admin管理员组文章数量:1533920
2024年6月21日发(作者:)
一、介绍
引言
ModSecurity是一个Web应用防火墙(WAF)。当前已经有超过70%的攻击发生
在网络应用层,各级组织急需要能够保证他们的系统安全性的帮助。WAF系统的部署,
可以为web应用增加一个外部安全层来检测或防止攻击。针对一系列的攻
击,ModSecurity为web应用提供了强大的保护,并对HTTP流量进行监测和实时分析,
这些都只是很少或是根本没有影响系统的基础设施。
HTTP流量记录
web服务器已有的日志功能已经足够进行访问请求分析,但是就web的应用分析还
有些不足,特别是大多情况下没办法记录下请求体。你的对手很清楚这一点,所以很多时
候的攻击是通过POST请求产生,并导致您的系统失明。ModSecurity充分的获取
HTTP交互中的所以内容,并记录完整的请求和响应。其日志功能可以允许您更细致的做
出判断究竟什么是登录的时候,并确保相关的数据都被记录下来。一些请求和响应中的某
些关键字段可能包含敏感数据,ModSecurity可以被配置成在记录这些审计日志前隐藏
它。
实时监控和攻击检测
除了提供记录日志功能外,ModSecurity还能实时的监控HTTP的流量以检测攻
击。在某些时候,ModSecurity做为一个WEB入侵检测工具,可以让你对发生在WEB
系统上的一些可疑事件做出响应。
攻击防御和及时修补
ModSecurity能够立即针对你的WEB应用系统进行攻击防御,有三种通用的方法:
1、消极(negative)安全模型:消极安全模型监控那些异常的、不常用的和通用的
WEB攻击类请求。它统计每个请求的有关IP地址、应该连接、和用户帐户的异常分数,
当出现较高的异常分数时,会记录日志并完全的阻止访问。
2、积极安全模开型:部署积极安全模型后,只有那些明确的请求被允许通过,其它
的一律禁止。这个模式要求你对需要保护的WEB应用要非常的了解。因此积极安全模式
最好是用于那种大量访问却很少更新的系统,这样才能使这种模型的维护工作量降到最
低。
3、已知漏洞攻击:其规则语言使ModSecurity成为一个理想的外部修补工具,外部
修补(有时是指虚拟修补)可以减少机会之窗。一些组织修补这些应用的漏洞通常需要几
周的时间,使用ModSecurity,应用系统可以从外部修补,根本不用改应用的源码(甚
至时不用去管它),可以保证你的系统安全直到有一个合适的补丁来应用到系统中。
灵活的规则引擎
灵活的规则引擎是ModSecurity的核心,其实现了ModSecurity的规则语言,这是
版权声明:本文标题:ModSecurity中文手册 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1718971900a744998.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论