啟明星辰是國內(nèi)最具實力的、擁有完全自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品、可信安全管理平臺、安全服務(wù)與解決方案的綜合提供商。2010年6月23日，啟明星辰在深交所中小板正式掛牌上市。

隨著2012年5月啟明星辰發(fā)布全線萬兆產(chǎn)品，貴公司當時推出天清WAG-WAF5010高性能Web應(yīng)用防火墻，我們也在第一時間對該產(chǎn)品進行了測試分析。

一、高性能硬件架構(gòu)

該款啟明星辰萬兆WAF（Web應(yīng)用防火墻）使用基于MIPS64的多核SoC（System on Chip）處理器。相比X86、NP、ASIC硬件平臺，SoC多核硬件平臺的最大優(yōu)勢是保留了X86平臺的高靈活性，同時具備與ASIC平臺相當?shù)母咛幚硇阅?。同時，通過增加核數(shù)，使線性提升硬件計算能力成為可能，更重要的是功耗也隨之得到了控制。

1）該款WAF設(shè)備的正面圖如下。

2）該款WAF背面圖如下。

#p#

二、高性能壓力下處理能力

為測試其在萬兆狀態(tài)下對網(wǎng)站的保護情況，在測試前先用測試儀打出超10G的流量（進出）：

1．配置虛擬服務(wù)允許WAF兩接口之間的通信。

2．使用Avalanche測試儀，測試天清Web應(yīng)用安全網(wǎng)關(guān)的GOODPUT的性能。

測試拓撲如圖1所示。

圖1

Avalanche測試儀現(xiàn)場測試顯示性能結(jié)果如圖2所示。

圖2

在圖2性能壓力下，根據(jù)圖1的拓撲圖模擬真實攻擊測試，看在10G流量壓力下天清WAG產(chǎn)品是否能正常起到對Web網(wǎng)站防護作用。

1、SQL注入測試

在沒有開啟WAF防護功能時，對所測試的網(wǎng)站進行SQL注入攻擊，很輕松就以管理員權(quán)限進入了網(wǎng)站后臺。

在開啟WAF防護功能后，繼續(xù)對所測試的網(wǎng)站進行SQL注入攻擊，發(fā)現(xiàn)WAF已經(jīng)發(fā)現(xiàn)攻擊并返回"無法顯示網(wǎng)頁"的提示。與此同時，在WAF的后臺日志中發(fā)現(xiàn)SQL注入報警。

     #p#

2、XSS攻擊測試

跨站腳本攻擊(Cross Site Scripting)，指惡意攻擊者往Web頁面里插入惡意html代碼，當受害者瀏覽該Web頁時，嵌入其中的html代碼會被受害者Web客戶端執(zhí)行，達到惡意目的。

開啟XSS攻擊防護功能可以防御XSS攻擊。通過配置安全策略中的相應(yīng)內(nèi)容，可以實現(xiàn)丟棄攻擊報文，或者返回錯誤頁面，阻斷攻擊主機，提取原始報文以及上報攻擊事件等功能?？缯灸_本攻擊(Cross Site Scripting)，指惡意攻擊者往Web頁面里插入惡意html代碼，當受害者瀏覽該Web頁時，嵌入其中的html代碼會被受害者Web客戶端執(zhí)行，達到惡意目的。

開啟XSS攻擊防護功能可以防御XSS攻擊。通過配置安全策略中的相應(yīng)內(nèi)容，可以實現(xiàn)丟棄攻擊報文，或者返回錯誤頁面，阻斷攻擊主機，提取原始報文以及上報攻擊事件等功能。

在沒有開啟WAF防護功能時，對所測試的網(wǎng)站進行XSS攻擊，發(fā)現(xiàn)IE瀏覽器彈出"XSS攻擊成功"的提示。

在開啟WAF防護功能后，繼續(xù)對所測試的網(wǎng)站進行XSS攻擊，發(fā)現(xiàn)WAF已經(jīng)發(fā)現(xiàn)攻擊并返回"無法顯示網(wǎng)頁"的提示。天清WAF丟棄了XSS攻擊報文，抓包看到客戶端收到RST報文。與此同時，在WAF的后臺日志中發(fā)現(xiàn)XSS攻擊報警。

3、https加密和SSL卸載測試

一般的WAF都會提供https的加密通信功能，在沒有開始WAF的SSL功能時，所測試網(wǎng)站并不支持https訪問。如圖所示。

在開啟WAF的SSL功能后，所測試網(wǎng)站開始支持https訪問。如圖所示。

另外，可以將證書導(dǎo)入WAF，由WAF引擎與客戶端進行https連接，將服務(wù)器從繁重的ssl加解密中解脫出來。#p#

4、網(wǎng)頁掛馬防護測試

網(wǎng)頁掛馬防護是針對攻擊者篡改網(wǎng)站的源代碼，在其中增加了惡意鏈接，導(dǎo)致用戶在打開網(wǎng)頁的時候會自動下載惡意鏈接指向的文件。這些文件通常都是木馬病毒等對用戶造成嚴重影響的惡意程序。

