nginx+openresty+lua实现WAF防火墙

最新推荐文章于 2024-03-26 09:50:09 发布
最新推荐文章于 2024-03-26 09:50:09 发布
阅读量633 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31555951/article/details/105713995
版权
主要实现的功能有:
        1、支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝(白名单权重高于黑名单)
        2、支持URL白名单,将不需要过滤的URL进行定义。
        3、支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
        4、支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403
        5、支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
        6、支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403
        7、支持url参数过滤。
        8支持日志记录,将所有拒绝的操作,记录到日志中去。
        9日志记录为JSON格式,便于日志分析,例如使用ELKStack进行收集日志收集、存储、搜索和展示。
安装脚本
#!/bin/bash
source /etc/profile


#下载代码
get(){
        cd /usr/local/src && \
        wget https://github.com/simpl/ngx_devel_kit/archive/v0.3.0.tar.gz >/dev/null 2>&1 && echo "get v0.3.0.tar.gz : OK !!" || echo "get v0.3.0.tar.gz : ERROR !!"
        wget https://github.com/openresty/lua-nginx-module/archive/v0.10.9rc7.tar.gz >/dev/null 2>&1 && echo "get v0.10.9rc7.tar.gz : OK !!" || echo "get v0.10.9rc7.tar.gz : ERROR !!"
        wget http://nginx.org/download/nginx-1.12.1.tar.gz >/dev/null 2>&1 && echo "get nginx-1.12.1.tar.gz : OK !!" || echo "get nginx-1.12.1.tar.gz : ERROR !!"
        wget http://luajit.org/download/LuaJIT-2.0.2.tar.gz >/dev/null 2>&1 && echo "get LuaJIT-2.0.2.tar.gz : OK !!" || echo "get LuaJIT-2.0.2.tar.gz : ERROR !!" 
        wget https://openresty.org/download/ngx_openresty-1.9.3.2.tar.gz >/dev/null 2>&1 && echo "get ngx_openresty-1.9.3.2.tar.gz : OK !!" || echo "get ngx_openresty-1.9.3.2.tar.gz : ERROR !!" 
}


#安装LuaJIT
luajit_install(){
        cd /usr/local/src && \
        tar xf LuaJIT-2.0.2.tar.gz >/dev/null 2>&1 && cd LuaJIT-2.0.2 && \
        make install prefix=/usr/local/LuaJIT >/dev/null 2>&1 && echo "luajit_install : OK !!" || echo "luajit_install : ERROR !!"
}


#设置环境变量
set_path(){
    echo "export LUAJIT_LIB=/usr/local/lib" >>/etc/profile && \
    echo "export LUAJIT_INC=/usr/local/include/luajit-2.0" >>/etc/profile && \
    source /etc/profile && echo "set path : OK !!" || echo "set path : ERROR !!"
}


#解压压缩包
jy(){
    cd /usr/local/src && \
    tar xf v0.10.9rc7.tar.gz >/dev/null 2>&1 && \
    tar xf v0.3.0.tar.gz >/dev/null 2>&1 && \
    tar xf nginx-1.12.1.tar.gz >/dev/null 2>&1 && \
    tar xf ngx_openresty-1.9.3.2.tar.gz >/dev/null 2>&1 
}


#判断:有nginx则什么也不做,没有则添加用户
adduser(){
    num=`egrep -c "^nginx" /etc/passwd`
    [ ${num} -eq 1 ] || useradd -s /sbin/nologin -M nginx && echo "user Already exist"
}


#编译nginx
istall_nginx(){
    adduser && jy && \
    cd /usr/local/src/nginx-1.12.1 && \
    ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module --with-http_stub_status_module --with-file-aio --with-http_dav_module --add-module=/usr/local/src/ngx_devel_kit-0.3.0/ --add-module=/usr/local/src/lua-nginx-module-0.10.9rc7/ >/dev/null 2>&1 && make >/dev/null 2>&1 && make install >/dev/null 2>&1 && echo "install nginx : OK !!" || echo "install nginx : ERROR !!"
}


#配置nginx配置文件
conf_nginx(){
>/usr/local/nginx/conf/nginx.conf
cat >> /usr/local/nginx/conf/nginx.conf << EOF
worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    server {
        listen       80;
        server_name  localhost;
        location / {
            root   html;
            index  index.html index.htm;
        }
 location /hello {
                default_type 'text/plain';
                content_by_lua 'ngx.say("hello,lua")';
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
}
EOF
}


