Naxsi

2021年十大开源waf介绍

喜欢而已 提交于 2021-01-10 12:45:25
开源waf是网络安全的重要部分,Cloudflare认为:十年后数字经济的网络安全基础设施会像水过滤系统一样普及,而这个过滤系统的核心就是waf。对于服务器来说,部署WEB应用防火墙十分重要,这方面的开源waf很多,但优秀的太少,笔者经过大量搜索,并结合市场热度,整理出2021年十大开源waf供大家参考。 1、OpenResty OpenResty 是由中国人章亦春发起,把nginx和各种三方模块的一个打包而成的软件平台,核心就是nginx+lua脚本语言。主要是因为nginx是C语言编写,修改很复杂,而lua语言则简单得多,国内很多大公司如360、京东、gitee等都在用来作为web应用防火墙。 项目地址: https://github.com/openresty/ 2、AIHTTPS aihttps是hihttps的升级版,也是由中国人编写。特点是兼容ModSecurity规则,并且已经向人工智能方向进化:使用机器学习自主生成对抗规则,来防御包括:漏洞扫描、CC 、DDOS、SQL注入、XSS等。其商业版也开源,是目前商业化开源程度最高的WAF。 项目地址: https://github.com/qq4108863/ 官网: http://www.hihttps.com 3、ModSecurity ModSecurity是开源WAF的鼻祖,是一个开源的跨平台Web应用程序防火墙

web应用防火墙可以划分为哪几类

好久不见. 提交于 2020-02-29 04:36:28
WAF可分为许多种,从产品形态上来划分,可以大致分为三类: 1硬件设备类 目前安全市场上,大多数的 WAF 都属于此类。它们以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护。相对于软件产品类的WAF,这类产品的优点是性能好、功能全面、支持多种模式部署等,但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等厂商生产的WAF都属于此类。 2软件产品类 这种类型的WAF采用纯软件的方式实现,特点是安装简单,容易使用,成本低。但它的缺点也是显而易见的,因为它必须安装在Web应用服务器上,除了性能受到限制外,还可能会存在兼容性、安全等问题。这类WAF的代表有ModSecurity、Naxsi、 网站安全 狗等。 3基于云的WAF 随着云计算技术的快速发展,使得其于云的WAF实现成为可能。国内创新工场旗下的安全宝、360的网站宝, imperva waf 是这类WAF的典型代表。 Web应用防火墙技术,一般均采用反向代理技术和虚拟主机技术原理,其工作流程是,将受保护的Web服务器建立虚拟主机,对每一个虚拟主机提供相应的安全策略来进行保护。同时把Web应用防火墙配置为反向代理服务器,用于代理Web服务器对外部网络的连接请求。当Web应用防火墙能够代理外部网络上的主机访问内部Web服务器的时候

Nginx_Naxsi 实现简单的web防御

核能气质少年 提交于 2020-01-16 18:20:29
Nginx+Naxsi Naxsi是基于Nginx的轻量级的第三方Web安全防护模块。相对ModSecurity,Naxsi基于严格的字符过滤,结合白名单规则实现防御,可以认为是基于白名单的防御方式。优点是规则简单容易上手,基于白名单的方式可以防御未知的攻击,缺点是容易误杀,需要结合业务配置白名单。 Naxsi提供了从日志中学习生成白名单的工具。 模式: Naxsi可以在两种模式下运行:拦截模式和学习模式。拦截模式下会利用每条规则去匹配请求,并累计匹配分数,一旦分数达到阀值,则拒绝此请求并记录日志。学习模式下同样会匹配请求累计分数,但是分数达到阀值之后仍然继续匹配剩下的规则,最后仅记录日志。拦截模式用于生产环境,学习模式用于记录正常请求生成白名单。 规则: Naxsi包含三种规则:MainRule(在Nginx的http段声明,一般作为黑规则) 、BasicRule(在Nginx的location段声明,一般作为白规则)、CheckRule(判断规则,在Nginx的location段声明)。黑规则声明检查域、检查内容、匹配分值。白规则声明例外条件和例外规则。 CheckRule声明判断分数和防御手段。 拒绝URL: DeniedUrl指定当判定为拒绝请求的时候,Nginx所执行的location段,在Nginx的location段声明。一般配置为返回403。 安装 wget