深信服防火墻技術方案

測試組 測試工 部署方 支持路由模 支持網(wǎng)橋模 支持旁路模 支持混合模 Web防 Web掃描防 HTTP方法過 緩沖區(qū)溢出檢 BASE64...............................................................................................................SQL注 防 XSS跨 OS命令注入........................................................................................................ 信 上傳防 服務器信息隱 Web登錄明文傳輸檢 Web登錄弱口令防 URL黑 防 口 防 習 網(wǎng)頁防篡 網(wǎng)絡爬蟲防 響應功 安全事件分 聯(lián)動防 IPv6協(xié)議支 Web底層防 風險評 實時分 Web掃 僵尸網(wǎng)絡檢 異常流量檢 管理功 圖形界 帶外管 用戶管 鑒 系統(tǒng)日志管 產(chǎn)品升 自定義報 自定義規(guī)則 安全風險報 系統(tǒng)可靠性測 Bypass功 雙機熱備-主 雙機熱備-主 設備安全掃描評 一、測試環(huán)

客戶

被測設

Web服務PCWeb服務器一臺二、測試內(nèi)用例A用例A1WAF用例A1鏡像交換客戶 Web服務被測設1、在被測設備上創(chuàng)建一個旁路接口，來自交換機的鏡像數(shù)據(jù)用例AWeb防Web掃描防Web防用例A測試WAF設備針對掃描的防52HTTP方法過Web防HTTP用例A 1httpGET和POST緩沖區(qū)溢出檢Web防用例A 1、開啟被測設備的緩沖區(qū)溢出檢測、限制長度為256、url長度1024.2、使用測試工具burpsuite構造http的請求頭部長度超過3burpsuitehttpurl1024，發(fā)送該2、3httpBASE64Web防BASE64用例B者可能通過對語句使用Base64進行編碼來繞過的檢測 2、使 工具發(fā)送如下語句 SQL注入防Web防SQL注入防用例A1、客戶端被測 4、再次如下 XSSWeb防XSS用例A1dvwa測試2、 3、在信息內(nèi)容中輸入<script>alert(“xss”)</script>4、開啟被測設備的xss防護功OS命令注入Web防OS用例A1、 3&&cat/etc/passwd并提交，查看是否能夠5&&cat/etc/passwd并提交，查看是否能夠遍歷Web防遍歷用例A 遍歷的識別效 、 信Web防用例A擊者提示的方2、 上傳防Web防 上傳防用例A測試WAF設備Webs文件上傳過濾功能，由于Web應用系統(tǒng)在開發(fā)Web服務器的信息進行檢查，從而導致Web服務器被植入、木馬成為利用的工具，為防止或通過某種方式強行獲取服務器權限之后或服務器存在上傳1、開啟被測設備文件Webs防護功能2、h 3、在本地選擇一個webs 4、查看文件是否可以上傳成功，查看返回的信息是否可以上傳webs文 失 文服務器信息隱Web防用例A3、測試 Web防HTTP用例A Web登錄明文傳輸檢Web防用例B為防止一些Web服務器因為設置過于簡單而帶來一定的風險，需要Web弱口令進行防護。1.1Content-Type:application/x-www-form-urlencodedWebWeb防用例B為防止一些Web服務器因為設置過于簡單而帶來一定的風險，需 3、查看被測設備的日志可以發(fā)現(xiàn)webURL黑白防Web防URL黑白防用例AWeb應用系統(tǒng)中通常會包含有系統(tǒng)管理員管理界面以便于管理員維護Web應用系統(tǒng)但是這種便利很可能會被利用從而應用系統(tǒng)。