配置WAF 保護服務器安全

編者按： 當前在保護Web 安全方面，WAF 是最為常用的一種安全產品之一，本文以某品牌防火墻提供的WAF 機制，對在保護服務器過程中的詳細配置進行介紹。

WAF（Web 應用防護）主要用來保護Web 服務不受惡意攻擊，避免軟件服務中斷或者被遠程控制，常見的攻擊方式包括SQL 注入、XSS 攻擊、網頁木馬、網頁掃描、跨站請求偽造、文件包含攻擊以及信息泄露攻擊等。

這里就使用深信服防火墻提供的WAF 機制，來保護服務器安全。這樣，當外部用戶試圖對內網中的服務器進行攻擊時，防火墻可以利用WAF 對其進行攔截。

例如，對于SQL 注入攻擊來說，根據其特點可以分為弱特征、強特征和注入工具等類型。對于弱攻擊來說，黑客會采用諸如“select* from tb”等語句，使用“select”和“from”等關鍵字執行查詢語句，危害性相對于強攻擊要低一些。對于強攻擊來說，黑客可以提交諸如“insert into tb values(xxx)”之類的語句，會使用到諸 如“insert”“into”及“values”等SQL關鍵字，這樣的操作語句可能會在目標數據表中添加輸入，這種攻擊是比較危險的。

強攻擊一般會包括三個及以上SQL 關鍵字，并且將其組合成合法的SQL 語句。同時會使用到相關的SQL 關鍵字連詞，包括“union” “;”“and”及“or”等，并且采取了常用的SQL 注入方法來運用這些連詞。

對于注入工具攻擊來說，黑客會使用一些專業的SQL注入工具進行快速攻擊，這些工具的攻擊都是具有固定數據流特征的。登錄到深信服防火墻管理界面，在左側選擇“服務器保護→Web 應用防護”項，在右側點擊“新增”按鈕，在新規則窗口中輸入其名稱（例如“rule1”）。

在“源”欄中的“區域”列表中選擇“Outside”區域，在“目的”欄中的“區域”列表中選擇“Inside”區域。在“IP 組”欄中選擇“全部”項。在“網站攻擊防護”欄中選擇“SQL 注入”項，點擊“確定”按鈕，添加該規則。在默認狀態下，該規則采取了拒絕動作。這樣，當黑客試圖對內網Web 服務器進行攻擊時，就會遭到防火墻攔截。在防火墻管理界面選擇“日志查詢”→“Web 應用防護”項，選擇合適的起始和結束時間，點擊“查詢”按鈕，在查詢頁面中點擊“刷新”按鈕，顯示對應的保護信息。

在對應行的“詳細”列中點擊“查看”項，顯示其詳細信息。可以看到攔截SQL注入完整信息，包括時間、類型、協議、方法、URL/ 目錄、源區域、源IP、源IP 歸屬地、源端口、目的區域、目的IP、目的端口、規則ID 號、回復狀態碼、匹配策略名、描述、嚴重等級以及動作等內容。當然，也可以選擇其他的保護類型，例如，黑客在發起攻擊之前，一般會使用WVS 或APPSCAN 等工具對目標主機進行掃描，來檢測可能存在的漏洞，之后根據情況采取具體的攻擊行動。在防護列表中選擇“網站掃描”項，可以讓黑客掃描一無所獲。為了提高安全性，最好選擇所有的防護項目。

對于FTP 和Web 應用來說，利用口令是可以有效防止別人隨意訪問。但是，如果口令設置的比較簡單，就很容易被黑客猜測到。對于比較復雜的口令，黑客會使用暴力破解的方式來進行嘗試。其中深信服防火墻提供了弱口令保護和暴力破解保護功能。對于前者來說，當登錄到相關的頁面時，如果您的用戶名和密碼過于簡單，那么防火墻將拒絕其操作，必須設置比較復雜的密碼方可。對于后者來說，當輸入錯誤的用戶名和密碼的此數達到一定的閾值后，防火墻將拒絕其繼續登錄嘗試。

打開上述規則編輯界面，在其中選擇“FTP 弱口令防護”項，點擊“設置”鏈接，在打開窗口中包括具體的規則，包括空口令、用戶名和密碼相同、長度小于等于8 位字典序、長度小于等于8 位純數字、長度小于等于8 位純字母、長度小于等于6 位僅數字和字母等。在“弱口令”列表中輸入常見的弱密碼，格式為一行一個，最多50個。這樣，只要密碼符合上述規則，就會被防火墻直接攔截。

在上述規則編輯窗口中還可以選擇“Web 登錄弱口令防護”與“Web 登錄銘文傳輸檢測”等項目，對Web 弱口令進行保護。選擇“口令暴力破解防護”項，點擊“設置”項，選擇“Web 登錄”項，輸入具體的登錄路徑（例如“/admin/login.php”等），在“爆破次數”欄中輸入最大嘗試次數，單位包括每分鐘次數/每秒鐘次數等。

當黑客試圖對網站進行攻擊時，常用的方法是利用漏洞上傳各種文件，來非法獲取控制權限。因此，對文件上傳進行嚴格管理，可以有效提高網站的安全性。筆者單位防火墻提供的文件上傳防護功能，支持查詢多種網頁源代碼的編碼格式，防止黑客篡改網站頁面。在上述規則編輯界面中選擇“文件上傳過濾”項，點擊“設置”鏈接，在打開窗口中顯示默認的文件過濾類型，可以在“上傳文件類型黑名單”欄中輸入新的類型（例如“asa”等），點擊“添加”按鈕將其添加進來。這樣，當黑客試圖上傳非法文件時，就會被防火墻攔截。

目前的網站管理后臺、FTP、遠程桌面和SSH 連接很容易遭到黑客的攻擊，因為默認情況下，只要知道對應的賬戶名和密碼，黑客就可以很輕松的連接上來。例如，如果黑客登錄到了網站后臺的話，就會對企業的數據安全造成很大的威脅。為了讓服務器的安全得到更有效的保障，筆者單位防火墻產品在基本的Web 應用防護的基礎上，添加了用戶登錄權限保護功能，也就是短信認證服務，讓訪問者不僅擁有基本的登錄權限，還必須通過短信認證后，才可以完整登錄操作。

在上述規則編輯窗口中選擇“用戶登錄權限保護”項，點擊“設置”鏈接，在打開窗口中的“URL”欄中輸入具體的登錄地址。在“允許短信驗證號碼”欄中輸入合適的手機號碼，格式為一行一個號碼。當然，需要將短信貓連接到防火墻上。點擊“發送測試短信”按鈕，可進行測試操作。在“短信通過后有效時間”欄中設置合適的時間，默認為30 min，當短信驗證通過后，在預設的時間內登錄無需再次驗證。如果選擇“允許Bypass，當檢測到短信網關失敗后，登錄防護將自動取消短信認證”項，表示如果防火墻沒有檢測到短信貓，那么將不再進行短信認證，僅僅輸入驗證的手機號，才可以顯示登錄界面。