SecureGrid WAF测试方案模板vx.docx
《SecureGrid WAF测试方案模板vx.docx》由会员分享,可在线阅读,更多相关《SecureGrid WAF测试方案模板vx.docx(24页珍藏版)》请在冰豆网上搜索。
SecureGridWAF测试方案模板vx
SecureGridWAF产品测试方案
-4
1.测试环境和准备工作3
1.1.测试拓扑3
1.2.测试设备4
1.3.网络环境准备4
1.4.测试进度和人员安排6
1.5.测试原则和回退方案7
2.测试项目7
2.1.部署对现有业务是否影响的测试7
2.2.对用户各种业务支持能力的测试8
2.3.防御常规网页应用测试9
2.4.高级防御功能10
2.5.防信息泄密功能11
2.6.动态建模功能测试11
2.7.名誉机制防御功能12
2.8.防止网络欺诈功能13
2.9.自定义安全规则13
2.10.Web用户跟踪14
2.11.实际告警信息的记录和分析15
2.12.管理和报告功能测试16
2.13.易用性和可扩展性测试16
2.14.和第三方安全软件(漏洞扫描软件,安全管理软件)集成的功能17
2.15.Web和数据库关联分析18
1.测试环境和准备工作
1.1.测试拓扑
SecureGridSG产品系列可采用多种部署方式部署,包括在线桥接(InlineBridge),旁路监听(Sniffing),反向代理,路由等多种模式。
在测试的部署方式中,旁路监听方式和在线桥接方式比较常见。
根据用户的前期交流的需求,本次采用桥接部署方式。
在线桥接部署的情况下,是将SG安全网关采用串行的方法串在被保护的Web服务器之前,这种方式并不改变网络IP层面的拓扑,因为设备是工作在二层桥接状态。
这种方式除了保护Web服务器,对非法访问进行报警之外,还可以检验对非法访问的实时阻断的能力。
具体部署如下图所示:
在线桥接部署拓扑
如果要针对冗余环境进行测试,还可部署两台WAF网关,一台MX管理服务器进行HA方式部署:
HA高可用在线桥接部署拓扑
1.2.测试设备
测试设备
数量
备注
SecureGrid网关(X2000)
一台
如需测试HA,需要两台
SG7.5
SecureGrid管理服务器(SGM100)
如需测试分布式集中管理或者HA功能,需要准备一台
SG7.5
真实环境的Web服务器
若干台
受保护的Webserver
笔记本终端
一台
1.3.网络环境准备
本次试用的主要目的在于考察SecureGrid的Web应用保护系统是否能够为Web服务器安全监控和保护提供有价值的技术手段。
为了保证测试可以顺畅进行,在测试开始之前,需要用户进行以下配合工作:
1.提供Web服务器的大致流量和每秒的交易的数量信息,以便选用合适的设备型号;
2.请告知要保护的Web服务器的台数以及IP地址、服务端口信息;
3.如果要保护的Web服务有S服务需要保护,请提供Server的PEM格式的公钥和私钥,或者PKCS12格式的证书;
4.如果初期采用旁路监控部署方式,在连接Web服务器的交换机上做端口镜像(镜像的目的端口要是RJ45端口),将Web服务器的进出流量通过端口镜像复制出来,接SecureGrid的WAF的监控端口。
如果有负载均衡设备,可以在负载均衡设备之前的交换机上面做镜像,把访问整个服务器组的流量镜像到SecureGrid的WAF上。
镜像端口的流量需要双向流量。
5.然后可以切换到在线方式,观察在线阻断非法访问的效果。
采用在线部署方式,需要保证访问Web服务器的流量穿过SG,因此需要将SG串接在Web服务器前面,如果有负载均衡产品,可以选择串接在负载均衡产品之前或者之后。
SG提供自适应的100M/1000M的RJ45的接口,要注意和SG连接的设备的接口应该和这个匹配。
6.请分配一个管理的IP地址给SG,用于远程的管理,远程管理要用到8083(S)和22(SSH)端口。
该地址需要可以访问互联网权限,用于定期更新最新的特征代码信息。
测试设备IP地址分配表:
测试设备
IP地址和掩码
备注
SecureGridX2000网关管理地址1
IP:
MASK:
GW:
DNS:
SecureGridX2000网关管理地址2
IP:
MASK:
GW:
DNS:
如需测试HA功能,则需要提供
SecureGrid管理服务器(SGM100)管理地址:
IP:
MASK:
GW:
DNS:
如需测试分布式集中管理或者HA功能,则需要提供
受保护的Web服务器信息表:
测试设备
IP地址和掩码
备注
受保护的Web服务器1
IP:
Port:
是否启用SSL:
