去年的这个时候,游侠(www.youxia.org)认为WAF都是硬件的,后来在网上看到这个在国内做的不错的牌子。居然是软件的WAF,这样的话,一些服务器在机房托管的用户就特别需要这样的产品,因为1U的设备在电信机房的托管费用都有几千到上万,价格和便捷性的优势一下子就出来了……
  拿到了厂家发过来的测试版,迫不及待的装上试试!
  测试环境:
  ·Windows Server 2003
  ·IIS 6.0
  ·某有漏洞的ASP内容管理系统
  这款软件的WAF部署实际上比较简单的,并且是纯绿色软件……不需要下一步,也不需要点安装协议,直接拷贝文件到某个目录下面,配置权限,在IIS或其它的WEB Server进行相关配置即可,不难,几分钟即可配置好。过程我就不说了,只谈感想。呵呵
  可能不大懂WEB Server配置的人看到软件的说明书会感觉有点头大,因为里面写的都是配置文件以及配置说明,不过就像很多人喜欢开源的产品,这样的产品配置太自由了……任何过滤规则都可以自定义!充分体现了便捷性和功能强大多数时候不成正比的道理。
  由于产品基本都是配置文件,我下面贴上几条报警规则,大家看看:
2009-09-11 10:56:49 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 11103 'SQL Injection Attack - 1' ARGS:ArticleID=95%20and%201=2
2009-09-11 10:57:21 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 12101 'Cross-site Scripting (XSS) Attack' ARGS:ArticleID=95<script>alert("youxia")</script>
报警日期、时间、远程IP、类型、提交路径、***类型、提交参数。还是比较详细的。可以看到把我提交的2个语句都给很明确的记录下来了。
  本软件WAF默认***语句提交后转到网站首页,对***者不会有任何错误提示,并且默认禁止了.mdb等的下载。当然,如果你有别的类型,也可以自己在配置文件里面增加。
  本款软件WAF通过IIS(或其它WEB Server)程序映射方式实现安全防护,没有进程,对系统资源占用较小,对系统资源极度敏感的用户应该很合适用这款软件,另外如果服务器在电信机房托管,选择软件的WAF也相当合适。
  建议厂家增加GUI,这样看网站的报警日志的时候就轻松多了。
作者:张百川(网路游侠)
网站:http://www.youxia.org
   转载请注明来源!谢谢合作。