教你一步步用免費(fèi)的WEB應(yīng)用防火墻hihttps保護(hù)CDN源

cdn是將源站內(nèi)容分發(fā)至最接近用戶的節(jié)點(diǎn)，提高用戶訪問的響應(yīng)速度，解決企業(yè)源網(wǎng)站的服務(wù)器壓力。未來五年CDN行業(yè)仍然會(huì)高速增長，超過50%的互聯(lián)網(wǎng)流量通過CDN進(jìn)行加速。
但是網(wǎng)絡(luò)安全仍然是非常重要的問題， 雖然阿里云Web應(yīng)用防火墻（WAF）支持各類CDN（如網(wǎng)宿、加速樂、七牛、又拍、阿里云CDN等），但是價(jià)格非常昂貴，中小企業(yè)很多負(fù)擔(dān)不起，同時(shí)抱有***不會(huì)***的僥幸心里。那么有沒有功能和性能都好的免費(fèi)WAF呢，答案是有的。
hihttps是一款免費(fèi)的web應(yīng)用防火墻，既支持傳統(tǒng)WAF的檢測功能如SQL注入、XSS、惡意漏洞掃描、密碼破解、CC、DDOS等），又支持無監(jiān)督機(jī)器學(xué)習(xí)，自主對抗，重新定義web安全。具體原理可以百度搜索“hihttps談機(jī)器學(xué)習(xí)之生成對抗規(guī)則”。今天下面以CentOS 為例，一步一步介紹怎么用hihttps來免費(fèi)保護(hù)CDN環(huán)境的企業(yè)源站。

一、 安裝
hihttps可以在WEB源站服務(wù)器上直接安裝，也可以像硬件WAF那樣獨(dú)立部署服務(wù)器前面，用反向代理的原理來保護(hù)源站。
首先在http://www.hihttps.com/官網(wǎng)下載hihttp.tar.gz安裝包，tar –zxvf hihttps.tar.gz 解壓到任意目錄，核心有3個(gè)文件和3個(gè)目錄：
1、hihttps是可執(zhí)行文件，支持centos 64位系統(tǒng)。
2、hihttps.cfg是配置文件，如端口/反向代理的服務(wù)器IP等。
3、ml.cfg是機(jī)器學(xué)習(xí)配置文件。
4、rules目錄是對抗規(guī)則，包括OWASP的SQL注入、XSS、CC、DDOS、密碼破解、惡意掃描以及機(jī)器學(xué)習(xí)自主對抗規(guī)則。
5、train目錄是無監(jiān)督機(jī)器學(xué)習(xí)樣本采集目錄。
6、log目錄是***報(bào)警日志。

創(chuàng)新互聯(lián)公司長期為上千客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為永和企業(yè)提供專業(yè)的網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作，永和網(wǎng)站改版等技術(shù)服務(wù)。擁有十余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

hihttps默認(rèn)配置前端綁定443端口（HTTPS）和81端口（HTTP），反向連接的80端口：

https:// serverip / <==> http://127.0.0.1/
http://serverip:81/ <==> http://127.0.0.1/

注釋：serverip是你的服務(wù)器的實(shí)際IP地址或者域名，本文下面不再闡述。

如果你是在vmware虛擬機(jī)里面做測試，或者服務(wù)器上還沒有web服務(wù)器，請先安裝nginx或者apache如：
yum install nginx或yum install httpd ，打開瀏覽器 http://serverip/ ,，確認(rèn)訪問80端口是成功的。
二、 hihttps配置
1、端口配置
為了方便測試，hihttps開啟了81和443兩個(gè)web端口，注意443需要綁定PEM格式的證書，默認(rèn)提供了一個(gè)叫server.pem的數(shù)字證書，如果有，請換成源站服務(wù)器的真實(shí)證書。配置如下：

https.cfg:

frontend web
mode http
bind :81
default_backend s_default

frontend web_ssl
mode http
bind :443 ssl crt server.pem #PEM證書建議用絕對路徑如/home/xxx/server.pem
default_backend s_default
errorloc302 400 http://www.hihttps.com/ #***重定向網(wǎng)頁，僅DROP阻斷模式有效

#真實(shí)的后端WEB服務(wù)器端口
backend s_default
mode http
server server_default 127.0.0.1:80

2、OWASP規(guī)則設(shè)置

Hihttps兼容ModSecurity大部分規(guī)則，最厲害的是著名安全社區(qū)OWASP，開發(fā)和維護(hù)著一套免費(fèi)的應(yīng)用程序保護(hù)規(guī)則，這就是所謂OWASP的ModSecurity的核心規(guī)則集(即CRS)，幾乎覆蓋了如SQL注入、XSS跨站***腳本、惡意掃描、密碼破解、DOS等幾十種常見WEB***方法。
hihttps默認(rèn)配置了這幾條，基本滿足常見***防護(hù)：
REQUEST-913-SCANNER-DETECTION.conf
REQUEST-941-APPLICATION-ATTACK-XSS conf
REQUEST-942-APPLICATION-ATTACK-SQLI conf
REQUEST-20-APPLICATION-CC-DDOS conf
REQUEST-20-APPLICATION-Brute-PASS conf
white_url.data
black_url.data
……
更多的規(guī)則，可以去https://github.com/SpiderLabs/ModSecurity官方網(wǎng)站下載，把文件保存在rule目錄下即可。

