Mod_Security介绍

官方介绍地址：https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-%28v2.x%29#Introduction

一.简介

mod_security就是一个开源的WAF。特色是完整的http流量记录。提供实时的监控和攻击检测。（基于http的实时监控）

（一）常用方式：

1. 消极消极安全模型。监控异常请求，异常行为和常见的web攻击。为每一个异常值高的请求、IP地址、session和用户账户保持异常值，高异常值的请求会被记录在日志中或者拒绝服务。
2. 积极安全模型。使用该模型时，只允许通过已知的请求，其他的请求将被拒绝。这个模型需要对要保护的网站了解得比较透彻。这个模型最好用于不怎么更新变化的站。
3. 对已知的漏洞和弱点。可以使用它的规则语言进行外部修复，无须修改源代码即可实现修复。

（二）灵活的规则引擎

灵活的规则引擎是modsecurity的核心之一。它实现了ModSecurity的规则语言（一种专门处理http流量数据的编程语言）。

它灵活、简单。可实现通用加固，协议验证和常见的web安全问题检测。

（三）嵌入式部署

ModSecurity是一个可嵌入的Web应用程序防火墙，这意味着它可以作为现有Web服务器基础结构的一部分进行部署，前提是您的Web服务器是Apache，IIS7或Nginx。 这种部署方法具有以下优点：

1. 对现有网络结构没有影响。安装卸载都很简单。
2. 没有单点故障。
3. 负载均衡和缩放。
4. 最小的开销。
5. 加密或压缩内容都没问题。可以分析SSL流量。

（四）基于网络部署

当作为反向代理服务器的一部分部署时，效果同样运行良好。

（五）可移植性

支持Linux、Windows，Solaris，FreeBSD，OpenBSD，AIX，MAC OS X和HP-UX。

二. OWASP ModSecurity核心规则集介绍（CRS项目）

（一）简介

ModSecurity作为网站防火墙自身提供的保护非常少。为了让ModSecurity变得有用，就必须配置规则。为了更大利用ModSecurity，Trustwave's SpiderLabs建立了这个项目。区别于入侵检测和系统保护，这两者主要依赖签名去查杀已知漏洞，而CRS提供了未知漏洞的通用保护。

（二）核心规则内容

• HTTP保护：检测违反HTTP协议和本地定义的使用策略。
• 常见web攻击保护：检测常见的web应用攻击。
• 自动化检测-检测机器人，爬虫，扫描仪和其他恶意活动。
• 特洛伊木马保护：检测对特洛伊木马的访问。
• 错误隐藏：伪装服务器发送的错误消息。