waf
使用Nginx+Lua实现自定义WAF(Web application firewall)
##版权声明 严重参考(照抄)https://github.com/loveshell/ngx_lua_waf
###需求产生 由于原生态的Nginx的一些安全防护功能有限,就研究能不能自己编写一个WAF,参考(照抄)Kindle大神的ngx_lua_waf,自己尝试写一个了,使用两天时间,边学Lua,边写。不过不是安全专业,只实现了一些比较简单的功能:
####功能列表:
- 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。
- 支持URL白名单,将不需要过滤的URL进行定义。
- 支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
- 支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。
- 支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
- 支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
- 支持URL参数过滤,原理同上。
- 支持日志记录,将所有拒绝的操作,记录到日志中去。
- 日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示。
####WAF实现 WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。所以本文中的WAF的实现由五个模块(配置模块、协议解析模块、规则模块、动作模块、错误处理模块)组成。
####Nginx + Lua部署
环境准备 [root@nginx-lua ~]# cd /usr/local/src 首先,现在Nginx安装必备的Nginx和PCRE软件包。
[root@nginx-lua src]# wget http://nginx.org/download/nginx-1.9.4.tar.gz [root@nginx-lua src]# wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.37.tar.gz
其次,下载当前最新的luajit和ngx_devel_kit (NDK),以及春哥(章)编写的lua-nginx-module
[root@nginx-lua src]# wget http://luajit.org/download/LuaJIT-2.0.4.tar.gz [root@nginx-lua src]# wget https://github.com/simpl/ngx_devel_kit/archive/v0.2.19.tar.gz [root@nginx-lua src]# wget https://github.com/openresty/lua-nginx-module/archive/v0.9.16.tar.gz
最后,创建Nginx运行的普通用户 [root@nginx-lua src]# useradd -s /sbin/nologin -M www
解压NDK和lua-nginx-module
[root@openstack-compute-node5 src]# tar zxvf v0.2.19 解压后为ngx_devel_kit-0.2.19 [root@openstack-compute-node5 src]# tar zxvf v0.9.10解压后为lua-nginx-module-0.9.16
安装LuaJIT Luajit是Lua即时编译器。
[root@openstack-compute-node5 src]# tar zxvf LuaJIT-2.0.3.tar.gz [root@openstack-compute-node5 src]# cd LuaJIT-2.0.3 [root@openstack-compute-node5 LuaJIT-2.0.3]# make && make install
安装Nginx并加载模块
[root@openstack-compute-node5 src]# tar zxvf nginx-1.9.4.tar.gz [root@openstack-compute-node5 src]# cd nginx-1.9.4 [root@openstack-compute-node5 nginx-1.9.4]# export LUAJIT_LIB=/usr/local/lib [root@openstack-compute-node5 nginx-1.9.4]# export LUAJIT_INC=/usr/local/include/luajit-2.0 [root@openstack-compute-node5 nginx-1.9.4]# ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-http_stub_status_module --with-file-aio --with-http_dav_module --add-module=../ngx_devel_kit-0.2.19/ --add-module=../lua-nginx-module-0.9.16/ --with-pcre=/usr/local/src/pcre-8.37 [root@openstack-compute-node5 nginx-1.5.12]# make -j2 && make install [root@openstack-compute-node5 ~]# ln -s /usr/local/lib/libluajit-5.1.so.2 /lib64/libluajit-5.1.so.2
如果不创建符号链接,可能出现以下异常: error while loading shared libraries: libluajit-5.1.so.2: cannot open shared object file: No such file or directory
#####测试安装 安装完毕后,下面可以测试安装了,修改nginx.conf 增加第一个配置。
location /hello { default_type 'text/plain'; content_by_lua 'ngx.say("hello,lua")'; } [root@openstack-compute-node5 ~]# /usr/local/nginx-1.9.4/sbin/nginx –t [root@openstack-compute-node5 ~]# /usr/local/nginx-1.9.4/sbin/nginx
然后访问http://xxx.xxx.xxx.xxx/hello 如果出现hello,lua。表示安装完成,然后就可以。
注意:也可以直接部署春哥的开源项目:https://github.com/openresty
OpenResty部署
安装依赖包 # yum install -y readline-devel pcre-devel openssl-devel # cd /usr/local/src 下载并编译安装openresty # wget https://openresty.org/download/ngx_openresty-1.9.3.2.tar.gz # tar zxf ngx_openresty-1.9.3.2.tar.gz # cd ngx_openresty-1.9.3.2 # ./configure --prefix=/usr/local/openresty-1.9.3.2 \ --with-luajit --with-http_stub_status_module \ --with-pcre --with-pcre-jit # gmake && gmake install # ln -s /usr/local/openresty-1.9.3.2/ /usr/local/openresty 测试openresty安装 # vim /usr/local/openresty/nginx/conf/nginx.conf server { location /hello { default_type text/html; content_by_lua_block { ngx.say("HelloWorld") } } } # /usr/local/openresty/nginx/sbin/nginx -t nginx: the configuration file /usr/local/openresty-1.9.3.2/nginx/conf/nginx.conf syntax is ok nginx: configuration file /usr/local/openresty-1.9.3.2/nginx/conf/nginx.conf test is successful # /usr/local/openresty/nginx/sbin/nginx Hello World # curl http://192.168.199.33/hello HelloWorld
####WAF部署
#git clone https://github.com/unixhot/waf.git #cp -a ./waf/waf /usr/local/openresty/nginx/conf/ 修改Nginx的配置文件,加入以下配置。注意路径,同时WAF日志默认存放在/tmp/日期_waf.log #WAF lua_shared_dict limit 50m; lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua"; init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua"; access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua"; [root@openstack-compute-node5 ~]# /usr/local/openresty/nginx/sbin/nginx –t [root@openstack-compute-node5 ~]# /usr/local/openresty/nginx/sbin/nginx
相关推荐
nginx-lua-waf 用法 自己构建镜像bilxio/nginx-lua-waf ,在nginx-lua-waf文件夹执行如下命令: docker build -t bilxio/nginx-lua-waf . 或者,直接拉它, docker pull bilxio/nginx-lua-waf 要运行映像并将...
