开源WEB应用防火墙jxwaf怎么用


开源WEB应用防火墙jxwaf怎么用,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。jxwaf(锦衣盾)是一款基于openresty(nginx+lua)开发的下一代web应用防火墙,独创的业务逻辑防护引擎和机器学习引擎可以有效对业务安全风险进行防免费云主机域名护,解决传统WAF无法对业务安全进行防护的痛点。内置的语义分析引擎配合机器学习引擎可以避免传统WAF规则叠加太多导致速度变慢的问题,同时增强检测精准性(低误报、低漏报)。基础攻击防护SQL注入攻击XSS攻击目录遍历漏洞命令注入攻击WebShell上传防护扫描器攻击等…机器学习支持向量机(SVM)语义分析SQL注入语义分析XSS攻击语义分析业务逻辑漏洞防护注册保护登陆保护活动防刷短信炸弹防护越权漏洞防护短信验证码校验绕过防护等…高级CC攻击防护可针对不同URL,不同请求参数单独设置不同防护变量人机识别Cookie安全防护前端参数加密防护支持AES加解密支持DES加解密支持RSA加解密透明部署动态口令功能可对后台管理系统和网站用户提供动态口令(OTP)功能检测缓存功能对已经过WAF检测请求进行MD5缓存,提高检测效率支持协议HTTP/HTTPS性能&可靠性毫秒级响应,请求处理时间小于一毫秒支持主备部署,避免单点故障支持集群反向代理模式部署,可处理超大数据流量支持嵌入式部署,无需改变原有网络拓扑结构支持云模式部署管理功能基础配置规则配置报表展示告警配置jxwaf(锦衣盾)由jxwaf与jxwaf管理中心组成:jxwaf : 基于openresty(nginx+lua)开发jxwaf管理中心:http://www.jxwaf.comjxwafCentos 7Openresty 1.11.2.4将代码下载到/tmp目录,运行jxwaf_install.sh文件,jxwaf将安装在/opt/jxwaf目录,具体如下:$ cd /tmp$ git clone https://github.com/jx-sec/jxwaf.git$ cd jxwaf$ sh install_waf.sh安装后显示如下即安装成功nginx: the configuration file /opt/jxwaf/nginx/conf/nginx.conf syntax is oknginx: configuration file /opt/jxwaf/nginx/conf/nginx.conf test is successful访问 http://www.jxwaf.com 并注册账号,在 WAF规则管理->查看官方规则组 页面按照自身需求加载规则,之后在 WAF规则配置->WAF全局配置 页面获取 “WAFAPIKEY”修改/opt/jxwaf/nginx/conf/jxwaf/jxwafconfig.json 中的”waf_api_key”为你自己账号的”WAF_API_KEY”$ /opt/jxwaf/nginx/sbin/nginx 启动openresty,openresty会在启动或者reload的时候自动到jxwaf管理中心拉取用户配置的最新规则JXWAF使用说明基于Openresty实现业务安全防护基于Openresty实现透明部署动态口令功能WAF开发之Cookie安全防护chenjc 安全工程师jiongrizi 前端开发工程师github 提交BUG题或需求QQ群 730947092邮箱 jx-sec@outlook.com目前开源版本已经可以正常使用,基础功能和官方基础规则均测试完成,可以满足中小企业基本的防护需求。但是功能还没有全部上线,还有一些功能没有从线下版本迁移到开源版本,现在仅上线了基础攻击防护,Cookie安全防护功能和语义分析功能。其他功能会陆续上线,进度取决于某前端能扣出来的时间,预计年内能全部搞完。以上是存量的功能,下面列些To do:通过规则配置实现机器学习数据清洗,特征获取,模型训练,简单说就是个轻量级的机器学习训练-应用平台,用户只需关注最核心的特征获取,其他”脏话累活”由平台解决,降低机器学习应用门槛。目前核心功能已开发完成,与现存其他功能整合中。命令执行,代码执行等语义分析库开发官方规则完善第三方安全应用接口整合业务安全防护场景开发报表报警功能完善云WAF系统开发Github地址:https://github.com/jx-sec/jxwafJXWAF管理中心:http://www.jxwaf.com/这个项目从最开始的构思到现在开发得七七八八,也差不多一年了。最开始搞这个项目,是因为在深度使用Modsecurity后,发现坑太多Hold不住,没办法我一搞渗透的也只能转行开发WAF了,然后因为职业病的原因,在写的时候特别对一些容易被绕过的地方重点关注,具体体现在代码的方方面面,这算是这款WAF的一个优点。接下来谈谈性能这块,目前测试的结果是在1ms以内,核心模块处理时间大概在0.001ms,得益于luajit技术,增加规则几乎没影响。并发的话,单台2G 1核虚拟机测试在5000上下,我这没资源,有兴趣可以测试配置好的实体机的性能,达到10K以上应该没问题。按照之前用Modsecurity的经验,单日PV一亿以下的就不用考虑啥性能问题了,没”富人命”就不用考虑”富人病”。至于并发大流量大的情况,可以上集群或者自研。简单总结下目标用户:一个人的安全部/没预算的安全部有WAF需求没WAF预算没安全人员的公司给内网/线上应用上二次验证功能有机器学习防护需求有业务安全防护需求盒子WAF扛不住,不想上云/无法上云有高定制规则/功能需求的公司看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注云编程开发博客行业资讯频道,感谢您对云编程开发博客的支持。

相关推荐: 怎样实现Apache Tomcat安全绕过漏洞复现

这篇文章给大家介绍怎样实现Apache Tomcat安全绕过漏洞复现,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。千里百科Apache Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

Like (0)
Donate 微信扫一扫 微信扫一扫
Previous 02/07 11:07
Next 02/07 11:46