ModSecurity原本是Apache上的一款开源waf,可以有效的增强web安全性,目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,是保护和审核web安全的利器
一、什么是ModSecurity?
1、ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙。
2、ModSecurity是一个开源、跨平台的web应用程序防火墙(WAF)模块。
3、它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。
4、ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。
二、ModSecurity能做什么?
1、ModSecurity是实时web应用程序工具包监控、日志记录和访问控制。
2、自由选择做什么是必不可少的一部分ModSecurity的身份和其开放源码特性非常适合。 完全访问源代码,你自由选择延伸到自定义和扩展工具本身的能力,使其满足您的需要。 这不是一个意识形态的问题,但实用性。我只是不想让我的工具限制我能做什么。
3、回到话题ModSecurity能做什么,下面列出最重要的使用场景:
实时应用程序安全性监测和访问控制在其核心,ModSecurity给你访问HTTP通信流,实时,检查它的能力。 这是足够的实时安全监控。 有一个额外的维度可能通过ModSecurity的持久存储机制,这使您能够跟踪系统元素随着时间的推移和执行事件相关。 你能够可靠地,如果你愿意,因为ModSecurity使用完整的请求和响应缓冲。
虚拟补丁缓解虚拟修补漏洞的概念在不同的层中,你获得解决问题的应用程序,而无需触摸应用程序本身。 虚拟补丁适用于使用任何通信协议的应用程序,但它与HTTP尤其有用,因为交通通常可以很好理解的中间设备。 ModSecurity擅长虚拟修补因其可靠的屏蔽能力和灵活的规则适用于任何需要的语言。 到目前为止,该活动,需要最少的投资,是最简单的活动执行,大多数组织可以受益于直接。
完整的HTTP流量日志Web服务器通常很少做日志记录是为了安全目的。 他们默认日志非常少,甚至很多的调整,你不能得到你需要的一切。 我还没有遇到一个web服务器日志已满的交易数据。 ModSecurity能记录任何你需要的给你,包括原始交易数据,这对取证至关重要。 此外,您可以选择哪些交易记录,事务被记录的哪些部分,哪些部分是消毒。
连续被动安全评估安全评估很大程度上被看作是一个活跃的预定事件,在一个独立的团队采购来执行一个模拟攻击。 连续被动安全评估是实时监控的一种变体,在那里,而不是专注于外部各方的行为,你专注于系统的行为本身。 这是一个各种各样的早期预警系统,可以发现许多异常的痕迹和安全漏洞利用。
Web应用程序硬化ModSecurity是我最喜欢的一个用途攻击表面还原,你选择性地缩小你愿意接受(如HTTP特性。 ,请求方法、请求头内容类型,等等)。 ModSecurity可以帮助您执行许多类似的限制,直接或通过合作与其他Apache模块。 他们都属于硬化的web应用程序。 例如,它可以解决许多会话管理问题,以及跨站点请求伪造漏洞。
小的东西,但对你非常重要现实生活往往把不寻常的要求对我们来说,这是当的灵活性ModSecurity方便你最需要它的地方。 它可能是安全需要,但它也可能是完全不同的东西。 例如,有些人使用ModSecurity作为XML web服务路由器,结合解析XML的能力和应用XPath表达式与代理请求的能力。 谁知道呢?
接下来主要谈谈如何使用官方的第一手入门资料 ---modsecurity handbook
对于配置以及基础教程在下面这本书中都已经提到了有感兴趣的可以联系我 目前这本书最新版在国内还没有出现,官网报价是24英镑 将近200元(可是我辛辛苦苦从国外购买的,只希望赚个跑腿费),现在只需要30就可以得到这本waf企业级防火墙详细教程
联系方式:[email protected]
这本书针对目前最新的2.9.1 modsecurity教程展开
主要内容:
1.详细介绍modsecurity在各个操作系统版本的安装和基础规则语言详细描述
2.对一些经验丰富的内部用户提供更高级技术的详细解释与指导
3提供ModSecurity 2.9.1的完整覆盖对规则性能的深度检查
3. 涵盖了一个超越官方在线参考手册的综合参考文档
4.更多案例规则与使用方法介绍