WAF想必大家都不陌生,就是WEB網站的防火墻��,用來保護網站安全免受外界攻擊�,一般waf有三種形態,軟件waf����、硬件waf���、云waf。
今天測試的兩款waf一款是云waf名叫GOODWAF��,一款是軟件waf名叫ModSecurity�,之所以選擇這兩款waf,是因為他們有一個共同點���,都是開源的,也就是都是免費的���。
我們先看第一款,GOODWAF���。
從界面上可以看到,云waf是通過移交域名解析權實現安全防護的�����,通過改變原有的解析方式����,解析到waf節點上,惡意流量就能夠被擋住�����。
可見的功能主要是有:
傳統WAF功能:防御SQL注入���、防XSS跨站攻擊����、防web木馬、防webshell上傳�、防盜鏈����、關鍵字過濾等功能����。
主動防御功能:如oday漏洞防護��、掃描防護��、溢出防護、網頁源碼加密、js保護等�。
人機識別功能:如腳本攻擊識別���、機器人識別��、防自動化攻擊、防爬蟲、防撞庫�、防暴力破解等�����。
數據風控功能:注冊防控、消息防控、登錄防控等功能。
態勢感知功能:攻擊溯源、數據顯示、LED大屏顯示�����、3D動態效果等功能���。
使用方法還是比較簡單的�����,用手機號注冊賬號�����,然后實名認證,添加域名���、ip、備案信息等��,基本信息就算是添加完成�����。但是還需要一步���,就是去域名管理后臺解析域名�,這步比較簡單�。
通過上面的步驟,解析完域名以后,就實現了網站的安全防護�,同時在后臺可以選擇相應的功能��,js防護、源碼防護、白名單��、黑名單等等��。
第二個測試的是modsecurity����,這一款軟件waf�,ModSecurity最開始是一個Apache的安全模塊,后來發展成為開源的、跨平臺的WEB應用防火墻。它可以通過檢查WEB服務接收到的數據���,以及發送出去的數據來對網站進行安全防護。
這次測試的是ModSecurity 穩定版 (v3.0.4)
一���、安裝VCredist
在安裝ModSecurity之前需要安裝VCredist。
下載完成后��,直接安裝即可��。
二��、安裝ModSecurity
按照操作系統下載對應的ModSecurityIIS,點擊此處下載32位ModSecurityIIS�����,點擊此處下載64位ModSecurityIIS����,下載后復制到服務器內�,直接安裝即可。
安裝成功后�,applicationHost.config文件(位于C:\Windows\System32\inetsrv\Config目錄下)����,會自動添加以下內容�,表示IIS下所有網站都會默認使肕odSecurity進行防護:
三、規則配置
雖然IIS版的ModSecurity安裝后自動包含了規則文件����,但由于自帶的規則文件版本較老��,因此需要手動將規則文件進行更新。
首先��,訪問https://github.com/coreruleset/coreruleset下載規則文件:
下載后上傳到服務器��,將解壓后的"crs-setup.conf.example"重命名為"crs-setup.conf"后復制到ModSecurity安裝目錄下��,即C:\Program Files\ModSecurity IIS。
將c:\inetpub\temp\文件夾與c:\inetpub\logs\賦予IIS_IUSRS與IUSR完全控制權限����。
重啟IIS�����。
四、測試防御效果
訪問http://服務器IP或域名/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E���,查看防御效果�。
同時可在"控制面板-管理工具-事件查看器-Windows日志-應用程序"中查看攔截日志。
經過測試�����,軟件waf相比云waf來說�����,安裝方式比較復雜���,云waf只需要通過解析域名就能實現了安全防護�����。軟件waf需要安裝以后需要配置規則���,相比于云waf來說更為復雜���,但是穩定性也要高一些�。建議站長���、小企業可以用云waf���,如果是技術人員可以用軟件waf��。
該文章在 2024/7/5 17:43:20 編輯過
400 186 1886
