CentOS7.7OpenResty實(shí)現(xiàn)WAF應(yīng)用防火墻-創(chuàng)新互聯(lián)

1、WAF相關(guān)概念介紹：

在仁布等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供網(wǎng)站建設(shè)、成都做網(wǎng)站 網(wǎng)站設(shè)計(jì)制作按需設(shè)計(jì)網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計(jì),成都全網(wǎng)營銷推廣,外貿(mào)網(wǎng)站制作,仁布網(wǎng)站建設(shè)費(fèi)用合理。

（1）WAF簡介：

WAF：Web Appalication Firewall，Web應(yīng)用防火墻，是一種工作在應(yīng)用層的、通過一系列針對HTTP/HTTPS的安全策略為Web應(yīng)用提供安全防護(hù)的產(chǎn)品。

（2）WAF可以實(shí)現(xiàn)如下功能：

a、防止SQL注入、本地包含、部分溢出、Fuzzing測試、XSS等Web Attack；

b、防止SVN/備份之類的文件泄漏；

c、防止Apache Bench之類的壓測工具Attack；

d、屏蔽常見的Hacker掃描工具；

e、屏蔽異常的網(wǎng)絡(luò)請求；

f、屏蔽圖片附件類目錄的PHP執(zhí)行權(quán)限；

g、防止Webshell上傳等。

2、安裝依賴軟件包：

# yum -y install gcc gcc-c++ make zlib zlib-devel openssl openssl-devel pcre pcre-devel perl-devel perl-ExtUtils-Embed gd-devel libxml2 libxml2-devel libxslt libxslt-devel GeoIP GeoIP-devel GeoIP-data git libuuid-devel libblkid-devel libudev-devel fuse-devel libedit-devel libatomic_ops-devel httpd-tools

3、編譯安裝OpenResty：

# useradd -s /sbin/nologin -M nginx

# mkdir -pv /usr/local/openresty/nginx/logs/

# tar -xf openresty-1.15.8.2.tar.gz -C /usr/src

# cd /usr/src/openresty-1.15.8.2/

# ./configure --prefix=/usr/local/openresty --user=nginx --group=nginx --with-threads --with-file-aio --with-http_iconv_module --with-luajit --with-http_v2_module --with-http_realip_module --with-http_addition_module --with-http_xslt_module --with-http_image_filter_module --with-http_geoip_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_auth_request_module --with-http_random_index_module --with-http_secure_link_module --with-http_degradation_module --with-http_slice_module --with-http_stub_status_module --with-http_perl_module --with-mail --with-mail_ssl_module --with-stream --with-stream_ssl_module --with-stream_realip_module --with-stream_geoip_module --with-stream_ssl_preread_module --with-pcre --with-pcre-jit --with-libatomic --http-log-path=/usr/local/openresty/nginx/logs/access.log

# gmake && gmake install

4、配置環(huán)境變量，并啟動OpenResty：

# vim /etc/profile.d/openresty.sh

export PATH=/usr/local/openresty/nginx/sbin:/usr/local/openresty/bin:$PATH

# . /etc/profile.d/openresty.sh

# nginx -v

# nginx

# ss -tunlp | grep -w :80

5、測試Lua環(huán)境：

# vim /tmp/hello.lua --> print("Hello Lua")

# lua /tmp/hello.lua

# lua

6、測試OpenResty Lua模塊：

# cd /usr/local/openresty/nginx/conf

# cp nginx.conf{,.bak}

# vim nginx.conf，在server配置段中新增如下location：

location /lua {

default_type? text/html;

content_by_lua_block {

ngx.say("Hello Lua")

}

}

# nginx -t

# nginx -s reload

7、創(chuàng)建保存***日志的目錄：

# mkdir -pv /usr/local/openresty/nginx/logs/hack

8、下載解壓ngx_lua_waf模塊：

ngx_lua_waf：基于lua-nginx-module的Web應(yīng)用防火墻，https://github.com/loveshell/ngx_lua_waf。

