基于异常的web应用防火墙

Question

基于异常的web应用防火墙在减轻基于web的攻击方面有多实际？哪些类型的威胁是可以减轻的，哪些不是？他们是否实际执行了这些原则。

Answer 1

检查ModSecurity -这是相当不错的方法，它确实包括异常以及集体得分系统。您可以看看核心规则，也有异常条目。您只需将核心规则加载到ModSecurity，然后，您只需测试应用程序，并最终删除、添加、修改一些规则即可。

异常条目主要防止自动机器人或其他可疑客户执行非常不可靠的请求。没有为特定应用程序制定的规则(对于流行的cmse有规则)，它所阻止的是使用非标准的标头集请求web内容。

当存在特定应用程序的规则时，它会阻止某些请求，而这些请求对于特定的应用程序来说并不典型，但是这是如何具体工作的，以及您需要了解核心规则的级别。

这些规则并不是超级特定的，但是它们有更实用的方法--没有什么大的哲学--他们只是基于规则来获得异常，它需要经过大量的调整和改变才能与任何特定的应用程序一起工作，所以基本上它可以做规则中的事情，再加上你自己可以做的事情。

他们不保护不受坏话伤害，但这很容易补充，他们也不保护不受混淆和精心设计的攻击。

下面列出了来自核心规则的保护，这些保护是ModSecurity的一部分：

• HTTP保护-检测违反HTTP协议和本地定义的使用策略。
• 实时黑名单查找-利用第三方IP信誉
• 基于web的恶意软件检测-通过检查谷歌安全浏览API来识别恶意网页内容。
• HTTP拒绝服务保护-抵御HTTP泛滥和缓慢的HTTP DoS攻击。
• 公共Web攻击保护-检测常见的web应用程序安全攻击。
• 自动检测-检测机器人，爬虫，扫描仪和其他表面恶意活动。
• 集成AV扫描文件上传-检测通过web应用程序上传的恶意文件。
• 跟踪敏感数据-跟踪信用卡使用情况和阻塞泄漏。
• 特洛伊木马保护-检测对木马的访问。
• 应用程序缺陷的识别-应用程序错误配置的警报。
• 错误检测和隐藏-伪装服务器发送的错误消息。

ModSecurity被广泛应用于互联网上--例如，最大的CDN公司Akamai已经在许多服务器上安装了它，因为它们将它集成到了自己的软件中，或者在某种程度上分叉了它。这是因为它是云友好的--基于集合的异常检测--信息来自多个服务器，因此它检测出在您自己的服务器之间地理分布的异常。

Answer 2

试着从F5上查看大IP.被Facebook、BoA和其他公司使用。

http://news.netcraft.com/archives/2009/05/29/f5_比吉普_主机_10_百万_sites.html

它是ASM (应用程序安全管理器)处理网络攻击保护.http://www.f5.com/products/big-ip/