旗鱼云梯Linux网络安全防火墙(WAF防火墙)

  在这个乱象横生的年代，SQL注入、XML注入，跨站脚本攻击，PHP代码注入满天飞，如何进行web应用安全防御，是每个web网站拥有者都会被问到的问题。
  对于网站来说拥有一个WAF防火墙对网站安全来说是非常重要的事情。
  Web应用程序防火墙过滤，监视和阻止与Web应用程序之间的HTTP流量。通过检查HTTP流量，它可以防止源自Web应用程序安全漏洞的攻击，例如SQL注入、跨站点脚本，文件包含和安全性错误配置。
  针对网络安全防护，旗鱼云梯为客户提供了基于ModSecurity的WAF防火墙。高效防御SQL注入、跨站点脚本(XSS)、木马上传、网页篡改、以及轻量级DOS等OWASP常见攻击。

  ModSecurity是一个开源的跨平台Web应用程序防火墙（WAF）引擎，用于Apache，IIS和Nginx，由Trustwave的SpiderLabs开发。作为WAF产品，ModSecurity专门关注HTTP流量，当发出HTTP请求时，ModSecurity检查请求的所有部分，如果请求是恶意的，它会被阻止和记录。 image.png image.png   waf防火墙记录最近三十天攻击日志，攻击时间区间， 攻击类型分布，攻击来源TOP5，让客户清晰的看到什么时间被攻击，被谁攻击，已经经常遭受那种类型的网络攻击。
  ModSecurity的规则相对于国内开发环境来说还是比较严格的，尤其是相对于php代码写的不规范，是waf攻击，脚本注入的重灾区。因此可能会被误杀，怎么判断是误杀还是攻击呢？ image.png   一般情况下有两种方法进行判断。

1. 旗鱼云梯的WAF拦截攻击后返回的状态码是403，如果发现网站不能正常修改提交内容， 比如wordpess的后台文章发布，更新，上传等。按F12查看HTTP相应状态码是不是403，如果是的话看waf防火墙日志中有没有这个url的攻击记录。如果有的话就是被waf给拦截了，需要加入URL白名单或者IP白名单进行加白过滤处理。

2. waf日志中能看到攻击类型，攻击IP， 攻击的域名， 请求的url，攻击方法等。
   a) 首先查看域名， 如果域名不是网站所绑定的域名或者ip， 那么肯定是攻击无疑了。可以看到第二三条， 域名为空，那肯定是攻击无疑了。
   b) 看攻击URL路径。如果URL路径不是你网站的路径结构，那么肯定也是攻击无疑了。可以看到第五六条，URL路径是 index.do和index.actioin 这个是java网站的东西，而我这个是php网站，那肯定是攻击无疑了。
   c) 看攻击IP。第四条URL路径是html页面，看起来不像是我的网站的url，而且攻击ip跟五六条是一样的，第五六条已经确定是恶意攻击，所以第三条肯定也是攻击无疑了。
   

   针对恶意攻击，狠狠的立即封禁它。 image.png WAF ip白名单针对指定ip进行放行处理。
   WAF URl白名单 针对指定URL进行放行处理。
   自定义WAF规则，可以根据ModSecurity的规则语法， 自定义拦截或者放行规则。自定义规则如果没有特殊需求的话 建议不要随便填写，除非你了解ModSecurity规则语法。语法错误会导致web服务器无法正常运行，如果有需求可以联系旗鱼云梯官方客服免费处理。

WAF防火墙是web网站不可缺少的一部分，也是web网站安全中的第一道防线。高效防御SQL注入、跨站点脚本(XSS)、木马上传、网页篡改、以及轻量级DOS等OWASP常见攻击。保护网站不受恶意攻击

by 旗鱼云梯