Docker安装OpenWAF

最新推荐文章于 2024-05-23 03:06:47 发布
最新推荐文章于 2024-05-23 03:06:47 发布
阅读量421 收藏
点赞数
分类专栏: Linux Docker 运维 文章标签: docker 容器 运维 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_yonga/article/details/132606577
版权
Linux 同时被 3 个专栏收录
30 篇文章 1 订阅
订阅专栏
运维
15 篇文章 0 订阅
订阅专栏
Docker
7 篇文章 0 订阅
订阅专栏

Docker安装OpenWAF

官方GitHub地址

介绍

OpenWAF(Web Application Firewall)是一个开源的Web应用防火墙,用于保护Web应用程序免受各种网络攻击。它通过与Web服务器集成,监控和过滤对Web应用程序的流量,识别和阻止潜在的攻击和恶意行为。

OpenWAF拥有一系列强大的安全功能,旨在提供全面的保护,包括以下方面:

  1. 攻击防护:OpenWAF能够检测和阻止常见的Web攻击,如跨站脚本(XSS)、SQL注入、命令注入、跨站请求伪造(CSRF)和路径遍历等。它分析输入和输出的数据,通过识别恶意的请求和特定的攻击模式来防止攻击的发生。

  2. 访问控制:OpenWAF可以根据配置的规则对流量进行筛选和控制,允许合法的请求通过,并阻止潜在的恶意请求。你可以设置IP白名单和黑名单,限制特定的访问来源或阻止已知的恶意IP地址。

  3. 会话保护:通过OpenWAF,你可以保护Web应用程序的会话机制,防止会话劫持和会话固定攻击。它可以验证会话的合法性、检测异常活动并阻止恶意的会话操作。

  4. 热点防护:OpenWAF可以对网站中的热点资源进行保护,防止因频繁请求而导致的资源滥用和服务不可用。它可以限制特定资源的访问频率,并对异常的访问行为进行监测和阻止。

  5. 日志和监控:OpenWAF提供了日志记录和监控功能,记录每个请求的详细信息,包括访问来源、请求的URL、攻击尝试和阻止的恶意行为等。通过分析日志数据,可以及时发现潜在的安全隐患和异常行为。

OpenWAF作为开源项目,具有灵活性和可定制性,你可以根据自己的需要对其进行配置和扩展。它与常见的Web服务器(如Nginx和Apache)兼容,并提供了丰富的插件和扩展库,以满足不同的安全需求。

总的来说,OpenWAF是保护Web应用程序安全的重要工具,可以帮助你减少潜在的攻击威胁,保护用户数据的安全性。如果你运营着一个Web应用程序,并且关注安全性,不妨考虑使用OpenWAF来增加你的应用程序的防护能力。

希望这个简介能给你对OpenWAF有一个初步的了解。如果你还有其他问题,我随时都能为你提供帮助!保护你的Web应用程序,让黑客无从下手!

新建文件挂载目录

# 新建配置目录
mkdir /opt/openwaf/conf
# 新建日志目录
mkdir /opt/openwaf/log

拉取OpenWAF镜像

docker pull titansec/openwaf

image-20230829094948396

创建OpenWAF配置文件

创建Nginx配置文件

vim /opt/openwaf/conf/ngx_openwaf.conf;

粘贴下面内容

user root;
worker_processes auto;
worker_cpu_affinity auto;
pid /var/run/openwaf.pid;
pcre_jit on;
error_log /var/log/openwaf_error.log;

events {
    worker_connections  10000;
    multi_accept on;
}

http {
    include            /usr/local/openresty/nginx/conf/mime.types;
    include            /opt/OpenWAF/conf/twaf_main.conf;
    include            /opt/OpenWAF/conf/twaf_api.conf;
    
    default_type       text/html;
    tcp_nopush         on;
    sendfile           on;
    keepalive_requests 100;
    keepalive_timeout  60 60;
    
    client_body_buffer_size 100m;
    lua_regex_match_limit   1500;
    
    proxy_redirect     http://$http_host/ /;
    proxy_pass_header  Server;
    
    upstream test {
       server 0.0.0.1; #just an invalid address as a place holder
       balancer_by_lua_file /opt/OpenWAF/app/twaf_balancer.lua;
       keepalive 16;
    }
    
