如何使用mod_security作爲獨立的？

Question

我在Mod_Security的包中看到了名爲standalone的模塊;但是我不確定如何在製作和安裝後使用它！ 有什麼好的啓動資源？

Answer 1

它似乎不可能;依據是什麼ModSecurity的網站上說，它的操作模式：

反向代理是有效的HTTP路由器，設計 Web服務器和客戶端之間的站。當您安裝專用的Apache反向代理 並向其添加ModSecurity時，您將獲得一個 「正確」的網絡Web應用程序防火牆，您可以使用它來保護同一網絡上的任意數量的Web服務器。許多安全從業人員更喜歡具有單獨的安全層。有了它，您可以從您正在保護的系統中完全隔離 。在 性能方面，獨立的ModSecurity將擁有專用的資源 ，這意味着您可以做更多（即， 有更復雜的規則）。這種方法的主要缺點是 是新的故障點，這需要通過兩個或多個反向代理的高可用性設置來解決。

他們正在考慮通過創建專用主機來分離內部主機。

工作;但在技術上不是standalone。

我又提出了一個bug，它是由菲利普Zimmerle證實：

獨立是一個包裝到Apache內部，它允許將要執行的ModSecurity。該包裝仍然需要Apache片斷。這是事實，你可以使用單機版雖然擴展應用程序，你會需要一些阿帕奇件

Answer 2

正如你所提到的ModSecurity是添加到現有的Web服務器 - 作爲Apache模塊最初（因此名稱），但現在也可用於Nginx和IIS。

你可以在嵌入模式下運行它（即作爲你的主要Web服務器的一部分），或者在反向代理模式下運行它（基本上是相同的，但你設置了一個單獨的web服務器並運行它，然後通過它來引導所有流量）。

說實在的，我從來沒有在反向代理方法中找到太多的觀點。我想這確實意味着你可以在不支持的Web服務器上使用它（例如，如果你不使用Apache，Nginx和IIS），它會減少你的主要Web服務器的負載，但除此之外它看起來像一個額外的步驟和基礎設施沒有真正的收益。有些人可能更喜歡在幾臺Web服務器前進行ModSecurity檢查，但我會爭論你是否有多臺Web服務器，然後可能出於性能和彈性的原因，爲什麼不把ModSecurity擴展到這個級別，而不是創建一個單點故障可能是它前面的一個瓶頸。只有其他的原因是應用會話級別規則（例如，如果人們正在更改會話id），最終可能會在不同的Web服務器之間傳播，但是我從來沒有確信這些規則很棒。

當我建立ModSecurity時，我得到一個mod_security2。所以圖書館正在建設，但沒有單獨的獨立文件（S），所以我認爲你只是從源頭狩獵（我看到一個獨立的）看到這一點？我只是說因爲源文件中存在「獨立」文件夾並不能保證它可以作爲完全獨立的獨立文件運行。

我會問你爲什麼要把它作爲一個獨立的應用程序運行，即使你可以？ Web服務器中有很多功能，這取決於ModSecurity，它是爲網絡安全而編寫的，而不是網絡安全和 Web服務器所做的其他所有事情（例如快速，理解HTTP協議，gzip和ungzip .. .etc），不必要地延伸ModSecurity需要處理的事情。那麼爲什麼不使用Web服務器來處理這個問題，並讓ModSecurity做它擅長的功能？

如果你正在使用ModSecurity，那麼我猜你有Web應用程序（可能與Web服務器），所以爲什麼不使用它呢？

最後是否有任何問題通過Apache（或Nginx或IIS）安裝？這是免費的軟件，很好的支持和易於設置。

我想最終我不明白你的問題的原因。有沒有你想要解決的特定問題，還是這只是好奇心？