Nginx+lua后续添加waf支持

最新推荐文章于 2023-12-09 18:10:37 发布
最新推荐文章于 2023-12-09 18:10:37 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: nginx 运维 网络安全 文章标签: lua nginx 运维 WAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27156945/article/details/125232497
版权
运维 同时被 3 个专栏收录
14 篇文章 1 订阅
订阅专栏
nginx
6 篇文章 0 订阅
订阅专栏
网络安全
1 篇文章 0 订阅
订阅专栏

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

Nginx+lua后续添加waf支持

前言

近期公司测试环境的应用经常被扫描出来有一些安全漏洞,然而测试环境的入口是一个暴露在公网的nginx,这样的话没有安全防护措施,还是比较危险的。
这次通过给nginx加上waf插件来实现web安全防护。

一、waf是什么?

Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

二、安装使用

1.前提

安装nginx + lua 的环境,安装教程可以参考我之前的一篇文章[nginx 中添加 lua 模块,支持lua脚本以及遇到的坑]

2.开始安装

本次使用ngx_lua_waf 模块来给nginx添加waf的支持。
ngx_lua_waf的相关信息可以点击ngx_lua_waf查看。
ngx_lua_waf的开发者也提供了一键安装脚本包括(nginx + lua + waf),克隆其项目后,执行install.sh就可以了。不过脚本很久没有维护了,比较老,可以自行更改一些参数后再运行。

1.下载并解压ngx_lua_waf
cd /usr/local/nginx-1.22.0/conf
wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip --no-check-certificate
unzip master.zip
mkdir waf
mv ngx_lua_waf-master/* waf/
rm -rf ngx_lua_waf-master

在这里插入图片描述

2. 创建攻击日志目录hack并授予权限
cd /usr/local/nginx-1.22.0/logs
mkdir hack
chmod -R 775 hack

在这里插入图片描述

3. 修改waf的相关配置

ngx_lua_waf的配置文件名称为 config.lua
因为我服务器上安装的nginx版本比较多,所以目录加了版本区分,我这次的nginx目录为/usr/local/nginx-1.22.0
所以waf配置修改如下:

vim /usr/local/nginx-1.22.0/conf/waf/config.lua

在这里插入图片描述
其他相关配置信息如下:

	RulePath = "/usr/local/nginx/conf/waf/wafconf/"
    --规则存放目录
    attacklog = "off"
    --是否开启攻击信息记录,需要配置logdir
    logdir = "/usr/local/nginx/logs/hack/"
    --log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限
    UrlDeny="on"
    --是否拦截url访问
    Redirect="on"
    --是否拦截后重定向
    CookieMatch = "on"
    --是否拦截cookie攻击
    postMatch = "on" 
    --是否拦截post攻击
    whiteModule = "on" 
    --是否开启URL白名单
    black_fileExt={"php","jsp"}
    --填写不允许上传文件后缀类型
    ipWhitelist={"127.0.0.1"}
    --ip白名单,多个ip用逗号分隔
    ipBlocklist={"1.0.0.1"}
    --ip黑名单,多个ip用逗号分隔
    CCDeny="on"
    --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
    CCrate = "100/60"
    --设置cc攻击频率,单位为秒.
    --默认1分钟同一个IP只能请求同一个地址100次
    html=[[Please go away~~]]
    --警告内容,可在中括号内自定义
    备注:不要乱动双引号,区分大小写
4. 修改nginx.conf 配置

在nginx.conf的http段添加

	lua_package_path "/usr/local/nginx-1.22.0/conf/waf/?.lua";
    lua_shared_dict limit 10m;
    init_by_lua_file  /usr/local/nginx-1.22.0/conf/waf/init.lua; 
	access_by_lua_file /usr/local/nginx-1.22.0/conf/waf/waf.lua;

在这里插入图片描述

5. 重启nginx
/usr/local/nginx/sbin/nginx -t
/usr/local/nginx/sbin/nginx -s reload

在这里插入图片描述

6. 检查规则是否生效

在正常的访问URL后面加上参数 ?id=../etc/passwd
返回如下页面,说明规则生效。
在这里插入图片描述

7.规则说明

ngx_lua_waf的规则目录在/usr/local/nginx-1.22.0/conf/waf/wafconf下,其中已经内置了一些默认规则,按行,使用正则表达式匹配。
在这里插入图片描述
也可以对其中的规则进行自定义补充。
可以参考ngx_lua_waf

