以下场景:
- Web 应用,仅 HTTP/S 流量
- 防火墙到位,仅允许端口 80/443 上的流量
- WAF到位,设置拒绝恶意流量
问题:在这种情况下,是否有任何附加价值也有一个 IPS / 深度包装检测解决方案?据我所知:没有。但我没有找到任何明确的答案。
我们目前正在开发的 Web 服务需要一个 WAF,我不确定我们应该使用 FrontDoors 还是 ApplicationGateway。首先,我们计划只为欧洲提供服务,所以在这种情况下 FrontDoors 不是必需的,对吧?但在未来(可能在发布后 1 年)我们还希望在美国等地提供该服务,因此在这种情况下我们可能需要 FrontDoors。
所以我的问题是:我们现在是否应该使用 FrontDoors,我们以后需要它,即使我们不使用所有功能,而且我认为 FrontDoors 相当昂贵,还是值得一开始就使用 ApplicationGateway?是否可以将 WAF 从 Gateway 迁移到 FrontDoors?
它不可能独立使用WAF,或者是吗?
我试图限制特定主机(例如 AWS)访问我的网络服务器。我尝试了这些的不同变体,但它不起作用。
# Block AWS
SecRule REQUEST_HEADERS:Host ".*\.amazonaws\.com.*" \
"msg:'AWS blocked',id:10007,log,t:lowercase,drop,phase:1"
我试过了:
SecRule REQUEST_HEADERS:Host ".*\.amazonaws\.com.*"
SecRule REQUEST_HEADERS:Host "@rx ^.*\.amazonaws\.com.*$"
SecRule REQUEST_HEADERS:Host "@contains amazonaws.com"
以上都不起作用,所以我得出的结论是我的标头查询语法有问题。这是我尝试匹配排除的主机字符串的示例:主机:ec2-12-34-56-78.compute-1.amazonaws.com
我正在使用OWASP 核心规则集 3.2.0设置ModSecurity 3.0.4和ModSecurity-nginx。
如果我有这样的规则排除,在REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf:
SecRule REQUEST_URI "@beginsWith /api.php" \
"id:1015,\
phase:2,\
pass,\
nolog,\
ctl:ruleRemoveById=941160"
如何将此排除限制为特定主机名?例如,wiki.example.com。
我有一个运行 wordpress 的 AWS lightsail 实例。它受到来自中国 IP 地址的点击的冲击——而且他们不断更换 IP。我开始制定数百个 iptables 规则,但我放弃了,因为这显然是错误的方法。
我发现了 AWS WAF 服务,并创建了一个 ACL 来丢弃来自中国的流量。WAF 与我的 lightsail 实例位于同一区域。
伟大的。但它什么也没做......仍然受到打击。我不知道如何(或是否)将我的 lightsail 流量连接到 WAF。甚至可能吗?
我不需要负载均衡器,也不需要云端,也不需要网关(我认为)。这个设置真的很简单...
我有一个 AWS EC2 实例,并希望拒绝对单个 IP 地址(坏机器人)的端口 80 进行访问。
AWS 控制台似乎只支持“允许”规则。
如何拒绝单个ip地址?
我有一个带有核心规则集的 modsecurity。我有 3 个参数的 POST 请求:Par1 = “base64-encoded XML”& Par2 = “url”&Par3 = “hash”。
我想将 CRS 规则修改为仅对Par1 进行 base64Decode 并“按原样”使用 Par2 和 Par3。
我尝试使用SecRuleUpdateActionById指令,但它需要为 CRS 中的每条规则编写指令。
SecDefaultAction指令也不起作用,因为所有 CRS 规则都有覆盖默认操作的“t:none”。我也找到了multiMatch行动,但我认为它会在 base64-string 上造成很多误报。
是否有某种方法可以在不重写此规则的情况下更新多个规则的操作?