Soul网关源码学习(18)- 防火墙:WafPlugin

最新推荐文章于 2022-12-23 13:23:09 发布
最新推荐文章于 2022-12-23 13:23:09 发布
阅读量314 收藏
点赞数
分类专栏: Soul网关 Java 文章标签: 网关 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012180773/article/details/113662674
版权
本文详细介绍了Soul网关的WafPlugin使用和源码分析。首先,通过添加依赖并在控制台配置选择器和规则来启用插件。接着,分析了WafPlugin的核心逻辑,包括不同模式下的流量处理策略。最后,总结了WafPlugin的简单性和在Soul网关中的应用关键。
摘要由CSDN通过智能技术生成

文章目录

前言

在上一篇文章《Soul网关源码学习(17)- 限流:RateLimiterPlugin》中,我们学习了 RateLimiterPlugin 的使用,并且分析了其实现原理。那这一篇我们再来学习另外一个插件:防火墙插件 WafPlugin。

WafPlugin 的使用

waf插件,是网关的用来对流量实现防火墙功能的核心实现,现在我们就先来看一下它到底是怎么使用的。
和其他插件一样,先引入依赖:

<dependency>
    <groupId>org.dromara</groupId>
    <artifactId>soul-spring-boot-starter-plugin-waf</artifactId>
    <version>${project.version}</version>
</dependency>

然后登录控制台 -> 系统管理 -> 插件管理 -> 列表中选择 waf -> 点击右边编辑按钮:
在这里插入图片描述

  • 当 module 设置为 black 模式的时候,只有匹配的流量才会执行拒绝策略,不匹配的,直接会跳过.
  • 当 module 设置为 mixed 模式的时候,所有的流量都会通过 waf插件,针对不同的匹配流量,用户可以设置是 拒绝,还是通过。

添加选择器,控制台 -> 插件列表 -> waf -> 添加选择器按钮:
在这里插入图片描述

  • 注意:如果本地测试最好是使用 127.0.0.1 来进行测试,而不是 localhost。

为接口添加防火墙规则:控制台 -> 插件列表 -> waf -> 添加规则按钮:
在这里插入图片描述
使用postman测试:
在这里插入图片描述
我们再把 permission 改成 allow:
在这里插入图片描述
再进行访问:
在这里插入图片描述

WafPlugin 源码分析

WafPlugin 的逻辑还是比较简单的,下面是其 doExecutor 方法:

protected Mono<Void> doExecute(final ServerWebExchange exchange, final SoulPluginChain chain, final SelectorData selector, final RuleData rule) {
    WafConfig wafConfig = Singleton.INST.get(WafConfig.class);
    //如果选择器规则为空
    if (Objects.isNull(selector) && Objects.isNull(rule)) {
        //如防火墙规则是 black,则直接跳过(黑名单只拦截匹配的流量,不匹配的会跳过)
        if (WafModelEnum.BLACK.getName().equals(wafConfig.getModel())) {
            return chain.execute(exchange);
        }
        //如果是 mixed 模式,所有流量都会通过 waf,所以没有配置选择器规则的流量会被拒绝
        exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN);
        Object error = SoulResultWrap.error(HttpStatus.FORBIDDEN.value(), Constants.REJECT_MSG, null);
        return WebFluxResultUtils.result(exchange, error);
    }
    String handle = rule.getHandle();
    //如果规则为空或者 permission 为空,则直接跳过。
    //所以这里注意:在 mixed 模式下,选择器为空是会被拦截的,但是规则是默认通过的。
    WafHandle wafHandle = GsonUtils.getInstance().fromJson(handle, WafHandle.class);
    if (Objects.isNull(wafHandle) || StringUtils.isBlank(wafHandle.getPermission())) {
        log.error("waf handler can not configuration:{}", handle);
        return chain.execute(exchange);
    }
    //如果是拒接策略
    if (WafEnum.REJECT.getName().equals(wafHandle.getPermission())) {
        //状态码默认403
        exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN);
        //返回自定义的状态码
        Object error = SoulResultWrap.error(Integer.parseInt(wafHandle.getStatusCode()), Constants.REJECT_MSG, null);
        return WebFluxResultUtils.result(exchange, error);
    }
    //允许通过
    return chain.execute(exchange);
}