#访问nginx
curl_nginx(){
    ln -s /usr/local/lib/libluajit-5.1.so.2 /lib64/libluajit-5.1.so.2 && \
    /usr/local/nginx/sbin/nginx && \
    curl http://127.0.0.1/hellow && \
    /usr/local/nginx/sbin/nginx -s stop
}


#安装openresty
install_openresty(){
    yum install -y readline-devel pcre-devel openssl-devel >/dev/null 2>&1 && echo "install rely: OK !!" || echo "install rely : ERROR"
    cd /usr/local/src && tar xf ngx_openresty-1.9.3.2.tar.gz >/dev/null 2>&1 && cd ngx_openresty-1.9.3.2 && \
    ./configure --prefix=/usr/local/openresty --with-luajit --with-http_stub_status_module --with-pcre --with-pcre-jit >/dev/null 2>&1 && \
    gmake >/dev/null 2>&1 && gmake install >/dev/null 2>&1 && echo "install openresty : OK !!" || echo "install openresty : ERROR !!" 
}


#下载waf
get_waf(){
    cd /usr/local/src && \
    git clone https://github.com/unixhot/waf.git >/dev/null 2>&1 && \
    cp -a ./waf/waf /usr/local/openresty/nginx/conf/ && echo "get WAF : OK !!" || echo "get WAF : ERROR !!"
}


#设置waf
set_waf(){
>/usr/local/openresty/nginx/conf/nginx.conf
cat >> /usr/local/openresty/nginx/conf/nginx.conf < worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
#WAF
    lua_shared_dict limit 50m;
    lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
    init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua";
    access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua";
    server {
        listen       80;
        server_name  localhost;
        location /hello {
        default_type text/html;
        content_by_lua_block {
             ngx.say("HelloWorld")
       }
    }
        location / {
            root   html;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
}
EOT
chown -R nginx.nginx /usr/local/openresty/
}


#访问waf
curl_waf(){
/usr/local/openresty/nginx/sbin/nginx && \
curl http://127.0.0.1/abc.sql
echo "

Welcome to (Web Application Firewall)

" >/usr/local/openresty/nginx/html/index.html
}


#总函数
main(){
    get && \
    luajit_install && \
    set_path && \
    istall_nginx && \
    conf_nginx >/dev/null 2>&1 && echo "conf_nginx : OK !!" || echo "conf_nginx : ERROR !!" && \
    curl_nginx && \
    install_openresty && \
    get_waf && \
    set_waf >/dev/null 2>&1 && echo "set_waf : OK !!" || echo "set_waf : ERROR !!" && \
    curl_waf
}
main

