杂谈篇-用lua在nginx中实现一个WAF

最新推荐文章于 2024-06-12 17:47:53 发布
最新推荐文章于 2024-06-12 17:47:53 发布
阅读量709 收藏
点赞数
分类专栏: 运维 文章标签: 运维 架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skybin090804/article/details/70045887
版权
几年前,开始在公众视野中不断爆发出应用的安全问题。当时想着应用运维能否也能在nginx中为应用做一层防护,基于该前提下,在Nginx中用Lua做WAF的架构就开始启动。在这里和大家分享一下这套小东西。

整个 WAF 系统的结构
拦截处理模块( nginx 、Lua)
日志收集模块( lua、kafka )
日志分析模块(spark + mysql )
数据展示模块( web )

github中也有ngx_lua_waf开源模块(https://github.com/loveshell/ngx_lua_waf),但这是静态配置,防护规则配置文件化写死;另一方面,不具有动态分析功能;因此,该模块也属于预想架构中规则处理模块范畴。

整体架构图


拦截处理模块( nginx 、Lua)
为什么选择Lua,而不是nginx C模块开发?主要考虑到一旦某个需求变更,便不得不更改 C 源码,而这又会牵扯到一系列如编译、测试及部署,热更新等问题。
检查部位:header、ua、ip、reffer、request body、uri、uri args。
检查方式:SQL注入、XSS、敏感文件、异常ip、扫描器、XSRF等。
拦截条件需要实时按需改变:利用lua共享内存变量,拦截的时候读取该变量获取拦截条件;同时,nginx配置location,以供调用进行修改拦截条件。
lua_shared_dict rule 5m;
location ~/setrule {
lua {
type : add 增加检查部位或者检查方式
: del 删除检查部位或检查方式
: modify 更新检查部位或者检查方式
}
}

location ~/ {
access_by_lua xxx;//如果用户访问行为符合设置的拦截条件,则进行拒绝访问。
}
通过对setrule接口进行设置,就能动态改变拦截模块中的信息,达到实时效果。

日志收集模块( lua、kafka )
拦截的对象是实时变化,所以,需要收集用户的访问记录,进行动态分析,从而发现可以对象和可以访问行为。
在拦截模块中加入日志收集功能模块就能达到日志流的实时收集,其中需要注意的是,要使用kafka的异步无状态收集方式,这样当应用和kafka中的网络异常和kafka集群挂死的时候,不影响应用的服务。
eg:
local bp = producer:new(broker_list, { producer_type = " async"})
local ok, err = bp:send(queue_name, key, log_content)
if not ok then
ngx.log(ngx.CRIT , err)
return
end

日志分析模块(spark + mysql )
使用spark读取队列中的数据流,用机器学习模型、特征分析、数据统计方法进对日志数据进行分析从而发现可以对象;同时把可以对象进行入库,以供用户在web页面中进行查询。

