据开源防火墙网站介绍,ModSecurity;它可以通过两种方式部署,嵌入式和代理服务器(下面引用)
部署选项
ModSecurity 支持两种部署选项:嵌入式和反向代理部署。没有一种正确的使用方法;请根据最适合您情况的方式选择一种选项。两种选项各有优缺点:
嵌入式
...对于那些已经确定了架构并且不想改变的人来说,嵌入式选项是一个很好的选择。如果您需要保护数百台 Web 服务器,嵌入式部署也是唯一的选择。在这种情况下,构建单独的基于代理的安全层是不切实际的。嵌入式 ModSecurity 不仅不会引入新的故障点,而且可以随着底层 Web 基础设施的扩展而无缝扩展。嵌入式部署的主要挑战是服务器资源在 Web 服务器和 ModSecurity 之间共享。
反向代理
反向代理实际上是 HTTP 路由器,设计用于连接 Web 服务器和其客户端。当您安装专用的 Apache 反向代理并向其添加 ModSecurity 时,您将获得一个合适的网络 Web 应用程序防火墙,您可以使用它来保护同一网络上的任意数量的 Web 服务器。许多安全从业者更喜欢使用单独的安全层。有了它,您就可以与所保护的系统完全隔离。在性能方面,独立的 ModSecurity 将拥有专用的资源,这意味着您将能够做更多的事情(即拥有更复杂的规则)。这种方法的主要缺点是新的故障点,需要使用两个或更多反向代理的高可用性设置来解决此问题。
我了解反向代理防火墙的工作原理
X家庭用户Y反向代理服务器充当防火墙,从 Z 获取网站Z托管网站的主网络服务器
在反向代理中,X <-- Y对 是可见的X,但背景X --> Y --> Z是隐藏的X
问题是:
反向代理防火墙可以保护多个 Web 服务器吗?如果可以,那么如何保护?
Z(因为我在 ModSecurity 中设置了 Web 服务器的 IP 地址Y,并且每个Y可以处理一个 IP 地址Z,但上面的引用说,反向代理部署可以保护任意数量的 Web 服务器)什么是嵌入式防火墙,它与反向代理防火墙有何不同?
反向代理和反向代理有什么区别ModSecurity和Mod_Proxy?
答案1
似乎防火墙用于Web 应用程序防火墙WAF 让您感到困惑。在这两种部署选项中,ModSecurity 都不是 Web 服务器和 Internet 之间的外部防火墙层,而是作为 Apache 内部的一个模块工作。尽管它根据自己的配置进行阻止和记录,但它不会在 Apache 获取数据之前干预 HTTP 连接,而是在 Apache 内部处理请求。这已经很好地解释了嵌入式模式。
在代理模式下,ModSecurity 的工作方式完全相同,但 Apache 用作反向代理,而不是直接提供内容。ModSecurity 本身不提供代理,而是使用 Apache 的 mod_proxy。这样,您可以保护反向代理后面的所有 Web 服务器,无论它们是为不同的站点提供服务(VirtualHosts 分布在不同的服务器上,具有不同的代理设置)还是为单个站点提供服务(作为平衡器)。