过滤规则在wafconf下,可根据需求自行调整,每条规则需换行,或者用|分割

	args里面的规则get参数进行过滤的
	url是只在get请求url过滤的规则		
	post是只在post请求过滤的规则		
	whitelist是白名单,里面的url匹配到不做过滤		
	user-agent是对user-agent的过滤规则


默认开启了get和post过滤,需要开启cookie过滤的,编辑waf.lua取消部分--注释即可

日志文件名称格式如下:虚拟主机名_sec.log
下辈子不做程序猿
关注
专栏目录
Nginx + Lua 搭建网站WAF防火墙
giun的博客
06-17 6913
Nginx + Lua 搭建网站WAF防火墙一、目的二、前期环境准备(一)、更新下yum源(二)、编译安装Nginx(三)、端口放行(四)、验证安装(五)、lua编译安装三、Nginx+Lua搭建WAF防火墙(一)、php环境配置(二)、克隆代码并将其移动到nginx/waf目录下(三)、进行必要配置(四)、验证四、总结 一、目的 利用centos -7 和Nginx + Lua 搭建网站WAF防火墙可以防御SQL、XSS等攻击。 二、前期环境准备 (一)、更新下yum源 这边使用的是centos-7的系统
部署nginx_lua_waf记录
hl1293348082的专栏
04-09 414
通过部署nginx_lua_waf,具有使用简单、高性能、轻量级的优势,能够有效的防范sql注入、文件包含、XSS、fuzzing等web攻击,屏蔽异常的网络请求,防止webshell上传,相比于安全狗等商业版WAF,能够根据实际需求调整过滤规则,编辑符合企业自身业务需求的过滤规则。 实验安装环境:Redhat 6.2和7.3 手动安装nginx_lua_waf 安装依赖包 yum install -y zlib zlib-devel readline-devel pcre pcre-deve
Nginx安装ngx_lua_waf模块教程
最新发布
高性价比服务器就选:蓝易云
12-09 115
完成上述步骤后,ngx_lua_waf模块将被成功安装到Nginx中,并在请求到达时执行waf.lua文件中定义的规则来进行Web应用防火墙过滤。请确保在使用模块前阅读ngx_lua_waf的文档以及了解其配置和规则的使用方式。在安装ngx_lua_waf模块之前,确保已经安装了NginxLuaJIT。下载ngx_lua_waf模块的源码,并解压到一个临时目录。将解压得到的ngx_lua_waf模块文件复制到Nginx模块目录下。,添加ngx_lua_waf模块的相关配置。打开Nginx的配置文件。
ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙
stableboy的Blog
12-03 3524
  https://www.itsvse.com/thread-3416-1-1.html     ngx_lua_waf ngx_lua_waf是我刚入职趣游时候开发的一个基于ngx_lua的web应用防火墙。 代码很简单,开发初衷主要是使用简单,高性能和轻量级。 现在开源出来,遵从MIT许可协议。其中包含我们的过滤规则。如果大家有什么建议和...
Nginx支持Lua
chengfangang的专栏
02-27 3407
nginx的强大,lua的高性能,真是一个不错的组合,合到一起就无敌了,呵呵。 下面开始配置nginx,使其支持lua,是通过一个nginx模块实现的, 模块地址:https://github.com/chaoslawful/lua-nginx-module 下载链接:https://github.com/chaoslawful/lua-nginx-module/archive/v0.8.
开源nginx_lua_waf部署安装
weixin_30659829的博客
08-07 350
0x01 前言 ngx_lua_waf实现 WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。所以本文中的WAF的实现由五个模块(配置模块、协议解析模块、规则模块、动作模块、错误处理模块)组成。 原版本主要的功能如下: 1.防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SS...
nginx添加 lua 模块,支持lua脚本以及遇到的坑
热门推荐
qq_27156945的博客
01-17 2万+
参考文档:https://www.cnblogs.com/yulibostu/articles/10529989.html 工具版本说明nginx上面一共需要安装3个东西:luajit,ngx_devel_kit,lua-nginx-module 2.下载解压ngx_devel_kit 3.下载解压lua-nginx-module 这里是重点啊!!!很多坑都是这个家伙带来的 一定要用版本,我试了其他几个版本,比如说、等,都是不行的,都会遇到下面说的那些坑,只有不会。 4.下载nginx,编译安装 我用的
waf:使用Nginx+Lua实现的WAF(版本v1.0)
05-08
使用Nginx+Lua实现自定义WAF(Web application firewall) 最近发现使用的人越来越多了,计划开始维护和增加新功能 2020.7.29 赵班长 项目背景介绍 需求产生 由于原生态的Nginx的一些安全防护功能有限,就研究能不能...
