独乐乐,不如众乐乐,分享给大家一篇WEB应用防火墙的文章,基于Lua+ Nginx实现。以下是ngx_lua_waf的作者全文输出。

Github地址:https://github.com/loveshell/ngx_lua_waf

ngx_lua_waf

ngx_lua_waf是我刚入职趣游时候开发的一个基于ngx_lua的web应用防火墙。

代码很简单,开发初衷主要是使用简单,高性能和轻量级。

现在开源出来,遵从MIT许可协议。其中包含我们的过滤规则。如果大家有什么建议和想fa,欢迎和我一起完善。

用途:

防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等

web攻击 防止svn/备份之类文件泄漏

防止ApacheBench之类压力测试工具的攻击

屏蔽常见的扫描黑客工具,扫描器

屏蔽异常的网络请求

屏蔽图片附件类目录php执行权限

防止webshell上传

推荐安装:

推荐使用lujit2.1做lua支持

ngx_lua如果是0.9.2以上版本,建议正则过滤函数改为ngx.re.find,匹配效率会提高三倍左右。

使用说明:

nginx安装路径假设为:/usr/local/nginx/conf/

把ngxluawaf下载到conf目录下,解压命名为waf

在nginx.conf的http段添加



  1. lua_package_path "/usr/local/nginx/conf/waf/?.lua";
    2. 

  2. lua_shared_dict limit 10m;
    3. 

  3. init_by_lua_file  /usr/local/nginx/conf/waf/init.lua; 
    4. 

  4. access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;


配置config.lua里的waf规则目录(一般在waf/conf/目录下)




  1. RulePath = "/usr/local/nginx/conf/waf/wafconf/"


绝对路径如有变动,需对应修改


然后重启nginx即可


配置文件详细说明:




  1. RulePath = "/usr/local/nginx/conf/waf/wafconf/"
    2. 

  2. --规则存放目录
    3. 

  3. attacklog = "off"
    4. 

  4. --是否开启攻击信息记录,需要配置logdir
    5. 

  5. logdir = "/usr/local/nginx/logs/hack/"
    6. 

  6. --log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限
    7. 

  7. UrlDeny="on"
    8. 

  8. --是否拦截url访问
    9. 

  9. Redirect="on"
    10. 

  10. --是否拦截后重定向
    11. 

  11. CookieMatch = "on"
    12. 

  12. --是否拦截cookie攻击
    13. 

  13. postMatch = "on" 
    14. 

  14. --是否拦截post攻击
    15. 

  15. whiteModule = "on" 
    16. 

  16. --是否开启URL白名单
    17. 

  17. black_fileExt={"php","jsp"}
    18. 

  18. --填写不允许上传文件后缀类型
    19. 

  19. ipWhitelist={"127.0.0.1"}
    20. 

  20. --ip白名单,多个ip用逗号分隔
    21. 

  21. ipBlocklist={"1.0.0.1"}
    22. 

  22. --ip黑名单,多个ip用逗号分隔
    23. 

  23. CCDeny="on"
    24. 

  24. --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
    25. 

  25. CCrate = "100/60"
    26. 

  26. --设置cc攻击频率,单位为秒.
    27. 

  27. --默认1分钟同一个IP只能请求同一个地址100次
    28. 

  28. html=[[Please go away~~]]
    29. 

  29. --警告内容,可在中括号内自定义
    30. 

  30. 备注:不要乱动双引号,区分大小写


检查规则是否生效


部署完毕可以尝试如下命令:




  1. curl http://xxxx/test.php?id=../etc/passwd
    2. 

  2. 返回"Please go away~~"字样,说明规则生效。


注意:默认,本机在白名单不过滤,可自行调整config.lua配置


效果图如下:






规则更新:


考虑到正则的缓存问题,动态规则会影响性能,所以暂没用共享内存字典和redis之类东西做动态管理。


规则更新可以把规则文件放置到其他服务器,通过crontab任务定时下载来更新规则,nginx reload即可生效。以保障ngx_lua_waf的高性能。


只记录过滤日志,不开启过滤,在代码里在check前面加上--注释即可,如果需要过滤,反之


一些说明:


过滤规则在wafconf下,可根据需求自行调整,每条规则需换行,或者用|分割




  1. args里面的规则get参数进行过滤的
    2. 

  2. url是只在get请求url过滤的规则     
    3. 

  3. post是只在post请求过滤的规则      
    4. 

  4. whitelist是白名单,里面的url匹配到不做过滤     
    5. 

  5. user-agent是对user-agent的过滤规则


默认开启了get和post过滤,需要开启cookie过滤的,编辑waf.lua取消部分--注释即可,日志文件名称格式如下:虚拟主机名_sec.log


附:笔者已在测试环境测试,你如果有兴趣的话也可以试用一下,这只是WEB应用防火墙的一个开源实现,还有实现方案仅可应用于实战中,如果你还不了解WAF的话,建议去google下,必有不小的收获。



												


											
基于lua-nginx-module(openresty)的WEB应用防火墙的更多相关文章
	

    
								
  1. 用lua nginx module搭建一个二维码
		
    用lua nginx module搭建一个二维码(qr code)生成器 作者 vinoca 發布於 2014年10月31日 如果有VPS,或者开源的路由器,安装一个nginx,添加lua-nginx ...
    
		
    2. 
						
