admin管理员组

文章数量:1533920

2024年6月21日发(作者:)

一、介绍

引言

ModSecurity是一个Web应用防火墙(WAF)。当前已经有超过70%的攻击发生

在网络应用层,各级组织急需要能够保证他们的系统安全性的帮助。WAF系统的部署,

可以为web应用增加一个外部安全层来检测或防止攻击。针对一系列的攻

击,ModSecurity为web应用提供了强大的保护,并对HTTP流量进行监测和实时分析,

这些都只是很少或是根本没有影响系统的基础设施。

HTTP流量记录

web服务器已有的日志功能已经足够进行访问请求分析,但是就web的应用分析还

有些不足,特别是大多情况下没办法记录下请求体。你的对手很清楚这一点,所以很多时

候的攻击是通过POST请求产生,并导致您的系统失明。ModSecurity充分的获取

HTTP交互中的所以内容,并记录完整的请求和响应。其日志功能可以允许您更细致的做

出判断究竟什么是登录的时候,并确保相关的数据都被记录下来。一些请求和响应中的某

些关键字段可能包含敏感数据,ModSecurity可以被配置成在记录这些审计日志前隐藏

它。

实时监控和攻击检测

除了提供记录日志功能外,ModSecurity还能实时的监控HTTP的流量以检测攻

击。在某些时候,ModSecurity做为一个WEB入侵检测工具,可以让你对发生在WEB

系统上的一些可疑事件做出响应。

攻击防御和及时修补

ModSecurity能够立即针对你的WEB应用系统进行攻击防御,有三种通用的方法:

1、消极(negative)安全模型:消极安全模型监控那些异常的、不常用的和通用的

WEB攻击类请求。它统计每个请求的有关IP地址、应该连接、和用户帐户的异常分数,

当出现较高的异常分数时,会记录日志并完全的阻止访问。

2、积极安全模开型:部署积极安全模型后,只有那些明确的请求被允许通过,其它

的一律禁止。这个模式要求你对需要保护的WEB应用要非常的了解。因此积极安全模式

最好是用于那种大量访问却很少更新的系统,这样才能使这种模型的维护工作量降到最

低。

3、已知漏洞攻击:其规则语言使ModSecurity成为一个理想的外部修补工具,外部

修补(有时是指虚拟修补)可以减少机会之窗。一些组织修补这些应用的漏洞通常需要几

周的时间,使用ModSecurity,应用系统可以从外部修补,根本不用改应用的源码(甚

至时不用去管它),可以保证你的系统安全直到有一个合适的补丁来应用到系统中。

灵活的规则引擎

灵活的规则引擎是ModSecurity的核心,其实现了ModSecurity的规则语言,这是

本文标签: 系统应用攻击请求日志

版权声明:本文标题:ModSecurity中文手册 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1718971900a744998.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。