受保护的Web服务器2
IP:
Port:
是否启用SSL:
受保护的Web服务器3
IP:
Port:
是否启用SSL:
如果上面分配的IP地址有访问限制,或网关的管理地址和管理服务器之间有防火墙,需要开放以下权限:
防火墙规则:
源地址
目的地址
协议/端口
动作
备注
SG管理服务器地址
Internet
80
允许
允许SG网关定期更新特征代码
SG网关管理地址
SG管理服务器地址
SG管理服务器地址
SG网关管理地址
8083
443
允许
允许网关和管理服务器之间正常通讯
管理员
SG管理服务器地址
SG网关管理地址
8083
22
允许
允许管理员通过SSH和s管理端口管理SG设备
1.4.测试进度和人员安排
时间
工作
人员
选定测试的系统,准备串接
客户工程师
准备测试的设备和软件
SecureGrid认证工程师
设备通过在线桥接方式上线
SecureGrid认证工程师,客户工程师
设备配置调整,优化
SecureGrid认证工程师
设备收集信息,模型学习
SecureGrid认证工程师
告警信息收集和解释
SecureGrid认证工程师,客户工程师
Gothrough测试条目
SecureGrid认证工程师,客户工程师
测试总结
SecureGrid认证工程师,客户工程师
1.5.测试原则和回退方案
测试将以不影响用户现有业务应用为第一原则。
SecureGrid的网关将运行在在线桥接模式上,这一操作对现有业务没有任何影响,因为SecureGrid的设备是二层桥接设备,放到Web服务器的访问通路当中完全是透明的。
如果出现任何异常网络问题或故障,我们可将SG设备快速故障短路(bypass),再来分析故障具体原因,确保用户业务完全不受到测试影响。
2.测试项目
2.
2.1.部署对现有业务是否影响的测试
内容
通过
未通过
其它
备注
目的
检验设备安装和部署的复杂程度
测试方法
在设备安装和配置过程中,通过各个方面进行评估
结果
1、检验设备安装和配置时候,不需要更改网络IP层拓扑、不需要更改DNS
2、在线部署时网络不需要中断很长时间
3、不需要增加除Web保护网关之外额外的设备
4、不需要在保护的web服务器上安装第三方的软件
5、不需要初始策略配置(设备的默认配置就可以起到保护作用)
6、不需要软件开发技术和特殊使用知识
7、灵活部署——支持非在线(sniffing)和在线(bridge&reverseproxy)方式部署。
本次采用在线桥接方式。
8、设备具有Bypass功能,出现故障不影响现有业务
9、设备支持在线HA部署方案,在出现设备故障时,可自动切换到可用设备上。
可选
2.2.对用户各种业务支持能力的测试
内容
通过
未通过
其它
备注
目的
检验在用户正常业务量下,系统是否能正常运行。
测试方法
观察设备的配置是否有相应的选项支持
结果
1、对S的支持
2、对于XML和SOAP的支持
3、对于没有匹配私有密钥的SSL流量,设备会生成告警
4、对于协议层面的非法流量的告警
2.3.防御常规网页应用测试
内容
通过
未通过
其它
备注
目的
测试SecureGrid设备对于各种常见攻击的检查和防御性能的测试
测试方法
采用手工模拟和各种测试工具对下列常见网页攻击方式进行模拟,并观察产品是否可成功对各种模拟的攻击行为进行有效识别和防御。
1、根目录登陆测试
2、命令行登陆测试
3、非法URL编码测试
4、SQL注入攻击测试
5、跨站脚本测试
6、复杂的web应用攻击测试
7、参数篡改测试
8、扫描测试
9、蠕虫攻击测试
10、未知类别的攻击(客户化策略设置)
结果
1、是否具备以上攻击的防御能力
2、具备各种常见应用攻击和已知蠕虫威胁的防御能力
3、具备各种攻击响应处理动作。
包括警告、阻止,并可定义事件的严重级别,例如,提示信息、低级、高级、严重等
4、具备防御未知的蠕虫攻击能力
5、具备设备的默认安全策略,即系统开箱后,启动并插入网络即可立即保护网站服务器。
6、具备设定客户化策略的功能(防止未知类别的攻击,并且客户化的策略可以进行多个策略结合的关联设置)
6、具备丰富的后续动作(在一段时间内阻断ip、session、发邮件通知、执行系统脚本,等等)
7、具备特征代码自动更新的功能,至少提供2周一次的更新。
也提供离线升级方法
8、设备的特征代码更新是定期可以自动调度的
9.特征代码的更新应是平滑不影响设备操作的
10.设备的告警中包含详细的的请求信息。
2.4.高级防御功能
内容
通过
未通过
其它
备注
目的
测试SecureGrid设备对于高级的网页应用攻击防御的能力。
