没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![doc](https://img-home.csdnimg.cn/images/20210720083327.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![application/pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![application/x-gzip](https://img-home.csdnimg.cn/images/20210720083646.png)
![thumb](https://img-home.csdnimg.cn/images/20210720083646.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![zip](https://img-home.csdnimg.cn/images/20210720083646.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![7z](https://img-home.csdnimg.cn/images/20210720083312.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![rar](https://img-home.csdnimg.cn/images/20210720083606.png)
![rar](https://img-home.csdnimg.cn/images/20210720083606.png)
![gz](https://img-home.csdnimg.cn/images/20210720083447.png)
![pptx](https://img-home.csdnimg.cn/images/20210720083543.png)
![pptx](https://img-home.csdnimg.cn/images/20210720083543.png)
![zip](https://img-home.csdnimg.cn/images/20210720083736.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![xsl](https://img-home.csdnimg.cn/images/20210720083646.png)
![](https://csdnimg.cn/release/download_crawler_static/85770215/bg1.jpg)
一、介绍
引言
是一个 应用防火墙()。当前已经有超过 %的攻击发生在网络
应用层,各级组织急需要能够保证他们的系统安全性的帮助。 系统的部署,可以为
应用增加一个外部安全层来检测或防止攻击。针对一系列的攻击 为 应用提
供了强大的保护,并对 流量进行监测和实时分析,这些都只是很少或是根本没有影响系
统的基础设施。
HTTP 流量记录
服务器已有的日志功能已经足够进行访问请求分析,但是就 的应用分析还有些不
足,特别是大多情况下没办法记录下请求体。你的对手很清楚这一点,所以很多时候的攻击是
通过 请求产生,并导致您的系统失明。 充分的获取 交互中的所以内
容,并记录完整的请求和响应。其日志功能可以允许您更细致的做出判断究竟什么是登录的时
候,并确保相关的数据都被记录下来。一些请求和响应中的某些关键字段可能包含敏感数据,
可以被配置成在记录这些审计日志前隐藏它。
实时监控和攻击检测
除了提供记录日志功能外, 还能实时的监控 的流量以检测攻击。在某
些时候, 做为一个 入侵检测工具,可以让你对发生在 系统上的一些
可疑事件做出响应。
攻击防御和及时修补
能够立即针对你的 应用系统进行攻击防御,有三种通用的方法:
、消极 !"安全模型:消极安全模型监控那些异常的、不常用的和通用的 攻
击类请求。它统计每个请求的有关 # 地址、应该连接、和用户帐户的异常分数,当出现较高的
异常分数时,会记录日志并完全的阻止访问。
$、积极安全模开型:部署积极安全模型后,只有那些明确的请求被允许通过,其它的一律
禁止。这个模式要求你对需要保护的 应用要非常的了解。因此积极安全模式最好是用于
那种大量访问却很少更新的系统,这样才能使这种模型的维护工作量降到最低。
%、已知漏洞攻击:其规则语言使 成为一个理想的外部修补工具,外部修补
(有时是指虚拟修补)可以减少机会之窗。一些组织修补这些应用的漏洞通常需要几周的时间,
使用 ,应用系统可以从外部修补,根本不用改应用的源码(甚至时不用去管它),
可以保证你的系统安全直到有一个合适的补丁来应用到系统中。
灵活的规则引擎
灵活的规则引擎是 的核心,其实现了 的规则语言,这是一个专
