編者按： 當(dāng)前在保護(hù)Web 安全方面，WAF 是最為常用的一種安全產(chǎn)品之一，本文以某品牌防火墻提供的WAF 機(jī)制，對(duì)在保護(hù)服務(wù)器過程中的詳細(xì)配置進(jìn)行介紹。

WAF（Web 應(yīng)用防護(hù)）主要用來(lái)保護(hù)Web 服務(wù)不受惡意攻擊，避免軟件服務(wù)中斷或者被遠(yuǎn)程控制，常見的攻擊方式包括SQL 注入、XSS 攻擊、網(wǎng)頁(yè)木馬、網(wǎng)頁(yè)掃描、跨站請(qǐng)求偽造、文件包含攻擊以及信息泄露攻擊等。

這里就使用深信服防火墻提供的WAF 機(jī)制，來(lái)保護(hù)服務(wù)器安全。這樣，當(dāng)外部用戶試圖對(duì)內(nèi)網(wǎng)中的服務(wù)器進(jìn)行攻擊時(shí)，防火墻可以利用WAF 對(duì)其進(jìn)行攔截。

例如，對(duì)于SQL 注入攻擊來(lái)說(shuō)，根據(jù)其特點(diǎn)可以分為弱特征、強(qiáng)特征和注入工具等類型。對(duì)于弱攻擊來(lái)說(shuō)，黑客會(huì)采用諸如“select* from tb”等語(yǔ)句，使用“select”和“from”等關(guān)鍵字執(zhí)行查詢語(yǔ)句，危害性相對(duì)于強(qiáng)攻擊要低一些。對(duì)于強(qiáng)攻擊來(lái)說(shuō)，黑客可以提交諸如“insert into tb values(xxx)”之類的語(yǔ)句，會(huì)使用到諸 如“insert”“into”及“values”等SQL關(guān)鍵字，這樣的操作語(yǔ)句可能會(huì)在目標(biāo)數(shù)據(jù)表中添加輸入，這種攻擊是比較危險(xiǎn)的。

強(qiáng)攻擊一般會(huì)包括三個(gè)及以上SQL 關(guān)鍵字，并且將其組合成合法的SQL 語(yǔ)句。同時(shí)會(huì)使用到相關(guān)的SQL 關(guān)鍵字連詞，包括“union” “;”“and”及“or”等，并且采取了常用的SQL 注入方法來(lái)運(yùn)用這些連詞。

對(duì)于注入工具攻擊來(lái)說(shuō)，黑客會(huì)使用一些專業(yè)的SQL注入工具進(jìn)行快速攻擊，這些工具的攻擊都是具有固定數(shù)據(jù)流特征的。登錄到深信服防火墻管理界面，在左側(cè)選擇“服務(wù)器保護(hù)→Web 應(yīng)用防護(hù)”項(xiàng)，在右側(cè)點(diǎn)擊“新增”按鈕，在新規(guī)則窗口中輸入其名稱（例如“rule1”）。

在“源”欄中的“區(qū)域”列表中選擇“Outside”區(qū)域，在“目的”欄中的“區(qū)域”列表中選擇“Inside”區(qū)域。在“IP 組”欄中選擇“全部”項(xiàng)。在“網(wǎng)站攻擊防護(hù)”欄中選擇“SQL 注入”項(xiàng)，點(diǎn)擊“確定”按鈕，添加該規(guī)則。在默認(rèn)狀態(tài)下，該規(guī)則采取了拒絕動(dòng)作。這樣，當(dāng)黑客試圖對(duì)內(nèi)網(wǎng)Web 服務(wù)器進(jìn)行攻擊時(shí)，就會(huì)遭到防火墻攔截。在防火墻管理界面選擇“日志查詢”→“Web 應(yīng)用防護(hù)”項(xiàng)，選擇合適的起始和結(jié)束時(shí)間，點(diǎn)擊“查詢”按鈕，在查詢頁(yè)面中點(diǎn)擊“刷新”按鈕，顯示對(duì)應(yīng)的保護(hù)信息。

在對(duì)應(yīng)行的“詳細(xì)”列中點(diǎn)擊“查看”項(xiàng)，顯示其詳細(xì)信息。可以看到攔截SQL注入完整信息，包括時(shí)間、類型、協(xié)議、方法、URL/ 目錄、源區(qū)域、源IP、源IP 歸屬地、源端口、目的區(qū)域、目的IP、目的端口、規(guī)則ID 號(hào)、回復(fù)狀態(tài)碼、匹配策略名、描述、嚴(yán)重等級(jí)以及動(dòng)作等內(nèi)容。當(dāng)然，也可以選擇其他的保護(hù)類型，例如，黑客在發(fā)起攻擊之前，一般會(huì)使用WVS 或APPSCAN 等工具對(duì)目標(biāo)主機(jī)進(jìn)行掃描，來(lái)檢測(cè)可能存在的漏洞，之后根據(jù)情況采取具體的攻擊行動(dòng)。在防護(hù)列表中選擇“網(wǎng)站掃描”項(xiàng)，可以讓黑客掃描一無(wú)所獲。為了提高安全性，最好選擇所有的防護(hù)項(xiàng)目。

