您使用哪种 Web 应用程序防火墙?我主要对可以部署在外围以保护多个 Apache 和 IIS 服务器的东西感兴趣,但我希望听到所有答案。告诉我它保护多少台服务器、什么样的负载、性能、价格。基本上任何您想分享的内容。
答案1
ModSecurity 是一款适用于 Apache 的开源 Web 应用程序防火墙 (WAF) 引擎,由 Trustwave 的 SpiderLabs 开发。它拥有强大的基于事件的编程语言,可保护 Web 应用程序免受一系列攻击,并允许进行 HTTP 流量监控、记录和实时分析。ModSecurity 在全球拥有超过 10,000 个部署,是目前部署最广泛的 WAF。
它嵌入到 Web 服务器中,充当强大的保护伞,保护应用程序免受攻击。ModSecurity 支持 Apache Web 服务器的两个分支。
该模块根据一系列不同的标准(如 CGI 变量、HTTP 标头、环境变量甚至单个脚本参数)过滤并选择性地拒绝传入的请求。mod_security 还可以创建审计日志,将完整的请求详细信息存储在单独的文件中,包括 POST 有效负载(可以根据每个服务器或每个目录打开或关闭审计功能)。
优势
mod_security的优点就是“安全”。
- 无需网络端配置
- 易于管理。
- 免费啤酒
- HTTP 入侵检测与预防
缺点
- 你必须成为一名安全专家
- 你必须成为一名协议专家。
- 必须手动完成配置。
- 性能下降
答案2
Barracuda Web 应用程序防火墙提供了基于浏览器的良好管理/配置 UI,大多数熟悉 IIS 或 Apache 设置的管理员只需阅读其文档即可设置该 UI。我知道它可以与 IIS 和 Apache 服务器配合使用,因为我已在这两种服务器上使用过它,并且它应该可以与遵循 HTTP/HTTPS 标准的任何服务器配合使用。我们已将其部署为 VM,但您也可以将其作为设备购买,或者它们甚至是基于云的部署模型。对于我们来说,它可以保护 23 台服务器,在当前峰值期间仅达到其 CPU 容量的 20% 左右。它只会增加个位数毫秒的延迟。
与 Imperva 产品相比,我看到的主要优势是:
- 配置更快捷
- 不太可能需要聘请供应商的专业服务,因为大多数知识渊博的 Web 服务器管理员只需阅读一点产品文档即可对其进行配置,而使用 Imperva,更大比例的人将需要聘请他们的专业服务来配置它。
抱歉,无法与 mod_security 进行比较,因为我从未使用过它。