开源Rachel WAF应用防火墙安装及使用

Rachel WAF

Rachel WAF是一个专门为AWD而生的PHP防火墙,采用PHP+JS+CSS编写而成,单文件设计模式,无任何外部依赖,其特点有将原始请求包拼凑出来而实现的内网转发,基于putenv和ld_preload的命令执行保护,一个漂亮的前端以及流量重放功能.

功能介绍

易于配置(单文件, 无需加载外部js/css) 可以随时开启/关闭某项防御

基本防御

数据库注入(sql injection)

文件上传(upload)

上传类型过滤

文件包含(lfi)

flag关键字

PHP反序列化(unserialize)

命令执行(rce)

分布式拒绝服务攻击(ddos)

请求头,请求参数(GET/POST)关键字

特殊字符

IP白名单

IP黑名单

深度防御

响应检测/反向代理(默认将流量发送至本地服务器自检,可配置代理服务器IP及端口实现反代功能)

响应flag检测并返回虚假flag

基于open_basedir的PHP文件操作保护

基于LD_PRELOAD的指令执行保护

网页控制台

功能开关及配置

实时日志查看

日志流量重放, 可广播流量至指定网段

RCE/文件上传/深度检测 防御通知(由于chrome无法允许不安全的网站(无SSL证书)显示通知,请使用Firefox并修改about:config中dom.webnotifications.allowinsecure为true

WAF拦截消息对应配置项目

   'waf_headers': "拦截Header",
   'waf_whiteip': "IP白名单",
   'waf_blackip': "IP黑名单",
   'waf_ddos': "防止DDOS攻击",
   'waf_upload': "上传检测",
   'waf_special_char': "特殊字符检测",
   'waf_sql': "SQL语句检测",
   'waf_rce': "RCE检测",
   'waf_ldpreload': "LDPRELOAD检测",
   'waf_lfi': "LFI检测",
   'waf_unserialize': "序列化检测",
   'waf_flag': "FLAG检测",
   'response_content_match': "内容匹配（需要配置远端检测IP和端口）",
   'waf_debug': "调试模式",
   'waf_out_header': "修改头信息",
   'scheduled_killall': "每分钟自动关闭所有Web进程并清理Crontab",
   'waf_print_logo': "输出LOGO",
   "flag_path": "FLAG路径",
   "LDPRELOAD_PATH": "LDPRELOAD路径",
   "password_sha1": "密码",
   "open_basedir": "PHP配置OPEN_BASEDIR",
   "allow_ddos_time": "防止DDOS（单位时间内允许的最大请求数量）",
   "attack_time": "检测到攻击封禁时长（单位为:秒）",
   "ipaddress_allow": "允许访问应用的IP段（如:192.168.0.0/24,10.10.10.1-10.10.10.3）",
   "ipaddress_deny": "拒绝访问应用的IP段（如:192.168.0.0/24,10.10.10.1-10.10.10.3）",
   "waf_fake_flag": "FLAG检测配置值",
   "remote_ip": "远端检测IP",
   "remote_port": "远端检测端口",
   "max_log_size": "日志最大长度", 
   "upload_whitelist": "允许上传的文件后缀类型（支持正则）",
   "waf_special_char_blacklist": "禁止上请求的字符（支持正则）",
   "sql_blacklist": "禁止的SQL语句（支持正则）",
   "rce_blacklist": "RCE黑名单（支持正则）",
   "head_string": "被拦截时输出头信息",

安装及使用

在应用程序入口引入WAF.php文件即可使用

include_once 'WAF.php';

管理入口默认为: http://yourdomain/?WAF=ui

源码下载

https://gitee.com/hkingsoft_admin/rachel_waf