De Apache-module mod_webfw2 werkt als een eenvoudige web application firewall: je definieert één of meerdere regels op het inkomend HTTP-verkeer. Inkomende gegevens worden vergeleken met alle regels en indien er een match is, wordt de bijbehorende actie uitgevoerd. Als je de configuratie wijzigt, detecteert mod_webfw2 dit, zodat je de webserver niet hoeft te herstarten om de nieuwe regels in te lezen.

Filteren

Uiteraard kan mod_webfw2 filteren op het bron- en doeladres, maar ook op parameters zoals de opgevraagde URI, het protocol en zelfs de canonieke bestandsnaam, bijvoorbeeld /var/www/htdocs/index.html. Vergelijken kan rechtstreeks met een vaste waarde of met een reguliere expressie. Een regel kan ook een 'flow' hebben die verschillende tests combineert met behulp van logische operators, bijvoorbeeld om bepaalde bronadressen te whitelisten.

Acties

Uiteindelijk geef je in een regel ook een actie op die wordt uitgevoerd bij een match. Je kunt bijvoorbeeld toegang weigeren en verdere verwerking van de regels stoppen ("deny"), maar ook de toegang toestaan en verdere verwerking stoppen ("permit"). Daarnaast kun je matchen en verdergaan met de verwerking ("pass"), om de match vervolgens naar Trasher door te sturen ("trash"). Dat laatste is een programma dat pakketten vertraagt of laat vallen als de totale verbruikte bandbreedte te hoog wordt.

Combinatie

Mod_webfw2 en Trasher hebben niet de pretentie om uitgebreide web application firewalls zoals mod_security te vervangen. Heb je complexere eisen, dan loont het dus de moeite om die laatste in te zetten, wat zelfs perfect kan in combinatie met mod_webfw2.

Bron: Techworld