# tar -xf ngx_lua_waf-0.7.2.tar.gz -C /usr/local/openresty/nginx/conf

# cd /usr/local/openresty/nginx/conf

# mv ngx_lua_waf-0.7.2 waf

# chown -R nginx.nginx /usr/local/openresty

備注：waf目錄主要結(jié)構(gòu)

（1）config.lua：配置文件；

（2）init.lua：規(guī)則函數(shù)；

（3）waf.lua：定義WAF檢測順序；

（4）wafconf：保存過濾規(guī)則的目錄，每條規(guī)則需換行或用|分割；

（5）wafconf/args：按照GET參數(shù)過濾（默認(rèn)已開啟）；

（6）wafconf/cookie：按照Cookie過濾；

（7）wafconf/post：按照POST請求過濾（默認(rèn)已開啟）；

（8）wafconf/url：按照GET請求URL過濾；

（9）wafconf/user-agent：按照User Agent過濾；

（10）wafconf/whiteurl：按照白名單中的URL做匹配，匹配到則不做過濾。

9、修改config.lua配置文件中waf規(guī)則目錄的路徑：

# vim /usr/local/openresty/nginx/conf/waf/config.lua --> RulePath="/usr/local/openresty/nginx/conf/waf/wafconf/"

備注：config.lua配置文件

指令	含義
RulePath="/usr/local/openresty/nginx/conf/waf/wafconf/"	規(guī)則存放目錄
attacklog="on"	開啟日志
logdir="/usr/local/openresty/nginx/logs/hack/"	Log日志目錄
UrlDeny="on"	攔截URL訪問
Redirect="on"	攔截后重定向
CookieMatch="on"	攔截Cookie?Attack
postMatch="on"	攔截Post?Attack
whiteModule="on"	開啟URL白名單
black_fileExt={"php","jsp"}	不允許上傳的文件后綴類型
ipWhitelist={"127.0.0.1"}	IP白名單，多個IP之間使用逗號分隔
ipBlocklist={"1.0.0.1"}	IP黑名單，多個IP之間使用逗號分隔
CCDeny="on"	開啟攔截CC Attack（需要在nginx.conf的http配置段中新增代碼lua_shared_dict limit 10m;）
CCrate="100/60"	設(shè)置CC Attack頻率，單位為秒 默認(rèn)1分鐘同一個IP只能請求同一個地址100次

10、修改nginx.conf配置文件：

# vim /usr/local/openresty/nginx/conf/nginx.conf，在http配置段中新增如下代碼：

lua_package_path? "/usr/local/openresty/nginx/conf/waf/?.lua";

lua_shared_dict? limit? 10m;

init_by_lua_file? "/usr/local/openresty/nginx/conf/waf/init.lua";

access_by_lua_file? "/usr/local/openresty/nginx/conf/waf/waf.lua";

# nginx -t

# nginx -s reload

11、測試WAF應(yīng)用防火墻：

（1）模擬URL參數(shù)檢測：http://192.168.0.121/lua?id=../etc/shadow

（2）使用ab命令模擬CC Attack：# ab -n 10000 -c 100 http://192.168.0.121/lua

備注：ab命令選項(xiàng)

a、-n requests：執(zhí)行的請求總數(shù)，默認(rèn)為1

b、-c concurrency：一次并發(fā)執(zhí)行的請求數(shù)，默認(rèn)為1

（3）查看日志：# tail -3 /usr/local/openresty/nginx/logs/hack/localhost_2020-02-18_sec.log

192.168.0.121 [2020-02-18 00:47:49] "UA localhost/lua" "-"? "ApacheBench/2.3" "(HTTrack|harvest|audit|dirbuster|pangolin|nmap|sqln|-scan|hydra|Parser|libwww|BBBike|sqlmap|w3af|owasp|Nikto|fimap|havij|PycURL|zmeu|BabyKrokodil|netsparker|httperf|bench| SF/)"

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

名稱欄目：CentOS7.7OpenResty實(shí)現(xiàn)WAF應(yīng)用防火墻-創(chuàng)新互聯(lián)
地址分享：http://muchs.cn/article10/dphpdo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、網(wǎng)站維護(hù)、網(wǎng)站設(shè)計(jì)公司、云服務(wù)器、定制網(wǎng)站、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)