ModSecurity 可以做什么？

 

        ModSecurity 是用于实时 Web 应用程序监视，日志记录，调试和访问控制的工具包。您可以通过可用功能选择自己的路径，而不用按照某种规定必须怎么做。这就是为什么本节的标题 ：ModSecurity 可以做什么，而不是让它做什么。选择做什么的自由是 ModSecurity 身份的重要组成部分，并与它的开放源代码特性非常吻合。拥有对源代码的完全访问权限，您可以自由选择扩展自定义和扩展工具本身的能力，以使其适合您的需求。让该工具更加实用而不是意识上的高大上，不让工具限制可以做的事。

ModSecurity 最重要的应用方案：

实时应用程序安全监控和访问控制

        ModSecurity 的核心是使您可以实时访问 HTTP 流量流，并可以对其进行检查。这足以进行实时安全监视。ModSecurity 持久性存储机制增加了可能的范围，使您能够随时间跟踪系统元素并执行事件关联。可以根据实际需求，您可以可靠地进行阻止，因为 ModSecurity 使用完整的请求和响应缓冲。

完整的 HTTP 流量记录

        传统上，Web 服务器在记录安全性目的方面做得很少。默认情况下，它们的日志很少，即使进行了大量的调整，您也无法获取所需的所有数据。但是 ModSecurity 使您能够记录一切，记录所需的所有数据。包括原始交易数据，这对于取证是必不可少的。此外，您可以选择要记录哪些事务，要记录事务的哪些部分以及要清理哪些部分。另外，这种类型的详细日志记录还有助于解决应用程序的问题，而不仅仅是安全性。

虚拟补丁

        虚拟补丁程序是一个在单独的层次上解决漏洞缓解问题的概念，可以解决应用程序中的问题，而无需直接面对应用程序本身。虚拟补丁程序适用于使用任何通信协议的应用程序，但是对于 HTTP 来说特别有用，因为中间设备通常可以很好地理解流量。ModSecurity 凭借其可靠的阻止功能和可适应任何需求的灵活规则语言而擅长虚拟补丁。虚拟补丁程序是 ModSecurity提供的，使用最少投资，最容易执行的动作，并且大多数企业可以从中直接受益。

Web应用程序强化

        ModSecurity 最受欢迎的用法之一是减少攻击面，您可以在其中选择性地缩小您愿意接受的 HTTP 功能（例如，请求方法，请求标头，内容类型等）。ModSecurity 可以直接或通过与其他 Apache 模块的协作来帮助您实施许多类似的限制。例如，可以修复许多会话管理问题以及跨站点请求伪造漏洞。

持续的被动安全评估

        持续的被动安全性评估是实时监视的一种延伸，在这种监视中，您无需关注外部的行为，而是关注系统本身的行为。它是一种早期预警系统，可以在被利用之前检测出许多异常和安全漏洞的痕迹。

扩展应用

        现 实 生 活 常 常 对 我 们 提 出 不 寻 常 的 要 求 ， 并 且 在 处 理 此 类 要 求 时 ，ModSecurity 灵活性在您最需要时会派上用场。您可能必须解决安全需求，或者您遇到了完全不同的问题。例如，有些人将 ModSecurity 用作 XML Web 服务路由器，将其解析 XML 和应用 XPath 表达式的能力与代理请求的能力相结合。（XML和XPath后续会进行学习）

注意

        可能在学习过程中会有这样的疑问，ModSecurity是否可以用来保护Apache本身。答案是：在某些有限的情况下，它是可以的，但它不是为Apache而设计的。有时，您可能能够在ModSecurity攻击到达Apache或第三方模块中的漏洞点之前捕获到它，但在ModSecurity之前运行了大量代码。如果该区域存在漏洞，ModSecurity将无法对此采取任何措施。

什么是 Web 应用程序防火墙？

        ModSecurity是一个web应用程序防火墙，但鲜为人知的事实是，没有人真正知道什么是web应用程序防火墙。一般认为，web应用程序防火墙是增强web应用程序安全性的中间元素（实现为软件附加组件或进程，或网络设备），但深入研究后，意见会有所不同。有许多理论试图解释不同的观点，但我能想到的最好的理论是，与我们以前的任何理论不同，web应用程序空间是如此复杂，以至于没有简单的方法从安全角度对我们所做的事情进行分类。与其关注名称，不如关注特定工具的功能及其帮助方式。