Nginx编译安装ngx_lua_waf配置web应用防火墙 – 喵斯基部落

Nginx编译安装ngx_lua_waf配置web应用防火墙 – 喵斯基部落

说明展开目录

ngx_lua_waf 是一个基于 lua-nginx-module 高性能的轻量级 web 应用防火墙。

waf.jpg

它具有以下功能:

  • 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击

  • 防止svn/备份之类文件泄漏

  • 防止ApacheBench之类压力测试工具的攻击

  • 屏蔽常见的扫描黑客工具,扫描器

  • 屏蔽异常的网络请求

  • 屏蔽图片附件类目录php执行权限

  • 防止webshell上传

经过 unixhot 的修改和重构,拥有了以下功能:

  • 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝

  • 支持URL白名单,将不需要过滤的URL进行定义

  • 支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403

  • 支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403

  • 支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403

  • 支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403

  • 支持URL参数过滤,原理同上

  • 支持日志记录,将所有拒绝的操作,记录到日志中去

  • 日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示

安装展开目录

安装起来也是相当容易,说白了就是给 nginx 增加 ngx_devel_kitlua-nginx-module 这两个模块,然后再修改 nginx 配置来运行 ngx_lua_waf

博主的安装环境是 OS:centos 7.4_x64、nginx-1.15.6(编译过)

下载 ngx_lua_waf 防火墙的各种依赖及模块展开目录

编译安装 luajit展开目录

  • cd luajit-2.1

  • make -j2 && make install

  • echo '/usr/local/lib' >> /etc/ld.so.conf.d/local.conf

  • ldconfig

编译安装 lua-cjson展开目录

  • cd /usr/src/lua-cjson

  • export LUA_INCLUDE_DIR=/usr/local/include/luajit-2.1

  • make -j2 && make install

设置 LUAJIT 环境变量展开目录

  • export LUAJIT_LIB=/usr/local/lib

  • export LUAJIT_INC=/usr/local/include/luajit-2.1

编译 nginx 的时候加上以下两个模块展开目录

  • --add-module=../lua-nginx-module

  • --add-module=../ngx_devel_kit

下载配置 ngx_lua_waf展开目录

  • cd /usr/local/nginx/conf/

  • git clone https://github.com/xzhih/ngx_lua_waf.git waf

  • cat > /usr/local/nginx/conf/waf.conf << EOF

  • lua_shared_dict limit 20m;

  • lua_package_path "/usr/local/nginx/conf/waf/?.lua";

  • init_by_lua_file "/usr/local/nginx/conf/waf/init.lua";

  • access_by_lua_file "/usr/local/nginx/conf/waf/access.lua";

  • EOF

  • mkdir -p /usr/local/nginx/logs/waf

  • chown www-data:www-data /usr/local/nginx/logs/waf

你可以在 /usr/local/nginx/logs/waf 找到防火墙日志

nginx.conf 里 include waf.conf展开目录

  • include waf.conf;

启动 nginx 并访问 http://你的IP/?a=a.sql 测试,不出意外就可以看到防火墙提示了。

Copyright展开目录

https://github.com/lj2007331/ngx_lua_waf

https://github.com/loveshell/ngx_lua_waf

https://github.com/unixhot/waf

本文标题 Nginx 编译安装 ngx_lua_waf 配置 web 应用防火墙
若文章需要更新或相关链接出现 404 – 请联系 MoeWah
本站采用 “知识共享署名 – 非商业性使用 – 相同方式共享 4.0 中国大陆许可协议” 进行许可,转载请注明出处!