源！谢谢合作。

　　其实这台WEB应用防火墙（WAF）在公司放了很久了，平时看看，但是基本没有静下心来仔细看看。现在到下班还有半个小时，粗略的过一下吧，看看WAF的功能。
　　实际上WAF和传统防火墙的区别比较大，比如传统防火墙一般通过对IP和Port的过滤实现安全性，而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断，如SQL注入攻击、XSS攻击等，下面我举例子看WAF是如何对网站进行防护的。
　　网络的拓扑是这样的：

　　我用的是笔记本电脑，通过交换机到WEB服务器，在服务器前我串接了WAF，是透明接入。说一句：我用的这台WAF透明接入，一个网卡是in，一个网卡是out，还有一个Admin口，部署相当便捷，可以说5分钟就可以调试。用Console线设置下IP地址，就可以通过Admin口用浏览器访问了。
　　我关闭了WAF的阻断功能，就是说，现在虽然WAF部署在WEB服务器前，但是是不对网站进行防护的。然后找了一套企业网站CMS程序，服务器是Windows 2003 + IIS，为了省事，程序理所当然的选择的ASP的。下面我们看看演示，下图是用明小子Domain的扫描结果，提示有注入漏洞：

　　找一个连接，复制到浏览器，手工输入个判断SQL注入的语句看看：

　　说找不到产品，实际上输入关键词继续用工具注入是可以扫描出用户名、密码的。相信诸位也经常做WEB渗透测试，这个不用游侠我多说。我们下面开启WEB应用防火墙：

　　开启了WAF后，我们尝试下SQL注入，手工就OK了。

　　看到了吧？并没有出现什么提示，而是被WAF直接就阻断掉了。
　　登录WAF看看报警提示：

　　攻击IP、时间，攻击的形式，都可以展现在管理员面前。
　　点击报警的记录，还可以展现更详细的内容：

　　WAF对攻击的四种处理方式：检测、阻断、直接放行、丢弃
　　当然，阻断SQL注入攻击仅仅是WAF的一个小功能，其它的像XSS、Cookies也都可以搞定。下图是我选择的一部分自带策略，大家可以看看，手头这个设备的策略还是比较丰富的。

　　本款WAF支持WEB缓存加速，并且配置非常简单。大家看下图：

　　只需要开启就可以了，并且鼠标放到“？”图标上就可以看到即时帮助，这个还是很人性化的。

　　不得不说的还有报表功能，除了可以自定义时间段、攻击类型、IP地址等等常见的功能，导出功能也比较强大，还有我比较喜欢的PDF和PPT类型，不得不说是比较人性化。下面是生成的一份图形报告：
　　
　　好了，WEB应用防火墙就介绍到这里，近期会介绍数据库审计与风险控制系统，敬请关注张百川（网路游侠）的博客（https://www.youxia.org）！

作者：张百川（网路游侠）
网站：https://www.youxia.org
　　　转载请注明来源！谢谢合作。

Web应用防火墙正日趋流行，过去这些工具被很少数的大型项目垄断，但是，随着大量的低成本产品的面市以及可供选择的开源试用产品的出现，它们最终能被大多数人所使用。在这篇文章中，先向大家介绍Web应用防火墙能干什么，然后快速的概览一下Web应用防火墙最有用的一些特征。通过这篇文章的阅读，大家能清楚地了解web应用防火墙这个主题，掌握相关知识。

什么是web应用防火墙？

    有趣的是，还没有人能真正知道web应用防火墙究竟是什么，或者确切的说，还没有一个大家认可的精确定义。从广义上来说，Web应用防火墙就是一些增强 Web应用安全性的工具。然而，如果我们要深究它精确的定义，就可能会得到更多的疑问。因为一些Web应用防火墙是硬件设备，一些则是应用软件；一些是基于网络的，另一些则是嵌入WEB服务器的。

...

