1

最近,我的兄弟建议我使用 mod_security。我研究了它的真正含义和作用,但我很难决定是否应该使用它。这就是我认为让我无法使用它的原因。

  • 稍微影响我的网站性能。规则越多,速度就越慢。
  • 它并没有完全过滤掉所有的攻击(这是可以理解的,因为任何软件都不可能真正保护一切)。
  • 有时,它可以阻止无辜的用户。
  • 添加另一个软件意味着添加另一个维护它的责任。

现在真正的问题是:

  • 如果 mod_security 不能过滤所有内容,而您仍然需要确保您的 Web 应用程序是安全的,那么为什么不正确地编写一个安全的 Web 应用程序而不运行任何 Web 应用程序防火墙呢?

  • 由于它是我们的 Web 应用程序,因此我们比任何第三方软件都更了解用户的预期输入。让第 3 方软件检测攻击,然后在我们的 Web 应用程序中编写输入验证就像是双重检查(虽然它很好,但性能成本也会翻倍)。

4

1 回答 1

1

在您描述的场景中,您有一个由关心安全性的开发人员编写的自定义应用程序,我同意 WAF 作为入侵防御系统提供了无意义的价值。

WAF 能够有效地自动提供未知的 Web 应用程序的想法是最糟糕的行业营销策略。如果没有经过精心配置以适应应用程序,它们会提供极差的性能(*);除非您有一个独立的安全团队有足够的资源来执行此操作,否则通常将资源用于安全开发确实更好。

(*:如由于误报而提供的保护与时间和自定义丢失;mod_security 的核心规则在 IMO 中特别麻烦。)

另一方面,WAF 很有用:

  • 作为临时解决方法,允许您保护具有特定已知漏洞的旧版和第三方应用程序,直到可以修复或替换它们;

  • 配置为入侵检测系统,发出警报而不是阻止,您可以在其中拥有操作资源来跟进并可能阻止攻击源。

于 2013-07-13T12:18:58.247 回答