    server {
        listen  80;
        listen [::]:80 ipv6only=on;
        
        listen 443 ssl;
        listen [::]:443 ssl ipv6only=on;
        
        server_name _;
        
        ssl_certificate /opt/OpenWAF/conf/ssl/nginx.crt;
        ssl_certificate_key /opt/OpenWAF/conf/ssl/nginx.key;
        ssl_protocols TLSv1.1 TLSv1.2;
        
        include                     /opt/OpenWAF/conf/twaf_server.conf;
        ssl_certificate_by_lua_file /opt/OpenWAF/app/twaf_ssl_cert.lua;
        
        location / {
            proxy_set_header Accept-Encoding identity;
            proxy_set_header Host $http_host;
            proxy_set_header X-Server-IP $server_addr;
            proxy_set_header X-Server-PORT $server_port;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Real-PORT $remote_port;
            proxy_set_header X-Forwarded-For $http_x_forwarded_for;
            proxy_set_header Connection $connection_upgrade;
            proxy_set_header Upgrade $http_upgrade;
            
            proxy_http_version 1.1;
            proxy_pass $twaf_upstream_server;
        }
    }
}

创建规则配置文件

vim /opt/openwaf/conf/twaf_access_rule.json;

粘贴下面内容

{
    "twaf_access_rule": {
        "state": true,
        "log_state":true,
        "rules":[
            {
                "host":"^.*$",
                "forward":"test",
                "forward_addr":"1.1.1.1",
                "uuid":"test_uuid1",
                "policy": "twaf_policy_conf"
            },
            {
                "host":"qj.com",
                "port":81,
                "path":"/admin/",
                "forward":"test",
                "forward_addr": "1.1.1.2",
                "forward_port": 82,
                "uuid":"test_uuid2",
                "policy": "twaf_policy_conf"
            },
            {
                "host":"jq.com",
                "ngx_ssl": true,
                "ngx_ssl_cert": "/opt/OpenWAF/conf/ssl/nginx.crt",
                "ngx_ssl_key": "/opt/OpenWAF/conf/ssl/nginx.key",
                "forward":"test",
                "forward_addr": "1.1.1.3",
                "uuid":"test_uuid3",
                "policy": "twaf_policy_conf"
            }
        ]
    }
}

创建日志文件

touch /opt/openwaf/log/openwaf_error.log

查看文件是否创建成功

image-20230829100241671

启动OpenWAF容器

docker run -d --name openwaf \
               -p 80:80 -p 443:443 \
               -v /opt/openwaf/conf/ngx_openwaf.conf:/etc/ngx_openwaf.conf \
               -v /opt/openwaf/conf/twaf_access_rule.json:/opt/OpenWAF/conf/twaf_access_rule.json \
               -v /opt/openwaf/log/openwaf_error.log:/var/log/openwaf_error.log \
               titansec/openwaf
  1. 挂载配置文件和日志
    将配置文件保留在宿主机中,更新 OpenWAF只需更新Docker镜像即可
    1.1 挂载nginx配置文件
    如,事先将ngx_openwaf.conf放在宿主机 /opt/openwaf/conf/ 目录下,然后启动 docker 容器时添加参数如下:
    -v /opt/openwaf/conf/ngx_openwaf.conf:/etc/ngx_openwaf.conf
    1.2 挂载twaf_access_rule.json接入规则配置文件
    如,事先将twaf_access_rule.json放在宿主机 /opt/openwaf/conf/ 目录下,然后启动 docker 容器时添加参数如下:
    -v /opt/openwaf/conf/twaf_access_rule.json:/opt/OpenWAF/conf/twaf_access_rule.json
    1.3 挂载 nginx 错误日志
    -v /opt/openwaf/log/openwaf_error.log:/var/log/openwaf_error.log
  2. 修改宿主机中的配置文件后,执行 docker restart openwaf(容器名称) 即可

