中文字幕在线观看亚洲视频,精品国产A∨无码一区二区三区,欧美日韩中文一区,国模和精品嫩模私拍视频

深圳信息港

docker上面部署nginx-waf 防火墻“modsecurity”,使用CRS規(guī)則,搭建WEB應(yīng)用防火墻

2023-04-21 13:30:11 來(lái)源:博客園


【資料圖】

web防火墻(waf)免費(fèi)開(kāi)源的比較少,并且真正可以商用的WAF少之又少,modsecurity 是開(kāi)源防火墻鼻祖并且有正規(guī)公司在維護(hù)著,目前是https://www.trustwave.com在維護(hù),不幸的是2024 年 7 月將不再維護(hù)交還開(kāi)源社區(qū)管理,Trustwave目前打造自己的web防火墻,至于是否免費(fèi)開(kāi)源就不得而知了。ModSecurity目前依然是開(kāi)源,免費(fèi)的WAF一哥,我們就先用著吧,商業(yè)WAF費(fèi)用太貴。

Docker 安裝

Docker的地址是:owasp/modsecurity - Docker Image | Docker Hub

docker pull owasp/modsecurity

modsecurity只是WAF防火墻,僅僅安裝modsecurity并不會(huì)起作用,因?yàn)樗枰?guī)則才會(huì)生效,你可以選擇第三方支持modsecurity的規(guī)則例如:“OWASP ModSecurity Core Rule Set”,簡(jiǎn)稱(chēng)“CRS”,OWASP 是國(guó)際上一個(gè)非營(yíng)利的Web應(yīng)用程序安全項(xiàng)目,不附屬于任何企業(yè)或財(cái)團(tuán)。不過(guò)很多大公司的財(cái)團(tuán)都在支持OWASP,包括微軟,VMware,谷歌,nginx 等,著名的“OWASP TOP 10”功擊手法就是該組織提出來(lái),在WEB安全領(lǐng)域很有名氣。

雖然ModSecurity歸還社區(qū)維護(hù)但是OWASP還在維護(hù)著CRS規(guī)則,而WAF防火墻最有價(jià)值的就是WAF規(guī)則,幸運(yùn)哦,相信modsecurity歸還社區(qū)維護(hù)之后,只是需要及時(shí)修復(fù)BUG也問(wèn)題不大,畢竟modsecurity己經(jīng)成熟運(yùn)行很久,BUG少很多了,我們還是得相信開(kāi)源社區(qū)的力量~

關(guān)于WAF防火墻規(guī)則,建議采用OWASP的CRS,官網(wǎng)地址是:OWASP ModSecurity Core Rule Set – The 1st Line of Defense Against Web Application Attacks,幸運(yùn)的是,OWASP己經(jīng)在docker上面集成了modsecurity打包成鏡像供我們使用,docker地址是:owasp/modsecurity-crs - Docker Image | Docker Hub

docker pull owasp/modsecurity-crs

也就是說(shuō),使用這個(gè)鏡像默認(rèn)modsecurity己經(jīng)安裝好了,規(guī)則也配置好了,非常方便,這就是docker的好處,默認(rèn)支持nginx,apache。它的dockerfile在github上面:https://github.com/coreruleset/modsecurity-crs-docker/blob/master/nginx/Dockerfile

鏡像中的配置文件在:

/etc/nginx/templates/nginx.conf.template

配置就是典型nginx的配置文件,了解nginx的很輕松就可以配置,當(dāng)我們運(yùn)行docker只需要配置好的文件替換鏡像中的文件就可以了,下面貼出最簡(jiǎn)代碼,當(dāng)時(shí)實(shí)際運(yùn)作docker還需要增加什么參數(shù),自己添加就行,例如端口映射等

docker run --name Nginx-WAFProxy -v /web/NginxProxy/nginx.conf.template:/etc/nginx/templates/nginx.conf.template:rw  -d owasp/modsecurity-crs:nginx

就這樣一個(gè)開(kāi)源,可靠,免費(fèi)WAF就搭建起來(lái)了,又省一大筆錢(qián),我們需要注意的地址就是“paranoia level”,規(guī)則等級(jí),默認(rèn)docker 鏡像是PL1,一共有四個(gè)規(guī)則等級(jí)

PL1:默認(rèn)值,大多數(shù)規(guī)則都是處于啟用狀態(tài),具備標(biāo)準(zhǔn)的安全等級(jí),適用多數(shù)網(wǎng)站,非常少/無(wú)的誤報(bào)。PL2:含少許多額外的規(guī)則,合適有經(jīng)驗(yàn)的工程師,會(huì)有少量誤報(bào)。PL3:支持更多規(guī)則和關(guān)鍵字列表,涵蓋不太常見(jiàn)的攻擊。需要專(zhuān)職工程師,定期處理誤報(bào),增加規(guī)則。PL4:最高安全規(guī)則,進(jìn)一步限制特殊字符,會(huì)產(chǎn)生非常多的誤報(bào),適用于特殊的場(chǎng)景。

基本W(wǎng)AF防火墻就搭建完畢了。

關(guān)鍵詞:

熱門(mén)推薦