深信服防火墙技术方案

测试组 测试工 部署方 支持路由模 支持网桥模 支持旁路模 支持混合模 Web防 Web扫描防 HTTP方法过 缓冲区溢出检 BASE64...............................................................................................................SQL注 防 XSS跨 OS命令注入........................................................................................................ 信 上传防 服务器信息隐 Web登录明文传输检 Web登录弱口令防 URL黑 防 口 防 习 网页防篡 网络爬虫防 响应功 安全事件分 联动防 IPv6协议支 Web底层防 风险评 实时分 Web扫 僵尸网络检 异常流量检 管理功 图形界 带外管 用户管 鉴 系统日志管 产品升 自定义报 自定义规则 安全风险报 系统可靠性测 Bypass功 双机热备-主 双机热备-主 设备安全扫描评 一、测试环

客户

被测设

Web服务PCWeb服务器一台二、测试内用例A用例A1WAF用例A1镜像交换客户 Web服务被测设1、在被测设备上创建一个旁路接口，来自交换机的镜像数据用例AWeb防Web扫描防Web防用例A测试WAF设备针对扫描的防52HTTP方法过Web防HTTP用例A 1httpGET和POST缓冲区溢出检Web防用例A 1、开启被测设备的缓冲区溢出检测、限制长度为256、url长度1024.2、使用测试工具burpsuite构造http的请求头部长度超过3burpsuitehttpurl1024，发送该2、3httpBASE64Web防BASE64用例B者可能通过对语句使用Base64进行编码来绕过的检测 2、使 工具发送如下语句 SQL注入防Web防SQL注入防用例A1、客户端被测 4、再次如下 XSSWeb防XSS用例A1dvwa测试2、 3、在信息内容中输入<script>alert(“xss”)</script>4、开启被测设备的xss防护功OS命令注入Web防OS用例A1、 3&&cat/etc/passwd并提交，查看是否能够5&&cat/etc/passwd并提交，查看是否能够遍历Web防遍历用例A 遍历的识别效 、 信Web防用例A击者提示的方2、 上传防Web防 上传防用例A测试WAF设备Webs文件上传过滤功能，由于Web应用系统在开发Web服务器的信息进行检查，从而导致Web服务器被植入、木马成为利用的工具，为防止或通过某种方式强行获取服务器权限之后或服务器存在上传1、开启被测设备文件Webs防护功能2、h 3、在本地选择一个webs 4、查看文件是否可以上传成功，查看返回的信息是否可以上传webs文 失 文服务器信息隐Web防用例A3、测试 Web防HTTP用例A Web登录明文传输检Web防用例B为防止一些Web服务器因为设置过于简单而带来一定的风险，需要Web弱口令进行防护。1.1Content-Type:application/x-www-form-urlencodedWebWeb防用例B为防止一些Web服务器因为设置过于简单而带来一定的风险，需 3、查看被测设备的日志可以发现webURL黑白防Web防URL黑白防用例AWeb应用系统中通常会包含有系统管理员管理界面以便于管理员维护Web应用系统但是这种便利很可能会被利用从而应用系统。URLURL的开放对象，防止由于过多的信息于公网产生的 功 用 3、客户端无法该页面，但可以其他页口令防Web防口令防用例B 易 CSRF防Web防CSRF防用例A 4、退出重新登陆该页面，使用用户名admin、1查看是否可以登4、无法使用1进行登习白功Web防用例B成防护白1、浏览器持续正常WebGoat的页面3、发送违背白策略的http请求 Web防用例B1、Web服务器根 下放置一个index.html文件；3、修改index.html文件一个字节；4、客户端index.html网页页，篡改数据被、、Web防用例A等Web防用例B网客户 被测设 Web服务2、GSM/CDMA猫一2、配置好网关以及需要通知到机号码3、设置的敏感页面4、输入正确的已经登录敏感页面时，WAF设备能够进行二次加强认证后可 Web防用例AWAF设备的网络爬虫防护功能。网络爬虫是一种按照一定的规则，2、客户端使用网络爬虫Webdup去http服务器，查看结果用例A测试WAF设备检测到Web应用时，应该允许用户定义特定安全告用例A测试WAF设备检测到Web应用时，应该具备邮件告警告警、1、登陆WEB应用设备进行多种告式的设置：邮件告警，短2、对被保护的web站点进行正常和3、可以看到的告警日志Web防用例A1、对被保护的web站点进行正常和 的URL等，并且可以记录数据包，并高亮显示 联动防Web防用例A测试WAF设备在受到WEB的时候能够自动阻断源后续的流量。验证WEB应用设备的网络爬虫防护功能。网络爬虫是一1、指定用户对WAF防护的服务器发动WebIPv6协议支WebIPv6用例AWEB应用应支持IPV6协议2、测试客户端及目标服务器、WEB应用均配置IPV6地1、WEB应用开 Web底层防系统底层CVE-2013-4547Ngnix文件解析防用例B测试WAF设备是否能够防护CVE为CVE-2013-4547的系统底层CVE-2009-4444IIS过防用例B测试WAF设备是否能够防护CVE为CVE-2009-4444的1、获取IIS畸形文件扩展名绕 报文 系统底层CVE-2013-1966CVE-2013-2115 用例B测试WAF设备是否能够防护CVE为CVE-2013-19661、获取ApacheStruts pleteFixSecurity系统底层CVE-2013-2251： Multiple命令执行防用例B测试WAF设备是否能够防护CVE为CVE-2013-2251的1、获取ApacheStrutsMultiple命令执行报文实时分实施分用例BWAFHTTP请求进行检测，并通过分析服务 Web扫Web扫用例A测试WAF设备具备Web扫描功能，为Web服务进行一个全面的全扫描并通告当前Web业务所存在的风险以及建议的解决方用例B用例B图形界用例AWAF设备能否浏览器图形界面进行管理，系统应提供友好的用户界面用于管理、配置Web应用系统。管理配置界面应包含配置和无1、通过浏览器登陆WEB应用管理页面2、输入正确的用户名和带外管用例AWeb应用系统的探测器应配备不同的网络硬件接口分别用于产无1、通过应用数据端口连接被保护站点网络接口卡以及客户端网络接2、通过web应用管理网络接口连接管理PC设备3、应用数据防护和Web应用独立管理用户管用例B无鉴用例B无用例B无用例B无用例B验证被测WEB应用设备是否支持系统日志管理无3IP地址，起始/结束时间等多条件的综合查询产品升用例A无2、通过应用升级相关选项进行WEB应用前的升级用例A无1、对被保护的web站点进行一定量的正常和用例AWeb应用应允许管理员自定义规则库，以及对开发商提供无安全风险报用例AWAFWeb有效展用例A安全措施更明确1、找到测试中存在xss的url，提交语2、找到另外一个url不存在xss，提交语 ，并且能够统 行为Bypass功Bypass用例A2、使用工具持续向发起大量http请求，并记录发送的请求数量和收response数量；3、切断WEB应