[點(diǎn)晴永久免費(fèi)OA]GOODWAF和ModSecurity:兩款適合Windows Server IIS WEB網(wǎng)站的免費(fèi)WAF防火墻軟件
WAF想必大家都不陌生,就是WEB網(wǎng)站的防火墻,用來(lái)保護(hù)網(wǎng)站安全免受外界攻擊,一般waf有三種形態(tài),軟件waf、硬件waf、云waf。 今天測(cè)試的兩款waf一款是云waf名叫GOODWAF,一款是軟件waf名叫ModSecurity,之所以選擇這兩款waf,是因?yàn)樗麄冇幸粋€(gè)共同點(diǎn),都是開(kāi)源的,也就是都是免費(fèi)的。 我們先看第一款,GOODWAF。
從界面上可以看到,云waf是通過(guò)移交域名解析權(quán)實(shí)現(xiàn)安全防護(hù)的,通過(guò)改變?cè)械慕馕龇绞剑馕龅絯af節(jié)點(diǎn)上,惡意流量就能夠被擋住。
可見(jiàn)的功能主要是有: 傳統(tǒng)WAF功能:防御SQL注入、防XSS跨站攻擊、防web木馬、防webshell上傳、防盜鏈、關(guān)鍵字過(guò)濾等功能。 主動(dòng)防御功能:如oday漏洞防護(hù)、掃描防護(hù)、溢出防護(hù)、網(wǎng)頁(yè)源碼加密、js保護(hù)等。 人機(jī)識(shí)別功能:如腳本攻擊識(shí)別、機(jī)器人識(shí)別、防自動(dòng)化攻擊、防爬蟲(chóng)、防撞庫(kù)、防暴力破解等。 數(shù)據(jù)風(fēng)控功能:注冊(cè)防控、消息防控、登錄防控等功能。 態(tài)勢(shì)感知功能:攻擊溯源、數(shù)據(jù)顯示、LED大屏顯示、3D動(dòng)態(tài)效果等功能。
使用方法還是比較簡(jiǎn)單的,用手機(jī)號(hào)注冊(cè)賬號(hào),然后實(shí)名認(rèn)證,添加域名、ip、備案信息等,基本信息就算是添加完成。但是還需要一步,就是去域名管理后臺(tái)解析域名,這步比較簡(jiǎn)單。 通過(guò)上面的步驟,解析完域名以后,就實(shí)現(xiàn)了網(wǎng)站的安全防護(hù),同時(shí)在后臺(tái)可以選擇相應(yīng)的功能,js防護(hù)、源碼防護(hù)、白名單、黑名單等等。
第二個(gè)測(cè)試的是modsecurity,這一款軟件waf,ModSecurity最開(kāi)始是一個(gè)Apache的安全模塊,后來(lái)發(fā)展成為開(kāi)源的、跨平臺(tái)的WEB應(yīng)用防火墻。它可以通過(guò)檢查WEB服務(wù)接收到的數(shù)據(jù),以及發(fā)送出去的數(shù)據(jù)來(lái)對(duì)網(wǎng)站進(jìn)行安全防護(hù)。
這次測(cè)試的是ModSecurity 穩(wěn)定版 (v3.0.4) 一、安裝VCredist 在安裝ModSecurity之前需要安裝VCredist。
下載完成后,直接安裝即可。
二、安裝ModSecurity 按照操作系統(tǒng)下載對(duì)應(yīng)的ModSecurityIIS,點(diǎn)擊此處下載32位ModSecurityIIS,點(diǎn)擊此處下載64位ModSecurityIIS,下載后復(fù)制到服務(wù)器內(nèi),直接安裝即可。
安裝成功后,applicationHost.config文件(位于C:\Windows\System32\inetsrv\Config目錄下),會(huì)自動(dòng)添加以下內(nèi)容,表示IIS下所有網(wǎng)站都會(huì)默認(rèn)使肕odSecurity進(jìn)行防護(hù): 三、規(guī)則配置 雖然IIS版的ModSecurity安裝后自動(dòng)包含了規(guī)則文件,但由于自帶的規(guī)則文件版本較老,因此需要手動(dòng)將規(guī)則文件進(jìn)行更新。 首先,訪問(wèn)https://github.com/coreruleset/coreruleset下載規(guī)則文件:
下載后上傳到服務(wù)器,將解壓后的"crs-setup.conf.example"重命名為"crs-setup.conf"后復(fù)制到ModSecurity安裝目錄下,即C:\Program Files\ModSecurity IIS。 將c:\inetpub\temp\文件夾與c:\inetpub\logs\賦予IIS_IUSRS與IUSR完全控制權(quán)限。 重啟IIS。
四、測(cè)試防御效果 訪問(wèn)http://服務(wù)器IP或域名/?param=%22%3E%3Cscript%3Ealert(1);%3C/script%3E,查看防御效果。
同時(shí)可在"控制面板-管理工具-事件查看器-Windows日志-應(yīng)用程序"中查看攔截日志。
經(jīng)過(guò)測(cè)試,軟件waf相比云waf來(lái)說(shuō),安裝方式比較復(fù)雜,云waf只需要通過(guò)解析域名就能實(shí)現(xiàn)了安全防護(hù)。軟件waf需要安裝以后需要配置規(guī)則,相比于云waf來(lái)說(shuō)更為復(fù)雜,但是穩(wěn)定性也要高一些。建議站長(zhǎng)、小企業(yè)可以用云waf,如果是技術(shù)人員可以用軟件waf。 該文章在 2024/7/5 17:43:20 編輯過(guò) |
關(guān)鍵字查詢(xún)
相關(guān)文章
正在查詢(xún)... 
|
400 186 1886
