配置WAF 保护服务器安全

2020-12-31

网络安全和信息化 2020年9期

编者按：当前在保护Web 安全方面，WAF 是最为常用的一种安全产品之一，本文以某品牌防火墙提供的WAF 机制，对在保护服务器过程中的详细配置进行介绍。

WAF（Web 应用防护）主要用来保护Web 服务不受恶意攻击，避免软件服务中断或者被远程控制，常见的攻击方式包括SQL 注入、XSS 攻击、网页木马、网页扫描、跨站请求伪造、文件包含攻击以及信息泄露攻击等。

这里就使用深信服防火墙提供的WAF 机制，来保护服务器安全。这样，当外部用户试图对内网中的服务器进行攻击时，防火墙可以利用WAF 对其进行拦截。

例如，对于SQL 注入攻击来说，根据其特点可以分为弱特征、强特征和注入工具等类型。对于弱攻击来说，黑客会采用诸如“select* from tb”等语句，使用“select”和“from”等关键字执行查询语句，危害性相对于强攻击要低一些。对于强攻击来说，黑客可以提交诸如“insert into tb values(xxx)”之类的语句，会使用到诸如“insert”“into”及“values”等SQL关键字，这样的操作语句可能会在目标数据表中添加输入，这种攻击是比较危险的。

强攻击一般会包括三个及以上SQL 关键字，并且将其组合成合法的SQL 语句。同时会使用到相关的SQL 关键字连词，包括“union” “;”“and”及“or”等，并且采取了常用的SQL 注入方法来运用这些连词。

对于注入工具攻击来说，黑客会使用一些专业的SQL注入工具进行快速攻击，这些工具的攻击都是具有固定数据流特征的。登录到深信服防火墙管理界面，在左侧选择“服务器保护→Web 应用防护”项，在右侧点击“新增”按钮，在新规则窗口中输入其名称（例如“rule1”）。

在“源”栏中的“区域”列表中选择“Outside”区域，在“目的”栏中的“区域”列表中选择“Inside”区域。在“IP 组”栏中选择“全部”项。在“网站攻击防护”栏中选择“SQL 注入”项，点击“确定”按钮，添加该规则。在默认状态下，该规则采取了拒绝动作。这样，当黑客试图对内网Web 服务器进行攻击时，就会遭到防火墙拦截。在防火墙管理界面选择“日志查询”→“Web 应用防护”项，选择合适的起始和结束时间，点击“查询”按钮，在查询页面中点击“刷新”按钮，显示对应的保护信息。

在对应行的“详细”列中点击“查看”项，显示其详细信息。可以看到拦截SQL注入完整信息，包括时间、类型、协议、方法、URL/ 目录、源区域、源IP、源IP 归属地、源端口、目的区域、目的IP、目的端口、规则ID 号、回复状态码、匹配策略名、描述、严重等级以及动作等内容。当然，也可以选择其他的保护类型，例如，黑客在发起攻击之前，一般会使用WVS 或APPSCAN 等工具对目标主机进行扫描，来检测可能存在的漏洞，之后根据情况采取具体的攻击行动。在防护列表中选择“网站扫描”项，可以让黑客扫描一无所获。为了提高安全性，最好选择所有的防护项目。

对于FTP 和Web 应用来说，利用口令是可以有效防止别人随意访问。但是，如果口令设置的比较简单，就很容易被黑客猜测到。对于比较复杂的口令，黑客会使用暴力破解的方式来进行尝试。其中深信服防火墙提供了弱口令保护和暴力破解保护功能。对于前者来说，当登录到相关的页面时，如果您的用户名和密码过于简单，那么防火墙将拒绝其操作，必须设置比较复杂的密码方可。对于后者来说，当输入错误的用户名和密码的此数达到一定的阈值后，防火墙将拒绝其继续登录尝试。

打开上述规则编辑界面，在其中选择“FTP 弱口令防护”项，点击“设置”链接，在打开窗口中包括具体的规则，包括空口令、用户名和密码相同、长度小于等于8 位字典序、长度小于等于8 位纯数字、长度小于等于8 位纯字母、长度小于等于6 位仅数字和字母等。在“弱口令”列表中输入常见的弱密码，格式为一行一个，最多50个。这样，只要密码符合上述规则，就会被防火墙直接拦截。

在上述规则编辑窗口中还可以选择“Web 登录弱口令防护”与“Web 登录铭文传输检测”等项目，对Web 弱口令进行保护。选择“口令暴力破解防护”项，点击“设置”项，选择“Web 登录”项，输入具体的登录路径（例如“/admin/login.php”等），在“爆破次数”栏中输入最大尝试次数，单位包括每分钟次数/每秒钟次数等。

当黑客试图对网站进行攻击时，常用的方法是利用漏洞上传各种文件，来非法获取控制权限。因此，对文件上传进行严格管理，可以有效提高网站的安全性。笔者单位防火墙提供的文件上传防护功能，支持查询多种网页源代码的编码格式，防止黑客篡改网站页面。在上述规则编辑界面中选择“文件上传过滤”项，点击“设置”链接，在打开窗口中显示默认的文件过滤类型，可以在“上传文件类型黑名单”栏中输入新的类型（例如“asa”等），点击“添加”按钮将其添加进来。这样，当黑客试图上传非法文件时，就会被防火墙拦截。

目前的网站管理后台、FTP、远程桌面和SSH 连接很容易遭到黑客的攻击，因为默认情况下，只要知道对应的账户名和密码，黑客就可以很轻松的连接上来。例如，如果黑客登录到了网站后台的话，就会对企业的数据安全造成很大的威胁。为了让服务器的安全得到更有效的保障，笔者单位防火墙产品在基本的Web 应用防护的基础上，添加了用户登录权限保护功能，也就是短信认证服务，让访问者不仅拥有基本的登录权限，还必须通过短信认证后，才可以完整登录操作。

在上述规则编辑窗口中选择“用户登录权限保护”项，点击“设置”链接，在打开窗口中的“URL”栏中输入具体的登录地址。在“允许短信验证号码”栏中输入合适的手机号码，格式为一行一个号码。当然，需要将短信猫连接到防火墙上。点击“发送测试短信”按钮，可进行测试操作。在“短信通过后有效时间”栏中设置合适的时间，默认为30 min，当短信验证通过后，在预设的时间内登录无需再次验证。如果选择“允许Bypass，当检测到短信网关失败后，登录防护将自动取消短信认证”项，表示如果防火墙没有检测到短信猫，那么将不再进行短信认证，仅仅输入验证的手机号，才可以显示登录界面。