启明星辰是国内最具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。2010年6月23日,启明星辰在深交所中小板正式挂牌上市。
随着2012年5月启明星辰发布全线万兆产品,贵公司当时推出天清WAG-WAF5010高性能Web应用防火墙,我们也在第一时间对该产品进行了测试分析。
一、高性能硬件架构
该款启明星辰万兆WAF(Web应用防火墙)使用基于MIPS64的多核SoC(System on Chip)处理器。相比X86、NP、ASIC硬件平台,SoC多核硬件平台的最大优势是保留了X86平台的高灵活性,同时具备与ASIC平台相当的高处理性能。同时,通过增加核数,使线性提升硬件计算能力成为可能,更重要的是功耗也随之得到了控制。
1)该款WAF设备的正面图如下。
2)该款WAF背面图如下。
#p#
二、高性能压力下处理能力
为测试其在万兆状态下对网站的保护情况,在测试前先用测试仪打出超10G的流量(进出):
1.配置虚拟服务允许WAF两接口之间的通信。
2.使用Avalanche测试仪,测试天清Web应用安全网关的GOODPUT的性能。
测试拓扑如图1所示。
图1
Avalanche测试仪现场测试显示性能结果如图2所示。
图2
在图2性能压力下,根据图1的拓扑图模拟真实攻击测试,看在10G流量压力下天清WAG产品是否能正常起到对Web网站防护作用。
1、SQL注入测试
在没有开启WAF防护功能时,对所测试的网站进行SQL注入攻击,很轻松就以管理员权限进入了网站后台。
在开启WAF防护功能后,继续对所测试的网站进行SQL注入攻击,发现WAF已经发现攻击并返回"无法显示网页"的提示。与此同时,在WAF的后台日志中发现SQL注入报警。
#p#
2、XSS攻击测试
跨站脚本攻击(Cross Site Scripting),指恶意攻击者往Web页面里插入恶意html代码,当受害者浏览该Web页时,嵌入其中的html代码会被受害者Web客户端执行,达到恶意目的。
开启XSS攻击防护功能可以防御XSS攻击。通过配置安全策略中的相应内容,可以实现丢弃攻击报文,或者返回错误页面,阻断攻击主机,提取原始报文以及上报攻击事件等功能。跨站脚本攻击(Cross Site Scripting),指恶意攻击者往Web页面里插入恶意html代码,当受害者浏览该Web页时,嵌入其中的html代码会被受害者Web客户端执行,达到恶意目的。
开启XSS攻击防护功能可以防御XSS攻击。通过配置安全策略中的相应内容,可以实现丢弃攻击报文,或者返回错误页面,阻断攻击主机,提取原始报文以及上报攻击事件等功能。
在没有开启WAF防护功能时,对所测试的网站进行XSS攻击,发现IE浏览器弹出"XSS攻击成功"的提示。
在开启WAF防护功能后,继续对所测试的网站进行XSS攻击,发现WAF已经发现攻击并返回"无法显示网页"的提示。天清WAF丢弃了XSS攻击报文,抓包看到客户端收到RST报文。与此同时,在WAF的后台日志中发现XSS攻击报警。
3、https加密和SSL卸载测试
一般的WAF都会提供https的加密通信功能,在没有开始WAF的SSL功能时,所测试网站并不支持https访问。如图所示。
在开启WAF的SSL功能后,所测试网站开始支持https访问。如图所示。
另外,可以将证书导入WAF,由WAF引擎与客户端进行https连接,将服务器从繁重的ssl加解密中解脱出来。#p#
4、网页挂马防护测试
网页挂马防护是针对攻击者篡改网站的源代码,在其中增加了恶意链接,导致用户在打开网页的时候会自动下载恶意链接指向的文件。这些文件通常都是木马病毒等对用户造成严重影响的恶意程序。
1)在PC2上当作一台WEB服务器,ip为172.16.1.76,在网站服务器上手写一个页面文件hacker1.htm,路径为:C:\Inetpub\wwwroot\bbsxp\hacker1.htm,内容如下:
