使用ModSecurity 保護(hù)Web服務(wù)安全(2) |
發(fā)布時(shí)間: 2012/9/15 19:05:28 |
HTTP流量記錄 web服務(wù)器已有的日志功能已經(jīng)足夠進(jìn)行訪問請求分析,但是就web的應(yīng)用分析還有些不足,特別是大多情況下沒辦法記錄下請求體。你的對手很清楚這一點(diǎn),所以很多時(shí)候的攻擊是通過POST請求產(chǎn)生,并導(dǎo)致您的系統(tǒng)失明。ModSecurity充分的獲取HTTP交互中的所以內(nèi)容,并記錄完整的請求和響應(yīng)。其日志功能可以允許您更細(xì)致的做出判斷究竟什么是登錄的時(shí)候,并確保相關(guān)的數(shù)據(jù)都被記錄下來。一些請求和響應(yīng)中的某些關(guān)鍵字段可能包含敏感數(shù)據(jù),ModSecurity可以被配置成在記錄這些審計(jì)日志前隱藏它。 實(shí)時(shí)監(jiān)控和攻擊檢測 除了提供記錄日志功能外,ModSecurity還能實(shí)時(shí)的監(jiān)控HTTP的流量以檢測攻擊。在某些時(shí)候,ModSecurity做為一個(gè)WEB入侵檢測工具,可以讓你對發(fā)生在WEB系統(tǒng)上的一些可疑事件做出響應(yīng)。 攻擊防御和及時(shí)修補(bǔ) ModSecurity能夠立即針對你的WEB應(yīng)用系統(tǒng)進(jìn)行攻擊防御,有三種通用的方法: 1、消極(negative)安全模型:消極安全模型監(jiān)控那些異常的、不常用的和通用的WEB攻擊類請求。它統(tǒng)計(jì)每個(gè)請求的有關(guān)IP地址、應(yīng)該連接、和用戶帳戶的異常分?jǐn)?shù),當(dāng)出現(xiàn)較高的異常分?jǐn)?shù)時(shí),會(huì)記錄日志并完全的阻止訪問。 2、積極安全模開型:部署積極安全模型后,只有那些明確的請求被允許通過,其它的一律禁止。這個(gè)模式要求你對需要保護(hù)的WEB應(yīng)用要非常的了解。因此積極安全模式最好是用于那種大量訪問卻很少更新的系統(tǒng),這樣才能使這種模型的維護(hù)工作量降到最低。 3、已知漏洞攻擊:其規(guī)則語言使ModSecurity成為一個(gè)理想的外部修補(bǔ)工具,外部修補(bǔ)(有時(shí)是指虛擬修補(bǔ))可以減少機(jī)會(huì)之窗。一些組織修補(bǔ)這些應(yīng)用的漏洞通常需要幾周的時(shí)間,使用ModSecurity,應(yīng)用系統(tǒng)可以從外部修補(bǔ),根本不用改應(yīng)用的源碼(甚至?xí)r不用去管它),可以保證你的系統(tǒng)安全直到有一個(gè)合適的補(bǔ)丁來應(yīng)用到系統(tǒng)中。 本文出自:億恩科技【1tcdy.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |