nginx与waf配合对应用安全加固

已于 2022-02-09 17:07:18 修改
阅读量2.4k 收藏 1
点赞数
分类专栏: 配置 文章标签: nginx 运维 网络
于 2022-02-09 00:27:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42359541/article/details/122833356
版权

问题:

已经发布的应用被漏扫后。发现应用或系统漏洞,如果应用改动成本高可以通过增加waf防护的补充手段来进行安全加固。这里举例说明应用不做改动的情况下,进行waf防护的方案。

解决方案及步骤:

1、订购配置waf服务,这里我们那拿电信云waf举例(应用就部署在ctyun上选择比较方便)。

详细配置可以参考cyun,waf的配置。通过更换canme域名解析将请求转到waf服务器,再将请求从waf过滤后转回到应用服务器。这里使用新的端口8888避免对原有应用的修改。

2、配置nginx限制非域名访问。

3、在防火墙上(这里是ctyun的安全组配置)关闭原有应用端口放入比如这里是8080。

4、配置新的服务端口比如这里是8888,放入8888替代原有8080端口(这样不影响原有应用),nginx部署两个server

server1 deafult 侦听8888端口,限制非域名访问。

server2 abcd.com 侦听8888端口,遇到请求反向代理到同服务其8080端口,比如127.0.0.1:8080这里就不用再用公网ip或者域名了避免了再次经过waf清洗流量。

详细nginx配置见下

  server {
        listen       8888 default;  #server1 

        server_name  _;             #没有域名直接返回404
        return 403;
     }
    server {
            listen 8888;            #server2
            server_name abcd.com;   #和域名一致
 
         location / {                            #所有请求转入原有应用
             proxy_pass http://127.0.0.1:8080;   #这里一定使用127.0.0.1 如果使用主机地址就会与 
                                                   防火墙限制8080冲突而被限制不能放入
         }

