使用docker搭建Web应用防护系统或web防火墙(OpenWAF)

已于 2022-08-24 10:38:11 修改
阅读量1.9k 收藏 7
点赞数
分类专栏: 运维 文章标签: docker 前端 lua
于 2022-08-24 10:34:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/somken/article/details/126485306
版权

简介

OpenWAF是一个全方位开源的Web应用防护系统(WAF),提供全面的防护功能和多样的防护策略。

他基于nginx_lua API分析HTTP请求信息。OpenWAF由行为分析引擎和规则引擎两大功能引擎构成。其中规则引擎主要对单个请求进行分析,行为分析引擎主要负责跨请求信息追踪。

使用docker运行

拉取镜像

docker pull titansec/openwaf

运行容器复制出配置文件

docker run -d --name openwaf \
-p 80:80 -p 443:443 \
titansec/openwaf 

mkdir -p /root/openwaf/()

docker cp openwaf:/etc/ngx_openwaf.conf /root/openwaf/conf
docker cp openwaf:/opt/OpenWAF/conf/twaf_access_rule.json /root/openwaf/conf
docker cp openwaf:/var/log/openwaf_error.log /root/openwaf/log/


 docker rm -f openwaf

配置文件ngx_openwaf.conf

user root;
worker_processes auto;
worker_cpu_affinity auto;
pid /var/run/openwaf.pid;
pcre_jit on;
error_log /var/log/openwaf_error.log;

events {
    worker_connections  10000;
    multi_accept on;
}


http {
    include            /usr/local/openresty/nginx/conf/mime.types;
    include            /opt/OpenWAF/conf/twaf_main.conf;
    include            /opt/OpenWAF/conf/twaf_api.conf;
    
    default_type       text/html;
    tcp_nopush         on;
    sendfile           on;
    keepalive_requests 100;
    keepalive_timeout  60 60;
    
    client_body_buffer_size 100m;
    lua_regex_match_limit   1500;
    
    proxy_redirect     http://$http_host/ /;
    proxy_pass_header  Server;
    
    upstream test {
       server 0.0.0.1; #just an invalid address as a place holder
       balancer_by_lua_file /opt/OpenWAF/app/twaf_balancer.lua;
       keepalive 16;
    }
    
    server {
        listen  80;
        listen [::]:80 ipv6only=on;
	
        listen 443 ssl;
        listen [::]:443 ssl ipv6only=on;
	
        server_name _;
        
        ssl_certificate /opt/OpenWAF/conf/ssl/nginx.crt;
        ssl_certificate_key /opt/OpenWAF/conf/ssl/nginx.key;
        ssl_protocols TLSv1.1 TLSv1.2;
        
        include                     /opt/OpenWAF/conf/twaf_server.conf;
        ssl_certificate_by_lua_file /opt/OpenWAF/app/twaf_ssl_cert.lua;
        
        location / {
            proxy_set_header Accept-Encoding identity;
            proxy_set_header Host $http_host;
            proxy_set_header X-Server-IP $server_addr;
            proxy_set_header X-Server-PORT $server_port;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Real-PORT $remote_port;
            proxy_set_header X-Forwarded-For $http_x_forwarded_for;
            proxy_set_header Connection $connection_upgrade;
            proxy_set_header Upgrade $http_upgrade;
            
            proxy_http_version 1.1;
            proxy_pass $twaf_upstream_server;
        }
    }
}

规则文件twaf_access_rule.json

说明:

{
    "twaf_access_rule": [
        "rules": [                                 -- 数组,注意先后顺序
            {                                      
                "ngx_ssl": false,                  -- nginx认证的开关
                "ngx_ssl_cert": "path",            -- nginx认证所需PEM证书地址
                "ngx_ssl_key": "path",             -- nginx认证所需PEM私钥地址
                "host": "www.baidu.com",           -- 域名,正则匹配
                "port": 80,                        -- 端口号(缺省80"path": "\/",                      -- 路径,正则匹配
                "server_ssl": false,               -- 后端服务器ssl开关
                "forward": "server_5",             -- 后端服务器upstream名称
                "forward_addr": "192.168.8.100",         -- 后端服务器ip地址
                "forward_port": "8080",            -- 后端服务器端口号(缺省80"policy": "policy_uuid"            -- 安全策略ID
            }
        ]
    }
}

参考:

{
    "twaf_access_rule": {
        "state": true,
        "log_state":true,
        "rules":[
            {
                "host":"^.*$",
                "forward":"test1",
                "forward_addr":"192.168.8.100",
                "uuid":"test_uuid1",
                "policy": "twaf_policy_conf"
            },
            {
                "host":"localhost",
                "port":81,
                "path":"/admin/",
                "forward":"test2",
                "forward_addr":"192.168.8.100",
                "forward_port": 82,
                "uuid":"test_uuid2",
                "policy": "twaf_policy_conf"
            },
            {
                "host":"localhost",
                "ngx_ssl": true,
                "ngx_ssl_cert": "/opt/OpenWAF/conf/ssl/nginx.crt",
                "ngx_ssl_key": "/opt/OpenWAF/conf/ssl/nginx.key",
                "forward":"test3",
                "forward_addr": "1.1.1.3",
                "uuid":"test_uuid3",
                "policy": "twaf_policy_conf"
            }
        ]
    }
}

运行容器

docker run -d --name openwaf \
-p 80:80 -p 443:443 \
-v /root/openwaf/conf/ngx_openwaf.conf:/etc/ngx_openwaf.conf \
-v /root/openwaf/conf/twaf_access_rule.json:/opt/OpenWAF/conf/twaf_access_rule.json \
-v /root/openwaf/log/openwaf_error.log:/var/log/openwaf_error.log \
titansec/openwaf

参考运行:

docker run -d --name openwaf \
-p 80:80 -p 443:443 \
-v /opt/openwaf/conf/ngx_openwaf.conf:/etc/ngx_openwaf.conf \
-v /opt/openwaf/conf/twaf_access_rule.json:/opt/OpenWAF/conf/twaf_access_rule.json \
-v /opt/openwaf/log/openwaf_error.log:/var/log/openwaf_error.log \
titansec/openwaf

拦截

在这里插入图片描述

小结

个人搭建和使用的简单总结,不喜勿喷:

1.OpenWAF的规则配置有点繁琐,很容易就配置出错

2.文档相对不算特别多,大多数网上的资料都是比较初级的

3.性能不算很好

4.默认没有管理界面

5.不建议在生产环境使用

没刮胡子
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解使用Docker搭建Java Web运行环境
09-01
本篇文章主要介绍了使用Docker搭建Java Web运行环境,现在分享给大家,也给大家做个参考。感兴趣的小伙伴们可以参考一下。
利用docker搭建web服务环境的方法步骤
09-30
主要给大家介绍了关于利用docker搭建web服务环境的方法步骤,文中通过是示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习下吧。
探索OpenWAF:开源Web应用防火墙的力量
最新发布
gitblog_00002的博客
04-12 431
探索OpenWAF:开源Web应用防火墙的力量 项目地址:https://gitcode.com/titansec/OpenWAF 在数字化时代,网络安全的重要性不言而喻。OpenWAF是一个强大的开源Web应用防火墙,旨在保护你的网站免受恶意攻击和数据泄露的威胁。本文将深入探讨OpenWAF的特性、技术分析以及如何利用它为你的在线业务保驾护航。 项目简介 OpenWAF是由TitanSec开发并...
OpenWAF配置本地资源访问
AstarCloud
09-04 302
OpenWAFWeb Application Firewall)是一个开源的Web应用防火墙,用于保护Web应用程序免受各种网络攻击。它通过与Web服务器集成,监控和过滤对Web应用程序的流量,识别和阻止潜在的攻击和恶意行为。:OpenWAF能够检测和阻止常见的Web攻击,如跨站脚本(XSS)、SQL注入、命令注入、跨站请求伪造(CSRF)和路径遍历等。它分析输入和输出的数据,通过识别恶意的请求和特定的攻击模式来防止攻击的发生。
Docker安装OpenWAF
AstarCloud
08-31 410
OpenWAFWeb Application Firewall)是一个开源的Web应用防火墙,用于保护Web应用程序免受各种网络攻击。它通过与Web服务器集成,监控和过滤对Web应用程序的流量,识别和阻止潜在的攻击和恶意行为。攻击防护:OpenWAF能够检测和阻止常见的Web攻击,如跨站脚本(XSS)、SQL注入、命令注入、跨站请求伪造(CSRF)和路径遍历等。它分析输入和输出的数据,通过识别恶意的请求和特定的攻击模式来防止攻击的发生。访问控制。
编译nginx时提示undefined reference to 'pcre_free_study'
weixin_33810006的博客
11-16 327
objs/src/core/ngx_regex.o: In function 'ngx_pcre_free_studies': /opt/nginx-1.2.1/src/core/ngx_regex.c:307: undefined reference to 'pcre_free_study'   Probably, you have the same problem as mentione...
OpenResty+OpenWAFWEB防护实战
学而思(xiejava的blog)
04-07 1956
本文介绍了OpenResty+OpenWAF的安装,并通过配置对DVWA的靶机进行了WEB防护,通过SQL注入及XSS的攻击,验证了OpenWAF的效果。OpenResty+OpenWAF是开源的软WAF解决方案,安装和配置相对简单,对于中小企业的web防护来说不失为一个低成本的解决方案。
轻松玩转 OpenWAF 之安装篇
chouqiong6839的博客
07-13 1191
OpenWAF 支持源码安装和 Docker 安装 学习、开发、需求变动大、有一定维护能力,建议源码安装 仅使用 OpenWAF 进行防护,建议 Docker 安装 OpenWAF简介 OpenWAF是第一个全方位开源的Web应用防护系统(WAF),他基于nginx_lua API分析HTTP...
如何使用Docker部署GoWeb应用程序
02-26
您将通过本文了解如何使用Docker部署GoWeb应用程序,以及Docker如何帮您改善开发工作流和部署过程。各种规模的团队都能从本文内容中获益。通过阅读本文,您将能:对Docker有一些基本了解,了解Docker如何帮您开发Go...
讲解使用Docker搭建Java Web运行环境
09-01
本篇文章详细的介绍了使用Docker搭建Java Web运行环境,想要学习docker的同学可以了解一下。
OpenWAF:基于openresty的Web安全保护系统
02-03
名称 OpenWAF 第一个全面的开放源Web Web安全保护系统,比其他系统提供更多保护。 目录 版 本文档介绍了2020年2月21日发布的OpenWAFv1.0.0β。 2020年2月25日, 和已升级到1.0.0_beta版本。 概要 #nginx.conf lua_package_path '/twaf/?.lua;;' ; init_by_lua_file /twaf/app/twaf_init.lua; lua_shared_dict twaf_shm 50m ; upstream test { server 0.0.0.1 ; #just an invalid address as a place holder balancer_by_lua_file twaf_balancer.lua; } server { listen 443 ssl; server_name _; ss
docker-waf:适用于Docker的基于NGINX和ModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurity和NGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其支持基础架构的攻击面。 但是,这并不意味着不应对安全的容器保持警惕。 除了遵循减轻容器安全风险的安全实践外,使用容器的安全实践还应使用边缘安全性来保护容器。 部署到容器中的大多数应用程序都以某种方式通过暴露的端口连接到Internet。 传统上,应用程序是由诸如统一威胁管理(UTM)之类的边缘设备保护的,该设备可提供包括应用程序保护在内的一系列保护服务。 尽管容器的性质
使用Docker开发python Web 应用
09-21
本文给大家详细讲解了如何使用Docker开发python应用,特别是WEB应用的步骤,Docker本质上提供了非常轻量化的VMs,我们可以使用其创建一个高标准隔离并能大大减少失配的开发和产品环境。
modsecurity+openwaf集成
Eric
10-21 689
1.安装依赖 apt-get install apache2-dev autoconf automake build-essential bzip2 checkinstall devscripts flex g++ gcc git graphicsmagick-imagemagick-compat graphicsmagick-libmagick-dev-compat libaio-dev libaio1 libass-dev libatomic-ops-dev libavcodec-dev libav
开源免费的WEB应用防火墙
云博客_资源宝分享
02-10 2851
开源免费的WEB应用防火墙
OpenWAF+ elk 安装
州官已放火的博客
10-26 3314
 最近公司需要搭建保护,公司网站的软件,于是选择了,OpenWAF+elk结合的搭建方式具体过程如下: 过程中参考连接有: 1.openwaf : https://www.w3cschool.cn/openwaf/openwaf-8tr524ot.html) 2. ELK的帮助手册: Docker Hub官网:https://hub.docker.com/r/sebp/elk/ Doc...
Openresty实现web应用防火墙(waf
Bird&Bird
03-13 2220
OpenResty 是由中国人章亦春发起,把nginx和各种三方模块的一个打包而成的软件平台,核心就是nginx+lua脚本语言。主要是因为nginx是C语言编写,修改很复杂,而lua语言则简单得多,国内很多大公司如360、京东、gitee等都在用来作为web应用防火墙
【WAF】雷池安装及使用体验
信安是不可或缺的一部分!
04-19 7702
长亭一直是我比较喜欢的一家公司,像业界比较出名的扫描器xray还有rad等很多工具都是他们开发的,使用起来非常的nice,联动其他安全工具可以实现自动漏洞挖掘,这里测的是他们开发的一款waf产品“雷池”这个产品很早之前我就知道,但是当时没有社区版是需要收费的,当时是通过其他渠道用了一下感觉不错,现在来试试社区版。它是一款基于大数据、机器学习等技术的网络攻击检测系统。通过实时监测和分析全球各地的威胁情报、攻击数据和漏洞信息,雷池能够快速发现和识别未知安全威胁,准确判断攻击的类型和来源,并及时发出警报。
使用docker搭建web应用,并部署到docker中具体步骤
05-29
好的,我来为您介绍使用Docker搭建Web应用并部署的具体步骤。 1. 编写Dockerfile文件 Dockerfile是Docker的构建文件,定义了Docker镜像的构建过程。您可以在其中指定基础镜像、安装依赖、配置环境等。以下是一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值