IntroductionWeb Application Firewalls (WAF) represent a new breed of information security technology that is designed to protect web sites (web applications) from attack. WAF solutions are capable of

标题写的挺迷惑人 嘿嘿 有时间就“友情测试”下吧
不过自己有自己的原则：
1、绝不卖shell
2、绝不篡改网页
3、尽量帮助管理员

最近一段时间在忙着做公司的整体网站解决方案
于是每晚上没事的时间也会找个网站看看安全性
当然——未授权的安全检测。呵呵
今天给全省各地市的客户经理培训的时候某客户经理说渗透测试的效率如何？
说实话，自己也很久不做渗透了，不过想捡起来也不算慢

某市信息港……安全性挺烂
其实能得到后台的最高权限就不想继续了
因为作为一个政府运营的网站，能删除所有信息、能篡改首页，够了……
足够撤销负责人的职务了吧？——如果发生在敏感时期的话。
网站头条是某市政府发的通知，不需要改成什么了吧？呵呵
回头写个网站的评估方案给他们看看

实际上，防止黑客攻击有时候并不难，举手之劳而已
但是依然很多网站没有做……

回想到昨天西安附近某政府网站的负责人联系我
说想给网站做整体安全评估
10分钟之内，给了个他网站服务器内部文件的截图……
实际上技术含量也没多高
但是网站就像一个木桶
决定能盛水多少的不在于最高的木板，而在于最低的那一块

　　相信关注信息与网络安全市场的人一定知道“梭子鱼”（英文是Barracuda，也叫博威特）这个品牌，从最开始铺天盖地的反垃圾邮件系统开始，到邮件存储网关、负载均衡、链路均衡，现在又推出了WEB安全网关、WEB应用防火墙、SSL VPN等产品，无一不在市场上具有一定占有率。
　　其实一直想说说这个公司，不过最近一直忙的半死没顾过来。刚看一篇文章，梭子鱼的软文，说2012年国内WEB应用防火墙的市

在网上看到说某某网站被黑了，顺手打开西安市同类系统的网站。刚开始看，网址都是“Detail.do?model=ArticleID”形式的。很多人印象中用JSP很安全吧？

　　面对愈演愈烈的Web安全威胁，企业为了保护好自身的Web服务器绞尽脑汁。而Web应用防火墙的出现，给当前的安全市场打了一针兴奋剂。

　　四大功能

　　对Web应用防火墙来说，2009年是幸运的一年，因为市场的井喷令所有安全企业兴奋异常。不过需要指出的是，并非对Web服务器提供保护的“盒子”都是Web应用防火墙。事实上，一个标准的Web应用防火墙至少需要具备四大功能。

　　第一，安全防护。这很好理解，对于针对Web服务器的攻击要具备防御能力，同时还要对数据泄密具备监管能力。

　　第二，加速。除了防护以外，企业用户在网络之中，需要对应用的运转效率进行控制，比如对TCP协议的缓冲，对SSL VPN的加速，对访问管理的卸载，Web应用防火墙必须能够提供相应的加速能力。
...

　　随着网络技术的飞速发展与网络应用的不断拓展，单一功能的网关设备已经无法应对网络应用所带来的问题与挑战。于是有了集多种功能于一身的UTM产品，有了众多厂家最近不断推出的下一代安全网关，更有目前逐渐成为企业边界应用新宠的web安全网关(Secure web Gateway)。无论是UTM、下一代安全网关还是web安全网关，它们都具备了Internet应用安全防御和管控能力。面对种类繁多的应用安全网关，如何选购成为困扰用户的谜团。

　　我们应该注意到，目前在金融、电信、医疗、大企业等行业，用户对多功能应用安全网关非常感兴趣，从功能的专业性而言无论是UTM、下一代安全网关还是web安全网关都能一定程度上满足这些行业用户的需求，但作为合格的企业级多功能应用安全网关，除了具有全面的功能外，开启所有功能后的性能也是不容忽视的，也是用户选择多功能安全网关时需要多方面评测的重要指标之一。这就需要用户不仅对各个功能模块的实现技术与原理进行深入研究以辨明安全防御和管控功能的同时，也需要辨明设备架构、操作系统以及扫描处理算法，甚至功能实现技术所带来的性能差异。功能再全面，如果没有良好的性能，那也只能是花架子。本篇主要向大家介绍web安全网关最重要的选购指标之一：性能。
...