用的程序语言设计的用于处理 的传输数据。 规则语言被设计的简单易用,
非常的灵活:通用的操作是简单的,而复杂的操作也是可以实现的。经过认证的
规则,放在 中,包含了一整套规则,它实现了通用目的强化、协议正规化和对
一些通用 应用安全问题的检测。大量评论认为,这些规则可以用于学习研究使用。
![](https://csdnimg.cn/release/download_crawler_static/85770215/bg2.jpg)
嵌入式模式部署
是一个可嵌入式的 应用防火墙,意思就是它可以做为以 & ' 为基础
的已经提供 服务的 服务器的一部分。这样的部署译意风一些特殊的优势:
、不改变已有的网络结构。只需要花几分钟就可以为你的 服务器添加
,而且由于它默认被设计为完全的被动方式,你可以自由的逐步部署并且只使用
你需要的特性。同样也可以根据你的需要轻松的删除或停用它。
$、不存在单点故障。与网络设备部署方式不同,你不会给你的系统带来新的故障点。
%、绝对支持负载均衡。因为它以嵌入方式运行在 服务器上, 会自动的
利用附加的负载均衡特性。你不需要考虑负载均衡,除非你的系统本来就需要它。
(、极少开销。因为它在 服务器进程内工作,不会带来网络间接通信的负载,而且只
进行最小的分析和数据交换开销。
)、加密或压缩内容没问题。许多 #* 系统分析 + 流量的时候很困难,但对于
没有麻烦,因为它工作于已解密和解压的数据环节。
基于网络的部署
在基于 & ' 的反向代理模式上 同样能工作的很好,我们很多客户选择这样
做。在这种情形下,装了 的可以保护任一一种 服务器(即使它不是
& ' 的)。
可移植性
众所周知, 可以很好的工作在众多操作系统上,我们的用户已经将它成功运行在
+,-. -*&*/*#0 0和 120 等系
统上。
许可
有两种许可方式。用户可以选择在 3/2 许可第二版(本发布中包含这个许可文
本)下免费的使用这个软件产品。还有一系列的商业许可可供选择,同时会有一些商业支持合
同。有关更详细的商业许可信息请联系 '。
注意
45-和 67.- 等都是
'#8的商标或注册商标。
二、ModSecurity Core Rules
概述
是一个 应用防火墙引擎,自身所提供的保护非常少。为了变得更有用些,
必须启用规则配置。为了让用户能够充分利用 离开方块, '
#8为 $8, 提供了一套免费的认证规则集。和入侵检测及防御系统不一样,它们
依赖于具体的签名过的已知漏洞,而这一核心规则却是为从网络应用中发现的不知名的漏洞提供一般的保
护,通常这些漏洞大多数情况下都是自定义编码的。这一核心规则有了大量的评论,从而使得这些能够被
![](https://csdnimg.cn/release/download_crawler_static/85770215/bg3.jpg)
用来做 的部署向导。最新的核心规则可能通过 的站点找到1'&9::
84-8:&;-:.-。
核心规则内容
为了提供一般 应用保护,核心规则使用以下技术:
保护 1 协议正规划检测,并启用本地有效策略
一般 攻击保护 1检测一般 应用的安全攻击
自动检测 1检测机器人、爬虫、扫描器和其他的表面恶意行动
木马检测 1检测木马程序进入
过失隐藏 1伪装服务器发出错误消息
三、安装
安装
安装过程包含以下几步:
、$8, 工作于 & '$88, 或者更高版本
$、确认您已经安装了 45<5。
45<5 是 & ' 的 '& 中的一个包
%、服务器中还没有 .,4.$ 的话,请安装它的最新版8
'&9::,4.-=8:. -8'4.
(、如果服务中还没有安装 + ,而且你将需要使用的话,请安装 )88, 分支的最新版
'&9::8. 8:. 8'4.
注意 需要的是动态库,而采用源代码编译时默认得不到这些,所以最好采用二进制发布
版本。
)、停止 & ' 的 '& 服务
>、解开 安装包
、2,(或者类 2,)操作系统和 - 上进行不同的构建
Unix
、运行 ? 脚本生成 @?. 文件,通常不需要设置选项
8:?
更多的定制使用配置选项(使用8:?11'.& 可以得到完整列表),但通常你只需要使用11'1
&,- 选项指定 & ' 的 '& 安装时的 &,- 的位置即可。
8:?11'1 &,-A:& '::'&1$8,8:: &,-
、编译:4 @
、可选的测试:4 @-
注意:这一步还是带有一点点试验性质,如果发现问题,请把构建过程中的所有输出发送到支持列表,大
部分常见问题是找不到所需要的头和库文件。
、可选构建 的日志收集器:4 @4.
、可选安装 4.:查检发布版本包含在 & '$:4.1- 目录下的 #/++ 文件
=、安装 模块:4 @- ..
Windows(MS VC++ 8)
、编辑 @?.8 文件,配置 & ' 主目录和二进制目录
、编译:4 @1= @?.8
、安装 模块:4 @1= @?.8- ..
