为了检测和阻止对 web 应用程序的攻击,web 应用程序防火墙 (ModSecurity) 会检测所有违反规则集的到 web 服务器的请求以及来自服务器的相关响应。如果检查成功,该 HTTP 请求就会被传递到网站内容。如果检测失败,则会执行预定义的操作。
ModSecurity 是 Apache 的一个模块。因此,只能检查到达 Apache HTTP 请求。Apache 可辅以另一款 web 服务器 - nginx。如果您启用 由 nginx 处理 PHP 选项用于处理网站的动态内容,web 应用程序防火墙将无法检查 HTTP 请求因为这些请求永远不会到达 Apache。 对于静态内容,如果启用了 由 nginx 直接服务静态文件 选项,HTTP 请求将不会到达 Apache,因此 ModSecurity 将不会对其检查。
注意: 若要使用 web 应用程序防火墙 (ModSecurity), ,从 Plesk 11.5 升级的管理员必须从 Odin 或其供应商获取 Plesk 12 的许可证密钥。
若要启用 web 应用程序防火墙:
注意: 可在服务器和域名级别范围设置 web 应用程序防火墙模式。但是,域名级别模式不能高于服务器级别模式的设置。例如,如果服务器级别的 web 应用程序防火墙在 仅检测 模式中运行,您将无法为域名设置 启用 模式。只会显示 禁用 和 仅检测 模式。
警示: 如果您选择了 Atomic 规则集以确保 ModSecurity 运行正常:
在服务器上运行 aum -u
命令。Plesk modsecurity 程序包将被来自 Atomic 库的程序包所替代。然后运行以下命令:
plesk sbin modsecurity_ctl --disable
plesk sbin modsecurity_ctl –enable
service httpd restart
注意: 为了达到最优性能,web 应用程序防火墙需要本地的 DNS 服务器启用请求缓存功能。否则,当启用 web 应用程序防火墙时您的网站可能会运行很慢。
ModSecurity 使用两个地址来存储日志:
/var/log/httpd/modsec_audit.log
)非常详细,whole Plesk 服务器使用该日志。当 ModSecurity 检测到任何发生的事件,就会在审计日志文件中生成一个条目。若要查看 ModSecurity 审计日志,请进入 工具与设置 > Web 应用程序防火墙 (ModSecurity) > 点击 日志存档 链接 (在 ModSecurity 审计日志 组里)。您可在此查看 ModSecurity 日志文件和修改日期,并下载日志文件。/var/www/vhosts/DOMAIN.TLD/logs/error_log
)只包含有关网站错误的简要信息。您可以在客户面板上的 网站与域名 > <domain_name> > 日志 > 选择仅 Apache 错误 和 nginx 错误 而不是右边的 所有日志 以查看某个网站的错误日志。当您修改 web 应用程序防火墙模式从禁用或仅检测到启用时,网站可能会停止运行。在网站错误日志中您可以找到类似 403
、404
或 500
的错误代码,您把 web 应用程序防火墙模式更改回 仅检测 或 禁用 时这些代码则不会出现。如果出现这样的情况,请分析 ModSecurity 审计日志查找原因。您可以关闭特别严格的安全规则或调整网站。
要找出为何一个网站上的 HTTP 请求无法完成而关闭安全规则:
Ctrl+F
)查找出问题的网站(域名)。例如,your_domain.tld
。浏览器将会高亮突出某些项,如 HOST: your_domain.tld
,在高亮突出的三行中找出字串 --eece5138-B--
。连字符中间的八个字符(即 eece5138
)是 HTTP 请求触发的事件的 ID。H
的条目(例如,eece5138-H--
)。该条目包含 ID 和当检查 HTTP 请求时触发的安全规则的描述。安全规则 ID 是在方框内带有 ID
前缀置于引号中的自 3
开始的一个整数 例如,[id "340003"]
。[id "3
在事件中查找安全规则 ID。340003
)、标签(例如,CVE-2011-4898)或按常规表达(例如,XSS
)选择安全规则并点击 确定。