总结

到这里,WafPlugin 就学习并且分析完了,总体来说还是比较简单的,其代码实现并不难看懂,至于使用上,最主要是你的选择器和规则要玩的溜,这也是 Soul 所有插件的一个共同的特性,对于这一方面,小伙伴们可以去参考一下官方对选择器和规则的说明,后续会继续带来 soul 网关其他插件或者模块的源码解读。

木瓜饭
关注
专栏目录
waf:Web应用防火墙
03-12
af Web应用防火墙
OpenResty+Lua实现WAF防火墙
weixin_44827844的博客
08-21 2170
借鉴gitbub第一名的WAF源码
完整的防火墙程序源代码
05-30
DrvFltIp_source.zip 是驱动的源代码与简单的防火墙程序代码 FirewallFHK_src.zip 是利用该驱动程序开发的一个比较完整的防火墙程序代码
网络保护第三层 WAF-网络应用防火墙
半夏_2021的博客
04-29 5122
WAF-网络应用防火墙
生产级搭建openresty+waf防火墙
最新发布
weixin_44235608的博客
12-23 713
openrestry lua waf 防火墙 系统安全
soul响应式API网关-其他
06-12
安装环境:JDK 1.8+Mysql模块:soul-admin : 插件和其他信息配置的管理后台soul-bootstrap : 用于启动项目,用户可以参考soul-client : 用户可以使用springMvc,dubbo,springCloud快速访问soul-common : 框架的通用类...
Soul-Irradiance-Monitor-Robot:灵魂模拟照度监控机器人框架,简称simbot 3.0
04-01
Soul-Irradiance-Monitor-Robot,即灵魂模仿照度监控机器人框架,简称simbot 3.0。 服务 本框架基于simbot 3.0核心开发,服务于对灵魂散射照度监控业务有需求的企业或个人。 核心 simbot 3.0核心模块基于AVM平台,...
Soul-Shards-The-Old-Ways:为所有暴民定制的生成器!
05-01
灵魂碎片:旧方法 是否曾经想过创建自己的暴民生成器? 现在你可以!链接信息这是流行的1.4.7 mod 的粉丝延续。 这个版本的mod基于的 。 这个版本是原始mod的近乎直接的克隆。 有关更多信息,请参见 。...
layui-soul-table-java:layui-soul-table 后台java
04-28
layui-soul-table 后台java版 当前soul-table版本 v1.0, layui版本:v2.5.4 mybatis版: master分支 mybatis-plus版: mybatis-plus分支 hibernate版: hibernate分支 所有筛选demo: 仅后台java版demo: 当然你也可以...
java版飞机大战源码-java-performance:Java系统性能优化实战
06-04
java版飞机大战源码 java-performance 介绍 书配套例子,Java系统性能优化实战 ,程序员的优化宝典。...API网关soul等开源框架作者) 读了家智的第8章“JIT优化”、第10章“ASM运行时增强”、第11章“JSR269编译
打造一款可靠的WAF(Web应用防火墙
热门推荐
Enweitech Software Works
12-26 2万+
之前写了一篇《WAF防御能力评测及工具》,是站在安全运维人员选型WAF产品的角度来考虑的(优先从测试角度考虑是前职业病,毕竟当过3年游戏测试?!)。本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF,灵感来自ModSecurity等,感谢开源。 本片文章包括三个主题 (1) WAF实现 WAF包括哪些组件,这些组件如何交互来实现WAF防御功能  (2)WAF规则(策
soul网关-7-waf插件
nemointellego的专栏
01-22 470
之前的一篇学习Divide插件的笔记里面分析过插件链,waf插件是插件链上排在sign插件后面的第二个插件。 WafPlugin也继承自AbstractSoulPlugin,但在AbstractSoulPlugin的execute方法里面对waf插件与其他插件如divide插件稍有不同。 divide插件在AbstractSoulPlugin的execute方法里面的处理过程是: 判断内存缓存中是否有插件数据,没有则执行下一个插件 判断插件数据中是否启用的标志位是否为true,否则执行下一个插件 插件数据
Soul 源码阅读之选择器
rockpigL的博客