  2. 基于lua+nginx的abtest系统
		
    指定一个参数 这个参数可以标识客户端唯一id的,比如用户id等 拿到这个id根据系统的hash算法会hash出一个bucket,目前支持的桶总数为10 根据后台设定的map关系(redis或配置文件) ...
    
		
    3. 
						
  3. 打破基于OpenResty的WEB安全防护(CVE-2018-9230)
		
    原文首发于安全客,原文链接:https://www.anquanke.com/post/id/103771 0x00 前言 ​ OpenResty® 是一个基于 Nginx 与 Lua 的高性能 We ...
    
		
    4. 
						
  4. 给lnmp一键包中的nginx安装openresty的lua扩展
		
    lnmp一键包(https://lnmp.org)本人在使用之后发现确实好用,能帮助我们快速搭建起lnmp.lamp和lnmpa的web生产环境,因此推荐大家可以多试试.但有的朋友可能需要使用open ...
    
		
    5. 
						
  5. 基于 orange(nginx+openresty) + docker 实现微服务 网关功能
		
    摘要 基于 orange(nginx+openresty) + docker 实现微服务 网关功能 ;以实现 docker 独立容器 来跑 独立语言独立环境 在 同一个授权下 运行相关组合程序..年初 ...
    
		
    6. 
						
  6. 使用NGINX+Openresty和unixhot_waf开源防火墙实现WAF功能
		
    使用NGINX+Openresty实现WAF功能 一.了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 .英文:Web Application Firewall,简称: ...
    
		
    7. 
						
  7. Nginx、OpenResty和Kong的基本概念与使用方法
		
    Nginx.OpenResty和Kong的基本概念与使用方法 2018年10月10日 22:46:08 李佶澳 阅读数 322更多 分类专栏: kubernetes   版权声明:本文为博主原创文章, ...
    
		
    8. 
						
  8. OpenResty高性能web平台
		
    openresty高性能web平台安装使用 简介:OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库.第三方模块以及大多数的依赖项.用 ...
    
		
    9. 
						
  9. Emiller's Advanced Topics In Nginx Module Development
		
    Emiller的Nginx模块开发指南 By Evan Miller DRAFT: August 13, 2009 (changes) 翻译:Kongch @2010年1月5日 0:04am -- 2 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. C++和QML混合的QT程序调试方法
			
    以前调试只是QML或者只是C++的QT程序很简单,断点打上,直接debug按钮一点,喝一口水,自然就停在断点了. 这次遇到C++和QML混合的程序,把CONFIG+=declarative_debug ...
    
			
    2. 
						
  2. Win8Metro(C#)数字图像处理--2.3图像反色
			
    原文:Win8Metro(C#)数字图像处理--2.3图像反色 [函数名称] 图像反色函数ContraryProcess(WriteableBitmap src) [算法说明]     反色公式如下: ...
    
			
    3. 
						
  3. WPF判断两个PNG图片是否碰撞
			
    这个方法有几个前提 1.两个Image必须在一个Canvas中 2.两个Image的Canvas.Top和Canvas.Left必须赋值 上一篇讲了判断一个PNG图片某个点是否透明 这个基本类似的方法 ...
    
			
    4. 
						
  4. mysql自动化安装脚本(二进制安装)
			
    为了日后安装数据库方便,遂写了一个自动安装MySQL的脚本: 测试可以安装mariadb和MySQL-5.7.X 安装前配置好对应的my.cnf文件放在/tmp路径下 将启动脚本mysql3306放在 ...
    
			
    5. 
						
  5. C#图片灰度处理(位深度24→位深度8),用灰度数组byte[]新建一个8位灰度图像Bitmap 。
			
    原文:C#图片灰度处理(位深度24→位深度8) #region 灰度处理 /// <summary> /// 将源图像灰度化,并转化为8位灰度图像. /// </summary> ...
    
			
    6. 
						
  6. Android零基础入门第87节:Fragment添加、删除、替换
			
    前面一起学习了Fragment的创建和加载,以及其生命周期方法,那么接下来进一步来学习Fragment的具体使用,本期先来学习Fragment添加.删除.替换. 一.概述 在前面的学习中,特别是动态加 ...
    
			
    7. 
						
  7. ASP.NET MVC控制器Controller
			
    控制器的定义 MVC模式下的控制器(Controller)主要负责响应用户的输入,并且在响应时可能的修改模型(Model). 之前的URL访问,通常是通过指定服务器的路径来实现,如访问URL:http ...
    
			
    8. 
						
  8. C语言的setlocale和localtime函数(C++也可用)
			
    Example 1234567891011121314151617181920212223242526272829303132 /* setlocale example */ #include < ...
    
			
    9. 
						
  9. 配置QtCreator+CDB远程调试环境(用到了符号表) good
			
    相关环境信息:开发机Win7 x64.远程机器WinXP.调试器是CDB.Qt版本5.2.1 一.部署远程机器环境 我这里用的是虚拟机(Windows XP),根据你要调试的程序选择安装不同架构的Wi ...
    
			
    10. 
						
  10. SIP:用Riverbank的SIP创建C++库的Python模块(把自己的C++库包装成Python模块)
			
    我们发现PyQt做的Python版的PyQt是如此好用,如果想把自己的C++库包装成Python模块该如何实现呢? 这里介绍下用SIP包装C++库时值得参考的功能实现: 需要Python模块中实现C+ ...
    
			
    11.