Mod_Security介绍
洪鸿
官方介绍地址:https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-%28v2.x%29#Introduction
一.简介
mod_security就是一个开源的WAF。特色是完整的http流量记录。提供实时的监控和攻击检测。(基于http的实时监控)
(一)常用方式:
- 消极消极安全模型。监控异常请求,异常行为和常见的web攻击。为每一个异常值高的请求、IP地址、session和用户账户保持异常值,高异常值的请求会被记录在日志中或者拒绝服务。
- 积极安全模型。使用该模型时,只允许通过已知的请求,其他的请求将被拒绝。这个模型需要对要保护的网站了解得比较透彻。这个模型最好用于不怎么更新变化的站。
- 对已知的漏洞和弱点。可以使用它的规则语言进行外部修复,无须修改源代码即可实现修复。
(二)灵活的规则引擎
灵活的规则引擎是modsecurity的核心之一。它实现了ModSecurity的规则语言(一种专门处理http流量数据的编程语言)。
它灵活、简单。可实现通用加固,协议验证和常见的web安全问题检测。
(三)嵌入式部署
ModSecurity是一个可嵌入的Web应用程序防火墙,这意味着它可以作为现有Web服务器基础结构的一部分进行部署,前提是您的Web服务器是Apache,IIS7或Nginx。 这种部署方法具有以下优点:
- 对现有网络结构没有影响。安装卸载都很简单。
- 没有单点故障。
- 负载均衡和缩放。
- 最小的开销。
- 加密或压缩内容都没问题。可以分析SSL流量。
(四)基于网络部署
当作为反向代理服务器的一部分部署时,效果同样运行良好。
(五)可移植性
支持Linux、Windows,Solaris,FreeBSD,OpenBSD,AIX,MAC OS X和HP-UX。
二. OWASP ModSecurity核心规则集介绍(CRS项目)
(一)简介
ModSecurity作为网站防火墙自身提供的保护非常少。为了让ModSecurity变得有用,就必须配置规则。为了更大利用ModSecurity,Trustwave's SpiderLabs建立了这个项目。区别于入侵检测和系统保护,这两者主要依赖签名去查杀已知漏洞,而CRS提供了未知漏洞的通用保护。
(二)核心规则内容
- HTTP保护:检测违反HTTP协议和本地定义的使用策略。
- 常见web攻击保护:检测常见的web应用攻击。
- 自动化检测-检测机器人,爬虫,扫描仪和其他恶意活动。
- 特洛伊木马保护:检测对特洛伊木马的访问。
- 错误隐藏:伪装服务器发送的错误消息。
类似资料: