应用防火墙：一点一点地砌

核心提示： mod_security需要经常更新签名，在www.gotroot.com上可以免费下载，应用防火墙：一点一点地砌(3)，Mod_security也使Uni-code信息流恢复正常，并对其净化，但是回报可能是相当高的，不论你创立一个解决方案还是购买一个，以防止URL-解码攻击，Mod_se

mod_security需要经常更新签名，在www.gotroot.com上可以免费下载。

Mod_security也使Uni-code信息流恢复正常，并对其净化，以防止URL-解码攻击。

Mod_security的模式匹配也能用于防止错误信息泄露。错误信息泄露可能会给攻击者提供有用信息。任何有可能泄露网络服务器配置的信息都会经过过滤，并将其改向为一个通用的错误信息。你也可以使用mod_security来执行环境所要求的文件类型，比如.php、.asp、.jsp、以及.html文件。

万里长城

虽然Mod_security功能强大，但是，正如大部分IDS/IPS解决方案一样，它采用的是一种默认许可或者排斥性方法。对于一个开始获得默认-否定情况的网络应用防火墙而言，你需要使用一些Apache中额外的模块。这里是一些完成任务所需要的额外模块：

这是一个典型的使用开源网络应用防火墙的网络交易。客户端请求一个静态的HTML页面，它按照网关后端的动态请求重新编写，经过监测、扫描与验证。HTTP响应标头也进行了改写，以掩盖网络服务器，并隐藏其基础平台。

隐藏你的平台。网络服务器版本所标榜的是一种可以让攻击者识别到网络服务器平台的简捷方法。端口80的简单远程登录和HTTP GET请求将会产生版本号码，并且通常会有加载在服务器上的额外扩展。隐藏服务器标头和其它任何有mod_headers的特定平台标头，这是减少信息泄露的一个简单方法。

为了阻止更先进的指纹识别工具，你可以更进一步，修改Apache源，以发送独特的错误标头和重新排序响应。

重新编写内容并进行杀毒。只要运行在后端的编码没有任何变化，你就可以修改外部响应或者内部请求，并验证输入信息。所有这些都可以通过简单的规则表达式实现。

Mod_rewrite是一个受欢迎的用于改写内部HTTP请求的工具，通常以搜索引擎更容易解析的格式表述网络内容。使用规则表达式，你可以创建一个过滤器，按照特定的安全规则（如参数为最大长度，仅包括字母和数字字符，请求也是最大长度），限制允许通过你网络环境的信息流，将所有其它的请求发送到一个通用的错误页面上。

虽然Mod_proxy_html的工作方式也类似，但是仅仅是输出方式相似，而非输入。它可以读取并替换服务器返回的HTML。只要将mod_proxy_html 和mod_rewrite结合起来，就可能运行网络应用层模拟，这与网络地址转换、以及改写给定站点提供的内容。

这可以为欺骗攻击者带来几乎无限的可能性：ASP页面可以模拟为PHP，动态内容可以呈现为静态的，此外，站点可以向外部明显地分裂于多个服务器上。

另一个工具是mod_lineedit，它提供了和mod_proxy_html相同的改写功能：不仅仅在HTML方面，也包括HTTP信息中的任何内容。它对剔除信息泄露的其它来源非常有用，比如META标签可以命名创建网络页面的作者或者工具、开发者的注释和任何其它你的过滤器没有捕获的潜在危险数据。

砖瓦和砂浆

其它许多工具都可以配置在代理其上，监测所有网络信息流：

流量截流工具通过限制特定主机和网络每秒可以产生的请求数量，进而可以将蠕虫信息流和DoS攻击最小化。

日志解析器有助于检测网络请求日志中的异常情况。

当负载与标准不符时，流量分析应用会发出警报。

网络安全网关是添加多因素认证的良好位置，要么使用LDAP或者其它机制，与企业单点登陆目录进行结合。

虽然构建你自己的网络应用防火墙在前一阶段需要大量的艰苦工作，但是回报可能是相当高的。不论你创立一个解决方案还是购买一个，对于理解网络安全防御无法获知网络环境内部的情况都不要迟疑。