谈kangle 访问控制

《谈kangle 访问控制》由会员分享，可在线阅读，更多相关《谈kangle 访问控制（4页珍藏版）》请在装配图网上搜索。

1、相信很多人都熟悉iptables。kangle的访问控制理念来自linux的iptables防火墙,kangle拥有功能最小化的匹配模块和标 记模块，通过组合，反转等可以实现用户最复杂的需求；最小化的匹配模块和标记模块犹如最小块的积木，独具匠心的玩家，总是能用小积木搭建出 千变万化的造形。kangle web服务器（简称：kangle）是一款跨平台、功能强大、安全稳定、易操作的高性能 web服务器和反向代理服务器软件。除此：kangle也是一款专为做虚拟主机研发的web服 务器。实现虚拟主机独立进程、独立身份运行。用户之间安全隔离，一个用户出问题不影响 其他用户。安全支持php、asp、jav

2、a、ruby等多种动态开发语言。Kangle 官网：Kangle的访问控制分为请求控制和回应控制。请求控制在最前面，用户发送请求过来时即进行请求控制。回应控制发生在数据发送给用户之前，即进行回应控制。Kangle 详细数据流向图请查看：每个控制由一张或多张表加一个默认目标组成，其中BEGIN表是系统内建表，所有控制从BEGIN开始。每张表可以定义若干条“链”，在一张表中控制按顺序从上到下对规则链进行匹配。规则链由一个目标和任意个匹配模块和任意个标记模块组成。在表中，用户可以按需要随意添加、删除、编辑或反转规则链。在”请求控制”内有一个系统表：BEGIN表”。在回应控制”内有两个系统表BEGIN

3、表和POSTMAP表。“POSTMAP表”完成url到物理文件的映射。用户使用POSTMAP表”，需要自行创建。 例如：对文件进行管理。禁止文件被下载（日志文件不允许被下载）等kangle如果发现用户的请求匹配了一个规则链中的匹配模块，则进入标记模块对请求做简单的处理，之后就按该条规则链指定的目标处理。如果目标是继续，则还要进行下一条规则 链处理，否则就返回控制，按控制“目标”进行处理。如果目标是“继续”则还要进行下一条规则链的处理。如果目标是“默认”，则控制按默认目标处理（默认目标有：拒绝、回写数据、服务器、虚拟 主机等）。如果目标是“拒绝”则将对用户的请求拒绝并发送错误信息给用户，之后中断

4、连接。如果目标是“虚拟主机”，则将对用户请求使用虚拟主机处理。如果目标是“服务器”，则用户使用的是反代。如果目标是“回写数据”，则将对用户的请求拒绝，并发送管理员设定的原始数据给用户。的表：anti-s ql-inject1-$11-1112:*|用 1、1你丄1 壬i込 平.須号目标匹配欖块标记鑽块命中次数|1 除修A0拒纶para*=Ivalue:*. ； ?(or)|(insert)|(select)|(union)|(update)|(delete)|(replace)|(create)|(drop)|(alter)|(grant)|(load)|(shov)|(exec)s(2115

5、711SXT坍号目标匹K标记慑块倫中次敷UNIWK修改【掘入】0S:anti-sql-inject7218797隊】修改】析入】i表；deny ip table7358295【隊修改擂入2rec_path=foru. php reg paraa=aod=post182修改H插入】:虎拟主机862528修改】梅入】4废拟主机|14481!改】【極入】5廉务 S:kf serverpath=/$5398872修改【猶入】8服务 fi:kf serverr eg pat hVxxkf root/|341649(WAJ内建表：BEGINBEGMgl用1【除】曲空跌名】Kangle访问控制设计的优点Ka

6、ngle的访问控制提供了非常开放的用户自定义规则的功能。用户完全可以按需求定制规 则。Web网页管理，用户无需登录服务器就可以进行操作。功能模块的灵活组合，满足用户的各种需求，甚至可以作防攻击系统。例如防CC攻击、防 sql注入攻击、防XSS跨站攻击等Kangle访问控制模块说明请求控制的匹配模块模块名称作用域模块说明url请求控制和回应控制匹配用户url网址。网址可以使用正则表达式。reg path请求控制和回应控制匹配路径。可以使用正则表达式匹配路径。reg param请求控制和回应控制可用正则表达式进行url参数匹配path请求控制和回应控制匹配路径dst port请求控制和回应控制匹配

7、目标端口meth请求控制和回应控制匹配http请求方法（如get、post ）file ext请求控制和回应控制匹配一个或多个文件扩展名host请求控制和回应控制匹配一个或多个主机头wide host请求控制和回应控制泛域名匹配map_host请求控制和回应控制匹配一个或多个主机头。与“host”的区别：map_host是以文件形式来存放 主机头进行匹配header请求控制和回应控制匹配http头self请求控制和回应控制匹配当前连接的服务器ipsefl port请求控制和回应控制匹配当前连接的服务器端口src请求控制匹配源地址（ip或者ip段）time请求控制匹配当前时间，格式为：cront

8、abssl serial请求控制匹配证书序列号auth user请求控制匹配http论证的用户referer请求控制url来源请求控制的标记模块模块名称作用域模块说明speedimit请求控制限速标记gspeedimit请求控制分组限速flag请求控制对用户请求作不缓存、不过滤内容及不防cc攻击 标记rewrite请求控制url重写redirect请求控制url重定向auth请求控制http认证host rewrite请求控制主机重写回应控制的匹配模块模块名称作用域模块说明url请求控制和回应控制匹配用户url网址。网址可以使用正则表达式。reg path请求控制和回应控制匹配路径。可以使用正

9、则表达式匹配路径。reg param请求控制和回应控制可用正则表达式进行参数匹配path请求控制和回应控制匹配路径dst port请求控制和回应控制匹配目标端口meth请求控制和回应控制匹配http请求方法（如get、post ）file ext请求控制和回应控制匹配一个或多个文件扩展名host请求控制和回应控制匹配一个或多个主机头wide host请求控制和回应控制泛域名匹配map_host请求控制和回应控制匹配一个或多个主机头。与“host”的区别：map_host是以文件形式来存放 主机头进行匹配header请求控制和回应控制匹配http头self请求控制和回应控制匹配当前连接的服务器i

10、psefl port请求控制和回应控制匹配当前连接的服务器端口file回应控制匹配一个或多个文件filename回应控制匹配一个或多个文件名dir回应控制匹配多个目录下的文件。按目录匹配reg file回应控制匹配一个或多个文件。可用正则表达式表示。reg filename回应控制匹配一个或多个文件名。可用正则表达式表示。content length回应控制配置内容大小回应控制的标记模块模块名称作用域模块说明cache control回应控制缓存标记content回应控制内容过滤（可以使用正则表达式进行内容过滤）response flag回应控制对回应给用户的请求作标记add header回应控制增加自定义头灵活使用访问控制功能模块实现的功能“一步实现反向代理的操作说明：Kangle 和 iis 共享 80 端口： 作反向代理服务器的操作说明：Kangle 支持域名绑定至H子目录下： 内容过滤（过滤一个或多个关健字）： 内容过滤（内附如何过滤灰鸽子）：