如何在云服务上快速拥有洛甲WAF(Web防火墙)

洛甲WAF是基于openresty的web防火墙,通过配合后台保护您的数据安全,详情参考节点服务器 luojiawaf_lua(nginx+lua)

Web防火墙能做什么

Web防火墙可以让您更清楚的知道你的服务器运行情况,可以让您的服务器更安全

如何快速在云机上部署洛甲WAF

当下通用的部署方法通常将域名解析到云上的负载均衡,再由负载均衡将连接转发到我们的云服务器上,我们无法直观的了解到哪个请求比如/api/login请求了多少次,平均请求耗时多少ms,是否需要立即进行数据优化、我们也不知道当下受到攻击否,哪个IP再疯狂的刷我们的接口数据,是否要对其进行封禁、还有新加的服务器必须通过负载进行添加,造成云造号必须要给权限出去等。

现在,我们在云服务器内部署洛甲WAF,将负载均衡解析到洛甲上,然后再通过洛甲将流量转发到指定的服务器上,它提供了API请求的请求数及耗时情况,我们就可以对服务有个直观的概念,哪一个地方要做好调优。它提供了服务器内的配置服务,就可以避免在云上直接操作负载均衡。它提供了有效的策略防护,在自动防SQL注入的同时,可以配置指定IP的限流,配置指定uri的限流。

开始部署

洛甲由节点服务器 luojiawaf_lua(nginx+lua)做前台的api请求转发和中控服务器后端 luajiawaf_server(django)做数据的收集统计及相关功能的开启关闭。

代码及环境工具准备

安装docker

curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun

或者

curl -sSL https://get.daocloud.io/docker | sh 

或者

curl -sSL http://acs-public-mirror.oss-cn-hangzhou.aliyuncs.com/docker-engine/internet| sh -

安装docker-compose

python3 -m pip install --upgrade pip

pip config set global.index-url http://mirrors.aliyun.com/pypi/simple

pip config set install.trusted-host mirrors.aliyun.com

pip3 install docker-compose

安装git并clone代码

apt-get install git

mkdir /source && cd /source

git clone https://gitee.com/tickbh/luojiawaf_lua

git clone https://gitee.com/tickbh/luojiawaf_server

部署依赖仅依赖REDIS数据库

  • 云上部署,即直接在云上购买数据库Redis版,得到相应的账号密码和设置安全组略
  • 自建Redis这里用的是docker版部署方式
cd /source/luojiawaf_server/compose/redis

创建docker网络,做为与后台网络互通

docker network create luojia-network

这里放着一个对本地监听的6479无密码的redis compose直接运行

docker-compose up -d

检查是否启动成功如下则表示成功

netstat -ano | grep 6479

tcp        0      0 127.0.0.1:6479          0.0.0.0:*               LISTEN      off (0.00/0/0)

修改配置文件

修改server的配置文件

cd /source/luojiawaf_server

cp common/config.yaml config_local.yaml

若你的redis地址不是默认的,请如下修改成对应的

sed -in-place -e 's/redis_back_db/替换的redis地址如redis.xx/g' config_local.yaml

sed -in-place -e 's/6479/替换默认的redis端口如6379/g' config_local.yaml

sed -in-place -e 's/luojia/替换默认的redis密码/g' config_local.yaml

修改openresty的配置

cd /source/luojiawaf_lua/compose

cp luojia.json luojia_local.json

若你的redis地址不是默认的,请如下修改成对应的

sed -in-place -e 's/redis_back_db/替换的redis地址如redis.xx/g' luojia_local.json

sed -in-place -e 's/6479/替换默认的redis端口如6379/g' luojia_local.json

sed -in-place -e 's/luojia/替换默认的redis密码/g' luojia_local.json

启动服务

启动server

解压缩后台前端

apt-get install unzip

cd /source/luojiawaf_server && cp luojia_web_publish.zip ../ && cd .. && unzip luojia_web_publish.zip -x

cd /source/luojiawaf_server/compose/full

docker-compose up -d

判断是否成功有监听则表示成功

netstat -an | grep "6988\|6987"

tcp        0      0 0.0.0.0:6988            0.0.0.0:*               LISTEN

tcp6       0      0 :::6988                 :::*                    LISTEN

启动openresty

cd /source/luojiawaf_lua/compose

docker-compose up -d

判断是否成功有监听则表示成功

netstat -an | grep "80\|443"

