[Sissejuhatus] Mis on avatud lähtekoodiga WAF (rakenduste tulemüür) tarkvara?

What Are Open Source Waf Software

Veebirakenduste tulemüür (WAF) tuvastades HTTP (S) taotlused, tuvastades ja blokeerides SQL-i süstimise, saidiülese skriptimise (saidiülese skriptimise xss), veebitroojalaadimise üleslaadimise, käskude / koodi sisestamise, failide kaasamise, tundliku faili juurdepääsu, kolmanda osapoole rakenduste haavatavusrünnakud, CC (Challenge Black Hole) rünnakud, pahatahtlik roomurite skannimine, saididevaheliste taotluste võltsimine ja muud rünnakud veebiteenuste turvalisuse ja stabiilsuse kaitsmiseks.

Uue võraepideemia ülemaailmne puhang tabas majandust 2020. aastal ning uus infrastruktuur nagu 5G ja asjade Internet võivad majandust kiiresti tõsta ja hoogu tõsta. HTTPS-krüptimine on muutunud populaarseks ja traditsioonilised tulemüüri tuvastamise funktsioonid on ebaõnnestunud. Seetõttu on serveri jaoks väga oluline installida veebirakenduse tulemüür. Avatud lähtekoodiga vahvleid on palju, kuid mitte paljud on suurepärased. Siin olen pärast palju otsinguid koostanud kümme avatud lähtekoodiga vahvlit, mida kõik saavad õppida. (See võib aidata ettevõtetel säästa sularahakulusid, kuid tegelikud õppe- ja kaevandamiskulud on väga suured)

Huvitatud saavad soovitada visata: openresty + nginxi avatud lähtekoodiga raamistik veebirakenduste tulemüüri Lua kaitsereeglite dünaamilise värskenduse (WAF) saavutamiseks

.

1, ModSecurity
ModSecurity ajalugu on olnud üle 10 aasta. Alguses oli see Apache turvamoodul. Hiljem arenes sellest avatud lähtekoodiga platvormidevaheline WEB-rakenduste tulemüür. See suudab veebisaiti kaitsta, kontrollides WEB-teenuse vastuvõetud andmeid ja välja saadetud andmeid.
Kõige võimsam on kuulus turvakogukond OWASP, mis töötab välja ja haldab tasuta rakenduste kaitse-eeskirjade kogumit. See on nn OWASP ModSecurity põhireeglite komplekt (st CRS), mis hõlmab peaaegu kümneid tavalisi WEB *** -meetodeid nagu SQL-i süstimine, XSS-i saitidevaheline VPN-skript, DOS jne.
Projekti aadress: https://github.com/SpiderLabs/ModSecurity (Täiuslikult ühilduv nginxiga, nginx on ametlikult soovitanud WAF-i)

2, HiHTTPS

hihttps on suure jõudlusega veebirakendus, millel on vähe täielikku lähtekoodi + MQTT IoT tulemüür, ühilduv ModSecurity reeglite ja avatud lähtekoodiga. Funktsiooni on ülilihtne kasutada, umbes 10M käivitatav fail, kuid kaitsefunktsioonid on kõik saadaval, sealhulgas: haavatavuse skannimine, CC ja DDOS, paroolipakkimine, SQL-i süstimine, XSS *** jne.
Veelgi olulisem on see, et masinõppel põhineva hihttps-i kommertsversioon on ka tasuta. Masin kogub järelevalveta õppimise jaoks automaatselt proovid ja loob automaatselt vastasseisu reeglid. Nagu me kõik teame, on sellised WAF-id nagu Alibaba Cloud / Tencent Cloud väga kallid ja paljud VKEd ei saa neid endale lubada. Proovimiseks saate alla laadida tasuta hihttps.
Projekti aadress: https://github.com/qq4108863/ Ametlik veebilehekülg: http://www.hihttps.com

3 、 Naxsi
Naxsi on Nginxi moodulil põhinev tulemüür. Sellel on oma reeglite definitsioonid ja ta toetab madalaid reegleid. Projekt on kirjutatud C-keeles ja selle mõistmiseks on vajalik Nginxi lähtekoodi oskus.
Projekti aadress: https://github.com/nbs-system/naxsi

4, OpenWAF

OpenWAF põhineb Nginx_lua? API HTTP päringu teabe analüüsimiseks, mis koosneb kahest funktsionaalsest mootorist: käitumisanalüüsi mootorist ja reeglimootorist. Reeglimootor analüüsib peamiselt ühte päringut ja käitumisanalüüsi mootor vastutab peamiselt päringute ristseire jälgimise eest.
Reeglimootor on inspireeritud modturvalisusest ja freewaf-ist (lua-resty-waf) ning rakendab ModSecurity reeglite mehhanismi lua-ga.
Reeglite mootori põhjal saab see täita protokolli spetsifikatsioone, automaatseid tööriistu, SQL-i sisestamist, saidiülest VPN-i, infoleket ja ebatavalisi taotlusi. See toetab reeglite dünaamilist lisamist ja nõrkade kohtade õigeaegset parandamist. Puuduseks on see, et see on keeruline ja ei sobi arendajatele, kes ei tunne Nginxi ja Lua keelt.
Projekti aadress: https://github.com/titansec/OpenWAF

