独乐乐,不如众乐乐,分享给大家一篇WEB应用防火墙的文章,基于Lua+ Nginx实现。以下是ngx_lua_waf的作者全文输出。

Github地址:https://github.com/loveshell/ngx_lua_waf

ngx_lua_waf

ngx_lua_waf是我刚入职趣游时候开发的一个基于ngx_lua的web应用防火墙。

代码很简单,开发初衷主要是使用简单,高性能和轻量级。

现在开源出来,遵从MIT许可协议。其中包含我们的过滤规则。如果大家有什么建议和想fa,欢迎和我一起完善。

用途:

防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等

web攻击 防止svn/备份之类文件泄漏

防止ApacheBench之类压力测试工具的攻击

屏蔽常见的扫描黑客工具,扫描器

屏蔽异常的网络请求

屏蔽图片附件类目录php执行权限

防止webshell上传

推荐安装:

推荐使用lujit2.1做lua支持

ngx_lua如果是0.9.2以上版本,建议正则过滤函数改为ngx.re.find,匹配效率会提高三倍左右。

使用说明:

nginx安装路径假设为:/usr/local/nginx/conf/

把ngxluawaf下载到conf目录下,解压命名为waf

在nginx.conf的http段添加



  1. lua_package_path "/usr/local/nginx/conf/waf/?.lua";
    2. 

  2. lua_shared_dict limit 10m;
    3. 

  3. init_by_lua_file  /usr/local/nginx/conf/waf/init.lua; 
    4. 

  4. access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;


配置config.lua里的waf规则目录(一般在waf/conf/目录下)




  1. RulePath = "/usr/local/nginx/conf/waf/wafconf/"


绝对路径如有变动,需对应修改


然后重启nginx即可


配置文件详细说明:




  1. RulePath = "/usr/local/nginx/conf/waf/wafconf/"
    2. 

  2. --规则存放目录
    3. 

  3. attacklog = "off"
    4. 

  4. --是否开启攻击信息记录,需要配置logdir
    5. 

  5. logdir = "/usr/local/nginx/logs/hack/"
    6. 

  6. --log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限
    7. 

  7. UrlDeny="on"
    8. 

  8. --是否拦截url访问
    9. 

  9. Redirect="on"
    10. 

  10. --是否拦截后重定向
    11. 

  11. CookieMatch = "on"
    12. 

  12. --是否拦截cookie攻击
    13. 

  13. postMatch = "on" 
    14. 

  14. --是否拦截post攻击
    15. 

  15. whiteModule = "on" 
    16. 

  16. --是否开启URL白名单
    17. 

  17. black_fileExt={"php","jsp"}
    18. 

  18. --填写不允许上传文件后缀类型
    19. 

  19. ipWhitelist={"127.0.0.1"}
    20. 

  20. --ip白名单,多个ip用逗号分隔
    21. 

  21. ipBlocklist={"1.0.0.1"}
    22. 

  22. --ip黑名单,多个ip用逗号分隔
    23. 

  23. CCDeny="on"
    24. 

  24. --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
    25. 

  25. CCrate = "100/60"
    26. 

  26. --设置cc攻击频率,单位为秒.
    27. 

  27. --默认1分钟同一个IP只能请求同一个地址100次
    28. 

  28. html=[[Please go away~~]]
    29. 

  29. --警告内容,可在中括号内自定义
    30. 

  30. 备注:不要乱动双引号,区分大小写


检查规则是否生效


部署完毕可以尝试如下命令:




  1. curl http://xxxx/test.php?id=../etc/passwd
    2. 

  2. 返回"Please go away~~"字样,说明规则生效。


注意:默认,本机在白名单不过滤,可自行调整config.lua配置


效果图如下:






规则更新:


考虑到正则的缓存问题,动态规则会影响性能,所以暂没用共享内存字典和redis之类东西做动态管理。


规则更新可以把规则文件放置到其他服务器,通过crontab任务定时下载来更新规则,nginx reload即可生效。以保障ngx_lua_waf的高性能。


只记录过滤日志,不开启过滤,在代码里在check前面加上--注释即可,如果需要过滤,反之


一些说明:


过滤规则在wafconf下,可根据需求自行调整,每条规则需换行,或者用|分割




  1. args里面的规则get参数进行过滤的
    2. 

  2. url是只在get请求url过滤的规则     
    3. 

  3. post是只在post请求过滤的规则      
    4. 

  4. whitelist是白名单,里面的url匹配到不做过滤     
    5. 

  5. user-agent是对user-agent的过滤规则


默认开启了get和post过滤,需要开启cookie过滤的,编辑waf.lua取消部分--注释即可,日志文件名称格式如下:虚拟主机名_sec.log


附:笔者已在测试环境测试,你如果有兴趣的话也可以试用一下,这只是WEB应用防火墙的一个开源实现,还有实现方案仅可应用于实战中,如果你还不了解WAF的话,建议去google下,必有不小的收获。



												


											
基于lua-nginx-module(openresty)的WEB应用防火墙的更多相关文章
	

    
								
  1. 用lua nginx module搭建一个二维码
		
    用lua nginx module搭建一个二维码(qr code)生成器 作者 vinoca 發布於 2014年10月31日 如果有VPS,或者开源的路由器,安装一个nginx,添加lua-nginx ...
    
