中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何使用免費的WEB應用防火墻

發布時間:2020-04-15 10:30:43 來源:億速云 閱讀:357 作者:三月 欄目:安全技術

與其他CDN服務商相比,億速云CDN的主要優勢包括穩定快速、性價比高、簡單易用、高效智能。比較多的用戶會問到穩定快速這個優點,一般來說,億速云的CDN特點是分擔源站壓力,避免網絡擁塞,確保在不同區域、不同場景下加速網站內容的分發,提高資源訪問速度。以下給大家介紹下關于網絡安全的重要問題。 

CDN是將源站內容分發至最接近用戶的節點,提高用戶訪問的響應速度,解決企業源網站的服務器壓力。未來五年CDN行業仍然會高速增長,超過50%的互聯網流量通過CDN進行加速。
但是網絡安全仍然是非常重要的問題, 雖然阿里云Web應用防火墻(WAF)支持各類CDN(如網宿、加速樂、七牛、又拍、阿里云CDN等),但是價格非常昂貴,中小企業很多負擔不起,同時抱有***不會***的僥幸心里。那么有沒有功能和性能都好的免費WAF呢,答案是有的。
hihttps是一款免費的web應用防火墻,既支持傳統WAF的檢測功能如SQL注入、XSS、惡意漏洞掃描、密碼破解、CC、DDOS等),又支持無監督機器學習,自主對抗,重新定義web安全。具體原理可以百度搜索“hihttps談機器學習之生成對抗規則”。今天下面以CentOS 為例,一步一步介紹怎么用hihttps來免費保護CDN環境的企業源站。
如何使用免費的WEB應用防火墻
一、    安裝
hihttps可以在WEB源站服務器上直接安裝,也可以像硬件WAF那樣獨立部署服務器前面,用反向代理的原理來保護源站。
首先在http://www.hihttps.com/官網下載hihttp.tar.gz安裝包,tar –zxvf hihttps.tar.gz 解壓到任意目錄,核心有3個文件和3個目錄:
1、hihttps是可執行文件,支持centos 64位系統。
2、hihttps.cfg是配置文件,如端口/反向代理的服務器IP等。
3、ml.cfg是機器學習配置文件。
4、rules目錄是對抗規則,包括OWASP的SQL注入、XSS、CC、DDOS、密碼破解、惡意掃描以及機器學習自主對抗規則。
5、train目錄是無監督機器學習樣本采集目錄。  
6、log目錄是***報警日志。

hihttps默認配置前端綁定443端口(HTTPS)和81端口(HTTP),反向連接的80端口:

https:// serverip / <==> http://127.0.0.1/  
http://serverip:81/ <==> http://127.0.0.1/

注釋:serverip是你的服務器的實際IP地址或者域名,本文下面不再闡述。

如果你是在vmware虛擬機里面做測試,或者服務器上還沒有web服務器,請先安裝nginx或者apache如:
yum install nginx或yum install httpd  ,打開瀏覽器 http://serverip/ ,,確認訪問80端口是成功的。

二、    hihttps配置
1、端口配置
為了方便測試,hihttps開啟了81和443兩個web端口,注意443需要綁定PEM格式的證書,默認提供了一個叫server.pem的數字證書,如果有,請換成源站服務器的真實證書。配置如下:

https.cfg:

frontend web
mode http
bind    :81
default_backend s_default

frontend web_ssl
mode http
bind :443 ssl crt server.pem     #PEM證書建議用絕對路徑如/home/xxx/server.pem
default_backend s_default
errorloc302 400 http://www.hihttps.com/           #***重定向網頁,僅DROP阻斷模式有效

#真實的后端WEB服務器端口  
backend s_default
mode            http
server      server_default 127.0.0.1:80

2、OWASP規則設置

Hihttps兼容ModSecurity大部分規則,最厲害的是著名安全社區OWASP,開發和維護著一套免費的應用程序保護規則,這就是所謂OWASP的ModSecurity的核心規則集(即CRS),幾乎覆蓋了如SQL注入、XSS跨站***腳本、惡意掃描、密碼破解、DOS等幾十種常見WEB***方法。
hihttps默認配置了這幾條,基本滿足常見***防護:
REQUEST-913-SCANNER-DETECTION.conf
REQUEST-941-APPLICATION-ATTACK-XSS conf
REQUEST-942-APPLICATION-ATTACK-SQLI conf
REQUEST-20-APPLICATION-CC-DDOS conf
REQUEST-20-APPLICATION-Brute-PASS conf
white_url.data
black_url.data
……
更多的規則,可以去https://github.com/SpiderLabs/ModSecurity官方網站下載,把文件保存在rule目錄下即可。

