啟明星辰是國內最具實力的、擁有完全自主知識產權的網絡安全產品、可信安全管理平臺、安全服務與解決方案的綜合提供商。2010年6月23日，啟明星辰在深交所中小板正式掛牌上市。

隨著2012年5月啟明星辰發布全線萬兆產品，貴公司當時推出天清WAG-WAF5010高性能Web應用防火墻，我們也在第一時間對該產品進行了測試分析。

一、高性能硬件架構

該款啟明星辰萬兆WAF（Web應用防火墻）使用基于MIPS64的多核SoC（System on Chip）處理器。相比X86、NP、ASIC硬件平臺，SoC多核硬件平臺的最大優勢是保留了X86平臺的高靈活性，同時具備與ASIC平臺相當的高處理性能。同時，通過增加核數，使線性提升硬件計算能力成為可能，更重要的是功耗也隨之得到了控制。

1）該款WAF設備的正面圖如下。

2）該款WAF背面圖如下。

#p#

二、高性能壓力下處理能力

為測試其在萬兆狀態下對網站的保護情況，在測試前先用測試儀打出超10G的流量（進出）：

1．配置虛擬服務允許WAF兩接口之間的通信。

2．使用Avalanche測試儀，測試天清Web應用安全網關的GOODPUT的性能。

測試拓撲如圖1所示。

圖1

Avalanche測試儀現場測試顯示性能結果如圖2所示。

圖2

在圖2性能壓力下，根據圖1的拓撲圖模擬真實攻擊測試，看在10G流量壓力下天清WAG產品是否能正常起到對Web網站防護作用。

1、SQL注入測試

在沒有開啟WAF防護功能時，對所測試的網站進行SQL注入攻擊，很輕松就以管理員權限進入了網站后臺。

在開啟WAF防護功能后，繼續對所測試的網站進行SQL注入攻擊，發現WAF已經發現攻擊并返回"無法顯示網頁"的提示。與此同時，在WAF的后臺日志中發現SQL注入報警。

     #p#

2、XSS攻擊測試

跨站腳本攻擊(Cross Site Scripting)，指惡意攻擊者往Web頁面里插入惡意html代碼，當受害者瀏覽該Web頁時，嵌入其中的html代碼會被受害者Web客戶端執行，達到惡意目的。

開啟XSS攻擊防護功能可以防御XSS攻擊。通過配置安全策略中的相應內容，可以實現丟棄攻擊報文，或者返回錯誤頁面，阻斷攻擊主機，提取原始報文以及上報攻擊事件等功能。跨站腳本攻擊(Cross Site Scripting)，指惡意攻擊者往Web頁面里插入惡意html代碼，當受害者瀏覽該Web頁時，嵌入其中的html代碼會被受害者Web客戶端執行，達到惡意目的。

開啟XSS攻擊防護功能可以防御XSS攻擊。通過配置安全策略中的相應內容，可以實現丟棄攻擊報文，或者返回錯誤頁面，阻斷攻擊主機，提取原始報文以及上報攻擊事件等功能。

在沒有開啟WAF防護功能時，對所測試的網站進行XSS攻擊，發現IE瀏覽器彈出"XSS攻擊成功"的提示。

在開啟WAF防護功能后，繼續對所測試的網站進行XSS攻擊，發現WAF已經發現攻擊并返回"無法顯示網頁"的提示。天清WAF丟棄了XSS攻擊報文，抓包看到客戶端收到RST報文。與此同時，在WAF的后臺日志中發現XSS攻擊報警。

3、https加密和SSL卸載測試

一般的WAF都會提供https的加密通信功能，在沒有開始WAF的SSL功能時，所測試網站并不支持https訪問。如圖所示。

在開啟WAF的SSL功能后，所測試網站開始支持https訪問。如圖所示。

另外，可以將證書導入WAF，由WAF引擎與客戶端進行https連接，將服務器從繁重的ssl加解密中解脫出來。#p#

4、網頁掛馬防護測試

網頁掛馬防護是針對攻擊者篡改網站的源代碼，在其中增加了惡意鏈接，導致用戶在打開網頁的時候會自動下載惡意鏈接指向的文件。這些文件通常都是木馬病毒等對用戶造成嚴重影響的惡意程序。

