一. 介绍
1.
介绍 ModSecurity是一个Web应用程序防火墙(WAF)。目前超过70%的攻击是在Web应用层面上进行的,因此组织者需要各方的帮助来确保他们系统的安全。 应用程序防火墙被部署,目的是在攻击到达应用程序防火墙之前就被检测或阻止。ModSecurity提供对Web应用程序攻击范围的保护,并且对
HTTP流量监测和实时分析,而且很少或根本不改变现有的基础设施。
HTTP的流量记录
Web服务器通常是装备精良并轻松处理表单数据分析,但却不善于网络应用程序的记录,尤其是大多服务器都没有对请求体记录的能力,攻击者很清楚这一点,这就是为什么现在大多数攻击都是通过POST请求进行,从而导致您的系统崩溃。ModSecurity让HTTP事务日志记录成为可能,它让所有的请求和响应被记录。如果在请求或相应的区域包含敏感信息,ModSecurity可以被配置在敏感信息被写入统计日志时被隐藏。
实时监控和攻击检测
除了提供日志记录功能以外,ModSecurity可以实时监控HTTP流量以检测攻击。在这种情况下,ModSecurity作为网络入侵检测工具,让你在你的网站系统发生可疑事件时做出反应。
攻击预防和时时修补
ModSecurity可以在攻击到达你的Web应用程序之前立即阻止。有三种常用的方法:
消极的安全模型。消极安全模型监视异常,非正常的请求,以及常见的Web应用程序攻击。这种表现为每个请求,IP地址,应用程序会话,用户帐户异常。异常高将被完全记录或拒绝访问。
积极的安全模型。当一个积极的安全模型被部署,只有已知的有效的请求被接受,其他的都被拒绝。这种模式需要你有Web应用程序保护方面的相关知识。因此,积极的安全模型工作的很好并且被大量使用,但是很少更新,所以也使该模型萎缩。
已知弱点和漏洞。它的语言规则,使ModSecurity成为一个理想的外部修补工具。外部补丁(有时被称为虚拟不定)减少了系统漏洞。但申请修补漏洞所需的时间往往长达几个星期。有了ModSecurity,应用程序可以从外部进行防护,无需接触应用程序的源代码(甚至没有任何访问),直至打了适当的补丁到应用到应用程序,就可以使您的系统安全。
灵活的规则引擎
ModSecurity以一个灵活的规则引擎和核心。它面向modsecurity规则语言,这是一个专门设计用于与HTTP进行数据交流的编程语言。modsecurity规则语言被设计为易于使用,灵活:常见的操作简单而复杂的操作也是可能的。ModSecurity规则,包含了一整套的实施规则和协议验证以及常见的Web应用安全问题的检测。大家都认为这些规则可以作为一个学习工具。
嵌入式模式部署
ModSecurity是一个可嵌入的Web应用程序防火墙,这意味着它可以作为您的现有基础设施的一部分部署在Web服务器,当然这种Web服务器是基于Apache的。这种部署方法具有一定的优势:
1.不对现有网络进行任何改变。只需要几分钟把ModSecurity添加到您现有的网络服务器。而且它被设计为默认模式,你可以自由的部署根据你的需要。同样,它也很容易删除或停用。
2.没有单点故障。与基于网络的部署不同,你不会将一个新的问题引入到您的系统中。
3.隐式加载和缩放。由于它是嵌入在Web服务器中, ModSecurity当规则加载时会自动起作用。你不需要考虑负载均衡和扩大现有的系统,当然,除非你需要他们。
4.最小的开销。因为它工作于Web服务器内部,所以没有网络通信和数据交换方面的开销。
5.对加密或压缩的内容没有任何问题。许多IDS系统在分析SSL流量时很困难。对ModSecurity,这不是一个问题,因为它就是定位在工作于加密和压缩流量中的。
基于网络的部署
ModSecurity在一个基于Apache的反向代理服务器的配置中工作的很好,很多人也都这么做,
在这种情况下,安装一个ModSecurity可以保护任何数量的网络服务器(甚至非Apache的)。
可移植性
ModSecurity是众所周知的可以很好的工作在众多的操作系统中。它成功地运行在Linux,Windows,Solaris,FreeBSD,OpenBSD,NetBSD,AIX,Mac OS X和HP - UX操作系统。
许可
ModSecurity有两个许可。用户可以选择使用GNU通用公共许可证第二版(许可证文本包含在条款里)作为一个开放源码/免费软件产品。商业范围的许可也可以,连同商业支持合同的范围。要了解更多有关商业许可的资料,请联系Breach Security。
注意
ModSecurity,mod_security,ModSecurity Pro和ModSecurity Core Rules是Breach Security公司的注册商标