前言 **ModSecurity是一个开源的跨平台Web应用程序防火墙（WAF）引擎，用于Apache，IIS和Nginx，由Trustwave的SpiderLabs开发。作为WAF产品，ModSecurity专门关注HTTP流量，当发出HTTP请求时，ModSecurity检查请求的所有部分，如果请求是恶意的，它会被阻止和记录。** 优势：

完美兼容nginx，是nginx官方推荐的WAF

支持OWASP规则

3.0版本比老版本更新更快，更加稳定，并且得到了nginx、Inc和Trustwave等团队的积极支持

免费

ModSecurity的功能：

SQL Injection (SQLi)：阻止SQL注入

Cross Site Scripting (XSS)：阻止跨站脚本攻击

Local File Inclusion (LFI)：阻止利用本地文件包含漏洞进行攻击

Remote File Inclusione(RFI)：阻止利用远程文件包含漏洞进行攻击

Remote Code Execution (RCE)：阻止利用远程命令执行漏洞进行攻击

PHP Code Injectiod：阻止PHP代码注入

HTTP Protocol Violations：阻止违反HTTP协议的恶意访问

HTTPoxy：阻止利用远程代理感染漏洞进行攻击

Shellshock：阻止利用Shellshock漏洞进行攻击

Session Fixation：阻止利用Session会话ID不变的漏洞进行攻击

Scanner Detection：阻止黑客扫描网站

Metadata/Error Leakages：阻止源代码/错误信息泄露

Project Honey Pot Blacklist：蜜罐项目黑名单

GeoIP Country Blocking：根据判断IP地址归属地来进行IP阻断

劣势：

不支持检查响应体的规则，如果配置中包含这些规则，则会被忽略，nginx的的sub_filter指令可以用来检查状语从句：重写响应数据，OWASP中相关规则是95X。

不支持OWASP核心规则集DDoS规则REQUEST-912-DOS- PROTECTION.conf,nginx本身支持配置DDoS限制

不支持在审计日志中包含请求和响应主体

总结： ModSecurity是一个Web应用防火墙（WAF）。当前已经有超过70％的攻击发生在网络应用层，各级组织急需要能够保证他们的系统安全性的帮助。WAF系统的部署，可以为web应用增加一个外部安全层来检测或防止攻击。针对一系列的攻击,ModSecurity为web应用提供了强大的保护，并对HTTP流量进行监测和实时分析，这些都只是很少或是根本没有影响系统的基础设施。 ## **安装ModSecurity插件的步骤** 第一步添加插件，并点击安装ModSecurity应用 添加配置 这里有一个变量是必须配置的（BACKEND=[http://localhost:80](http://localhost:80)）,这里需要更改IP和端口，否则插件无法生效。如果开通插件的时候发生服务异常，首先排查其他插件是否可用，如果可用，那就是ModSecurity插件的变量名过长，那也有一些变量是在平台上加入不了的，因为平台限制了变量名的长度，我们可以创建一个Dockerfile以ENV的方式写在文件里面，构建出来之后直接拿到平台上使用镜像。 根据自己的设置添加防火墙端口，并开放对外访问 到插件页面找到ModSecurity点击“开通 开通插件之后需要点击更新，等待服务更新成功  ### **ModSecurity变量值设置** 官方镜像介绍地址：https://hub.docker.com/r/owasp/modsecurity-crs