networkapp:waf
文書の過去の版を表示しています。
NGINXでWAFを作る
NGINXを利用してWAFを作る。
目次
WAF
WAFとは Web Application Firewallの略であり。Web Serverに対する HTTP レイヤからの攻撃を観測・遮断する機能を持つものである。
一般にWAFには、遮断モードと観測モードがある。
- 遮断モード : 攻撃を検出したら遮断する
- 観測モード : モニターモードなどともいう。攻撃を検出しても記録するだけ
WAFやIPSは、その挙動から、Proxy-WAFとTransparent-WAF(透過WAF)がある。
- Proxy-WAF : Proxy Serverのように、HTTP/TCP 通信を、一度WAFで終端し、WAFからバックエンドのServerにリクエストする。
- Transparent-WAF : Bridgeのように、通信経路中に存在を見せず、TCP的には透過しているように見せる
WAFの攻撃検知方法としては、Signature型とAnomaly型がある。
- Signature型 : 攻撃検出に(正規表現などを利用した)Signatureを利用するもの。Signatureがない攻撃は検出できない
- Signatureが命であるため、常にSignatureのメンテナンスが必要
- 無料で利用できるSignatureとして、OWASPのCRS(Core Rule Set)がある
- Anomaly型 : 攻撃検出に、通信の振る舞いを見るもの。初期の段階で通信パターンの学習が必要
NGINXで実装可能なWAFは、mod_securityによるものがSignature型、NAXIの夜ものがAnomaly型といえる。
networkapp/waf.1539943852.txt.gz · 最終更新: 2018/10/19 19:10 by seirios