5, FreeWAF
FeeWAF on avatud lähtekoodiga veebirakenduse tulemüüritoode FreeWAF, mis töötab rakenduskihil ja teostab HTTP kahesuunalist tuvastamist: Interneti reaalajas kaitsmine, et vältida *** Rakenduskihi haavatavuste kasutamine ebaseaduslikuks hankimiseks või hävitamiseks Veebisaidi andmed suudavad tõhusalt vastu seista igasugustele ***, näiteks SQL-i süstimine, XSS, CSRF ***, puhvri ülevool, rakenduskihi DOS / DDOS *** jne. Samal ajal kuvatakse veateave, pahatahtlik sisu ja ebakvaliteetne sisu, millele WEB-server reageerib, filtreeritakse reaalajas, et vältida tundliku teabe lekkimist ja tagada veebisaidi teabe usaldusväärsus. Kuid projekti pole pikka aega uuendatud.

6, ESAPI WAF
See on avatud lähtekoodiga WAF, mille pakub OWASP? J2EE juurutamisel põhinev ESAPI projekt, mis kasutab tulemüüri juhtimiseks peamiselt XML-konfiguratsiooni. Installimise ajal konfigureerige ESAPIWEBApplicationFirewallFilter filtrina WEB.xml-s, et töödelda sisendit ja sisestust enne ja pärast rakendust.

7, unixhot
unixhot on kohandatud WAF-i rakendamiseks Nginx + Lua kasutamine. Ühes lauses on selleks HTTP-päringute sõelumine (protokolli parsimismoodul), reeglite tuvastamine (reeglimoodul) ja erinevate kaitsetoimingute tegemine (tegevusmoodul) ning kaitseprotsessi salvestamine (logimoodul), väga lihtne.
Projekti aadress: https://github.com/unixhot/waf Sarnaselt LuaWAF-ile (ehitamisel olev kogukond)

8, Java WAF
Javas on välja töötatud väga vähe WAF-e. Leidsime Java-s välja töötatud API-värava. Kuna WAF on ehitatud avatud lähtekoodiga puhverserverile LittleProxy, väidetakse, et aluseks olev WAF kasutab Netty'i. Toetage funktsionaalselt turvalisuse pealtkuulamist, mitmesugust analüüsi ja tuvastamist, skripti (liivakasti), voo juhtimist / CC-kaitset jne. C-keel pole Java-entusiastide jaoks evangeelium.
Projekti aadress: https://github.com/chengdedeng/waf

9 、 X-WAF
X-WAF on pilv-WAF-süsteem, mis sobib väikestele ja keskmise suurusega ettevõtetele, nii et ka väikestel ja keskmise suurusega ettevõtetel on väga mugav oma tasuta pilv-WAF. Tuum põhineb openresty + lua arendusel, waf-halduse taustal: välja töötatud golang + xorm + macrom abil, toetab binaarset juurutamist.
Projekti aadress: https://github.com/xsec-lab/x-waf

10 、 VeryNginx
VeryNginx on välja töötatud ka põhinedes? Lua_Nginx_module (openrestry)? -Il, mis rakendab täpsemat tulemüüri, juurdepääsustatistikat ja muid funktsioone. Integreerimine toimub Nginxis, laiendab Nginxi enda funktsionaalsust ja pakub sõbralikku WEB-interaktiivset liidest.
Projekti aadress: https://github.com/alexazhou/VeryNginx/

【Muu tasuta ja tasuta WAF-i installimine】

GoodWAF, CloudFlare ja ShareWAF (kõik vajavad pärisnime autentimist). Paljud WAF-i kaubanduslikud kodumaised pilvemüüjad ja kolmandate osapoolte neutraalsed müüjad pole siin loetletud.

kokkuvõte: hihttps ja modturvalisus on parim avatud lähtekoodiga waf, githubi otsing. Pole head visualiseerimist, sest see hõlmab kohandatud arendust.
Traditsioonilisi WAF-reegleid on olnud raske käsitleda tundmatute haavatavuste ja tundmatutega. Kommertslikud wafid on liikunud traditsioonilisest funktsioonitehnoloogiast masinõppe automaatse kaitse juurde. Selles osas on avatud lähtekoodiga wafe vähe ja hihttps on ainus tasuta WAF, mis toetab masinõpet, veebi turvalisuse tulevik peab olema tehisintellekti maailm.

[Sissejuhatus] Mis on avatud lähtekoodiga WAF (rakenduste tulemüür) tarkvara?

Kategooriad

Huvitavad Artiklid

CRF-i juhend (fikseeritud intressimääraga tegur x264 ja x265)

Teisenda EFI -st BIOS -i alglaadimisrežiimi

Materialiseeri CSS NavBar ja SideNav

Kuidas takistada Microsoftil telemeetriaandmete kogumist operatsioonisüsteemidest Windows 7, 8 ja 8.1

Juurdepääsu võrdlus ja loogilised operaatorid.

IzPacki õppematerjal

L2TP-ühenduse katse nurjus, kuna turvakihil tekkis kaugarvutiga läbirääkimiste alustamisel töötlusviga

saatuslik viga LNK1169: leidke üks või mitu mitmekordselt määratletud sümbolit

Kuidas luua püsivalt elav Ubuntu USB, millel on rohkem kui 4 GB

MAC-i tõrkeotsing: dyld: teeki pole laaditud: /usr/local/opt/openssl/lib/libssl.1.0.0.dylib

Lemmik Postitused