URLURL的開放對象，防止由于過多的信息于公網(wǎng)產(chǎn)生的 功 用 3、客戶端無法該頁面，但可以其他頁口令防Web防口令防用例B 易 CSRF防Web防CSRF防用例A 4、退出重新登陸該頁面，使用用戶名admin、1查看是否可以登4、無法使用1進行登習白功Web防用例B成防護白1、瀏覽器持續(xù)正常WebGoat的頁面3、發(fā)送違背白策略的http請求 Web防用例B1、Web服務器根 下放置一個index.html文件；3、修改index.html文件一個字節(jié)；4、客戶端index.html網(wǎng)頁頁，篡改數(shù)據(jù)被、、Web防用例A等Web防用例B網(wǎng)客戶 被測設 Web服務2、GSM/CDMA貓一2、配置好網(wǎng)關以及需要通知到機號碼3、設置的敏感頁面4、輸入正確的已經(jīng)登錄敏感頁面時，WAF設備能夠進行二次加強認證后可 Web防用例AWAF設備的網(wǎng)絡爬蟲防護功能。網(wǎng)絡爬蟲是一種按照一定的規(guī)則，2、客戶端使用網(wǎng)絡爬蟲Webdup去http服務器，查看結果用例A測試WAF設備檢測到Web應用時，應該允許用戶定義特定安全告用例A測試WAF設備檢測到Web應用時，應該具備郵件告警告警、1、登陸WEB應用設備進行多種告式的設置：郵件告警，短2、對被保護的web站點進行正常和3、可以看到的告警日志W(wǎng)eb防用例A1、對被保護的web站點進行正常和 的URL等，并且可以記錄數(shù)據(jù)包，并高亮顯示 聯(lián)動防Web防用例A測試WAF設備在受到WEB的時候能夠自動阻斷源后續(xù)的流量。驗證WEB應用設備的網(wǎng)絡爬蟲防護功能。網(wǎng)絡爬蟲是一1、指定用戶對WAF防護的服務器發(fā)動WebIPv6協(xié)議支WebIPv6用例AWEB應用應支持IPV6協(xié)議2、測試客戶端及目標服務器、WEB應用均配置IPV6地1、WEB應用開 Web底層防系統(tǒng)底層CVE-2013-4547Ngnix文件解析防用例B測試WAF設備是否能夠防護CVE為CVE-2013-4547的系統(tǒng)底層CVE-2009-4444IIS過防用例B測試WAF設備是否能夠防護CVE為CVE-2009-4444的1、獲取IIS畸形文件擴展名繞 報文 系統(tǒng)底層CVE-2013-1966CVE-2013-2115 用例B測試WAF設備是否能夠防護CVE為CVE-2013-19661、獲取ApacheStruts pleteFixSecurity系統(tǒng)底層CVE-2013-2251： Multiple命令執(zhí)行防用例B測試WAF設備是否能夠防護CVE為CVE-2013-2251的1、獲取ApacheStrutsMultiple命令執(zhí)行報文實時分實施分用例BWAFHTTP請求進行檢測，并通過分析服務 Web掃Web掃用例A測試WAF設備具備Web掃描功能，為Web服務進行一個全面的全掃描并通告當前Web業(yè)務所存在的風險以及建議的解決方用例B用例B圖形界用例AWAF設備能否瀏覽器圖形界面進行管理，系統(tǒng)應提供友好的用戶界面用于管理、配置Web應用系統(tǒng)。管理配置界面應包含配置和無1、通過瀏覽器登陸WEB應用管理頁面2、輸入正確的用戶名和帶外管用例AWeb應用系統(tǒng)的探測器應配備不同的網(wǎng)絡硬件接口分別用于產(chǎn)無1、通過應用數(shù)據(jù)端口連接被保護站點網(wǎng)絡接口卡以及客戶端網(wǎng)絡接2、通過web應用管理網(wǎng)絡接口連接管理PC設備3、應用數(shù)據(jù)防護和Web應用獨立管理用戶管用例B無鑒用例B無用例B無用例B無用例B驗證被測WEB應用設備是否支持系統(tǒng)日志管理無3IP地址，起始/結束時間等多條件的綜合查詢產(chǎn)品升用例A無2、通過應用升級相關選項進行WEB應用前的升級用例A無1、對被保護的web站點進行一定量的正常和用例AWeb應用應允許管理員自定義規(guī)則庫，以及對開發(fā)商提供無安全風險報用例AWAFWeb有效展用例A安全措施更明確1、找到測試中存在xss的url，提交語2、找到另外一個url不存在xss，提交語 ，并且能夠統(tǒng) 行為Bypass功Bypass用例A2、使用工具持續(xù)向發(fā)起大量http請求，并記錄發(fā)送的請求數(shù)量和收response數(shù)量；3、切斷WEB應