使用Nginx+Lua实现自定义WAF(Web application firewall) 最近发现使用的人越来越多了,计划开始维护和增加新功能 2020.7.29 赵班长 项目背景介绍 需求产生 由于原生态的Nginx的一些安全防护功能有限,就研究能不能...
使用Nginx Lua实现的WAF
WEB应用防火墙 《Nginx+Lua在网络安全方面的应用》理财范 周为 - elasticsearch 威胁情报 应急响应 安全体系 恶意软件 数据安全
Centos 7 64 +[nginx+ngx_lua 模块] 支持WAF防护功能 可以作为喔
nginx-lua-waf:Nginx-Lua-WAF是一种基于Nginx的使用Lua语言开发的灵活高效的Web应用层防火墙
基于网上大牛的waf版本魔改了一下,宝塔也是用此防火墙..支持redis记录来访ip数据,更好查询记录, 需要安装openresty版本的nginx, 如何安装网上教程一大堆,自己去找吧..
WEB应用防火墙,利用nginx的组件nginx_lua的组件,利用Lua语言开发的一个防火墙,简单
OpenResty,OpenStar,waf+,云waf,nginx lua true 欢迎使用 {OpenStar}(WAF+),该项目是从实际需求中产生,经过多次的版本迭代,实属不易。感谢春哥,以及的神器() 注意:使用版本一定要大于 1.11.0 因为使用了ngx....
OpenResty 是一个强大的 Web 应用服务器,Web 开发人员可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,更主要的是在性能方面,OpenResty可以 快速构造出足以胜任 10K 以上并发连接响应的超高性能 Web ...
目录网盘文件永久链接 01.Nginx快速入门 02.Nginx常用模块 03.Nginx提供静态资源WEB服务 ...10Nginx+Lua-实战代码灰度发布实战-WAF防火墙 11.Nginx性能优化与压测工具 12.Nginx常见问题 13.Nginx架构总结 资料
这个程序是基于 nginx lua module . 运行平台是 linux freebsd 的 nginx 。。 WIN 的 你可以用个 linux 的 nginx 做反向代理 保护后面的服务。 Belial 目前包含的模块有 : GET 、 POST 、 COOKIE SQL注入防御、...
原文连接:...说明:部署包包含 nginx V1.16.0 luajit V2.2.1(最新版) v0.3.1(最新版) v0.10.14rc5 注意:部署包存在兼容问题,这里是我经过验证后的最新稳定版本。
lua_use_default_type lua_code_cache lua_regex_cache_max_entries header_filter_by_lua ngx.headers_sent
通过基于反向代理的内容分发网络(CDN, Content Delivery Network)、任播(Anycast)技术 [1]、基于nginx+lua架构的Web应用防火墙(WAF, Web Application Firewall) [2]及分布式域名解析服务(Distributed Domain Name ...
lua-resty-waf:基于OpenResty堆栈的高性能WAF
它实现了高级防火墙(waf),访问统计信息和其他一些功能。 它增强了Nginx的功能,并提供了友好的Web界面。用户名/密码: verynginx / verynginx 完整的配置指南可以在以下网站找到: 。Nginx运行状态分析每秒请求...
ngx_lua_waf是一个基于ngx_lua的web应用防火墙。代码很简单,开发初衷主要是使用简单,高性能和轻量级。下面我们来看看如何在为nginx安装waf模块
人工智能-hadoop