< IMG src="http: // www.rrr.com/hacker. js" >< / IMG >
2)配置站点安全,开启网页挂马防护,响应动作为丢弃,开启日志。虚拟服务引用站点安全。
3)浏览器访问挂马页面http://172.16.1.76/hacker1.htm
4)在web上转到挂马防护疑似url确认页面,将可疑的链接确认为恶意链接,可以看到恶意链接被加入到黑名单。
5)将hacker1.htm复制为hacker2.htm,重新访问hacker2.htm,http://172.16.1.76/hacker2.htm可以看1到请求被阻断。WAF会针对在标签链接里嵌入的链接内容进行检测。
5、CSRF攻击防护测试
CSRF(Cross-Site Request Forgery)也叫XSRF,是一种可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。即盗用其他用户的身份,以被盗用的用户权限做一些事情。例如:修改密码,发送邮件,银行转账,发贴,删贴等。
1)PC2是一台WEB服务器,ip为172.16.1.76,PC2上开启两个http端口:80和9000分别模拟正常的服务器和黑客的服务器
2)IE浏览器登录http://172.16.1.76/csrf/index.asp,查看页面留言
3)未开启CSRF功能时,访问黑客网站http://172.16.1.76:9000/点击CSRF_测试发帖.html链接
4)刷新http://172.16.1.76/csrf/index.asp,发现多了CSRF的一个留言
5)开启CSRF功能,保护的URL:/csrf/ok.asp访问来源:/csrf/write.htm,再次访问黑客网站http://172.16.1.76:9000/点击CSRF_测试发帖.html链接
6)刷新http://172.16.1.76/csrf/index.asp,没有多余的留言
7)查看WAG的日志,可以看到CSRF事件,CSRF防护功能丢弃了发帖的报文,使发帖失败。#p#
6、HTTP Flood(CC)防护测试
HTTP Flood(CC)是对服务器特定URL发送大量请求报文,会消耗服务器资源,导致拒绝服务。
WAF通过设置URL的访问速率阈值,在超过阈值时,会判断访问者是正常的用户浏览还是攻击工具。测试时,使用工具对服务器的URL发起攻击,WAF应该可以阻断攻击。
1)PC2是一台WEB服务器
2)站点安全开启CC防护功能,配置受保护的URL:/ShowForum.asp,配置阈值为5,开启日志功能
3)虚拟服务引用站点安全
4)使用蓝天CC攻击器对服务器进行攻击
5)结果WAF上报CC攻击事件日志,阻断了pc1的对服务器的访问。
7、Webshell事件检测
Webshell是一种恶意的木马文件,WAF的webshell功能是通过事件特征库来判断上传文件是否为webshell木马文件,丢弃上传的Webshell文件。
1)通过Web界面新建事件集,选择包含webshell的事件,设置动作为丢弃。
2)安全策略中启用攻击防御,选择新建的事件集。
3)PC1访问http://172.16.1.76/xxdoc.asp,密码是xxdoc,上传一个webshell木马文件,一个webshell文件
4)WAF检测出事件并按照事件设置的动作做出了响应。
总结
经过上述测试,可确认该Web应用防火墙产品在万兆流量下能有效防御SQL注入、XSS、CSRF、Webshell等多种危险攻击,保护其后端的Web服务器免遭骇客毒手。该WAF除上述各种防护功能以外,还具有网页防篡改、多机集群负载、缓存加速、自动bypass等功能。
"千兆到桌面、万兆做骨干"在交换机和路由器设备上都已基本实现,而且同样用于入侵防御的IPS/UTM也早已升级到万兆。在这种趋势下,国内首款万兆Web应用防火墙的使用与普及,将使Web网络安全真正迈入了万兆Web应用防火墙安全时代。