使用ModSecurity 保護(hù)Web服務(wù)安全(7)

8 開源的ModSecurity與那些商業(yè)產(chǎn)品相比的不同之處

硬件設(shè)備對(duì)比軟件方案：ModSecurity是一個(gè)軟件Web 應(yīng)用防火墻引擎，本質(zhì)上是個(gè)Apache模塊。這意味著它是嵌入在目標(biāo)Web服務(wù)器當(dāng)中的，而并非部署在單獨(dú)的設(shè)備中。然而，我們也可以將Apache配置成一個(gè)反向代理并達(dá)到類似的目的，但要知道ModSecurity本身并不會(huì)處理這個(gè)方面。軟件WAF方案的優(yōu)勢：有些情況需要進(jìn)行大規(guī)模的部署，在這種情況下，將 WAF分布在目標(biāo)Web服務(wù)器當(dāng)中要比從垂直方向上增加外部硬件設(shè)備實(shí)際的多。嵌入式部署的另一個(gè)好處是無需再去處理SSL解碼了，因?yàn)閃eb服務(wù)器會(huì)進(jìn)行預(yù)處理并將數(shù)據(jù)回傳給ModSecurity。軟件WAF方案也并非完美無缺，其缺點(diǎn)如下：

· 可能無法將新的軟件加到Web服務(wù)器當(dāng)中。

· 會(huì)使用到本地資源。

· 反應(yīng)時(shí)間的影響——很多商業(yè)WAF設(shè)備可以在Sniff模式下進(jìn)行非線性部署，這樣就無法評(píng)估在線性情況下對(duì)HTTP事務(wù)的訪問所需的反應(yīng)時(shí)間了。商業(yè)與開源產(chǎn)品高級(jí)功能對(duì)比：ModSecurity擁有一個(gè)高級(jí)的規(guī)則語言和Lua API以編寫復(fù)雜邏輯。我們既可以創(chuàng)建消極安全規(guī)則（尋找已知的壞輸入），也可以創(chuàng)建積極安全規(guī)則（只允許已知的好輸入）以規(guī)定輸入驗(yàn)證的防護(hù)類型。這種方式的主要限制在于ModSecurity無法自動(dòng)化創(chuàng)建這些規(guī)則，所以必須手工創(chuàng)建。但只在以下兩種場合之一才行：

A.如果Web應(yīng)用不經(jīng)常變化

B.響應(yīng)攻擊掃描報(bào)告，在這種情況下可以使用目標(biāo)的積極安全規(guī)則

如果將ModSecurity作為一個(gè)對(duì)已知問題的虛擬修補(bǔ)方案，那么它就不太適合于B了。高端的商業(yè)WAF都具有自動(dòng)化的學(xué)習(xí)和分析機(jī)制以創(chuàng)建這些積極安全規(guī)則，同時(shí)還能夠從客戶端與Web應(yīng)用之間的交互中進(jìn)行學(xué)習(xí)。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]