Modsecurity(开源waf)深度使用
2015-11-02 15:42
225 查看
WAF(网站应用防火墙)目前已经是一款非常成熟的安全产品,市场上的WAF产品参差不齐,价格也都不菲,下面我就介绍一款DIY的WAF产品。
DIY的WAF其实采用的是一款开源的hwaf产品modsecurity。安装在nginx上,nginx开启反向代理模式开启modsecurity安全插件就是目前市场上商业化WAF的反向代理部署模式的原形了,据了解,安全宝的云WAF产品就是这种模式。
开源网站防护系统原理:
在nginx基础上加上Modsecurity模块,为经过nginx传输的流量进行应用层过滤。
开源网站防护系统的利弊:
利:可以自定义策略,比如说目前的请求短信接口类的恶意流量进行自定义策略进行过滤(目前安全宝的云WAF不具备该功能),可以使用除了自定义策略外由OWASP安全组织为Modsecurity撰写的crs核心规则库,来防范比如sql注入、跨站脚本类的通用型安全漏洞
弊:Modsecurity还存在比较多的BUG,另外Modsecurity本身是为apache httpd开发的,目前已经支持nginx,但是对nginx中间件的配合还有些问题,比如说不能采用Modsecurity的日志控制中心来搜集日志。另外就是Modsecurity配合nginx过滤请求带来了比较大的服务器性能消耗,初步判断需要增加1倍的性能消耗,而且随着策略的条数增加,也就是说启用的策略条数越多,性能消耗也多。
按理说这么优秀的一款产品应该在国内已经很流行了,但是实际使用这款产品的并不多,因为产品存在部分不好解决的bug,就目前最新版本来说安装在nginx上就存在了致命性bug,post数据都会被拦截,除非不检测post流量,但这种设置从安全角度来说显然不可行,所以只能采取另外一种方法来绕过该BUG,今天先简单描述一下,明天继续更新!
DIY的WAF其实采用的是一款开源的hwaf产品modsecurity。安装在nginx上,nginx开启反向代理模式开启modsecurity安全插件就是目前市场上商业化WAF的反向代理部署模式的原形了,据了解,安全宝的云WAF产品就是这种模式。
开源网站防护系统原理:
在nginx基础上加上Modsecurity模块,为经过nginx传输的流量进行应用层过滤。
开源网站防护系统的利弊:
利:可以自定义策略,比如说目前的请求短信接口类的恶意流量进行自定义策略进行过滤(目前安全宝的云WAF不具备该功能),可以使用除了自定义策略外由OWASP安全组织为Modsecurity撰写的crs核心规则库,来防范比如sql注入、跨站脚本类的通用型安全漏洞
弊:Modsecurity还存在比较多的BUG,另外Modsecurity本身是为apache httpd开发的,目前已经支持nginx,但是对nginx中间件的配合还有些问题,比如说不能采用Modsecurity的日志控制中心来搜集日志。另外就是Modsecurity配合nginx过滤请求带来了比较大的服务器性能消耗,初步判断需要增加1倍的性能消耗,而且随着策略的条数增加,也就是说启用的策略条数越多,性能消耗也多。
按理说这么优秀的一款产品应该在国内已经很流行了,但是实际使用这款产品的并不多,因为产品存在部分不好解决的bug,就目前最新版本来说安装在nginx上就存在了致命性bug,post数据都会被拦截,除非不检测post流量,但这种设置从安全角度来说显然不可行,所以只能采取另外一种方法来绕过该BUG,今天先简单描述一下,明天继续更新!
相关文章推荐
- Vista 防火墙 Vista Firewall Control v1.0.11 下载
- C#通用邮件发送类分享
- C#、ASP.NET通用扩展工具类之TypeParse
- 收集的ROS防火墙脚本
- AutoRun病毒专杀防火墙 V4.39 绿色版
- C#、ASP.NET通用扩展工具类之LogicSugar
- 安装防火墙的12个注意事项
- win2008内置防火墙配置方法说明
- FTP服务器的防火墙通用设置规则介绍
- Windows批量添加防火墙例外端口的批处理代码
- Win2003 系统服务器防火墙
- 启用windows默认的防火墙需要注意的地方
- 懒惰是金 介绍几个php通用的函数第1/2页
- java中通用的线程池实例代码
- windows防火墙支持FTP服务的设置方法
- php实现通用的从数据库表读取数据到数组的函数实例
- 修改iptables防火墙规则解决vsftp登录后不显示文件目录的问题
- win2003防火墙导致ftp无法使用的解决方法
- Win2003 自带防火墙的设置图文教程