数据展示模块( web )
构建界面,供用户进行查询。




更多文章请关注,微信订阅号:轻量运维



sky彬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Nginx+Lua实现WAF
douglas8287的专栏
04-19 293
waf 使用Nginx+Lua实现自定义WAF(Web application firewall) ##版权声明 严重参考(照抄)https://github.com/loveshell/ngx_lua_waf ###需求产生 由于原生态的Nginx的一些安全防护功能有限,就研究能不能自己编写一个WAF,参考(照抄)Kindle大神的ngx_lua_waf,自己尝试写一个了,使用两天时间,...
nginx+lua 构建waf防火墙
zyb378747350的专栏
06-02 2603
nginx+lua 构建waf防火墙
ngx_lua_waf一个基于lua-nginx-module(openresty)的web应用防火墙
stableboy的Blog
12-03 3514
  https://www.itsvse.com/thread-3416-1-1.html     ngx_lua_waf ngx_lua_waf是我刚入职趣游时候开发的一个基于ngx_lua的web应用防火墙。 代码很简单,开发初衷主要是使用简单,高性能和轻量级。 现在开源出来,遵从MIT许可协议。其包含我们的过滤规则。如果大家有什么建议和...
Nginx + Lua 搭建网站WAF防火墙
giun的博客
06-17 6539
Nginx + Lua 搭建网站WAF防火墙一、目的二、前期环境准备(一)、更新下yum源(二)、编译安装Nginx(三)、端口放行(四)、验证安装(五)、lua编译安装三、Nginx+Lua搭建WAF防火墙(一)、php环境配置(二)、克隆代码并将其移动到nginx/waf目录下(三)、进行必要配置(四)、验证四、总结 一、目的 利用centos -7 和Nginx + Lua 搭建网站WAF防火墙可以防御SQL、XSS等攻击。 二、前期环境准备 (一)、更新下yum源 这边使用的是centos-7的系统
Nginx + lua 实现WAF
最新发布
weixin_44412142的博客
06-12 607
Nginx + lua 实现WAF(违禁词拦截)
开源工具利器之软WAF:ngx_lua_waf
黑白的博客
08-15 3623
源码,作者定义的策略要么是在白名单(IP、URI),直接return true,后面不用再检测,要么是在黑名单,say_html()后return true,不往后进行如果我们想做一个方法的白名单,只允许GET/POST/OPTIONS方法,客户端请求的方法只允许这三个,但是又要进行后面的参数、cookie等校验,你不能因为设置了方法白名单后,客户端发来一个GET请求,就不做后面的校验吧?
使用Nginx+Lua实现自定义WAF(Web application firewall)
qq_27546717的博客
06-26 1507
这个是整个WAF最核心的部分,流程如图2-8所示,Nginx处理HTTP协议的请求内容,将HTTP协议解析成URL、URL参数、post内容、cookie、user-agent等字段,Lua针对这些字段进行检测,判断攻击类型。WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。使用页面访问,可以正常使用,说明反向代理配置生效。支持URL过滤,匹配自定义规则的条目,如果用户请求的URL包含这些,返回403。
kafka整合lua消费不到数据解决方案
阿拉修
11-03 216
lua脚本将前端页面获取到的数据塞给kafka,kafka不报错,nginx不报错,lua脚本也没有问题,topic生成了但就是消费不到数据,自己写一个生产者测试过证明消费者也没问题,折腾了很久,最后在kafka配置文件加了host.name=本机,解决。问题应该是在识别kafka集群的时候出现了问题,谁熟悉原理帮忙解释下。
docker-nginx-lua-waf:基于 Nginx + Lua 技术栈的 WAF
07-22
自己构建镜像bilxio/nginx-lua-waf ,在nginx-lua-waf文件夹执行如下命令: docker build -t bilxio/nginx-lua-waf . 或者,直接拉它, docker pull bilxio/nginx-lua-waf 要运行映像并将端口 8080 转发到...
nginx-lua-wafNginx-Lua-WAF是一种基于Nginx的使用Lua语言开发的灵活高效的Web应用层防火墙
02-03
OpenResty是Nginx一个发行版,集成了LuaJIT,使得开发者可以直接在Nginx配置文件编写Lua脚本,实现动态处理和复杂逻辑,这为构建WAF提供了可能。Lua语言简洁、轻量,且易于学习,因此成为Nginx-Lua-WAF的理想...
stream-lua-nginx-module:将Lua的功能嵌入NGINX TCPUDP服务器
04-12
ngx_stream_lua_module-将Lua的功能嵌入到Nginx流/ TCP服务器。 该模块是OpenResty的核心组件。 如果您使用的是此模块,则实际上是在使用OpenResty。 该模块不随Nginx源一起分发。 请参阅。 目录 代码库 错误和...
skywalking-nginx-lua:用于Apache SkyWalking的Nginx Lua代理
02-03
Apache SkyWalking Nginx代理 Nginx代理为由Nginx LUA模块提供支持的Nginx... lua_package_path "/Path/to/.../skywalking-nginx-lua/lib/?.lua;;" ; # Buffer represents the register inform and the queue of t
lua-nginx-module-0.10.13
07-18
Lua-Nginx-Module,简称lua-nginx-module,是Nginx服务器的一个重要扩展模块,它将强大的Lua脚本语言集成到Nginx,允许用户在Nginx配置文件直接编写Lua代码,极大地增强了Nginx的功能性和灵活性。版本0.10.13是...
【攻防】ngx_lua_waf一个基于lua-nginx-module(openresty)的web应用防火墙
不纯正的逼格的专栏
12-21 124
ngx_lua_waf一个基于ngx_lua的web应用防火墙。代码很简单,开发初衷主要是使用简单,高性能和轻量级。遵从MIT许可协议。其包含我们的过滤规则。
waf防火墙】基于nginx+lua实现waf防火墙搞定web攻击和防刷限流
weixin_56364253的博客
04-17 1729
xwaf是利用lua+nginx作为web服务接入层,结合管理平台xwaf_admin进行管理的一款轻量级低成本防火墙。 xwaf_admin管理平台的功能主要是对接入的应用,建立一套安全防护、防刷限流的规则、黑白名单等规则进行管理维护,waf防护的规则参考开发web安全项目组织【owsp】的核心规则集【crs】。nginx实例从xwaf_admin管理平台读取配置、配置及规则信息并写进nginx的内存。
使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1443
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP...
lua集成kafka
bingcore的博客
07-11 1227
Nginx 文件:nginx.conf cd /usr/local/openresty/nginx/conf vi nginx.conf worker_processes 1; events{ worker_connections 1024; } http{ include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; #开启共享字典,设置内存大小为 10M,供每个 nginx
nginx利用lua语言实现waf
qq_56661788的博客
03-03 818
Nginx进行lua扩展,实现简易的攻击拦截(软WAF
linux web应用防火墙,基于ngx_lua_waf模块配置web应用防火墙
weixin_36314729的博客
05-12 542
前言ngx_lua_waf一个基于lua-nginx-module(openresty)的web应用防火墙1,用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web***防止svn/备份之类文件泄漏防止ApacheBench之类压力测试工具的***屏蔽常见的扫描***工具,扫描器屏蔽异常的网络请求屏蔽图片附件类目录php执行权限防止webshell上传2,安装配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值