マジセミドライブ
ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。
おすすめITセミナー資料
2022.09.15
【ツール紹介】無料オープンソース「 WAF 」(Web Application Firewall)まとめ3選
無料オープンソース「 WAF 」(Web Application Firewall)まとめ3選として、
以下の概要を紹介しています。
1⃣nginx向けWAF「Naxsi」
2⃣Apache+IIS+Nginx用WAFエンジン「ModSecurity」
3⃣リクエストインターセプトWAF「Shadow Daemon」
※「AWSを安心安全に利用する方法」に関するセミナー資料(32ページ)を無料で参照できます。
コンテンツ
無料オープンソース「 WAF (Web Application Firewall) 」まとめ3選
1⃣nginx向けWAF「Naxsi」
概要
「Naxsi」(Nginx Anti Xss & Sql Injection)は、
オープンソースWebサーバ「nginx」向けの低ルールメンテナンス「WAF」です。
・nginxのサードパーティモジュールとして動作
・UNIXライクプラットフォーム用パッケージとして利用可能
・Webサイトの脆弱性に関連する既知パターンの99%を含むサブセットを読み取る
特徴
■ホワイトリスト登録
・ホワイトリストに登録するための特定ルール追加
・nginxのエラーログを分析してホワイトリストを手動追加
・Webサイト動作に関するホワイトリストルールを自動的に生成する自動学習フェーズ
■「DROP-by-default」ファイアウォール
・ターゲットWebサイトが適切に機能するために必要なACCEPTルール追加
■非シグネチャベース
・アンチウイルスのようなシグネチャベースに依存しない
・「未知の攻撃パターン」の回避は難しい
オフィシャルサイト
2⃣Apache+IIS+Nginx用WAFエンジン「ModSecurity」
概要
「ModSecurity」は、オープンソースのクロスプラットフォームWAF エンジンです。
「Apache」「IIS」「Nginx」で動作します。
特徴
・Webアプリケーションに対するさまざまな攻撃からの保護を提供
・HTTPトラフィック監視機能
・ロギング機能
・リアルタイム分析機能
・堅牢なイベントベースのプログラミング言語
・「ModSecurity SecRules」形式で記述されたルールをロード/解釈
・コネクタを介してアプリケーションによって提供
・HTTPコンテンツに適用する機能を提供
オフィシャルサイト
→github.com →SpiderLabs/ModSecurity
3⃣リクエストインターセプトWAF「Shadow Daemon」
概要
「Shadow Daemon」は、アプリケーションレベルでリクエストをインターセプトするWebアプリケーションファイアウォールです。
特徴
■使いやすさ
・簡単インストール
・明確かつ構造化されたWebインターフェース
・攻撃を詳細に調査可能
■リクエストインターセプト
・アプリケーションレベルで小さなコネクタを使用してリクエストをインターセプト
・「分析されたデータ」と「Webアプリケーションの入力データ」が同一であることを保証
■正確な検出
・ブラックリスト:正規表現を利用して既知の攻撃パターンを検索
・ホワイトリスト:ユーザー入力の不規則性を検索
・整合性チェック:「実行されたスクリプトの暗号化チェックサム」と「事前定義された値」を比較
・これらを組み合わせることで、Web アプリケーションに対するほぼすべての攻撃を検出
・誤検出率は非常に低い
■攻撃検出
・SQLインジェクション
・XMLインジェクション
・コードインジェクション
・コマンドインジェクション
・クロスサイトスクリプティング
・ローカル/リモートファイルの包含
・バックドアアクセス
■リクエストの危険な部分のみを除去
・「悪意のあるリクエスト」を完全にはブロックしない
・リクエストの危険な部分のみを除去し処理を続行
■安全なアーキテクチャ
・Webアプリケーションが受信するのとまったく同じ入力を受信
・攻撃難読化による検出回避はほぼ不可能
・セキュリティ基準を保証するために「Shadow Daemon」のコア部分はWebアプリから分離
オフィシャルサイト
→shadowd.zecure.org →overview →introduction
関連セミナー紹介「AWSを安心安全に利用する方法」
セミナータイトル
AWS Direct Connectの費用が高い、接続が遅い、セキュリティが不安なときの対処法
AWSを安心・安全に利用するために
開催日
2022/06/28(火)
セミナー資料
資料タイトル
AWS Direct Connectの費用が高い、接続が遅い、
セキュリティが不安なときの対処法
~AWSを安心・安全に利用するために~
資料ページ数
32ページ
資料イメージ
資料アジェンダ
■~AWSを安心・安全に利用するために~
■①AWSへのアクセスの課題対策
・AWSへのアクセスの課題
・AWSへの接続方法
・AWS Direct Connect
■SASE(Cato Cloud)で解決
・AWSへのアクセスはCato Cloudで解決
・Cato CloudSASE(サシー)
・Cato Cloud構成例
・世界初の「SASE」プラットフォーム
■②AWS構築時の課題対策
・AWS構築時の課題
・AWSのセキュリティリスク
■AWSセキュリティ設定診断で解決
・AWSセキュリティ設定診断
・AWSセキュリティ設定診断サービス内容
■③AWS WAFの課題対策
・AWS WAFの課題
・AWS WAF 最新状況
・AWS WAF設定/運用の実態
■Imperva Cloud WAFで解決
・Imperva Cloud WAF+MSS
・Imperva Cloud WAF+MSSまとめ
■④AWS運用の課題対策
・AWS運用の課題
■AWS運用サービスで解決
・AWS運用サービス
・AWS運用サービスのポイント
・AWS運用サービスプランメニュー
「セミナー資料ダウンロード」はこちらから(無料)
最後に
今後も毎日のように、多くのIT関連セミナーが開催されます。
ご自分のビジネスを強化できるセミナーを見つけて、ぜひ参加してみてください!
関連ページ
参考サイト
→sunnyvalley.io →「The Best Open Source Web Application Firewalls」
→linuxlinks.com →「4 Best Free and Open Source Web Application Firewalls」
→digitaldrona.com →「8 Best Open Source Web Application Firewall」
この記事のタグ一覧
フリーワード検索
カテゴリー一覧
アクセスランキング
- 🏆ランク1位🏆
【AIツール実験室】楽曲作成ツール「 Suno AI 」〜AI生成ミュージックフェス〜 - 🏆ランク2位🏆
【無料で使える】「 翻訳 」ツールまとめ - 🏆ランク3位🏆
【OSS情報】ネイティブGraphQLデータベース「 Dgraph 」 - 🏆ランク4位🏆
【無料オープンソース】「 リモートアクセス 」ツールまとめ5選 - 🏆ランク5位🏆
【無料で使える】「 暗号化 」ツールまとめ - 🏆ランク6位🏆
【OSS情報アーカイブ】Infinispan - 🏆ランク7位🏆
【ChatGPTプラグイン探訪】「 Code Interpreter 」〜ファイル入出力+Pythonコード自動生成実行〜 - 🏆ランク8位🏆
【OSS情報アーカイブ】SonarQube - 🏆ランク9位🏆
【OSS情報アーカイブ】Rust - 🏆ランク10位🏆
【OSS情報】LaTeX代替エディタ「 Typst 」