例如,网站信息爬取、机器人访问识别、应用层DDOS等
测试方法
采用手工模拟和各种测试工具对下列常见网页攻击方式进行模拟,并观察产品是否可成功对各种模拟的攻击行为进行有效识别和防御。
●防止网页内容被爬取
●防止机器人客户端访问网站,有效阻止未知扫描和攻击
●防止应用层DDos
结果
1、有效阻止网页内容被爬取
2、有效识别机器人客户端访问网站,并可进行阻断
3、可阻止应用层DDos攻击,保障业务网站稳定运行
2.5.防信息泄密功能
内容
通过
未通过
其它
备注
目的
防止因为网页应用的开发不当造成的敏感信息泄露,包括:
程序员备注信息、应用错误代码信息、客户信息(完整16位信用卡卡号)等等
测试方法
构造网站敏感信息泄露的场景,并验证WAF是否可对于泄露行为进行准确的识别和控制。
验证包括
●程序员开发备注
●应用错误代码信息
●客户信息,例如Visa、Master等信用卡卡号
结果
1、系统提供上述信息泄露策略模板和泄露内容的预定义
2、系统可有效阻止上述存在泄露的网页返回内容,并可记录违规返回的内容
3、系统提供信息泄露的报告模板,可用来遵从法规要求,例如PCI法规要求
2.6.动态建模功能测试
内容
通过
未通过
其它
备注
目的
测试设备是否可以动态自动生成用户的访问行为模型,可使用该动态模型来识别异常的网站访问行为。
动态模型可提供自动更新的功能,也可以人工修改。
测试方法
对目标网站进行访问,并观察设备是否可以动态自动生成用户的访问行为模型。
设定模型违规规则,测试对于违反模型的内容是否可以有效识别和阻断。
结果
1、设备支持的动态建模的profiling功能
2、Profiling应该是完全自动的,通过自学习的方式学习各个URL的参数、参数类型、参数长度、Cookie、提交方法等信息
3、Profiling提供手工调整的灵活性
4、Profiling支持XML和SOAP
5、Profiling可以随用户的业务改变而自动更新
6、具有灵活的profile策略,可以分别灵活调整在每一个profile特性被违反的时候,系统给予及时的处理
7、提供Profile安全规则,可根据各种条件来设置模型违规的安全策略,例如:
异常的参数类型、异常的参数长度、Cookie注入、Cookie篡改等
2.7.名誉机制防御功能
内容
通过
未通过
其它
备注
目的
测试设备是否可以获得并实时更新恶意IP列表、钓鱼网站信息、代理服务器等,第一时间基于这些名誉信息,事先阻断来自于这些不安全IP和站点发出的可疑请求
测试方法
确保WAF设备可实时更新到最新的恶意IP列表、钓鱼网站信息、代理服务器等名誉机制信息更新到最新,并采用测试工具模拟通过这些恶意IP或钓鱼网站访问被保护站点,观察设备是否可以成功基于名誉机制有效阻止这些可疑请求
结果
1、设备是否可实时更新恶意IP列表,并识别或阻止这些恶意IP为源地址的请求
2、设备是否可实时更新最新的钓鱼网站信息,并识别或阻止这些钓鱼网站为referer的请求
3、设备是否可实时更新最新的匿名代理和Tor网络的信息,并识别或阻止通过这些代理网络过来的请求
4、系统是否可提供基于IP地址所在地分析的功能,提供攻击地址的所在地、域名注册信息等
2.8.自定义安全规则
内容
通过
未通过
其它
备注
目的
验证系统是否可灵活的自定义安全规则,并可根据要求灵活的设定阻断警告页面。
测试方法
在WAF界面中根据要求设定自定义安全规则,并验证系统是否可以提供:
●提供URL、头、动作、参数、Referer、Cookie、Session、频度等常用的20种以上的相关参数。
各种规则条件可进行逻辑And、Or等多种条件的组合。
●是否可根据不同规则设定不同的阻断警告页面或重定向页面
●是否提供丰富的后续控制动作,例如,snmptrap、syslog、email、阻断一段时间(基于IP、会话、用户)等等
结果
1、是否可以基于要求自定义安全规则
2、是否可以基于不同的安全规则设定不同的警告页面
3、是否提供了丰富的后续动作
2.9.Web用户跟踪
内容
通过
未通过
其它
备注
目的
对于提供用户登录的网站,我们对所有的Web用户登录进行跟踪,并将用户信息关联到对应的安全事件警告和报告分析中。
测试方法
通过WAF自动学习或手工设置用户跟踪的相关设定,然后在登录目标网站后,进行Web应用攻击,观察系统是否能准确记录Web用户信息
结果
1、系统可以自动学习或手工设置用户登录的URL和相关参数
2、系统可以成功记录登录用户后,发起攻击的用户信息
2.10.实际告警信息的记录和分析
内容
通过
未通过
其它
备注
目的