访问 ip

image-20230829102636564

image-20230829150903959

一个小浪吴啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
docker-waf, 基于 Nginx 和ModSecurity的Docker 网络应用防火墙.zip
09-17
docker-waf, 基于 Nginx 和ModSecurity的Docker 网络应用防火墙 在使用ModSecurity和 Nginx 构建的Web应用程序防火墙( WAF )的情况下,保护 Docker 容器的安全性一个人绝对不能太偏心于在线安全,因为有很多原因。 缺省情况下,容器通常被认为是更安全的,因为它们大大减少了给定应
docker-waf:适用于Docker的基于NGINX和ModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurity和NGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其支持基础架构的攻击面。 但是,这并不意味着不应对安全的容器保持警惕。 除了遵循减轻容器安全风险的安全实践外,使用容器的安全实践还应使用边缘安全性来保护容器。 部署到容器中的大多数应用程序都以某种方式通过暴露的端口连接到Internet。 传统上,应用程序是由诸如统一威胁管理(UTM)之类的边缘设备保护的,该设备可提供包括应用程序保护在内的一系列保护服务。 尽管容器的性质
使用docker搭建Web应用防护系统或web防火墙(OpenWAF)
没刮胡子的程序员专栏
08-24 1980
OpenWAF是一个全方位开源的Web应用防护系统(WAF),提供全面的防护功能和多样的防护策略。他基于nginx_lua API分析HTTP请求信息。OpenWAF由行为分析引擎和规则引擎两大功能引擎构成。其中规则引擎主要对单个请求进行分析,行为分析引擎主要负责跨请求信息追踪。
CentOS7雷池WAF基于Docker搭建部署_centos 部署waf
2401_84103512的博客
05-23 711
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击长亭科技耗时近 10 年倾情打造的 WAF采用容器化部署,一条命令即可完成安装,0 成本上手安全配置开箱即用,无需人工维护,可实现安全躺平式管理。
docker上面部署nginx-waf 防火墙“modsecurity”,使用CRS规则,搭建WEB应用防火墙
2301_76429513的博客
08-13 668
web防火墙(waf)免费开源的比较少,并且真正可以商用的WAF少之又少,modsecurity 是开源防火墙鼻祖并且有正规公司在维护着,目前是https://www.trustwave.com在维护,不幸的是2024 年 7 月将不再维护交还开源社区管理,Trustwave目前打造自己的web防火墙,至于是否免费开源就不得而知了。ModSecurity目前依然是开源,免费的WAF一哥,我们就先用着吧,商业WAF费用太贵。
docker-nginx-lua-waf:基于 Nginx + Lua 技术栈的 WAF
07-22
nginx-lua-waf 用法 自己构建镜像bilxio/nginx-lua-waf ,在nginx-lua-waf文件夹执行如下命令: docker build -t bilxio/nginx-lua-waf . 或者,直接拉它, docker pull bilxio/nginx-lua-waf 要运行映像并将端口 8080 转发到“10.10.10.9:80”: docker run -d -p 8080:80 -e PROXY_REDIRECT_IP=10.10.10.9 \ bilxio/nginx-lua-waf 配置 复制并修改 src/waf/config.lua。 通过-v param 将修改后的配置挂载到容器 例如: cp src/waf/config.lua /tmp/config.lua docker run -d -p 8080:80 -e PR
docker安装mysql8.0.33
01-02
docker安装mysql8.0.33:包含修改加密规则及修改时区等
docker安装依赖包
04-25
安装 Docker 时,确保系统满足一定的依赖条件是至关重要的,因为这些依赖包能够使 Docker 在您的操作系统上稳定运行。以下是对 Docker 安装依赖包的详细说明: 1. **系统需求**:首先,检查您的系统是否支持 ...
Docker 安装ZLMediaKit 的安装
12-18
基于C++11开发,避免使用裸指针,代码稳定可靠,性能优越。 ... 使用多路复用/多线程/异步网络IO模式开发,并发性能优越,支持海量客户端连接。 代码经过长期大量的稳定性、性能测试,已经在线上商用验证已久。...
docker安装docker安装
最新发布
06-18
docker安装docker安装 docker安装docker安装 docker安装docker安装
docker安装.rar
05-22
docker安装
docker-nginx-waf:Nginx反向代理与ModSecurity Web应用程序防火墙,SSL终止(certbot)和brotli压缩
