在次世代防火牆啟用NAXIS WAF的實測結果~

測試環境與架構!

測試的網路架構如下圖,測試的方式也很簡單,靶機的系統網站使用一模一樣的WordPress版本和外掛,包括網站內容也都一樣,然後攻擊機會分別在兩個不同網段使用OWASP ZAP進行掃描測試:

  • 192.168.1.x的網段(模擬從防火牆外部來進行掃描)
  • 172.16.1.x的網段(與靶機相同的內部網段來進行掃描)

理論上若是WAF有防護效果的話,靶機就不會掃出有XSS和SQL Injection的漏洞才對!

攻擊機與靶機在相同網段進行掃描測試的結果~

靶機的系統網站:

  • WordPress 5.8.3 + WooCommerce 6.1.0
  • CentOS 7.8 + MySQL 5.7.34 + Php 7.4.21

攻擊機的系統:

  • Kali Linux 2021.3
  • OWASP ZAP 2.11.0

掃描的結果如下圖:

攻擊機從防火牆外部進行掃描測試的結果~

靶機的系統網站:

  • WordPress 5.8.3 + WooCommerce 6.1.0
  • CentOS 7.8 + MySQL 5.7.34 + Php 7.4.21

攻擊機的系統:

  • Kali Linux 2021.3
  • OWASP ZAP 2.11.0

掃描的結果如下圖:

次世代防火牆的WAF設定~

這次的掃描測試結果有點出乎我的意料之外,原本以為有使用了Nginx + NAXSI的WAF防護之後,靶機在防火牆的保證之下應該會擋掉XSS和SQL Injection的測試,但結果並沒有,我想這表示即便啟用了預設的WAF Policy和Rules,最好還是要再人工去做微調…

但老實說,我個人寧願在靶機的網站進行深度防護!

WAF的設定如下圖:

NAXSI WAF的預設Policy

NAXSI WAF的預設Rule