验证WAF系统是否可准确的记录了相关的攻击事件,并提供了对应的攻击说明、原始的头、响应内容等证据信息。
测试方法
在Alert窗口中观察用户的实际环境中的真实告警情况,在下面的结果中记录在用户的现实Web应用中发现的真实攻击。
(可以截取Alert的屏幕截图附后)
结果
1、攻击1
2、攻击2
3、攻击3
4、攻击。
。
。
5、系统提供图形图表的控制面板,可监控到当前最新的攻击事件和统计信息
6、系统提供了警告信息自动汇总功能,可将最近发生的类似的安全警告(例如相同源地址)汇总,方便用户快速统计查看。
7、安全警告信息提供了详尽的参考信息,包括源地址、目标地址、用户、URL、头原始信息、参数、Cookies、违规策略名称并可对应快速关联到相关攻击的KnowledgeBase,获取更多相关知识
8、在警告信息的详细信息中,对违规的参数和信息提供标亮功能
9、可实现敏感信息在日志中的掩码功能,例如用户密码、信用卡卡号等
2.11.管理和报告功能测试
内容
通过
未通过
其它
备注
目的
测试SecureGrid设备的管理性能
测试方法
1、设备支持分布式管理功能
2、设备支持用户任意定制的报告
3、设备提供通常的报告模版
4、提供每日阻断的非法行为的报告
5、提供每周阻断的非法行为的综合报告
6、提供每周的每个URL违反情况的报告
7、可以定期生产报告,并且可以Email发出
结果
1、设备支持分布式管理功能。
提供独立的管理设备可集中管理多台网关,并统一策略管理和日志管理。
2、设备支持多级、多权限的委派管理功能。
3、设备可以任意定制各种形式的报告,设备也提供常用的报告模板。
厂商并提供模板的定期更新。
4、设备可以定期生产报告
5、设备的报告可以Email发出
6、设备具有强大的报告功能
2.12.易用性和可扩展性测试
内容
通过
未通过
其它
备注
目的
测试设备的易用性和可扩展性
测试方法
观察业务系统的是否能灵活调整从而满足用户的要求
结果
1、为了根据告警调整策略,设备是否可以灵活的具有从告警到调整安全策略的功能
2、在有新内容或者应用改变的时候,设备应该自动适应安全保护的准确性
3、设备的各种策略是否有Exception来规避某些URL或者参数
4、系统是否可扩展其他功能,例如,数据库审计、文件安全审计等
5、系统是否可扩展其他硬件,例如,SSL加速卡、存储卡等
2.13.和第三方安全软件(漏洞扫描软件,安全管理软件)集成的功能
内容
通过
未通过
其它
备注
目的
测试设备是否可以和第三方的安全软件集成使用
测试方法
观察设备是否可以自动和第三方安全软件(漏洞扫描软件,安全管理软件)协同工作
结果
1、设备支持和世界知名的第三方漏洞扫描软件(如IBM,HP等等)集成的功能
2、导入的漏洞结果,可以作为虚拟补丁
3、设备支持和世界知名的SOC/SIEM软件(如Arcsight)集成的功能
2.14.Web和数据库关联分析
内容
通过
未通过
其它
备注
目的
对于后台有数据库支持的Web应用系统,WAF在保护Web应用的同时,还可实现对Web应用请求和后台数据库查询的完整关联分析。
实现对Web应用用户、访问的URL、使用的数据库账号、生成的数据库查询进行完整的关联。
测试方法
在WAF上配置Web-DB关联分析的相关设置,并进行模拟访问,观察相关安全事件的记录信息是否准确。
结果
1、是否成功实现Web和Db的关联分析
制度是以执行力为保障的。
“制度”之所以可以对个人行为起到约束的作用,是以有效的执行力为前提的,即有强制力保证其执行和实施,否则制度的约束力将无从实现,对人们的行为也将起不到任何的规范作用。
只有通过执行的过程制度才成为现实的制度,就像是一把标尺,如果没有被用来划线、测量,它将无异于普通的木条或钢板,只能是可能性的标尺,而不是现实的标尺。
制度亦并非单纯的规则条文,规则条文是死板的,静态的,而制度是对人们的行为发生作用的,动态的,而且是操作灵活,时常变化的。
是执行力将规则条文由静态转变为了动态,赋予了其能动性,使其在执行中得以实现其约束作用,证明了自己的规范、调节能力,从而得以被人们遵守,才真正成为了制度。
“制度”。
是在通过其执行力对人们的行为起到规范作用的时候才成为制度的,使其从纸面、文字或是人们的语言中升腾出来,成为社会生活中人们身边不停发生作用的无形锁链,约束、指引着我们的行为和尺度。
无论是正式制度还是非正式制度都须有其执行力,只不过差别在于正式制度的执行力由国家、法庭、军队等来保障,而非正式制度的执行力则是由社会舆论、意识形态等来保障的。
在笔者看来,认清制度所具有的执行力是剖析制度本质的首要条件。
升级会员 