一、需求分析
通过二层(透明)串联的方式,可将Web应用防火墙(WAF)简单快速部署到现有网络中。这种方式无需改变上下行设备配置,直接将WAF设备透明部署在两台已运行的网络设备之间,可做到即插即用,部署简单易用,应用于大部分用户网络环境中。而本次测试使用的是虚拟WAF,通过ovf方式部署到esxi服务器中,原理都一样。
二、整体拓扑
三、配置步骤
初次访问WAF设备时,可访问设备的默认管理口IP(192.168.1.1),登录WebUI管理界面,本次我配置管理口的IP地址为192.168.1.2。然后按照“WAF安装向导”进行配置。
- 选择部署模式:串联模式;
- LAN接口:ethernet0/2;
- 安全域:L2-trust(该接口为与Web Server连接的接口)
- WAN接口:ethernet0/1;
- 安全域:L2-untrust(该接口为与互联网络连通的接口)。
按照WAF安装向导,配置Virtual Wire。
继续在“WAF安装向导”配置默认站点:
- HTTP默认站点:启用
- HTTPS默认站点:启用
- 最少发现次数:1000
- 其他配置可按需配置
继续在“WAF安装向导”配置DNS:
- 首要DNS服务器IP:223.5.5.5(按照当前网络中的真实情况填写)
- 次要DNS服务器IP:223.6.6.6(按照当前网络中的真实情况填写)
按照WAF安装向导, 配置系统时间。
然后点击新建站点 ,并配置安全策略对Web-Server进行安全防护。
1、选择“站点 > Web站点”,点击“新建”按钮,打开<站点防护配置>页面,在<基本配置>标签页,配置如下信息:
- 站点名称:web防护
- 站点状态:防护
- 站点类型:HTTPS
- 服务:192.168.1.5;16061(配置Web-ServerIP地址及端口)
- 域名:xxx.com(输入你自己申请的域名)
- 客户端:SSL协议:TLSv1,TLSv1.1,TLSv1.2;加密套件:中SSL/TLS 证书链:选择已准备好的证书链。我用的是阿里云的域名和证书,需要去阿里云后台下载。
- 服务器端:SSL协议:TLSv1,TLSv1.1,TLSv1.2;加密套件:中
四、测试效果
- 模拟 SQL 注入攻击: https://xxx.com/?id=1+and+1=2+union+select+1
- 模拟 XSS 攻击: https://xxx.com/?id=
- 模拟路径穿越攻击: https://xxx.com/?id=../../../../etc/passwd
- 模拟代码注入攻击: https://xxx.com/?id=phpinfo();system('id')
- 模拟 XXE 攻击: https://xxx.com/?id=
有自己网站的朋友赶紧试一下吧,相关软件可pm~~~~
vwaf下载地址:Nextcloud