對(duì)于FTP 和Web 應(yīng)用來(lái)說(shuō)，利用口令是可以有效防止別人隨意訪問。但是，如果口令設(shè)置的比較簡(jiǎn)單，就很容易被黑客猜測(cè)到。對(duì)于比較復(fù)雜的口令，黑客會(huì)使用暴力破解的方式來(lái)進(jìn)行嘗試。其中深信服防火墻提供了弱口令保護(hù)和暴力破解保護(hù)功能。對(duì)于前者來(lái)說(shuō)，當(dāng)?shù)卿浀较嚓P(guān)的頁(yè)面時(shí)，如果您的用戶名和密碼過于簡(jiǎn)單，那么防火墻將拒絕其操作，必須設(shè)置比較復(fù)雜的密碼方可。對(duì)于后者來(lái)說(shuō)，當(dāng)輸入錯(cuò)誤的用戶名和密碼的此數(shù)達(dá)到一定的閾值后，防火墻將拒絕其繼續(xù)登錄嘗試。

打開上述規(guī)則編輯界面，在其中選擇“FTP 弱口令防護(hù)”項(xiàng)，點(diǎn)擊“設(shè)置”鏈接，在打開窗口中包括具體的規(guī)則，包括空口令、用戶名和密碼相同、長(zhǎng)度小于等于8 位字典序、長(zhǎng)度小于等于8 位純數(shù)字、長(zhǎng)度小于等于8 位純字母、長(zhǎng)度小于等于6 位僅數(shù)字和字母等。在“弱口令”列表中輸入常見的弱密碼，格式為一行一個(gè)，最多50個(gè)。這樣，只要密碼符合上述規(guī)則，就會(huì)被防火墻直接攔截。

在上述規(guī)則編輯窗口中還可以選擇“Web 登錄弱口令防護(hù)”與“Web 登錄銘文傳輸檢測(cè)”等項(xiàng)目，對(duì)Web 弱口令進(jìn)行保護(hù)。選擇“口令暴力破解防護(hù)”項(xiàng)，點(diǎn)擊“設(shè)置”項(xiàng)，選擇“Web 登錄”項(xiàng)，輸入具體的登錄路徑（例如“/admin/login.php”等），在“爆破次數(shù)”欄中輸入最大嘗試次數(shù)，單位包括每分鐘次數(shù)/每秒鐘次數(shù)等。

當(dāng)黑客試圖對(duì)網(wǎng)站進(jìn)行攻擊時(shí)，常用的方法是利用漏洞上傳各種文件，來(lái)非法獲取控制權(quán)限。因此，對(duì)文件上傳進(jìn)行嚴(yán)格管理，可以有效提高網(wǎng)站的安全性。筆者單位防火墻提供的文件上傳防護(hù)功能，支持查詢多種網(wǎng)頁(yè)源代碼的編碼格式，防止黑客篡改網(wǎng)站頁(yè)面。在上述規(guī)則編輯界面中選擇“文件上傳過濾”項(xiàng)，點(diǎn)擊“設(shè)置”鏈接，在打開窗口中顯示默認(rèn)的文件過濾類型，可以在“上傳文件類型黑名單”欄中輸入新的類型（例如“asa”等），點(diǎn)擊“添加”按鈕將其添加進(jìn)來(lái)。這樣，當(dāng)黑客試圖上傳非法文件時(shí)，就會(huì)被防火墻攔截。

目前的網(wǎng)站管理后臺(tái)、FTP、遠(yuǎn)程桌面和SSH 連接很容易遭到黑客的攻擊，因?yàn)槟J(rèn)情況下，只要知道對(duì)應(yīng)的賬戶名和密碼，黑客就可以很輕松的連接上來(lái)。例如，如果黑客登錄到了網(wǎng)站后臺(tái)的話，就會(huì)對(duì)企業(yè)的數(shù)據(jù)安全造成很大的威脅。為了讓服務(wù)器的安全得到更有效的保障，筆者單位防火墻產(chǎn)品在基本的Web 應(yīng)用防護(hù)的基礎(chǔ)上，添加了用戶登錄權(quán)限保護(hù)功能，也就是短信認(rèn)證服務(wù)，讓訪問者不僅擁有基本的登錄權(quán)限，還必須通過短信認(rèn)證后，才可以完整登錄操作。

在上述規(guī)則編輯窗口中選擇“用戶登錄權(quán)限保護(hù)”項(xiàng)，點(diǎn)擊“設(shè)置”鏈接，在打開窗口中的“URL”欄中輸入具體的登錄地址。在“允許短信驗(yàn)證號(hào)碼”欄中輸入合適的手機(jī)號(hào)碼，格式為一行一個(gè)號(hào)碼。當(dāng)然，需要將短信貓連接到防火墻上。點(diǎn)擊“發(fā)送測(cè)試短信”按鈕，可進(jìn)行測(cè)試操作。在“短信通過后有效時(shí)間”欄中設(shè)置合適的時(shí)間，默認(rèn)為30 min，當(dāng)短信驗(yàn)證通過后，在預(yù)設(shè)的時(shí)間內(nèi)登錄無(wú)需再次驗(yàn)證。如果選擇“允許Bypass，當(dāng)檢測(cè)到短信網(wǎng)關(guān)失敗后，登錄防護(hù)將自動(dòng)取消短信認(rèn)證”項(xiàng)，表示如果防火墻沒有檢測(cè)到短信貓，那么將不再進(jìn)行短信認(rèn)證，僅僅輸入驗(yàn)證的手機(jī)號(hào)，才可以顯示登錄界面。