Web 应用程序防火墙 (ModSecurity)

为了检测和阻止对 web 应用程序的攻击,web 应用程序防火墙 (ModSecurity) 会检测所有违反规则集的到 web 服务器的请求以及来自服务器的相关响应。如果检查成功,该 HTTP 请求就会被传递到网站内容。如果检测失败,则会执行预定义的操作。

ModSecurity 是 Apache 的一个模块。因此,只能检查到达 Apache HTTP 请求。Apache 可辅以另一款 web 服务器 - nginx。如果您启用 由 nginx 处理 PHP 选项用于处理网站的动态内容,web 应用程序防火墙将无法检查 HTTP 请求因为这些请求永远不会到达 Apache。 对于静态内容,如果启用了 由 nginx 直接服务静态文件 选项,HTTP 请求将不会到达 Apache,因此 ModSecurity 将不会对其检查。

注意: 若要使用 web 应用程序防火墙 (ModSecurity), ,从 Plesk 11.5 升级的管理员必须从 Odin 或其供应商获取 Plesk 12 的许可证密钥。

若要启用 web 应用程序防火墙:

  1. 请进入  工具与设置 > Web 应用程序防火墙 (ModSecurity) (在  安全性  组里)进行操作。必须在您的服务器上安装 ModSecurity 组件。


    Web_Application_Firewall

  2. 设置 web 应用程序防火墙模式为 启用仅检测。会针对一组规则对每次接收的 HTTP 请求以及相应响应进行检查。如果检查成功,该 HTTP 请求就会被传递到网站内容。如果检查失败,该事件将会被记录。在 仅检测 模式中,不会执行任何其他操作。在 启用 模式中,HTTP 响应将会提供一个错误代码。

    注意: 可在服务器和域名级别范围设置 web 应用程序防火墙模式。但是,域名级别模式不能高于服务器级别模式的设置。例如,如果服务器级别的 web 应用程序防火墙在 仅检测 模式中运行,您将无法为域名设置 启用 模式。只会显示 禁用仅检测 模式。

  3. 设置将被 web 应用程序防火墙引擎为每个接收 HTTP 请求检测的规则集,或上传自定义规则集。您可以设置以下规则集:
  4. 若要自动更新选定的规则集,请选择 更新规则集 复选框并选择更新时段。
  5. 选择预设的参数集或指定自定义的 ModSecurity 指令。您可以选择以下预设的参数集:

ModSecurity 使用两个地址来存储日志:

当您修改 web 应用程序防火墙模式从禁用仅检测启用时,网站可能会停止运行。在网站错误日志中您可以找到类似 403404500 的错误代码,您把 web 应用程序防火墙模式更改回 仅检测禁用 时这些代码则不会出现。如果出现这样的情况,请分析 ModSecurity 审计日志查找原因。您可以关闭特别严格的安全规则或调整网站。

要找出为何一个网站上的 HTTP 请求无法完成而关闭安全规则:

  1. 请进入  工具与设置 > Web 应用程序防火墙 (ModSecurity)进行操作。
  2. 点击 ModSecurity 日志文件 链接下载审计日志并在新窗口中打开。
  3. 使用搜索(在大部分的 web 浏览器中按下 Ctrl+F)查找出问题的网站(域名)。例如,your_domain.tld。浏览器将会高亮突出某些项,如 HOST: your_domain.tld,在高亮突出的三行中找出字串 --eece5138-B--。连字符中间的八个字符(即 eece5138)是 HTTP 请求触发的事件的 ID。
  4. 进一步查找带有相同事件 ID 的其它条目。查找事件 ID 后面带有字母 H 的条目(例如,eece5138-H--)。该条目包含 ID 和当检查 HTTP 请求时触发的安全规则的描述。安全规则 ID 是在方框内带有 ID 前缀置于引号中的自 3 开始的一个整数 例如,[id "340003"]
  5. 使用子字符串 [id "3 在事件中查找安全规则 ID。
  6. 请进入  工具与设置 > Web 应用程序防火墙 (ModSecurity)进行操作。
  7. 安全规则 中,按 ID(例如,340003)、标签(例如,CVE-2011-4898)或按常规表达(例如,XSS)选择安全规则并点击 确定

针对在升级到 Plesk 12 之前于服务器上安装了 ModSecurity 的有用提示。

在本节:

Atomic ModSecurity 规则集