3、機(jī)器學(xué)習(xí)配置
一般來說，機(jī)器學(xué)習(xí)是自動(dòng)完成的，不用配置。當(dāng)然也可以為機(jī)器精確設(shè)置要學(xué)習(xí)的網(wǎng)站文件所對應(yīng)的目錄，這樣學(xué)習(xí)更快速、準(zhǔn)確：
ml.cfg：

#www_dir /usr/share/nginx/html/

#缺省是報(bào)警模式ruleAction alert，要設(shè)置為阻斷模式，請開啟ruleAction drop
#ruleAction drop

4、 機(jī)器學(xué)習(xí)對抗規(guī)則
Rules目錄下的gan.rule是機(jī)器學(xué)習(xí)自動(dòng)生成的對抗規(guī)則文件，為了方便測試，默認(rèn)了一條接口規(guī)則https://serverip/hihttps.html?id=xxx

三、運(yùn)行測試

運(yùn)行./hihttps，如果界面打印出了OWASP 規(guī)則、Mache Learning（機(jī)器學(xué)習(xí)規(guī)則），并且顯示了start ok……就說明正常。
1、OWASP 規(guī)則測試
可以用Kali Linux，集成了很多web漏洞掃描工具，非常方便測試，如nkito等。
運(yùn)行 nikto -h 192.168.0.1 -p 80,81 -C
或者nikto -host www.baidu.com –C port 443 –ssl
hihttps主界面就會(huì)打印出，大量的報(bào)警日志。

2、機(jī)器學(xué)習(xí)測試

機(jī)器學(xué)習(xí)是hihttps的核心，但采集成千上萬的樣本需要一定時(shí)間，為了方便測試，默認(rèn)了一條hihttps.html機(jī)器學(xué)習(xí)樣本。
https://serverip/hihttps.html?id=123,采集到的樣本大于99%都是這種形態(tài)，那么瀏覽器輸入下面的網(wǎng)址，都將視為***：

***測試樣本：
https://serverip/hihttps.html?id=123' or 1='1
https://serverip/hihttps.html?id=<script>alert(1);</script>

https://serverip/hihttps.html?id=1234567890&t=123
https://serverip/hihttps.html?id=abc

如果上圖界面，打印出了***日志，那么恭喜你，系統(tǒng)運(yùn)行正常，hihttps保護(hù)成功。

報(bào)警日志產(chǎn)生在log目錄下，按天存儲(chǔ)，格式是這樣的。。
2020-02-09 21:14:49 192.168.1.153:59615 [ALERT] [888] [GET /hihttps.html] STR:"ff" Matched, Machine Learning : Detect an attack,value is not a number...
…..
四、正式部署
作為免費(fèi)版本，到這里就結(jié)束了。實(shí)際部署的時(shí)候，把hihttps和nginx（apache）的端口換一下，hihttps綁定80和443，nginx（apache）綁定127.0.0.1:81就可以了。

修改hihttps.cfg文件相關(guān)配置：
http://serverip/ <==> http://127.0.0.1:81/
https://serverip/ <==> http://127.0.0.1:81/

用機(jī)器學(xué)習(xí)幾天后，如果人工核實(shí)報(bào)警準(zhǔn)確率大于99.9%，在不影響生產(chǎn)的情況下，可以修改ml.cfg文件，開啟ruleAction drop阻斷模式。

hihttps企業(yè)版付費(fèi)本無非就是開源，并且有專門的WEB管理界面而已，核心防護(hù)功能都一樣，小企業(yè)沒必要再去購買昂貴的WAF。

五、總結(jié)
1、傳統(tǒng)的waf規(guī)則很難對付未知漏洞和未知***。讓機(jī)器像人一樣學(xué)習(xí)，具有一定智能自動(dòng)對抗APT***或許是唯一有效途徑，但******技術(shù)本身就是人類最頂尖智力的較量，WEB安全仍然任重而道遠(yuǎn)。
2、幸好hihttps這類免費(fèi)的應(yīng)用防火墻在機(jī)器學(xué)習(xí)、自主對抗中開了很好一個(gè)頭，未來WEB安全很可能是特征工程+機(jī)器學(xué)習(xí)共同完成，必然是AI的天下。

當(dāng)前名稱：教你一步步用免費(fèi)的WEB應(yīng)用防火墻hihttps保護(hù)CDN源
URL鏈接：http://muchs.cn/article34/iehsse.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、品牌網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化、域名注冊、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)