　　AppRock应用防火墙是国内第一款应用安全产品，拥有自主的知识产权，填补了国内应用防火墙产品的空白，具有国际尖端水平。 AppRock应用防火墙使用主动安全模型实现对攻击的防护，与消极安全模型相比，主动安全模型建立正常访问规则，可以识别任何不符合正常访问规则的攻击行为，包括未知的攻击。而消极安全模型则是建立已知攻击特征库，来判断网络数据是否具有攻击特征，不能够防范未知和智能化的攻击手段。AppRock应用防火墙突破了传统的防火墙静态防御技术，是以防护、检测、响应为动态防护圈的坚而有韧的主动安全体系。
...

============================================
中国WEB安全市场分析
作者：网路游侠
网站：https://www.youxia.org
更新：2009年05月06日
说明：临时画了个图表，国外产品还没来得及细化，欢迎给我发资料、提出建议！
============================================

分析图下载：国内WEB安全市场分析.gif
--------------------------------------------
1 产品功能
--------------------------------------------
1.1 抗Dos/DDoS/DrDoS/CC
1.2 检测和阻断SQL Injection
1.3 检测和阻断CSS/XSS
1.4 网页防篡改
1.5 WEB应用漏洞防护
1.6 缓冲区溢出防护
1.7 木马/蠕虫/病毒防御
1.8 阻止网站盗链
1.1 产品不一定全部具有全部功能

　　OWASP十大Web应用安全漏洞防御系统——明御Web防火墙应对措施

　　OWASP（开放应用安全计划组织） 发布的十大Web应用安全漏洞代表了已达成广泛共识的最具威胁的Web应用安全漏洞。（杭州安恒信息技术有限公司）明御WEB应用防火墙针对OWASP十大安全漏洞提供了全面且有效的安全防御措施。

最近和一些朋友聊天，包括一些厂家的朋友
最近对WEB安全、应用安全、数据库安全的需求明显增加了
版权声明：网路游侠 https://www.youxia.org

WEB安全始终应该是最明显的，但是却被传统安全厂商所遗忘：
在他们吹嘘防火墙、入侵检测的时候
“地下黑客”们却在流传如何绕过IDS等的议题
同时由于防火墙和入侵检测系统联动的问题特别多
所以应用的并不算好，实际的用途也并不

挫败绕过网络防火墙和IPS设备的攻击
Citrix® Application Firewall可保护Web应用免遭日益增多的应用层攻击，如缓冲区溢出、SQL注入、跨站点脚本攻击等。除了业经验证的出色攻击防御特性外，Citrix Application Firewall还能确保机密的企业信息和敏感的客户数据的安全性，保护身份资料免遭失窃。

性能卓越的Web应用安全解决方案
Citrix Application Firewall提供了业界性能最卓越的Web应用安全解决方案，可有效保护Web服务器的安全，改善应用响应时间，且不会降低数据吞吐率。其出色的性能可满足任何企业或数据中心的需求。
...

　　Imperva 引进了一种缩减版的网页应用防火墙，提高中小企业的安装速度。

　　SecureSphere标准版是在企业版的基础上提供单一图形用户界面并对文档进行了修订，可用于没有全职IT维护员工或IT员工比较少的企业。

　　这个平台支持两小时Imperva工程师远程协助，帮助用户调试设备。大多数小型企业需要花费大量的时间来启动和运行设备。

　　Imperva说，由于这个设备不