如何使用WebKnight WAF保护IIS Web服务器？

学习WebKnight Web应用防火墙（适用于IIS）的功能和安装过程。

作为一个中间件管理员、Web工程师，您可能需要在IIS Web服务器上工作，如果您被赋予管理生产环境的责任，那么在某个时候您需要处理安全性。

如果您对Microsoft IIS Web服务器还不熟悉，那么您可以查看这个online course。

IIS Web服务器上的漏洞 report by Acunetix显示样本目标中有7%是存在漏洞的。

考虑到increase in online threats，保护Web应用程序始终是一项具有挑战性的任务。您应该考虑所有可能性，以保护您的网站免受黑客攻击。如果您想要保护托管在IIS上的网站，那么您可以考虑使用WebKnight WAF。

WebKnight是由AQTRONiX开发的适用于IIS Web服务器的开源Web应用防火墙。它通过扫描所有到达IIS的请求来阻止恶意请求。

在进入安装程序之前，让我们先了解一下它的一些功能。

• 管理界面 – 用于管理WebKnight和统计信息
• 日志记录 – 记录WebKnight阻止或处理的所有请求
• 兼容性 – 与WebDAV、Cold Fusion、OWA、Share Point等一起使用
• Brute force attacks protection
• 屏蔽IP – 当您知道某个IP是恶意的时，有助于屏蔽传入的请求
• 防止盗链
• 阻止机器人
• 扫描GET和POST负载
• 运行时更新 – 在对WebKnight进行更改时无需重新启动IIS
• SSL会话加密
• SQLi、XSS、CSRF和信息泄露保护

我希望现在您对WebKnight WAF能做什么有了一个了解，那么让我们继续进行安装。

WebKnight与所有主要的最新版本IIS 5、6、7、7.5、8、8.5和10兼容。

先决条件

• 必须安装支持的 version IIS
• 必须启用ISAPI过滤器和扩展

如何启用ISAPI过滤器和扩展？

如果您已经启用了此功能，请跳到下一步。以下说明适用于Windows 8。

• 转到控制面板 >> 程序和功能
• 点击“打开或关闭Windows功能”
• 展开“Internet Information Services” >> 万维网服务 >> 应用程序开发功能，并选择ISAPI扩展和过滤器

• 点击确定

下载和安装WebKnight

首先，您需要下载WAF，访问official URL进行下载。下载最新版本（我在写作时是4.4）。它将以zip格式下载。

解压下载的zip文件，它将创建一个新文件夹 – WebKnight.4.4

• 进入WebKnight.4.4/Setup/x64
• 双击WebKnight Windows安装程序开始安装
• 点击下一步

• 接受许可协议
• 选择“完成”并点击安装

• 可能需要几分钟的时间，完成后将显示安装完成消息。
• 选择“启动配置实用程序”并点击完成

这样您就成功安装了WebKnight Web应用防火墙，且默认配置已准备好保护您的IIS Web服务器。

现在，您可以根据自己的需求调整配置。让我们看一下一些必要的配置。

日志记录

默认情况下，它只会记录被阻止的请求，但如果您希望记录所有日志，请滚动到日志记录部分并选择“记录允许的请求”。

在日志记录部分，您还可以启用其他指标，如User-Agent、X-Forwarded-For等。

方法

如果您需要允许其他方法，则启用GET、HEAD和POST。在滚动到”Methods”部分后添加它们。

Web应用程序

如前所述，WebKnight与其他应用程序兼容，您可以在此部分选择所需的应用程序。

每当您进行更改时，必须通过转到”File” >> “Save” 保存以使配置生效。

让我们尝试一些恶意请求，看看这个WAF如何处理。

脚本执行

我在URL中尝试了 /? ，结果被阻止了。

做得好！

让我们看一下日志

2016-08-31 ; 14:05:46 ; W3SVC1 ; OnPreprocHeaders ; ::1 ; ; localhost ; GET ; /? ; BLOCKED: URL is not RFC compliant ; / ;  ; BLOCKED: Parameter name not valid '' ; BLOCKED: '<script' not allowed in querystring ; HTTP/1.1 ; Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0) ; ; MONITORED: IP address (previous alert) ; Referer: '' ; User-Agent: 'Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)' ; From: '' ; Accept-Language: 'en-US' ; Accept: 'text/html, application/xhtml+xml, */*' ; Content-Type: ''

因此，如您在日志中所见，它被阻止了，因为URL不符合RFC。

WebKnight用于IIS的开源WAF看起来很有前途，并且默认配置可以保护Web服务器免受各种安全攻击。

尝试一下，看看这是否是您正在寻找的内容。如果不是，您始终可以利用云安全提供商（例如SUCURI）提供完整的网站安全解决方案。