weixin_42359541
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx+openwaf,加nginx反向代理配置,实现防火墙功能
Wubuqing的博客
03-23 994
一、找到压缩包进行编译安装: tar -zxv -f openresty-1.15.8.1.tar.gz cd openresty-1.15.8.1 ./configure --with-luajit --with-http_stub_status_module --with-pcre --with-pcre-jit gmake && gmake install 二、为了测试openresty是否成功安装,在nginx的配置文件加入 server { location /hello { de
nginx waf设计
03-11
基于nginx和modsecurity的WAF防火墙实现的配置1.过滤文件和路径 阻止 /~ 这种带有波浪线的路径 #阻止文件类型(扩展名、后缀) .(bzr|cvs|git|svn) .(bak|backup|bzr|cfg|conf|cvs|doc|docx|DS_Store|ear|git|gitignore|hg|htaccess|htpasswd|ini|inc|jar|log|online|production|project|properties|pl|pm|py|pyc|pyo|sh|sql|svn|swp|war)$ #阻止常见windows文件格式 .(ade|adp|app|asa|ascx|ashx|asmx|asp|aspx|axd|bas|bat|cdx|cer|chm|class|cmd|com|config|cpl|crt|cs|csproj|csh|csr|dat|dbf|dll|dos|exe|fxp|hlp|hta|htr|htw|ida|idc|idq|ins|isp|its|jse|key|ksh|licx|lnk|mad|maf|mag|mam|maq|mar|mas|mat|mau|mav|maw|mda|mdb|mde|mdt|mdw|mdz|msc|msh|msh1|msh1xml|msh2|msh2xml|mshxml|msi|msp|mst|old|ops|pass|pcd|pdb|pif|pol|prf|prg|printer|pst|pwd|resources|resx|reg|rem|scf|scr|sct|shb|shs|shtm|shtml|soap|stm|sys|url|vb|vbe|vbs|vbproj|vsdisco|webinfo|xsd|xsx|ws|wsc|wsf|wsh)$ 2.过
nginx+waf的配置
06-13
这个文件是我们生产所用的nginx配置文件和waf结合使用的配置文件
Frp+长亭雷池waf+Nginx实现内网穿透
qq_38525486的博客
07-08 2683
以上配置能够实现访问为SSL加密的,但是会存在一个问题是waf内始终获取不到proxy_protocol内的客户端真实地址并且会报错Header头损坏。但是使用http协议进来的请求是OK的,所以怀疑是plugin转http时重写了Header导致。可以点击详情查看拦截的详细信息,在调试获取真实IP的时候可以通过这里查看请求 来判断是否有传入真实IP地址。例如:以上X-real-IP获取的为我的公网访问地址,那么我们需要去【通用配置】中修改如下配置。另外这里的端口和域名都为frpc内配置的请求地址和端口。
nginx下安装配置modsecurity waf防火墙(附完整编译、配置、排错、详细规则)
热门推荐
中年闰土的博客
07-01 24万+
ModSecurity是一个免费、开源的Apache模块,可以充当Web应用防火墙(WAF)。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。目前已经支持nginx和IIS,配合nginx的灵活和高效,可以打造成生产级的WAF,...
waf防火墙】基于nginx+lua实现的waf防火墙搞定web攻击和防刷限流
最新发布
weixin_56364253的博客
04-17 1863
xwaf是利用lua+nginx作为web服务接入层,结合管理平台xwaf_admin进行管理的一款轻量级低成本防火墙。 xwaf_admin管理平台的功能主要是对接入的应用,建立一套安全防护、防刷限流的规则、黑白名单等规则进行管理维护,waf防护的规则参考开发web安全项目组织【owsp】的核心规则集【crs】。nginx实例从xwaf_admin管理平台读取配置、配置及规则信息并写进nginx的内存。
nginx进行安全加固.zip
12-21
nginx进行安全加固.zip nginx安全加固技术
基于nginxwaf方案naxsi源码理解(5)-主要结构体
07-17
Naxsi是一个强大的Web应用程序防火墙(WAF),它作为Nginx的一个模块运行,用于保护网站免受各种类型的攻击,如SQL注入、XSS、CSRF等。Naxsi的核心在于其规则引擎,该引擎解析并执行由`naxsi_core.rules`配置文件...
NGINX安全加固手册.docx
03-03
NGINX安全加固手册 NGINX是当前最流行的Web服务器软件之一,但是一旦配置不当,可能会导致安全漏洞。因此,NGINX安全加固是非常重要的。本文档旨在提供一份详细的NGINX安全加固手册,帮助用户更好地保护自己的Web...
《最新版Nginx安装waf部署包》
08-28
原文连接:...说明:部署包包含 nginx V1.16.0 luajit V2.2.1(最新版) v0.3.1(最新版) v0.10.14rc5 注意:部署包存在兼容问题,这里是我经过验证后的最新稳定版本。
Centos 7 64 +[nginx+ngx_lua 模块] 支持WAF防护功能
11-16
Centos 7 64 +[nginx+ngx_lua 模块] 支持WAF防护功能 可以作为喔
nginx,waf配置信息
08-22
nginx 防火墙,简单的waf配置信息
WAF学习之一——Nginx与反向代理
weixin_38719347的博客
03-01 3176
文章目录反向代理什么是反向代理 反向代理 https://www.cnblogs.com/loverwangshan/p/9927968.html https://www.jianshu.com/p/6215e5d24553 流程图如下: 什么是反向代理 反向代理是(Reverse Proxy)是以代理服务器的形式来接受来自Internet的请求,然后将请求转发给内部服务器;并从服务器得到响应返...
详解雷池WAF支撑超大流量的秘密(1):雷池对 Nginx 的使用
m0_63660506的博客
07-31 1451
Web 应用防火墙(Web Application Firewall,简称WAF)是针对 HTTP/HTTPS 流量进行安全防护的一种产品,简单来说,它可以对 HTTP/HTTPS 流量进行恶意特征识别、阻断攻击流量,并将过滤后的安全流量放行给上游业务服务器。WAF 通常支持多种部署模式,而在这些部署模式中,反向代理模式一直是一种比较受欢迎的模式,其部署方式如下:可以看到,在反向代理模式下,WAF 接收来自 Internet 上的 HTTP 请求,在完成流量检测之后再将请求转发给上游的业务服务器。
nginx中安装和使用waf防火墙教程
高性价比服务器就选:蓝易云
12-10 523
现在,您已经成功在Nginx中安装和使用了WAF防火墙。WAF将帮助保护您的Web应用程序免受常见的Web攻击,并提供额外的安全层。请确保定期更新WAF规则以保持最新的安全保护。指令指定WAF规则的路径。您需要根据实际情况调整路径。指令加载了WAF模块,并使用。在这个例子中,我们通过。
Nginx安装WAF
卡了个卡
07-13 3601
Nginx安装WAF
使用Nginx+Lua实现自定义WAF(Web application firewall)
qq_27546717的博客
06-26 1526
这个是整个WAF最核心的部分,流程如图2-8所示,Nginx处理HTTP协议的请求内容,将HTTP协议解析成URL、URL参数、post内容、cookie、user-agent等字段,Lua针对这些字段进行检测,判断攻击类型。WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。使用页面访问,可以正常使用,说明反向代理配置生效。支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
Nginx 快速集成免费 WAF
m0_63660506的博客
06-30 1122
OpenResty 是一个基于 Nginx 和 LuaJIT 的全功能 Web 应用服务器。本文主要介绍如何用Nginx 快速集成免费 WAF
开源框架openresty+nginx 实现web应用防火墙(WAF
chuanxincui的博客
01-09 8036
1、简介 Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击(Cross Site Scripting  xss)、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC(挑战黑洞)攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 本文主要是通过春哥的开源框...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值