ModSecurity是一个WEB应用防火墙引擎，自身所提供的保护非常少。为了变得更有用些，ModSecurity必须启用规则配置。为了让用户能够充分利用ModSecurity离开方块，Breach Security, Inc.为ModSecurity 2.x提供了一套免费的认证规则集。和入侵检测及防御系统不一样，它们依赖于具体的签名过的已知漏洞，而这一核心规则却是为从网络应用中发现的不知名的漏洞提供一般的保护，通常这些漏洞大多数情况下都是自定义编码的。这一核心规则有了大量的评论，从而使得这些能够被用来做ModSecurity的部署向导。 ### ModSecurity中文使用手册知识点概览 #### 一、ModSecurity简介 - **定义与功能**：ModSecurity是一个开源的Web应用防火墙(WAF)，它主要用于保护Web应用程序免受恶意攻击，如SQL注入、跨站脚本(XSS)等。 - **特性**： - **HTTP流量记录**：ModSecurity能够记录所有通过其过滤的HTTP流量，这对于安全审计至关重要。 - **实时监控和攻击检测**：具备实时监测和识别潜在攻击的能力。 - **攻击防御和及时修补**：除了检测之外，ModSecurity还能阻止攻击，并且在发现新威胁时能够迅速调整配置进行防护。 - **灵活的规则引擎**：用户可以根据需要编写自定义规则来增强防护能力。 - **多种部署模式**：包括嵌入式部署和基于网络的部署，满足不同场景的需求。 - **良好的可移植性**：支持多种操作系统，包括Unix和Windows。 #### 二、ModSecurity Core Rules (CRS) 核心规则集 - **概述**：CRS是ModSecurity的一个重要组成部分，由Breach Security, Inc.提供的一套认证规则集，用于增强ModSecurity的安全性。这些规则旨在发现未知的漏洞并提供一般性的保护。 - **特点**： - **通用保护**：与依赖特定签名的已知漏洞的IDS/IPS不同，CRS能够对未知的漏洞提供保护。 - **详细的注释**：每条规则都附有详细的注释，帮助管理员更好地理解和应用。 - **持续更新**：CRS会随着新的威胁出现而定期更新，确保防护的有效性。 #### 三、ModSecurity的安装与配置 - **安装**： - **Unix平台**：提供详细的安装指南，适用于Linux、FreeBSD等Unix-like系统。 - **Windows平台**：提供MSVC++8下的安装步骤。 - **配置指令**： - **SecAction**：定义当匹配到规则时应采取的操作，如“deny”、“log”等。 - **SecArgumentSeparator**：指定参数之间的分隔符，默认为“&”。 - **SecAuditEngine**：控制审计日志的功能开关。 - **SecAuditLog**：指定审计日志文件的位置。 - **SecAuditLogParts**：控制日志中记录的信息类型。 - **SecAuditLogRelevantStatus**：设置哪些状态码应该被记录。 - **SecAuditLogStorageDir**：指定存储审计日志的目录。 - **SecAuditLogType**：定义日志的格式类型。 - **其他指令**：还包括SecCacheTransformations、SecChrootDir、SecComponentSignature等众多配置项，每个配置项都有其独特的功能和应用场景。 #### 四、ModSecurity的核心配置指令详解 - **SecDebugLog**：指定调试日志文件的位置。 - **SecDebugLogLevel**：设置调试日志的详细级别。 - **SecDefaultAction**：定义默认行为，例如是否允许或拒绝请求。 - **SecRequestBodyAccess**：控制是否允许访问请求体数据。 - **SecRequestBodyLimit**：设置请求体大小的限制。 - **SecResponseBodyLimit**：设置响应体大小的限制。 - **SecRule**：最常用的配置指令之一，用于定义规则及其动作。 - **SecRuleInheritance**：控制规则继承的设置。 - **SecRuleEngine**：控制规则引擎的状态，决定是否执行规则。 - **SecServerSignature**：控制服务器标识的显示。 - **SecUploadDir**：指定上传文件的保存目录。 #### 五、处理阶段 - **请求头阶段**：处理客户端发送的请求头部信息。 - **响应头阶段**：处理服务器返回的响应头部信息。 - **响应体阶段**：处理服务器返回的响应体内容。 - **日志阶段**：记录相关的日志信息。 #### 六、变量使用 - **ARGS**：包含所有GET和POST请求参数。 - **ARGS_GET**、**ARGS_POST**：分别包含GET和POST方式的请求参数。 - **FILES**：包含所有上传的文件信息。 - **ENV**：包含环境变量。 ModSecurity是一款强大的Web应用防火墙工具，通过灵活的配置选项和丰富的规则集提供了多层次的安全防护。对于希望提升其Web应用安全性的人来说，掌握ModSecurity的使用方法是非常有价值的。

modsecurity-nginx-1.0.3 nginx 和 libmodsecurity 之间的连接器, 其实就是一个第三方 Nginx 模块, Nginx 可以通过静态或动态方式加载该模块。 下载地址git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git

WAF工具 辅助工具，用于生成ModSecurity规则排除项并创建对Gitlab存储库的合并请求。 用法 要为请求的所有警报生成规则排除并创建合并请求，请执行以下操作： 验证OpenShift集群 oc login 查找带有误报的请求以进行调整。 例如，使用此Kibana。 使用存储库，令牌和请求的唯一ID运行waf-tool tuning命令： waf-tool tune -k -m -r -t 使用生成的排除规则，并在合并请求中根据需要对其进行调整。 Elasticsearch TLS连接 默认情况下，Elasticsearch使用由自定义CA签名的TLS证书运行。 您需要获取CA证书才能信任它。 可以在WAF_ES_CUSTOM_CA env变量中提供它，也可以使

较为详细的介绍了使用modsecurity rule language编写Rule。

lua-resty-waf：基于OpenResty堆栈的高性能WAF

网上关于waf防火墙部署的教程不少，但是无奈没有windows下的现成资源可用，自己搭了一套，将资源分享给大家，解压后可直接运行使用

主要介绍了Apache下ModSecurity的安装启用与配置,需要的朋友可以参考下

ModSecurity是一个免费、开源的Apache模块，可以充当Web应用防火墙（WAF）。ModSecurity是一个入侵探测与阻止的引擎，它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙，ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。官方原版下载：ModSecurity_3_NGINX_Quick_Start_Guide

Nginx 1.16.1 with ModSecurity 3.0.4 软件安装包，可用于 Modsecurity 学习。

ModSecurity Handbook使用手册 英文原版的,免费奉献给大家 Modsecurity for Apache 用户手册 介绍 Modsecurity 是一个开放原代码的入侵检测和防护引擎,用来保护Web应用程序.他同样和可以当作一个Web应用程序防火墙.它嵌入到Web服务器中,担当一个强大的保护伞-保护来自应用程序的攻击. ModSecurity 和web服务器结合,增强web服务器抗攻击的能力.