		
    2. 
						
  2. 基于lua+nginx的abtest系统
		
    指定一个参数 这个参数可以标识客户端唯一id的,比如用户id等 拿到这个id根据系统的hash算法会hash出一个bucket,目前支持的桶总数为10 根据后台设定的map关系(redis或配置文件) ...
    
		
    3. 
						
  3. 打破基于OpenResty的WEB安全防护(CVE-2018-9230)
		
    原文首发于安全客,原文链接:https://www.anquanke.com/post/id/103771 0x00 前言 ​ OpenResty® 是一个基于 Nginx 与 Lua 的高性能 We ...
    
		
    4. 
						
  4. 给lnmp一键包中的nginx安装openresty的lua扩展
		
    lnmp一键包(https://lnmp.org)本人在使用之后发现确实好用,能帮助我们快速搭建起lnmp.lamp和lnmpa的web生产环境,因此推荐大家可以多试试.但有的朋友可能需要使用open ...
    
		
    5. 
						
  5. 基于 orange(nginx+openresty) + docker 实现微服务 网关功能
		
    摘要 基于 orange(nginx+openresty) + docker 实现微服务 网关功能 ;以实现 docker 独立容器 来跑 独立语言独立环境 在 同一个授权下 运行相关组合程序..年初 ...
    
		
    6. 
						
  6. 使用NGINX+Openresty和unixhot_waf开源防火墙实现WAF功能
		
    使用NGINX+Openresty实现WAF功能 一.了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 .英文:Web Application Firewall,简称: ...
    
		
    7. 
						
  7. Nginx、OpenResty和Kong的基本概念与使用方法
		
    Nginx.OpenResty和Kong的基本概念与使用方法 2018年10月10日 22:46:08 李佶澳 阅读数 322更多 分类专栏: kubernetes   版权声明:本文为博主原创文章, ...
    
		
    8. 
						
  8. OpenResty高性能web平台
		
    openresty高性能web平台安装使用 简介:OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库.第三方模块以及大多数的依赖项.用 ...
    
		
    9. 
						
  9. Emiller's Advanced Topics In Nginx Module Development
		
    Emiller的Nginx模块开发指南 By Evan Miller DRAFT: August 13, 2009 (changes) 翻译:Kongch @2010年1月5日 0:04am -- 2 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 数据绑定(九)Binding的数据校验
			
    原文:数据绑定(九)Binding的数据校验 Binding用ValidationRules属性来校验数据的有效性,ValidationRules属性类型是Collection<Validati ...
    
			
    2. 
						
  2. XAML的命名空间
			
    原文:XAML的命名空间 一个最简单的XAML例子   <Window x:Class="WpfApplication1.MainWindow" xmlns="ht ...
    
			
    3. 
						
  3. 前端开发常用PhotoShop快捷键整理(更新中)
			
    图片来源 UI提供的psd图 印屏幕:PrScrn SysRq(键盘按键) 浏览器(插件)获取 常用的快捷键: 新建 Ctrl + N 取消选框 Ctrl + D 反选 Ctrl + shift +  ...
    
			
    4. 
						
  4. 深入理解Amazon Alexa Skill(三)
			
    本节来讨论Alexa Skill中涉及到的授权问题. Alexa内功能的授权 Alexa会发给skill用户的token,然后skill代码使用这个token来访问Web API访问用户的Alexa内 ...
    
			
    5. 
						
  5. ubuntu下建立golang的build脚本
			
    在不在os中设置gopath,goroot的情况下 建立build.sh文件,文件内容如下: export GOARCH="386"export GOBIN="/home ...
    
			
    6. 
						
  6. ArcGIS数据生产与精细化制图之中国年降水量分布图的制作
			
    原文:ArcGIS数据生产与精细化制图之中国年降水量分布图的制作 楼主按:在今年的Esri中国用户大会上,我听了几场关于ArcGIS用于制图方面的讲座,也在体验区与Esri中国的技术老师有一些交流.一 ...
    
			
    7. 
						
  7. 论文阅读计划2(Deep Joint Rain Detection and Removal from a Single Image)
			
    Deep Joint Rain Detection and Removal from a Single Image[1] 简介:多任务全卷积从单张图片中去除雨迹.本文在现有的模型上,开发了一种多任务深 ...
    
			
    8. 
						
  8. Delphi For Linux Compiler
			
    Embarcadero is about to release a new Delphi compiler for the Linux platform. Here are some of the k ...
    
			
    9. 
						
  9. BuildWinRTL.dproj 用这个重新编译就行
			
    BuildWinRTL.dproj 用这个重新编译就行 我每次安装新版本,都删掉了这两个函数 {$IFDEF DEBUG}exports  dbkFCallWrapperAddr,{$IF defin ...
    
			
    10. 
						
  10. URL重写  httpModules IIS7
			
    <system.web> <httpModules> <!--URL重写:IIS 及以下用次处配置--> <!--add name="MyHttpM ...
    
			
    11.