下一代防火墙-web防护

 一、实验拓扑

二、实验目的

1、掌握各种web漏洞利用的原理

2、通过下一代防火墙WAF功能来防护网站服务器

三、实验配置和结果检测

Windows pc 配置

IP 192.168.10.1 255.255.255.0 网关192.168.10.254

dns 114.114.114.114

交换机配置

Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface g0/0
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exitSwitch(config)#ip routing   启动路由功能Switch(config)#interface vlan10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#no shut
Switch(config)#interface g0/1
Switch(config-if)#no switchport  改为三层接口
Switch(config-if)#no shutdown
Switch(config-if)#ip address 10.1.1.1 255.255.255.252Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2  配置上网的缺省路由，下接口 e0/1 IP

防火墙配置

进入配置界面查看DHCP自动分配的IP，通过IP进入可视化界面

配置接口

配置路由

配置目的nat

安全策略配置

物理主机访问web服务器

输入sql指令进行注入攻击。显示正常，则成功完成一次sql注入攻击

配置防火墙web防范策略，对web进行防护

域名设置

web服务器配置

在安全策略中启用

再次进行攻击

查看防火墙日志信息

四、实验总结

        本次实验围绕Web漏洞利用与防护展开，通过搭建网络环境验证了下一代防火墙WAF功能在抵御Web攻击中的作用。

        实验先完成基础网络配置：Windows PC设置固定IP与网关实现终端接入，交换机划分VLAN 10并配置路由功能，通过三层接口与静态缺省路由打通网段通信，防火墙则经接口、路由、目的NAT及安全策略配置，保障物理主机与Web服务器的基础连通性。

       实验核心环节分为两个阶段：首先在未启用WAF防护时，通过输入SQL注入指令成功攻击Web服务器，验证了未防护状态下Web漏洞的风险；随后配置防火墙Web防范策略，包括域名设置、Web服务器绑定及安全策略启用，再次发起攻击时，通过防火墙日志确认攻击被有效拦截。

       此次实验不仅让我们掌握了SQL注入等Web漏洞的利用原理，更深入理解了下一代防火墙WAF功能通过规则匹配、异常检测实时阻断恶意请求的机制，实践了从漏洞验证到防护部署的完整流程，为构建Web应用安全防护体系提供了直观的操作经验与理论支撑。