有没有asp.net的Web应用防火墙？

Question

我想加强我的网站对简单的dos/xss/sqli/等…但是现在我不想深入研究安全编程，所以我想使用一个现成的类或库，比如linux中的"mod_security“。

大约一年前，我在asp.net上找到了一个像modsec这样的项目，但现在我在谷歌上搜索了太多，但没有什么有趣的东西。

有谁知道.net中的网站管家吗？

致以问候。

Answer 1

对于您的特定应用程序，没有开箱即用的WAF。您将需要大量的微调来保护WAF的web应用程序。在许多情况下，在考虑安全性的情况下实现应用程序要比使用额外的层保护应用程序更容易。对SQL语句使用预准备语句比尝试识别和过滤错误输入要容易得多。通常，您希望同时执行这两种操作(深度防御)，但如果您希望依赖单个保护措施，则使用预准备语句是更好的选择。

如果您确实想尝试使用网站管家来保护您的应用程序，并且您熟悉mod_security，那么您可以在您的ASP.NET应用程序中使用它。您需要一个专用服务器来充当应用程序前面的反向代理。Mod_security可以在那里过滤传入和传出的请求。我从official mod_security website获取了关于反向代理设置的利弊：

优势

SSLSSL单点访问-用作阻塞点，因此您可以合并应用安全设置并使管理easier.

• Network拓扑对外部世界隐藏-因此攻击者将更难枚举您的platforms.

• Increased性能-如果使用加速器/缓存。
• 您可以实施漏洞筛选器来保护后端上易受攻击的web服务器或应用程序(IIS、Netscape、easier.
• Network、PHP...)。

Disadvantages

• 如果反向代理无法处理网络负载，则会出现潜在的流量瓶颈。
• 潜在的故障点-如果反向代理关闭，可能会导致对其背后的web应用程序的拒绝服务。
• 需要对网络进行更改。

Answer 2

你永远也找不到一个“一刀切”的安全包。然而，朝着正确方向迈出的一步可能是看看微软的Anti-XSS库和安全运行时引擎。这两个项目都可以是found on CodePlex。

描述：

(反XSS)

AntiXSS为用户输入提供了大量的编码功能，包括超文本标记语言、超文本标记语言属性、可扩展标记语言、CSS和JavaScript。

白名单：AntiXSS通过使用白名单方法与标准.NET框架编码不同。所有不在白名单上的字符都将使用正确的编码类型规则进行编码。虽然这是以性能为代价的，但AntiXSS在编写时就考虑到了性能。Secure Globalization：网络是一个全球性的市场，跨站脚本是一个全球性的问题。攻击可以在任何地方编码，Anti-XSS现在可以防御以几十种语言编码的XSS攻击。

(SRE)

安全运行时引擎为您现有的网站提供了一个包装器，确保常见的攻击载体不会进入您的应用程序。保护是作为标准提供的

• 跨站点Scripting
• SQL注入

与所有web安全一样，WPL是深度防御策略的一部分，为您已经采用的任何验证或安全编码实践添加了额外的一层。

Answer 3

我的产品ServerDefender VP将与ASP.NET一起开箱即用(你只需要让软件在“只登录”模式下运行一段时间，让它了解你的网站或应用程序的流量)。这个web应用程序防火墙在最初提出这个问题时是新的，但现在已经相当成熟了。

在安全性方面，SQL再次保护常见的威胁，如ServerDefender、SQL和其他。它还有助于实现PCI合规性，并具有强大的日志记录和警报功能。它与其他一些WAF选项的区别在于它的易用性和简单的用户界面。