运维打怪晋级之路
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
OpenResty+Lua实现WAF防火墙
weixin_44827844的博客
08-21 1948
借鉴gitbub第一名的WAF源码
nginx openresty waf动态黑名单 白名单 、centos 、windows下部署
09-20 1842
nginx waf
推荐开源项目:`lua-resty-waf` - 为OpenResty打造的Web应用程序防火墙
最新发布
gitblog_00056的博客
03-26 345
推荐开源项目:lua-resty-waf - 为OpenResty打造的Web应用程序防火墙 项目地址:https://gitcode.com/p0pr0ck5/lua-resty-waf 项目简介 lua-resty-waf 是一个基于OpenResty(一个扩展了Nginx的动态服务平台)的Web应用程序防火墙WAF),旨在帮助保护你的网站免受常见的网络安全威胁,如SQL注入、跨站脚本攻击等...
lua设计与实现_Openresty初探:使用Nginx Lua设计自己的WAF
weixin_39777497的博客
11-21 310
Openresty初探:使用Nginx Lua设计自己的WAF本文介绍基于Openresty设计一个根据IP+URL做访问频率限制的web应用防火墙WAF),其中涉及到Nginx、Redis等相关内容会做简单介绍。一、为什么选择Openresty通过 Lua 扩展 NGINX 实现的可伸缩的 Web 平台 。根据官网( http://openresty.org/cn/ )介绍,Openresty...
使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1417
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP...
openresty + waf 搭建
虫虫的博客
09-28 901
Centos7安装Openresty通过yum安装 在 /etc/yum.repos.d/ 下新建 OpenResty.repo 内容 [openresty] name=Official OpenResty Repository baseurl=https://copr-be.cloud.fedoraproject.org/results/openresty/openresty/epel-releasever−releasever-releasever−basearch/ skip_if_unavailab
luawaf web防火墙 redis+nginx
06-23
基于网上大牛的waf版本魔改了一下,宝塔也是用此防火墙..支持redis记录来访ip数据,更好查询记录, 需要安装openresty版本的nginx, 如何安装网上教程一大堆,自己去找吧..
lua-resty-waf:基于OpenResty堆栈的高性能WAF
02-03
lua-resty-waf:基于OpenResty堆栈的高性能WAF
毕业设计php带源码-openstar:luawaf,nginx+lua,openresty,luajit,waf+,cdn,nginx
06-06
OpenResty,OpenStar,waf+,云waf,nginx lua true 欢迎使用 {OpenStar}(WAF+),该项目是从实际需求中产生,经过多次的版本迭代,实属不易。感谢春哥,以及的神器() 注意:使用版本一定要大于 1.11.0 因为使用了ngx....
openresty(nginx-lua-module-zh-wiki)中文文档.pdf
06-11
OpenResty 是一个强大的 Web 应用服务器,Web 开发人员可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,更主要的是在性能方面,OpenResty可以 快速构造出足以胜任 10K 以上并发连接响应的超高性能 Web ...
nginx-lua-wafNginx-Lua-WAF是一种基于Nginx的使用Lua语言开发的灵活高效的Web应用层防火墙
02-03
nginx-lua-wafNginx-Lua-WAF是一种基于Nginx的使用Lua语言开发的灵活高效的Web应用层防火墙
linux web应用防火墙,基于ngx_lua_waf模块配置web应用防火墙
weixin_36314729的博客
05-12 525
前言ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙1,用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web***防止svn/备份之类文件泄漏防止ApacheBench之类压力测试工具的***屏蔽常见的扫描***工具,扫描器屏蔽异常的网络请求屏蔽图片附件类目录php执行权限防止webshell上传2,安装配置...
使用Nginx+Lua实现WAF - 学习笔记
不懂的博客
04-28 6597
一.OpenResty安装和测试官方网站:https://openresty.org/cn/ LUA学习:http://blog.jobbole.com/70480/1.安装OpenResty:# yum install -y readline-devel pcre-devel openssl-devel # cd /usr/local/src 下载并编译安装openresty # wget ht
OpenResty部署ngx_lua_waf
旭出东方
06-14 1254
OpenResty部署ngx_lua_wafOpenResty部署安装依赖包下载并编译安装openresty测试openresty安装启动WAF部署配置文件详细说明检查规则是否生效 OpenResty部署 安装依赖包 yum install -y readline-devel pcre-devel openssl-devel cd /usr/local/src 下载并编译安装openresty ...
开源框架openresty+nginx 实现web应用防火墙WAF
chuanxincui的博客
01-09 7934
1、简介 Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击(Cross Site Scripting  xss)、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC(挑战黑洞)攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 本文主要是通过春哥的开源框...
ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙
stableboy的Blog
12-03 3501
  https://www.itsvse.com/thread-3416-1-1.html     ngx_lua_waf ngx_lua_waf是我刚入职趣游时候开发的一个基于ngx_lua的web应用防火墙。 代码很简单,开发初衷主要是使用简单,高性能和轻量级。 现在开源出来,遵从MIT许可协议。其中包含我们的过滤规则。如果大家有什么建议和...
nginx + lua 构建网站防护waf(一)
weixin_34001430的博客
12-02 228
最近在帮朋友维护一个站点。这个站点是一个Php网站。坑爹的是用IIS做代理。出了无数问题之后忍无可忍终于要我帮他切换到nginx上面,前期被不断的扫描和CC。最后找到了waf这样一个解决方案缓解一下。话不多说直接开始。waf的作用:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web*** 防止svn/备份之类文件泄漏 防止ApacheBench之...
基于Openresty+Naxsi的WAF:从小白到实践
weixin_30398227的博客
06-10 536
序 2019年2月18日,加入妈妈网,至今已经有四个月的时间,上周进到一个网关项目组,这个项目的主要目的是基于openResty+Naxsi实现WAF,相关技术初定涉及到openRestyLua、Naxsi、ELK、Redis、php、Nginx、MySQL、consul、etcd,解决方案类似WAF的另一种思路:基于Openresty+Naxsi的WAF实现 openRestyLua、Na...
部署WAF安全应用防火墙(openresty部署)
Bertram的博客
11-27 1480
部署WAF安全应用防火墙(openresty部署)
nginx + lua
02-05
要使用Nginx + Lua,需要安装OpenResty,它是一个基于Nginx的可扩展平台,集成了Lua和其他一些常用的模块。安装完成后,可以使用Lua编写Nginx配置文件中的各种指令和处理逻辑。 总结一下,Nginx + Lua提供了更灵活...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值