使用ModSecurity 保護Web服務(wù)安全(7)

8 開源的ModSecurity與那些商業(yè)產(chǎn)品相比的不同之處

硬件設(shè)備對比軟件方案：ModSecurity是一個軟件Web 應(yīng)用防火墻引擎，本質(zhì)上是個Apache模塊。這意味著它是嵌入在目標(biāo)Web服務(wù)器當(dāng)中的，而并非部署在單獨的設(shè)備中。然而，我們也可以將Apache配置成一個反向代理并達到類似的目的，但要知道ModSecurity本身并不會處理這個方面。軟件WAF方案的優(yōu)勢：有些情況需要進行大規(guī)模的部署，在這種情況下，將 WAF分布在目標(biāo)Web服務(wù)器當(dāng)中要比從垂直方向上增加外部硬件設(shè)備實際的多。嵌入式部署的另一個好處是無需再去處理SSL解碼了，因為Web服務(wù)器會進行預(yù)處理并將數(shù)據(jù)回傳給ModSecurity。軟件WAF方案也并非完美無缺，其缺點如下：

· 可能無法將新的軟件加到Web服務(wù)器當(dāng)中。

· 會使用到本地資源。

· 反應(yīng)時間的影響——很多商業(yè)WAF設(shè)備可以在Sniff模式下進行非線性部署，這樣就無法評估在線性情況下對HTTP事務(wù)的訪問所需的反應(yīng)時間了。商業(yè)與開源產(chǎn)品高級功能對比：ModSecurity擁有一個高級的規(guī)則語言和Lua API以編寫復(fù)雜邏輯。我們既可以創(chuàng)建消極安全規(guī)則（尋找已知的壞輸入），也可以創(chuàng)建積極安全規(guī)則（只允許已知的好輸入）以規(guī)定輸入驗證的防護類型。這種方式的主要限制在于ModSecurity無法自動化創(chuàng)建這些規(guī)則，所以必須手工創(chuàng)建。但只在以下兩種場合之一才行：

A.如果Web應(yīng)用不經(jīng)常變化

B.響應(yīng)攻擊掃描報告，在這種情況下可以使用目標(biāo)的積極安全規(guī)則

如果將ModSecurity作為一個對已知問題的虛擬修補方案，那么它就不太適合于B了。高端的商業(yè)WAF都具有自動化的學(xué)習(xí)和分析機制以創(chuàng)建這些積極安全規(guī)則，同時還能夠從客戶端與Web應(yīng)用之間的交互中進行學(xué)習(xí)。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]