利用 NGINX 和 LuaJIT 构建简单的 WAF

前言

当 WEB应用 越来越为丰富的同时,WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。

前面的是套话,WAF 的应用目前多见于一些主打安全性的 CDN 中,但是那些 CDN 用了以后的效果就是云减速或者变成 50X 网站,或者说不支持 HTTPS。因此自建一套 WAF 系统也是比较必要的。 区别于像 WordPress 上的 WAF 插件,直接在 Nginx 上部署效率更高,且不影响网站的速度和性能。

准备

首先我们需要 Nginx 作为 Web 服务器,并配备 ngx_lua 并使用 lujit2 做 lua 支持。大家可以自行编译,也可以直接使用 ngx_lua 作者开发的 OpenResty,基于 Nginx 默认集成 ngx_lua,新手还是推荐直接使用后者。

然后就是,ngx_lua_waf,包含多种防御规则,直接一键上手。

特征

防止 sql 注入,本地包含,部分溢出,fuzzing 测试,xss,SSRF 等 web 攻击 防止 svn/备份 之类文件泄漏 防止 ApacheBench 之类压力测试工具的攻击 屏蔽常见的扫描黑客工具,扫描器 屏蔽异常的网络请求 屏蔽图片附件类目录 php 执行权限 防止 webshell 上传

一般来说,基本的网络攻击都可以防御了,软件的缺陷导致的漏洞也可以一定弥补,还可以一定程度上拦截或者缓解 CC 攻击。

安装

注:

这里默认安装了 OpenResty 在 /usr/local/openresty 目录下

一、下载 ngx_lua_waf

git clone https://github.com/loveshell/ngx_lua_waf.git
mv ngx_lua_waf waf
mv waf /usr/local/openresty/nginx/

#创建日志目录
mkdir -p /usr/local/openresty/nginx/logs/hack/
chmod -R 775 /usr/local/openresty/nginx/logs/hack/

二、修改 nginx.conf

修改 /usr/local/openresty/nginx/conf/nginx.conf ,在 http{} 内加入

    lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
    lua_shared_dict limit 10m; #开启拦截cc攻击
    init_by_lua_file  /usr/local/openresty/nginx/conf/waf/init.lua; 
    access_by_lua_file /usr/local/openresty/nginx/conf/waf/waf.lua;

三、修改 config.lua

修改 /usr/local/openresty/nginx/conf/waf/config.lua 文件。

对应地方修改为 :

RulePath = "/usr/local/openresty/nginx/conf/waf/wafconf/"
attacklog = "on"
logdir = "/usr/local/openresty/nginx/logs/hack/"
UrlDeny="on"

此文件的详细配置内容:(每次修改,都要重启 Nginx 以便生效)

    RulePath = "/usr/local/nginx/conf/waf/wafconf/"
    --规则存放目录
    attacklog = "off"
    --是否开启攻击信息记录,需要配置logdir
    logdir = "/usr/local/nginx/logs/hack/"
    --log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限
    UrlDeny="on"
    --是否拦截url访问
    Redirect="on"
    --是否拦截后重定向
    CookieMatch = "on"
    --是否拦截cookie攻击
    postMatch = "on" 
    --是否拦截post攻击
    whiteModule = "on" 
    --是否开启URL白名单
    black_fileExt={"php","jsp"}
    --填写不允许上传文件后缀类型
    ipWhitelist={"127.0.0.1"}
    --ip白名单,多个ip用逗号分隔
    ipBlocklist={"1.0.0.1"}
    --ip黑名单,多个ip用逗号分隔
    CCDeny="on"
    --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
    CCrate = "100/60"
    --设置cc攻击频率,单位为秒.
    --默认1分钟同一个IP只能请求同一个地址100次
    html=[[Please go away~~]]
    --警告内容,可在中括号内自定义
    备注:不要乱动双引号,区分大小写

四、重启

重启你的 Nginx 服务,一般来说都是 service nginx restart

五、检测是否生效

在终端输入

curl http://www.mf8.biz/test.php?id=../etc/passwd

如果返回:网站防火墙 等内容,差不多就是了

也可以直接浏览器访问

http://www.mf8.biz/test.php?id=../etc/passwd

返回下图即可:

当然了,错误页面的内容都是可以自己定义的。

发表评论

发表评论

沙发空缺中,还不快抢~