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN

配置服务

用你的ip加6987端口来访问洛甲后台进行配置,默认用户是luojia/luojia

先配置高防列表,在数据配置/配置高防列表里进行配置

再配置负载均衡,在数据配置/配置负载均衡里进行配置

Host填*则表示任意网址进行都进行转发,填网址则表示对应的网址才进行转发

IP则填入后台服务器的地址,端口则填入相对应的端口,默认80

这里用http://httpbin.org/来做示范

通过ping httpbin.org得到他的ip地址52.200.117.68

这时候我们在服务器上运行

curl http://127.0.0.1/get?show_env

如果得到以下返回则表示成功

{

  "args": {

    "show_env": ""

  },

  "headers": {

    "Accept": "*/*",

    "Host": "127.0.0.1",

    "User-Agent": "curl/7.74.0",

    "X-Amzn-Trace-Id": "Root=1-63ede542-1c25208e20860c337ca6c16f",

    "X-Forwarded-For": "172.19.0.1, ****",

    "X-Forwarded-Port": "80",

    "X-Forwarded-Proto": "http",

    "X-Nginx-Proxy": "true",

    "X-Real-Ip": "172.19.0.1"

  },

  "origin": "172.19.0.1, ****",

  "url": "http://127.0.0.1/get?show_env"

}

到这里基本的服务已经打通



其它功能

请求数据管理里面的有常用的辅助功能

获取在线IP可以获取最近3分钟内访问的所有IP列表,访问记录可以看到这IP请求的api请求

禁止的IP列表表示被封禁的IP

请求耗时列表获取所有的api的总耗时,请求总数,平均耗时

获取错误列表可以快速的帮您定位到因为服务器内部错误的api请求

配置CC规则

数据配置/配置参数列表里进行配置

limit_ip:all 值 为 aaa/bbbb 均为数字, aaa表示桶数, bbbb超出桶延时请求的最大数

limit_uri:all 值 为 aaa/bbbb 均为数字, aaa表示桶数, bbbb超出桶延时请求的最大数

limit_ip:ip 对单IP进行限制 为 aaa/bbbb 均为数字, aaa表示桶数, bbbb超出桶延时请求的最大数

limit_uri:ip 对单IP进行限制 为 aaa/bbbb 均为数字, aaa表示桶数, bbbb超出桶延时请求的最大数

not_wait_forbidden_ratio 默认为0.9, 规则判断错序的比例

not_wait_forbidden_min_len 默认为20, 规则判断错序最小值

min_all_visit_times 默认为20, 规则判定总访问次数的起点值

max_visit_idx_num 默认为2, 排序最高的前两台占比

max_visit_ratio 默认为0.85, 即前2条访问量占总比值的比例

default_forbidden_time 默认为600即10分钟, 禁用ip的默认时长

white_ip_check 白名单检查 on 为开启

forbidden_ip_check IP禁止检查 on 为开启

limit_ip_check IP限制检查 on 为开启

limit_uri_check uri限制检查 on 为开启

white_url_check 白url检查 on 为开启

post_attack_check post参数攻击请求on 为开启

url_args_attack urls参数攻击请求on 为开启

default_ip_times_timeout 默认记录访问次数时长

random_record_value 随机记录的值, 100%则填10000

按实际情况进行相应的配置,至此您已经拥有一台完整的WAF了,对于普通项目只需要一台ECS做辅助就够了

项目相关

如果有帮到你的话,可以帮项目的作者加个STAR,希望项目越来越好,传送门由节点服务器 luojiawaf_lua(nginx+lua)中控服务器后端 luajiawaf_server(django)

如何在云服务上快速拥有洛甲WAF(Web防火墙)的更多相关文章

  1. [转]在 Azure 云服务上设计大规模服务的最佳实践

    本文转自:http://technet.microsoft.com/zh-cn/magazine/jj717232.aspx 英文版:http://msdn.microsoft.com/library ...

  2. 15分钟在阿里云Kubernetes服务上快速建立Jenkins X Platform并运用GitOps管理应用发布

    本文主要介绍如何在阿里云容器服务Kubernetes上快速安装部署Jenkins X Platform并结合demo实践演示GitOps的操作流程. 注意:本文中使用的jx工具.cloud-envir ...

  3. 解决 slf4j + log4j 在云服务上打印乱码

    由于云服务器的环境是纯英文的 虽然在eclipse中可以打印日志显示中文,但是实用putty的时候查看却是乱码,下载日志也同样是乱码 那么只要设置utf-8即可

  4. 如何在Azure上创建和部署云服务

    Azure 管理门户提供两种方法可用来创建和部署一个云服务:快速创建和自定义创建. 本主题说明如何使用快速创建方法来创建新的云服务,然后使用上传来上载和部署一套在 Azure 的云服务.当您使用此方法 ...

