ModSecurity 提供的功能大致分为四个领域:
解析中
ModSecurity 支持利用尽可能多的数据格式。受支持的数据格式由具有安全意识的解析器支持,这些解析器提取数据位并将其存储以供规则使用。
正在缓冲
在典型安装中,请求和响应主体都将被缓冲。这个表示 ModSecurity 通常会先查看完整的请求,然后再将其传递给应用程序进行处理,并在将响应发送给客户端之前完成响应。缓冲是一项重要功能,因为它是提供可靠阻塞的唯一方法。缓冲的缺点是需要额外的 RAM 来存储请求和响应主体的数据。
审核日志记录
完整的事务日志记录(也称为审核日志记录)是 ModSecurity 的重要组成部分。此功能使您可以记录完整的 HTTP 流量,而不仅仅是基本的访问日志信息,还有请求标头,请求正文,响应标头,响应正文等日志信息。所有这些信息都将对您可用,只有能够看到正在发生的事情,您才能保持控制。
规则引擎
规则引擎以所有其他组件执行的工作为基础。到规则引擎开始运行时,它所需的各种数据点都将准备就绪,可以进行检查。届时,规则将接管评估交易并采取必要的行动。
注意
ModSecurity能有目的地避免做一件事:从设计的角度来看,ModSecurity 不支持数据清理。如果确定自己受到攻击,则应该完全拒绝处理有问题的请求。