因为明天小弟我一大早要 concall 本周内容延到明天我 concall 完在发文 我会努力达到当初的承诺的 QQ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.193.122.171 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1492522203.A.354.html 2017.W16 - WAF (Web Application Firewall) > 你会选择 注入 还是 被注入 ## 前言 ## 防火墙有三大要素：效能、准确率、价格 但三者永远只能取其二 如果有又快、有准、又不用钱的防火墙 一定要马上推荐给大家 ! ## 内容 ## WAF (Web Application Firewall)[0] 是属於 Level7 防火墙[1]的一种 主要是针对特定应用程式进行监控、分析与过滤封包内容 类比於系统层的防火墙 两者都有共同的特色： 1. 针对特定的规则进行请求的处理 2. 扩充弹性大 3. 效能与规则的数量、复杂程度成反比 用 ModSecurity[2] 当做例子：这是一款 WAF 的 open source 他目前支援主流的 Web Server (Apache、Nginx、IIS 等) 另外可以汇入公版的规则 (ModSec 提供)、OWASP[3] 所整理的规则或自定义描述规则等 合理的推论 一个拥有足够多规则的 WAF 就可以阻挡任意恶意的攻击 但从开发者的角度 过多的规则也会让误判的潜在风险变高 因为一个通用的规则 (e.g. 不允许 GET Method 中带有 path 参数) 让以後网页开发人员会因为这些限制而在开发上受到挫折 同样的 过多的规则也会让 WAF 处理一个 incoming 的请求花费的时间变高 如果你想到一个规则可以完美的涵盖所有恶意行为 记得找一个足够大的空间写下来[4] [0]: https://en.wikipedia.org/wiki/Web_application_firewall [1]: https://zh.wikipedia.org/wiki/%E6%87%89%E7%94%A8%E5%B1%A4%E9%98%B2%E7%81%AB%E7%89%86 [2]: https://modsecurity.org/ [3]: https://modsecurity.org/crs/ [4]: https://zh.wikipedia.org/wiki/%E8%B4%B9%E9%A9%AC%E5%A4%A7%E5%AE%9A%E7%90%86 ※ 编辑: CMJ0121 (125.227.147.112), 04/19/2017 15:18:38 ※ 编辑: CMJ0121 (123.193.122.171), 04/20/2017 07:05:28 ※ 编辑: CMJ0121 (125.227.147.112), 04/21/2017 09:37:57