01-18 186
org.dromara.soul.plugin.base.AbstractSoulPlugin 所有的插件入口类都继承了此抽象类,此类实现了 SoulPlugin 接口的 execute 方法并为其子类定义了 doExecute 方法来提供接入入口。而 execute 方法中包含了选择器和选择器规则的重要代码。 事实上,我们可以看到 soul 的每一款插件都有相应的选择器和规则的配置,以此来提供每一个插件的入口筛选,所以,soul 就把选择器前置到抽象类中,组装到整个插件调用链的上下文中。 execute
7万字介绍一款waf(web应用防火墙),再也不怕有人入侵了
门柚的博客
07-28 1万+
7万字介绍一款waf(web应用防火墙),再也不怕有人入侵了 Awesome WAF 简单定义:web应用程序防火墙是位于web应用程序和客户端端点之间的安全策略实施点。该功能可以在软件或硬件中实现,可以在设备设备中运行,也可以在运行公共操作系统的典型服务器中运行。它可能是一个独立的设备或集成到其他网络组件。(来源:PCI DSS IS 6.6)...
Soul 学习笔记---使用 waf 插件(十九)
fightingting的博客
02-05 310
登录 soul-admin,开启 waf 插件。 官网上的这两句很重要,waf 插件源码的实现也是根据这两句话来的。 当 module 设置为 black 模式的时候,只有匹配的流量才会执行拒绝策略,不匹配的,直接会跳过。 当 module 设置为 mixed 模式的时候,所有的流量都会通过 waf插件,针对不同的匹配流量,用户可以设置是 拒绝,还是通过。 一开始我选的 black 模式,配置如下。 请求时,就是这样的。 接下来看下源码是怎么实现的。 waf 插件是前置插件,也就是在请求真正 url
[转]Web应用防火墙WAF详解
heiyeluren的blog(黑夜路人的开源世界)
05-05 1万+
本文详细描述了从Nginx配置到打造一个WAF,到现有可用WAF工具的过程,希望有参考学习价值。
ShenYu 网关源码学习(1)- 简单介绍、编译和测试
curePony
01-14 1万+
文章目录前言GitHub下载编译启动网关启动Soul-bootstrap启动Soul-admin结语 前言 在开始学习Soul之前,我们先来了解一下Soul到底是什么?Soul是一个异步的,高性能的,跨语言的,响应式的API网关Soul是站在巨人的肩膀上诞生的,它参考了Kong,Spring-Cloud-Gateway等优秀的网关,并在此基础上添加了一系列微服务领域的企业级功能: 支持各种语言(http协议),支持dubbo和springcloud协议。 插件化设计思想,插件热插拔,易扩展。 灵活的流量
Soul网关源码学习(10)- 插件模板 AbstractSoulPlugin
curePony
01-25 1091
文章目录前言AbstractSoulPluginpluginDataSelectorDataRuledoExecute总结 前言 在前一篇文章《Soul网关源码学习(9)- 请求解析 GlobalPlugin》 中,我们学习请求流入的第一个插件 GlobalPlugin源码,GlobalPlugin 处理完之后,请求就有可能因为协议的不同而流向不同的插件路线,而后面这些插件的实现有很大一部分都有着一个共同的抽象模板 AbstractSoulPlugin,所以在学习后面这些插件的源码之前,有必要先来了解一
Soul网关源码学习(12)- 对下游 Http 服务的请求和响应处理
curePony
01-28 825
文章目录前言WebClientPluginWebClientResponsePlugin总结 前言 在上一篇文章《Soul网关源码学习(11)- Http代理的负载均衡:DividePlugin 和 SpringCloudPlugin》 中,我们分析了 Soul 对于负载均的实现,下一步就是发起对目标服务的请求了,那么本篇文章,我们就来分析 Http 代理转发的最后两站 WebClientPlugin 和 WebClientResponsePlugin。 WebClientPlugin WebClientP
Soul网关源码解析:高性能插件与调试指南
17. **soul-plugin-waf**: 网关防火墙功能的核心实现,保障网络安全。 在进行项目启动时,特别提到Soul-admin需要依赖Zookeeper。整体来看,Soul源码分析涉及到了其架构设计、插件管理和功能模块,对深入理解高...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值