1)在PC2上當作一臺WEB服務器，ip為172.16.1.76，在網站服務器上手寫一個頁面文件hacker1.htm，路徑為：C:\Inetpub\wwwroot\bbsxp\hacker1.htm，內容如下：

< IMG src="http: // www.rrr.com/hacker. js" >< / IMG >

2)配置站點安全，開啟網頁掛馬防護，響應動作為丟棄，開啟日志。虛擬服務引用站點安全。

3)瀏覽器訪問掛馬頁面http://172.16.1.76/hacker1.htm

4)在web上轉到掛馬防護疑似url確認頁面，將可疑的鏈接確認為惡意鏈接，可以看到惡意鏈接被加入到黑名單。

5)將hacker1.htm復制為hacker2.htm，重新訪問hacker2.htm，http://172.16.1.76/hacker2.htm可以看1到請求被阻斷。WAF會針對在標簽鏈接里嵌入的鏈接內容進行檢測。

5、CSRF攻擊防護測試

CSRF(Cross-Site Request Forgery)也叫XSRF，是一種可以在受害者毫不知情的情況下以受害者名義偽造請求發送給受攻擊站點，從而在并未授權的情況下執行在權限保護之下的操作，有很大的危害性。即盜用其他用戶的身份，以被盜用的用戶權限做一些事情。例如：修改密碼，發送郵件，銀行轉賬，發貼，刪貼等。

1)PC2是一臺WEB服務器，ip為172.16.1.76，PC2上開啟兩個http端口：80和9000分別模擬正常的服務器和黑客的服務器

2)IE瀏覽器登錄http://172.16.1.76/csrf/index.asp，查看頁面留言

3)未開啟CSRF功能時,訪問黑客網站http://172.16.1.76:9000/點擊CSRF_測試發帖.html鏈接

4)刷新http://172.16.1.76/csrf/index.asp，發現多了CSRF的一個留言

5)開啟CSRF功能，保護的URL：/csrf/ok.asp訪問來源:/csrf/write.htm，再次訪問黑客網站http://172.16.1.76:9000/點擊CSRF_測試發帖.html鏈接

6)刷新http://172.16.1.76/csrf/index.asp，沒有多余的留言

7)查看WAG的日志，可以看到CSRF事件，CSRF防護功能丟棄了發帖的報文，使發帖失敗。#p#

6、HTTP Flood(CC)防護測試

HTTP Flood(CC)是對服務器特定URL發送大量請求報文，會消耗服務器資源，導致拒絕服務。

WAF通過設置URL的訪問速率閾值，在超過閾值時，會判斷訪問者是正常的用戶瀏覽還是攻擊工具。測試時，使用工具對服務器的URL發起攻擊，WAF應該可以阻斷攻擊。

1)PC2是一臺WEB服務器

2)站點安全開啟CC防護功能，配置受保護的URL：/ShowForum.asp，配置閾值為5，開啟日志功能

3)虛擬服務引用站點安全

4)使用藍天CC攻擊器對服務器進行攻擊

5)結果WAF上報CC攻擊事件日志，阻斷了pc1的對服務器的訪問。

7、Webshell事件檢測

Webshell是一種惡意的木馬文件，WAF的webshell功能是通過事件特征庫來判斷上傳文件是否為webshell木馬文件，丟棄上傳的Webshell文件。

1)通過Web界面新建事件集，選擇包含webshell的事件，設置動作為丟棄。

2)安全策略中啟用攻擊防御，選擇新建的事件集。

3)PC1訪問http://172.16.1.76/xxdoc.asp，密碼是xxdoc，上傳一個webshell木馬文件,一個webshell文件

4)WAF檢測出事件并按照事件設置的動作做出了響應。

總結

經過上述測試，可確認該Web應用防火墻產品在萬兆流量下能有效防御SQL注入、XSS、CSRF、Webshell等多種危險攻擊，保護其后端的Web服務器免遭駭客毒手。該WAF除上述各種防護功能以外，還具有網頁防篡改、多機集群負載、緩存加速、自動bypass等功能。

"千兆到桌面、萬兆做骨干"在交換機和路由器設備上都已基本實現，而且同樣用于入侵防御的IPS/UTM也早已升級到萬兆。在這種趨勢下，國內首款萬兆Web應用防火墻的使用與普及，將使Web網絡安全真正邁入了萬兆Web應用防火墻安全時代。