在ubuntu16.04中安装apache2+modsecurity以及自定义WAF规则详解

一、Modsecurity规则语法示例

SecRule是ModSecurity主要的指令，用于创建安全规则。其基本语法如下：

SecRule VARIABLES OPERATOR [ACTIONS]

• VARIABLES

  代表HTTP包中的标识项，规定了安全规则针对的对象。常见的变量包括：ARGS（所有请求参数）、FILES（所有文件名称）等。

• OPERATOR

  代表操作符，一般用来定义安全规则的匹配条件。常见的操作符包括：@rx(正则表达式）、@streq(字符串相同）、@ipmatch(IP相同）等。

• ACTIONS

  代表响应动作，一般用来定义数据包被规则命中后的响应动作。常见的动作包括：deny（数据包被拒绝）、pass(允许数据包通过）、id（定义规则的编号）、severity(定义事件严重程度）等。

值得注意的是，如需获取更加深入的语法，请参考官方手册。由于本实验中涉及到了自定义安全规则，故将其中涉及到的三条规则做详细说明，如下：

规则1：防XSS攻击

SecRule ARGS|REQUEST_HEADERS "@rx 。实验结果如下图所示：

执行命令vim /var/log/apache2/modsec_audit.log，查看WAF拦截日志，如下图所示：

由上图可知，从本地主机发出的GET请求被规则文件MY.conf中的001号规则准确命中，消息中包含的恶意代码被拦截。