网络安全 频道

梭子鱼Web应用防火墙(WAF)测试报告

  需求:

  作为互联网应用和资讯内容提供商,公司拥有大量的WEB服务器,业务种类繁多,动静态内容混杂;已有网络防火墙解决的是公司业务网络边缘的安全问题;而最终用户(client)和服务器(server)之间的行为规范,规则仍为空白,存有大量安全隐患,即应用层安全防范问题。

  如:跨站点脚本攻击、SQL注入攻击、OS命令注入攻击、网站侦测攻击、进程劫持、应用拒绝服务攻击、恶意探测与网站爬行、Cookie/进程窃取攻击、路径模式发掘攻击、头信息窃取攻击、信息泄露攻击等。

  基于以上情况,需要于web服务器和用户之间部署一套安全,可靠,灵活的应用层防火墙。此次设备选型为“梭子鱼(BARRACUDA) WAF 460”。

  设备概述:

  此款“460”型号,从硬件体系结构划分,属于较常见的普通计算机系统结构,基于类UNIX系统,依靠UNIX血统强大的网络功能和系统稳定性,安全性,进行强化,二次开发,定制出的专门适用于防火墙的高效系统。此类防火墙由于和ASIC,NP等相比在处理性能上一般稍有不足,所以测试重点在性能方面,其次为功能和操作管理性方面的评估。

  设备主要参数:

  cpu: AMD Sempron 3400+ (1.8GHz)

  mem: 1.5G (DDR720/360MHz RAM)

  chipset: AMD K8

  支持后端服务器数量 5-10

  接入WEB流量(MB/秒) 50 Mbps

  HTTP连接/秒 6,000

  SSL连接/秒 4,000

  机架底盘 1U Mini

  有效AC电源输入(安培) 1.4

  主要功能:

  HTTP(S)/FTP协议验证、常规入侵防护、表单域数据提交验证、网站隐身外壳、应答控制、发送数据窃取保护、HTML代码格式化、协议健康检查、文件上传控制、日志、监控和报表、高可靠性、SSL卸载等。

  设备接口情况:

  前面板:以太网接口×2Gigabit(WAN口,LAN口);电源开关;RESET开关;

  后面板:10/100自适应以太网管理网口;USB×4;显示器接口;串口;并口;电源插孔;

  附图:

  (前面板)

  (后面板)

  设备管理方式:

  1, 直连基本输入输出设备(键盘,鼠标(支持USB/PS2),显示器)进行配置:

  1.1 设备开机自检过程,可直接进入bios进行参数调整.

  1.2 启动菜单包含3个选项:

  Barracuda,启动梭子鱼系统

  Recovery,可恢复系统出厂设置

  Hardware Test,硬件测试

  附图:

  测试环境拓扑图:

  设备支持“反向代理,桥模式,单臂模式”三种结构模式;分项测试,仅根据当前网站业务情况进行相关功能和性能测试,在功能测试(安全)方面,由于现实不存在大量并发的hacker行为攻击情况,采用单点单线程测试ACL及SQL注入,cookie欺骗等;对dos/DDOS类flood攻击主要测试设备的抗压能力,归为性能测试部分。

  测试环境设备概况:

  交换机:CISCO 2950 × 2

  服务器:server1

  机型:DELL R510 全新双路16核,24GB内存

  操作系统:windows server 2003 企业版(32位)

  应用服务器:IIS6;SQL SERVER 2005

  服务器:server2

  机型:DELL R510 全新双路16核,24GB内存

  操作系统:windows server 2008 R2 标准版

  应用服务器:IIS7;SQLSERVER 2005

  Client :

  机型:DELL R510 硬件配置同server

  各模式下,梭子鱼管理接口IP统一使用192.168.0.200/255.255.255.0

  管理用户名和口令采用默认的 admin /admin

  Web管理接口:http://192.168.0.200:8000

0
相关文章