1．

介绍
ModSecurity是一个Web应用程序防火墙（WAF）。目前超过70％的攻击是在Web应用层面上进行的，因此组织者需要各方的帮助来确保他们系统的安全。 应用程序防火墙被部署，目的是在攻击到达应用程序防火墙之前就被检测或阻止。ModSecurity提供对Web应用程序攻击范围的保护，并且对HTTP流量监测和实时分析，而且很少或根本不改变现有的基础设施。

 

Web服务器通常是装备精良并轻松处理表单数据分析，但却不善于网络应用程序的记录，尤其是大多服务器都没有对请求体记录的能力，攻击者很清楚这一点，这就是为什么现在大多数攻击都是通过POST请求进行，从而导致您的系统崩溃。ModSecurity让HTTP事务日志记录成为可能，它让所有的请求和响应被记录。如果在请求或相应的区域包含敏感信息，ModSecurity可以被配置在敏感信息被写入统计日志时被隐藏。

 

除了提供日志记录功能以外，ModSecurity可以实时监控HTTP流量以检测攻击。在这种情况下，ModSecurity作为网络入侵检测工具，让你在你的网站系统发生可疑事件时做出反应。

 

ModSecurity可以在攻击到达你的Web应用程序之前立即阻止。有三种常用的方法：

 

消极的安全模型。消极安全模型监视异常，非正常的请求，以及常见的Web应用程序攻击。这种表现为每个请求，IP地址，应用程序会话，用户帐户异常。异常高将被完全记录或拒绝访问。

积极的安全模型。当一个积极的安全模型被部署，只有已知的有效的请求被接受，其他的都被拒绝。这种模式需要你有Web应用程序保护方面的相关知识。因此，积极的安全模型工作的很好并且被大量使用，但是很少更新，所以也使该模型萎缩。

已知弱点和漏洞。它的语言规则，使ModSecurity成为一个理想的外部修补工具。外部补丁（有时被称为虚拟不定）减少了系统漏洞。但申请修补漏洞所需的时间往往长达几个星期。有了ModSecurity，应用程序可以从外部进行防护，无需接触应用程序的源代码（甚至没有任何访问），直至打了适当的补丁到应用到应用程序，就可以使您的系统安全。

 

灵活的规则引擎
ModSecurity以一个灵活的规则引擎和核心。它面向modsecurity规则语言，这是一个专门设计用于与HTTP进行数据交流的编程语言。modsecurity规则语言被设计为易于使用，灵活：常见的操作简单而复杂的操作也是可能的。ModSecurity规则，包含了一整套的实施规则和协议验证以及常见的Web应用安全问题的检测。大家都认为这些规则可以作为一个学习工具。

 

嵌入式模式部署
ModSecurity是一个可嵌入的Web应用程序防火墙，这意味着它可以作为您的现有基础设施的一部分部署在Web服务器，当然这种Web服务器是基于Apache的。这种部署方法具有一定的优势：

1.不对现有网络进行任何改变。只需要几分钟把ModSecurity添加到您现有的网络服务器。而且它被设计为默认模式，你可以自由的部署根据你的需要。同样，它也很容易删除或停用。

2.没有单点故障。与基于网络的部署不同，你不会将一个新的问题引入到您的系统中。

3.隐式加载和缩放。由于它是嵌入在Web服务器中， ModSecurity当规则加载时会自动起作用。你不需要考虑负载均衡和扩大现有的系统，当然，除非你需要他们。

4.最小的开销。因为它工作于Web服务器内部，所以没有网络通信和数据交换方面的开销。

5.对加密或压缩的内容没有任何问题。许多IDS系统在分析SSL流量时很困难。对ModSecurity，这不是一个问题，因为它就是定位在工作于加密和压缩流量中的。

基于网络的部署
ModSecurity在一个基于Apache的反向代理服务器的配置中工作的很好，很多人也都这么做，

在这种情况下，安装一个ModSecurity可以保护任何数量的网络服务器（甚至非Apache的）。

可移植性
ModSecurity是众所周知的可以很好的工作在众多的操作系统中。它成功地运行在Linux，Windows，Solaris，FreeBSD，OpenBSD，NetBSD，AIX，Mac OS X和HP - UX操作系统。