WAF想必大家都不陌生,就是WEB網(wǎng)站的防火墻�����,用來保護網(wǎng)站安全免受外界攻擊��,一般waf有三種形態(tài)���,軟件waf����、硬件waf����、云waf��。
今天測試的兩款waf一款是云waf名叫GOODWAF�����,一款是軟件waf名叫ModSecurity,之所以選擇這兩款waf�����,是因為他們有一個共同點�����,都是開源的�,也就是都是免費的。
我們先看第一款�����,GOODWAF�。
從界面上可以看到,云waf是通過移交域名解析權(quán)實現(xiàn)安全防護的���,通過改變原有的解析方式����,解析到waf節(jié)點上��,惡意流量就能夠被擋住。
可見的功能主要是有:
傳統(tǒng)WAF功能:防御SQL注入���、防XSS跨站攻擊����、防web木馬��、防webshell上傳��、防盜鏈�����、關(guān)鍵字過濾等功能���。
主動防御功能:如oday漏洞防護��、掃描防護���、溢出防護����、網(wǎng)頁源碼加密���、js保護等。
人機識別功能:如腳本攻擊識別����、機器人識別、防自動化攻擊��、防爬蟲�、防撞庫、防暴力破解等��。
數(shù)據(jù)風(fēng)控功能:注冊防控��、消息防控��、登錄防控等功能����。
態(tài)勢感知功能:攻擊溯源、數(shù)據(jù)顯示���、LED大屏顯示�����、3D動態(tài)效果等功能����。
使用方法還是比較簡單的,用手機號注冊賬號�,然后實名認證,添加域名����、ip、備案信息等�,基本信息就算是添加完成。但是還需要一步�����,就是去域名管理后臺解析域名�,這步比較簡單。
通過上面的步驟���,解析完域名以后���,就實現(xiàn)了網(wǎng)站的安全防護,同時在后臺可以選擇相應(yīng)的功能,js防護�、源碼防護��、白名單���、黑名單等等����。
第二個測試的是modsecurity�,這一款軟件waf,ModSecurity最開始是一個Apache的安全模塊�����,后來發(fā)展成為開源的�����、跨平臺的WEB應(yīng)用防火墻��。它可以通過檢查WEB服務(wù)接收到的數(shù)據(jù)��,以及發(fā)送出去的數(shù)據(jù)來對網(wǎng)站進行安全防護�����。
這次測試的是ModSecurity 穩(wěn)定版 (v3.0.4)
一、安裝VCredist
在安裝ModSecurity之前需要安裝VCredist�����。
下載完成后����,直接安裝即可。
二�、安裝ModSecurity
按照操作系統(tǒng)下載對應(yīng)的ModSecurityIIS,點擊此處下載32位ModSecurityIIS��,點擊此處下載64位ModSecurityIIS��,下載后復(fù)制到服務(wù)器內(nèi)��,直接安裝即可����。
安裝成功后,applicationHost.config文件(位于C:\Windows\System32\inetsrv\Config目錄下)���,會自動添加以下內(nèi)容���,表示IIS下所有網(wǎng)站都會默認使肕odSecurity進行防護:
三����、規(guī)則配置
雖然IIS版的ModSecurity安裝后自動包含了規(guī)則文件�����,但由于自帶的規(guī)則文件版本較老����,因此需要手動將規(guī)則文件進行更新���。
首先��,訪問https://github.com/coreruleset/coreruleset下載規(guī)則文件:
下載后上傳到服務(wù)器�����,將解壓后的"crs-setup.conf.example"重命名為"crs-setup.conf"后復(fù)制到ModSecurity安裝目錄下����,即C:\Program Files\ModSecurity IIS���。
將c:\inetpub\temp\文件夾與c:\inetpub\logs\賦予IIS_IUSRS與IUSR完全控制權(quán)限���。
重啟IIS����。
四��、測試防御效果
訪問http://服務(wù)器IP或域名/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E���,查看防御效果���。
同時可在"控制面板-管理工具-事件查看器-Windows日志-應(yīng)用程序"中查看攔截日志。
經(jīng)過測試�,軟件waf相比云waf來說,安裝方式比較復(fù)雜�����,云waf只需要通過解析域名就能實現(xiàn)了安全防護���。軟件waf需要安裝以后需要配置規(guī)則�����,相比于云waf來說更為復(fù)雜��,但是穩(wěn)定性也要高一些���。建議站長�����、小企業(yè)可以用云waf,如果是技術(shù)人員可以用軟件waf��。
該文章在 2024/7/5 17:43:20 編輯過
400 186 1886