3、機器學習配置
一般來說,機器學習是自動完成的,不用配置。當然也可以為機器精確設置要學習的網站文件所對應的目錄,這樣學習更快速、準確:
ml.cfg:

#www_dir /usr/share/nginx/html/

#缺省是報警模式ruleAction alert,要設置為阻斷模式,請開啟ruleAction drop
#ruleAction drop

4、 機器學習對抗規則
Rules目錄下的gan.rule是機器學習自動生成的對抗規則文件,為了方便測試,默認了一條接口規則https://serverip/hihttps.html?id=xxx

三、運行測試

如何使用免費的WEB應用防火墻
運行./hihttps,如果界面打印出了OWASP 規則、Mache Learning(機器學習規則),并且顯示了start ok……就說明正常。
1、OWASP 規則測試
可以用Kali Linux,集成了很多web漏洞掃描工具,非常方便測試,如nkito等。
運行 nikto -h 192.168.0.1 -p 80,81 -C
或者nikto -host www.baidu.com –C port 443 –ssl
hihttps主界面就會打印出,大量的報警日志。

2、機器學習測試

機器學習是hihttps的核心,但采集成千上萬的樣本需要一定時間,為了方便測試,默認了一條hihttps.html機器學習樣本。
https://serverip/hihttps.html?id=123,采集到的樣本大于99%都是這種形態,那么瀏覽器輸入下面的網址,都將視為***:

***測試樣本:
https://serverip/hihttps.html?id=123' or 1='1
https://serverip/hihttps.html?id=<script>alert(1);</script>

https://serverip/hihttps.html?id=1234567890&t=123
https://serverip/hihttps.html?id=abc

如果上圖界面,打印出了***日志,那么恭喜你,系統運行正常,hihttps保護成功。

報警日志產生在log目錄下,按天存儲,格式是這樣的。。
2020-02-09 21:14:49  192.168.1.153:59615 [ALERT]  [888] [GET /hihttps.html] STR:"ff" Matched, Machine Learning : Detect an attack,value is not a number...
…..
四、正式部署
作為免費版本,到這里就結束了。實際部署的時候,把hihttps和nginx(apache)的端口換一下,hihttps綁定80和443,nginx(apache)綁定127.0.0.1:81就可以了。

修改hihttps.cfg文件相關配置:
http://serverip/ <==> http://127.0.0.1:81/
https://serverip/ <==> http://127.0.0.1:81/

用機器學習幾天后,如果人工核實報警準確率大于99.9%,在不影響生產的情況下,可以修改ml.cfg文件,開啟ruleAction drop阻斷模式。

hihttps企業版付費本無非就是開源,并且有專門的WEB管理界面而已,核心防護功能都一樣,小企業沒必要再去購買昂貴的WAF。

五、總結
1、傳統的waf規則很難對付未知漏洞和未知***。讓機器像人一樣學習,具有一定智能自動對抗APT***或許是唯一有效途徑,但******技術本身就是人類最頂尖智力的較量,WEB安全仍然任重而道遠。
2、幸好hihttps這類免費的應用防火墻在機器學習、自主對抗中開了很好一個頭,未來WEB安全很可能是特征工程+機器學習共同完成,必然是AI的天下。

如果大家還有什么地方需要了解的可以在億速云官網找我們的CDN技術工程師的,億速云CDN技術工程師在行業內擁有十幾年的經驗了,所以會比小編回答的更加詳細專業。億速云官網鏈接www.5655pk.com


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

莱芜市| 泾川县| 湘乡市| 将乐县| 彩票| 武清区| 精河县| 眉山市| 枣阳市| 大同市| 固安县| 慈利县| 白沙| 安丘市| 勃利县| 探索| 岳西县| 甘肃省| 清水河县| 芦山县| 伊金霍洛旗| 金秀| 娄烦县| 静乐县| 靖宇县| 濉溪县| 孙吴县| 仙居县| 桦南县| 连南| 高雄市| 府谷县| 攀枝花市| 日喀则市| 获嘉县| 德州市| 容城县| 北川| 江门市| 津南区| 确山县|