  5. IDC预测2020云服务逆势增长!云服务器已成上云首选

    IDC预测2020云服务逆势增长!云服务器已成上云首选 据IDC最新预测指出,2020年IT基础设施支出今年将增长约4%,达到2370亿美元,驱动力主要来源于云服务. 受疫情的影响,不少企业开源节流, ...

  6. FPGA加速:面向数据中心和云服务的探索和实践

    欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由columneditor 发表于云+社区专栏 作者介绍:章恒--腾讯云FPGA专家,目前在腾讯架构平台部负责FPGA云的研发工作,探索 ...

  7. 英特尔内存革新助平安云 Redis 云服务降本增效

    英特尔内存革新助平安云 Redis 云服务降本增效 英特尔 傲腾 数据中心级持久内存的引入,为平安云的降本增效开启了一条新的道路.通过对平安云 Redis 数据库产品的支持,用户能享受到性能优异且价格 ...

  8. 联万物,+智能,为行业,华为云升级OceanConnect IoT全栈云服务

    [中国,上海,2019年9月19日] 9月18日,在HUAWEI CONNECT 2019期间,华为云CTO张宇昕在华为云峰会上升级OceanConnect IoT全栈云服务,发布包括端.边.管.云. ...

  9. 阿里云主机上安装jdk

    今天继续安装jdk到阿里云服务上,大家要看一下阿里云是32位还是64位的,如果是32位下载32位的包,如果是64位的下载64位的包 我的就是64位的,开始我还不知道是怎么区分32/64位的,原来X64 ...

  10. 利用VisualVM监测Azure云服务中的Java应用

    在做Java开发的时候,我们需要在上线之前对程序进行压力测试,对程序的性能进行全面的监控,了解JVM的CPU,内存,GC,classes,线程等等信息,或者在程序上线运行的过程当中以便于诊断问题或者对 ...

随机推荐

  1. Kali Sublist3r 报错解决办法

    直接将Sublist3r.py中文件的内容替换为下面的即可 具体的更改的东西改了很多地方就不细说了,直接复制粘贴 如果遇到Error: Virustotal probably now is block ...

  2. Prometheus-3:一文详解promQL

    读前提示: 本文字数较多且紧凑,最好预留15min一次性看完,好营养,易吸收. promQL详解 Prometheus提供了内置的数据查询语言PromQL(全称为Prometheus Query La ...

  3. 五分钟了解MES与MOM的区别和联系

    大家好,我是Edison. 上一篇,我们通过了解了MES系统的发展历程和标准体系.本篇,我们来快速了解一下近年来吵得很热的MOM是什么鬼,它和MES到底有什么区别和联系. MES是什么 MES (Ma ...

  4. 【阅读笔记】超分之LANR-NLM算法

    论文信息 [Single Image Super-Resolution via Locally Regularized Anchored Neighborhood Regression and Non ...

  5. PlayWright(二十二)- allure插件(一)

    在上文中,我们介绍并使用了pytest-html插件,总之并不复杂,但是今天我们要讲一个比pytest-html插件强很多的插件allure报告,我们要掌握他并且灵活使用,之后的框架就不需要考虑其他的 ...

  6. Vue错误:Cannot read properties of undefined (reading '$router')

    解决方案 这是由于this的指向有问题,我们只需要重新声明一下this就可以重新调用了

  7. 王道oj/problem20

    网址:oj.lgwenda.com/problem/20 思路:层次建树,用递归的方法前序遍历 代码: #define _CRT_SECURE_NO_WARNINGS#include <stdi ...

  8. [Python]树基础

    关于树 树是一种数据结构,由n个有限节点组成的一个具有层次关系的集合.二叉树则是每个节点最多有两个子树的树结构.二叉树一般有以下性质: 二叉树第k层上的节点数目最多为 \(2^{k-1}\) 深度为 ...

  9. docker安装phpmyadmin

    下载docker镜像 docker pull phpmyadmin/phpmyadmin 创建容器 # 假设MySQL服务器的地址为:192.168.0.10,端口3306 # 通过3360端口访问p ...

  10. MindSponge分子动力学模拟——安装与使用(2023.08)

    技术背景 昇思MindSpore是由华为主导的一个,面向全场景构建最佳昇腾匹配.支持多处理器架构的开放AI框架.MindSpore不仅仅是软件层面的工具,更重要的是可以协同华为自研的昇腾Ascend平 ...