WAF想必大家都不陌生���,就是WEB網(wǎng)站的防火墻,用來(lái)保護(hù)網(wǎng)站安全免受外界攻擊���,一般waf有三種形態(tài)����,軟件waf、硬件waf���、云waf�����。
今天測(cè)試的兩款waf一款是云waf名叫GOODWAF,一款是軟件waf名叫ModSecurity��,之所以選擇這兩款waf���,是因?yàn)樗麄冇幸粋€(gè)共同點(diǎn)�,都是開源的����,也就是都是免費(fèi)的。
我們先看第一款��,GOODWAF����。
從界面上可以看到��,云waf是通過(guò)移交域名解析權(quán)實(shí)現(xiàn)安全防護(hù)的�����,通過(guò)改變?cè)械慕馕龇绞?,解析到waf節(jié)點(diǎn)上���,惡意流量就能夠被擋住��。
可見的功能主要是有:
傳統(tǒng)WAF功能:防御SQL注入�����、防XSS跨站攻擊����、防web木馬�、防webshell上傳、防盜鏈�、關(guān)鍵字過(guò)濾等功能。
主動(dòng)防御功能:如oday漏洞防護(hù)�����、掃描防護(hù)、溢出防護(hù)����、網(wǎng)頁(yè)源碼加密、js保護(hù)等�����。
人機(jī)識(shí)別功能:如腳本攻擊識(shí)別��、機(jī)器人識(shí)別���、防自動(dòng)化攻擊、防爬蟲�、防撞庫(kù)、防暴力破解等����。
數(shù)據(jù)風(fēng)控功能:注冊(cè)防控、消息防控���、登錄防控等功能��。
態(tài)勢(shì)感知功能:攻擊溯源����、數(shù)據(jù)顯示、LED大屏顯示����、3D動(dòng)態(tài)效果等功能。
使用方法還是比較簡(jiǎn)單的��,用手機(jī)號(hào)注冊(cè)賬號(hào)��,然后實(shí)名認(rèn)證���,添加域名�、ip�、備案信息等,基本信息就算是添加完成�����。但是還需要一步�����,就是去域名管理后臺(tái)解析域名,這步比較簡(jiǎn)單��。
通過(guò)上面的步驟�����,解析完域名以后�����,就實(shí)現(xiàn)了網(wǎng)站的安全防護(hù)����,同時(shí)在后臺(tái)可以選擇相應(yīng)的功能,js防護(hù)�����、源碼防護(hù)����、白名單����、黑名單等等。
第二個(gè)測(cè)試的是modsecurity,這一款軟件waf��,ModSecurity最開始是一個(gè)Apache的安全模塊�����,后來(lái)發(fā)展成為開源的���、跨平臺(tái)的WEB應(yīng)用防火墻�����。它可以通過(guò)檢查WEB服務(wù)接收到的數(shù)據(jù)���,以及發(fā)送出去的數(shù)據(jù)來(lái)對(duì)網(wǎng)站進(jìn)行安全防護(hù)。
這次測(cè)試的是ModSecurity 穩(wěn)定版 (v3.0.4)
一���、安裝VCredist
在安裝ModSecurity之前需要安裝VCredist�。
下載完成后���,直接安裝即可��。
二����、安裝ModSecurity
按照操作系統(tǒng)下載對(duì)應(yīng)的ModSecurityIIS,點(diǎn)擊此處下載32位ModSecurityIIS��,點(diǎn)擊此處下載64位ModSecurityIIS��,下載后復(fù)制到服務(wù)器內(nèi)����,直接安裝即可。
安裝成功后��,applicationHost.config文件(位于C:\Windows\System32\inetsrv\Config目錄下)����,會(huì)自動(dòng)添加以下內(nèi)容,表示IIS下所有網(wǎng)站都會(huì)默認(rèn)使肕odSecurity進(jìn)行防護(hù):
三�、規(guī)則配置
雖然IIS版的ModSecurity安裝后自動(dòng)包含了規(guī)則文件,但由于自帶的規(guī)則文件版本較老�����,因此需要手動(dòng)將規(guī)則文件進(jìn)行更新�。
首先�����,訪問(wèn)https://github.com/coreruleset/coreruleset下載規(guī)則文件:
下載后上傳到服務(wù)器,將解壓后的"crs-setup.conf.example"重命名為"crs-setup.conf"后復(fù)制到ModSecurity安裝目錄下��,即C:\Program Files\ModSecurity IIS���。
將c:\inetpub\temp\文件夾與c:\inetpub\logs\賦予IIS_IUSRS與IUSR完全控制權(quán)限��。
重啟IIS����。
四��、測(cè)試防御效果
訪問(wèn)http://服務(wù)器IP或域名/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E��,查看防御效果��。
同時(shí)可在"控制面板-管理工具-事件查看器-Windows日志-應(yīng)用程序"中查看攔截日志��。
經(jīng)過(guò)測(cè)試���,軟件waf相比云waf來(lái)說(shuō)����,安裝方式比較復(fù)雜,云waf只需要通過(guò)解析域名就能實(shí)現(xiàn)了安全防護(hù)���。軟件waf需要安裝以后需要配置規(guī)則��,相比于云waf來(lái)說(shuō)更為復(fù)雜�,但是穩(wěn)定性也要高一些����。建議站長(zhǎng)、小企業(yè)可以用云waf�,如果是技術(shù)人員可以用軟件waf。
該文章在 2024/7/5 17:43:20 編輯過(guò)
400 186 1886