04-12
vlche / nginx-waf 泊坞窗高山基于容器提供与 , 压缩和certbot为的SSL证书自动续订。 您可以将其用作多合一服务,也可以用作SSL / Load-Balancer前端和WAF后端/后端。 其他预配置的选项包括: 优化的中间ssl设置。 Mozilla建议几乎所有系统使用具有各种客户端的通用服务器。 证书来自certbot生成的Lets加密,由单独的容器自动续订,挂钩已预先配置为重新加载nginx-waf容器 Brotli的默认预配置选项为:动态压缩,级别6 标头包括并启用了预配置的优化的HTTP标头,但是您当然应该知道自己在做什么! 使用默认配置启动nginx-waf: docker run --name nginx-waf \ --restart=always \ --net=host \ -e TZ=Europe/Berlin \ -
docker-naxsi-waf-with-ui:基于Ubuntu的Naxsi Web应用程序防火墙
05-05
docker-naxsi-waf-with-ui 关于尖端分公司 运行最新版本的 ,能够使用Elasticseach的搜索/聚合功能和Kibana的可视化功能来分析数据集 该docker映像旨在测试和了解nxapi / nxtool,这是用于naxsi日志的新警报工具,尝试执行以下操作: 事件导入:将naxsi事件导入到elasticsearch数据库中 白名单生成:从模板而不是从纯粹的统计方面生成白名单 事件管理:允许将事件标记到数据库中以将其从wl gen进程中排除 报告:显示有关当前数据库内容的信息 该映像是使用和 master分支从源代码构建的。 要求 设置 安装安装 。 克隆此存储库 编辑泊坞窗,compose.yml并设置BACKEND_IP以将由naxsi保护,服务器(可选) KIBANA_PASSWORD如果你想保护访问仪表板。 用户是kibana 用法 使用d
OpenWAF:基于openresty的Web安全保护系统
02-03
名称 OpenWAF 第一个全面的开放源Web Web安全保护系统,比其他系统提供更多保护。 目录 版 本文档介绍了2020年2月21日发布的OpenWAFv1.0.0β。 2020年2月25日, 和已升级到1.0.0_beta版本。 概要 #nginx.conf lua_package_path '/twaf/?.lua;;' ; init_by_lua_file /twaf/app/twaf_init.lua; lua_shared_dict twaf_shm 50m ; upstream test { server 0.0.0.1 ; #just an invalid address as a place holder balancer_by_lua_file twaf_balancer.lua; } server { listen 443 ssl; server_name _; ss
使用 Docker 部署 的WAF: 雷池社区版
知白的博客
01-19 2361
Web应用防火墙(WAF)是保护网站不受恶意攻击的关键组件。 使用 Docker 部署雷池社区版,可以大大简化安全管理工作。
CentOS7雷池WAF基于Docker搭建部署
QuJJan的博客
01-17 1769
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击长亭科技耗时近 10 年倾情打造的 WAF采用容器化部署,一条命令即可完成安装,0 成本上手安全配置开箱即用,无需人工维护,可实现安全躺平式管理。
CentOS7雷池WAF基于Docker搭建部署_centos 部署waf(2),2024年最新带你全面理解View的绘制流程
2401_84160325的博客
04-09 1063
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击长亭科技耗时近 10 年倾情打造的 WAF采用容器化部署,一条命令即可完成安装,0 成本上手安全配置开箱即用,无需人工维护,可实现安全躺平式管理。
WAF-bypass:一款功能强大的Web应用防火墙安全测试工具
Innocence_0的博客
09-11 763
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
OpenWAF配置本地资源访问
AstarCloud
09-04 312
OpenWAF(Web Application Firewall)是一个开源的Web应用防火墙,用于保护Web应用程序免受各种网络攻击。它通过与Web服务器集成,监控和过滤对Web应用程序的流量,识别和阻止潜在的攻击和恶意行为。:OpenWAF能够检测和阻止常见的Web攻击,如跨站脚本(XSS)、SQL注入、命令注入、跨站请求伪造(CSRF)和路径遍历等。它分析输入和输出的数据,通过识别恶意的请求和特定的攻击模式来防止攻击的发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个小浪吴啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值