docker-nginx-lua-waf:基于 Nginx + Lua 技术栈的 WAF
07-22
nginx-lua-waf 用法 自己构建镜像bilxio/nginx-lua-waf ,在nginx-lua-waf文件夹执行如下命令: docker build -t bilxio/nginx-lua-waf . 或者,直接拉它, docker pull bilxio/nginx-lua-waf 要运行映像并将...
Nginx利用Lua+Redis实现动态封禁IP的方法
01-10
本文给大家介绍的是Nginx利用Lua+Redis实现动态封禁IP的方法,下面话不多说了,来一起看看详细的介绍吧 二、架构 实现 IP 黑名单的功能有很多途径: 1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求; 2...
nginx防mysql注入_nginx的安全之通过nginx+luawaf防火墙防sql注入和cc攻击
weixin_36314729的博客
01-29 497
2.测试页面准备:登陆页面html[root@node1 code]#cat /opt/app/code/login.htmljeson sql注入演示用户名:密码验证页面validate.php[root@node1 code]#cat /opt/app/code/validate.php
Nginx 集成 lua 模块扩展功能,以及遇到的一些问题
qq_44466102的博客
07-30 1463
nginx+lua可以直接把nginx的可扩展性拉上了一个不敢想象的层次,你可以使用各种lua的模块来实现一些复杂的功能,使nginx成为一个可以都独当一面的存在。
Nginx安装Lua模块
Asui2233的博客
09-26 588
Nginx安装Lua模块
使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1479
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP...
Nginx学习(六)ngx_lua_waf模块
weixin_34364135的博客
03-15 275
http://blog.chinaunix.net/uid-1728743-id-3546152.htmlhttps://github.com/loveshell/ngx_lua_wafngx_lua_waf 安装说明文档作者github地址:https://github.com/loveshell/ngx_lua_waf转自作者说明文档:ngx_lua_waf是我刚入职趣游...
Nginx之轨迹】Nginx + Lua 实现 waf Web 应用防火墙(解决 nignx 加载失败问题:LuaJIT version which is not OpenResty‘s)
rkmhr_sef的博客
02-23 888
—— 目录 —— 1. Lua 和 ngx_lua_waf 简介 2. 前置问题 3. 安装和配置各模块 4. 配置 Nginx 5. 检验是否添加模块成功 6. 配置安全防火墙 7. 详细设置安全防火墙 1. Lua 和 ngx_lua_waf 简介 Lua 是一门轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放 其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能。 Lua 的应用场景:游戏开发、独立应用脚本、Web 应用脚本、扩展和数据库插件如:MySQL Proxy 和
高并发环境搭建nginx+lua+redis
小武哥的专栏
07-25 9512
  高并发环境搭建nginx+lua+redis   一、安装环境 2 1.1、安装Lua解释器 2 1.2、安装nginx 2 1.2.1、下载nginx开发插件ngx_devel_kit 2 1.2.2、下载nginxlua模块lua-nginx-module 2 1.2.3、安装nginx 2 1.3、安装redis 3 1.3.1、redis下载安装 3 1.3.2...
026_nginx引用lua遇到的坑
weixin_33896069的博客
04-19 964
server { listen 80; listen 443 ssl; server_name www.jyall.com; access_log /data/log/nginx/*.www.jyall.com.access.log ngx_main; error_log /data/log/nginx/*.www.jyall.c...
阿里云负载均衡与LVS+Tengine+Nginx+Lua:实战防御与IP获取
4. 配置ngx_lua_waf:在Nginx中,除了常见的开源waf如mod_security和naxsi,文章还提到了ngx_lua_waf作为防护工具的选择。这个模块允许动态地编写lua脚本来定制规则,适应不断变化的安全威胁。 在防护cc攻击的部分...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值