![](https://csdnimg.cn/release/download_crawler_static/85770215/bg4.jpg)
、拷贝 .,4.$8.. 和 . )88.. 到 & ' 的二进制目录,当然也可以象下面的操作那样使用
+ . 命令加载那些库文件。
B、编辑 & ''& 的主配置文件(通常是 '&8=)
2/#0在 - 上,如果你没有按上述规定拷贝 *++ 文件话也可以)上你必须在
之前加载 .,4.$ 和 . )8,参考如下操作:
+ .:-:.:.,4.$8-
+ .:-:.:.. )88-
按如下加载
+ .-$54.-4.-:45-$8-
C、配置
、启动 & ''&
、到目前为止,你应该已经装好 $8, 并且运行它了。
注意:
如果你是自己编译的 & ',那你或许经历了在 67 上编译 的问题,这是因为
& ' 带上了 67,但通常 67 的库文件又是由系统提供的,我希望绝大多数的供应商打包
& ' 发布版本时配置使用外部 67 的库文件(所以这不应成为问题)
您想避免使用 & ' 捆绑的 67 库和 使用的是系统提供的库,很简单的方法就是重
新编译 & ',并使用系统提供的 67 库(或者你可以下载个最新版本的 67 编译一下),你也可
以在编译的时候使用11'1& 开关。如果你不能重新编译 & ',那么为了获得 的编
译成功,你还是需要获得捆绑的 67 头文件(这可以在 & ' 的代码中找到)并修改 #/6+2* 路径
(在上述第 步中做)来指向它(通过 的11'1& 配置选项)。
你注意,如果你的 & ' 使用的是外部 67,那你可以在编译 时使用
#56752*D 定义,这将给你的服务器处理正则表达式时有一个轻微的性能提高。
四、配置指令(一)
以下章节列出 指令的纲要,大部分的 指令可以用于 & ' 带有
范围的指令中,如 E .-+ + '* 等。当然也还有其他
的,只能在主配置文件中使用一次。这些信息在下述范围章节中指定,下述的版本指令章节中
给出第一个版本可用给定的指令。
这些规则除了核心规则文件之外 ,应当做为一个独立的于 '&8= 之外的配置文件,通
过 & ' 的 . 指定包含在其中。如此可以方便更新或迁移规则,如果你要创建自己的
规则,作为核心规则使用,你应该创建一个文件叫 4-5-5)5-4.-8=
当作核心规则放在相同的目录下。使用这个文件名,你的自定义规则会在标准的
规则之后被加载,但会在其他规则之前,这可以使得您的规则在您需要实施具体的“允许”规则
或纠正任务误报的核规则时得到优先评估,从而使其真正用到你的网站系统上。
![](https://csdnimg.cn/release/download_crawler_static/85770215/bg5.jpg)
注意:
我们鼓励您不要去修改核心规则文件,但你可以把所有的改动(就象
7.74!#* 等)放到自己定义的文件中,这样可以让您很方便的从
站点升级新的核心规则文件。
SecAction
描述:无条件执行动作列表中的第一个也是唯一的一个参数,只接受一个参数,其句法规则与
7. 的第三个参数相同
语法: $ %
示例:..97276AFG7H25#+/I
阶段:所有
范围:所有
版本:$88
备注:无
是您想无条件执行一个动作时的最好选择,这是有条件基于对请求:响应数据的
检查导致明确的控制产生的一般动作,当你想运行一些特定的动作如 . 来初始化搜集时这
是一个很有用的指令。
SecArgumentSeparator
描述:指定的字符做为 &&. :,11=41. 内容的分隔符,默认是J,非
常少的情况下应用会使用分号K"。
语法:4& '
示例:4& K
阶段:所有
范围:
版本:$88
备注:无
这个指令用于后台 应用在使用非标准的参数分隔符如果没有在每一个 应用中合
理设置这个指令,那么 可能无法适当的分析所有的参数,并且规则匹配的效果
可能会显著的降低。
SecAuditEngine
描述:配置审计日志引擎的开启与否
语法:LML7.! .
示例:
阶段:/:
范围:任意
剩余45页未读,继续阅读
资源评论
![avatar-default](https://csdnimg.cn/release/downloadcmsfe/public/img/lazyLogo2.1882d7f4.png)
![avatar](https://profile-avatar.csdnimg.cn/acfce43ffe2c41f996326bd927946824_yhsbzl.jpg!1)
智慧安全方案
- 粉丝: 3755
- 资源: 59万+
上传资源 快速赚钱
我的内容管理 展开
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![voice](https://csdnimg.cn/release/downloadcmsfe/public/img/voice.245cc511.png)
![center-task](https://csdnimg.cn/release/downloadcmsfe/public/img/center-task.c2eda91a.png)
最新资源
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
![feedback](https://img-home.csdnimg.cn/images/20220527035711.png)
![feedback](https://img-home.csdnimg.cn/images/20220527035711.png)
![feedback-tip](https://img-home.csdnimg.cn/images/20220527035111.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![dialog-icon](https://csdnimg.cn/release/downloadcmsfe/public/img/green-success.6a4acb44.png)