Web应用安全网关简称WAF(Web Application Firewall),该设备致力于解决Web网站的安全问题,能够实时识别和防护多种针对Web的应用层攻击,例如SQL注入、XSS跨站脚本、非法目录遍历等。WAF设备一般部署于web服务器前端,外接防火墙,所有进入内部网络的流量必经过防火墙,而所有访问web的流量必经过WAF,WAF通过对经过的web访问流量进行层层过滤并深入检查,使之最终到达Web服务器的流量是安全可靠的正常流量,由此保护了Web服务器的安全。
WAF在网络中的位置如下面的拓扑图所示,
在比赛中指定使用神州数码的DCFW-1800-WAF,其外观如图所示,
- CONSOLE接口:用于设备故障调试恢复出厂设置使用;
- USB接口:用于外接USB告警装置;
- ETH0接口:用于接外网Internet,对应web界面配置接口为WAN口;
- ETH1接口:用于接内网Web服务器,对应web界面配置接口为LAN口;
- ETH2接口:用于初次登录配置WAF设备时使用,又称为带外口;
- ETH3接口:WAF设备的管理口,在HA配置时为心跳口;
注意:ETH2接口有一个固定的IP为:192.168.45.1 ,该地址已经固化进设备,不能更改,在web界面上也没有该接口的配置,该接口只作为初次配置或者忘记其他口登录IP时配置WAF使用。
初次设置时,可通过eth2口登录,打开浏览器输入:https://192.168.45.1/,用户名:admin,密码:admin123。
WAF有“透明”和“反向代理”两种部署模式,其中透明模式部署不用改变网络环境,直接将设备串接接入至Web服务器前端,接入方便,此种模式当外网用户访问时直接将数据转发给服务器。这里一般都采用透明模式。
登录WAF,在左侧功能树中,点击“配置->网络配置”,运行模式选择“透明模式”->点击保存,为WAN口配置IP:192.168.1.2/24,当选择透明模式时,WAN口和LAN口组成一个网桥,此时LAN口无法配置IP地址,WAN口IP地址即是桥IP地址。
将Web服务器(IP地址192.168.1.3)接到eth1口,攻击主机接到eth0口。
登录WAF设备,进入“站点->站点管理”点击新建按钮,新建一个服务,即把需要保护的网站信息添加进去。
在攻击主机上使用浏览器输入:http://192.168.1.3/访问Web服务器,应能正常访问。