nginx lua软waf应用防火墙 (Openresty)
 

现在企业的业务出口基本是http/https其他内部端口都可以在设备acl和iptables访问控制;那主要的web出口如何做安全防护?? 我们使用nginx lua 来实现web软waf。

waf

nginx waf防护顺序:

先检查白名单,通过即不检测;再检查黑名单,不通过即拒绝,检查UA,UA不通过即拒绝;检查cookie;URL检查;URL参数检查,post检查;

nginx waf 配置

http {
    # lua_waf
    lua_shared_dict limit 50m;
    #根据主机内存调合适的值  
    lua_shared_dict iplimit 20m;
    lua_shared_dict blockiplimit 5m;

    lua_package_path "/usr/local/nginx/conf/waf/?.lua";
    init_by_lua_file  /usr/local/nginx/conf/waf/init.lua;
    access_by_lua_file /usr/local/nginx/conf/waf/access.lua;
}

项目地址

https://gitee.com/attacker/waf

cd  /local/nginx/conf
git clone https://gitee.com/attacker/waf
# 下载到nginx目录

启用waf

cat /local/nginx/conf/waf/config.lua

config_waf_enable = "on"

nginx -s reload #载入

访问效果

elk访问日志分析图


文章作者: 以谁为师
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源!
              
  目录