1)在PC2上當作一臺WEB服務(wù)器，ip為172.16.1.76，在網(wǎng)站服務(wù)器上手寫一個頁面文件hacker1.htm，路徑為：C:\Inetpub\wwwroot\bbsxp\hacker1.htm，內(nèi)容如下：

< IMG src="http: // www.rrr.com/hacker. js" >< / IMG >

2)配置站點安全，開啟網(wǎng)頁掛馬防護，響應(yīng)動作為丟棄，開啟日志。虛擬服務(wù)引用站點安全。

3)瀏覽器訪問掛馬頁面http://172.16.1.76/hacker1.htm

4)在web上轉(zhuǎn)到掛馬防護疑似url確認頁面，將可疑的鏈接確認為惡意鏈接，可以看到惡意鏈接被加入到黑名單。

5)將hacker1.htm復(fù)制為hacker2.htm，重新訪問hacker2.htm，http://172.16.1.76/hacker2.htm可以看1到請求被阻斷。WAF會針對在標簽鏈接里嵌入的鏈接內(nèi)容進行檢測。

5、CSRF攻擊防護測試

CSRF(Cross-Site Request Forgery)也叫XSRF，是一種可以在受害者毫不知情的情況下以受害者名義偽造請求發(fā)送給受攻擊站點，從而在并未授權(quán)的情況下執(zhí)行在權(quán)限保護之下的操作，有很大的危害性。即盜用其他用戶的身份，以被盜用的用戶權(quán)限做一些事情。例如：修改密碼，發(fā)送郵件，銀行轉(zhuǎn)賬，發(fā)貼，刪貼等。

1)PC2是一臺WEB服務(wù)器，ip為172.16.1.76，PC2上開啟兩個http端口：80和9000分別模擬正常的服務(wù)器和黑客的服務(wù)器

2)IE瀏覽器登錄http://172.16.1.76/csrf/index.asp，查看頁面留言

3)未開啟CSRF功能時,訪問黑客網(wǎng)站http://172.16.1.76:9000/點擊CSRF_測試發(fā)帖.html鏈接

4)刷新http://172.16.1.76/csrf/index.asp，發(fā)現(xiàn)多了CSRF的一個留言

5)開啟CSRF功能，保護的URL：/csrf/ok.asp訪問來源:/csrf/write.htm，再次訪問黑客網(wǎng)站http://172.16.1.76:9000/點擊CSRF_測試發(fā)帖.html鏈接

6)刷新http://172.16.1.76/csrf/index.asp，沒有多余的留言

7)查看WAG的日志，可以看到CSRF事件，CSRF防護功能丟棄了發(fā)帖的報文，使發(fā)帖失敗。#p#

6、HTTP Flood(CC)防護測試

HTTP Flood(CC)是對服務(wù)器特定URL發(fā)送大量請求報文，會消耗服務(wù)器資源，導(dǎo)致拒絕服務(wù)。

WAF通過設(shè)置URL的訪問速率閾值，在超過閾值時，會判斷訪問者是正常的用戶瀏覽還是攻擊工具。測試時，使用工具對服務(wù)器的URL發(fā)起攻擊，WAF應(yīng)該可以阻斷攻擊。

1)PC2是一臺WEB服務(wù)器

2)站點安全開啟CC防護功能，配置受保護的URL：/ShowForum.asp，配置閾值為5，開啟日志功能

3)虛擬服務(wù)引用站點安全

4)使用藍天CC攻擊器對服務(wù)器進行攻擊

5)結(jié)果WAF上報CC攻擊事件日志，阻斷了pc1的對服務(wù)器的訪問。

7、Webshell事件檢測

Webshell是一種惡意的木馬文件，WAF的webshell功能是通過事件特征庫來判斷上傳文件是否為webshell木馬文件，丟棄上傳的Webshell文件。

1)通過Web界面新建事件集，選擇包含webshell的事件，設(shè)置動作為丟棄。

2)安全策略中啟用攻擊防御，選擇新建的事件集。

3)PC1訪問http://172.16.1.76/xxdoc.asp，密碼是xxdoc，上傳一個webshell木馬文件,一個webshell文件

4)WAF檢測出事件并按照事件設(shè)置的動作做出了響應(yīng)。

總結(jié)

經(jīng)過上述測試，可確認該Web應(yīng)用防火墻產(chǎn)品在萬兆流量下能有效防御SQL注入、XSS、CSRF、Webshell等多種危險攻擊，保護其后端的Web服務(wù)器免遭駭客毒手。該WAF除上述各種防護功能以外，還具有網(wǎng)頁防篡改、多機集群負載、緩存加速、自動bypass等功能。

"千兆到桌面、萬兆做骨干"在交換機和路由器設(shè)備上都已基本實現(xiàn)，而且同樣用于入侵防御的IPS/UTM也早已升級到萬兆。在這種趨勢下，國內(nèi)首款萬兆Web應(yīng)用防火墻的使用與普及，將使Web網(wǎng)絡(luò)安全真正邁入了萬兆Web應(yīng)用防火墻安全時代。