waf日志分析报告.doc

衡固WEB应用安全网关 日志分析报告 10月1日-10月31日 XXXXX科技发展有限公司 2012年11月 一、 WAF部署方式 WAF的部署方式有3种：串接，并接和双机热备。串接主要部署在快速部署的系统中，工作于透明模式，具有bypass的功能；并接主要针对不能中断的系统；双机热备则具有更高的安全性和可靠性，当一台waf出现故障，另一台会自动开启防护功能。 二、 资源占用情况统计和分析 图2-1 waf的CPU和内存使用率 从上图中可以看出，10月1日到10月31日，waf的CPU应用率平均14.34%，内存使用的平均利用率为20.73%，总体资源耗费不大，但在不断的流量监控的过程中CPU的使用会出现较高的峰值。 三、 网站的访问请求、应用流量和响应时间统计 图3-1 访问请求统计 图3-2 应用流量统计 图3-3 响应时间统计 网站的平均总访问量为1119000个，平均总应用流量为106154KBytes，网站的平均响应时间为11毫秒。 四、 WEB服务受攻击与WAF网站防护对比分析 图4-1 攻击防护 图4-2 攻击源统计 从以上的攻击防护与攻击源的图可以看出，绝大多数防护的是网络爬虫，而网络爬虫的作用是使网站在各大搜索引擎中更容易被找到，因此正常的网络爬虫没有危害，若某些IP大量使用一种爬虫而造成网站的访问很缓慢的情况，则需要阻断这些IP的访问使得网站访问正常。 另外，waf防护的攻击还有SQL注入，所谓的SQL注入，就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。攻击者通过SQL注入可获取管理员权限，进而操作后台数据，篡改网页内容。 五、 历史同期的比较 4.1 攻击类型 较上月分析，CC攻击、目录遍历、远程文件包含攻击在10月份均没有出现，而且SQL注入攻击也较上月的52次降到38次。 4.2 访问流量 下图为10月份用户访问请求的流量图。 访问流量的对比将在下个月的分析报告中体现 4.3 攻击源地址 攻击的IP地址对应的地区绝大多数来自北京，和上月相同。造成这种情况形成的原因可能是由于使用扫描器对网站进行扫描，使用不同的攻击代码对网站访问时，waf都会记录攻击信息，生成攻击防护日志。 六、 跟其他单位waf的比较 人口信息中心 商委 教委 质监局 攻击类型与次数 SQL注入 38次 SQL注入 814次 跨站脚本 3次 目录遍历 8次 命令注入 1次 SQL注入 38次 跨站脚本 15次 目录遍历 43次 远程文件包含 24次 SQL注入 25次 平均访问请求（个） 1119 792 平均应用流量 （KBytes） 106154 66299 攻击次数最多来源 210.30.103.45 辽宁大连 220.181.89.168 北京 电信 220.181.158.216 北京 电信 七、 改进措施 1）开启DDOS防护，防止DDOS攻击 2）关闭爬虫防护，减少防护日志，提高waf性能 3）开启网站的漏洞扫描，避免由于网站漏洞带来的威胁。 八、 定性分析 从上面的分析中可以看出，WAF有效的检测并阻断各类攻击，避免SQL注入漏洞的检测和攻击，解决了SQL注入带来的危害，通过报表统计可以看到攻击的来源，能够更有效的追溯攻击来源，使得网站的安全得到保障。