LNMP 1.5 测试版体验之 ngx_lua_waf 初体验!

今天用上了军哥的LNMP一键包 LNMP1.5 测试版后,第一时间就重新编译了Nginx,加入了Lua的支持!这个可以说是明月当时选用LNMP生产环境的主要诱因,没有想到自己的编译水平实在是有T # j W u O Z H q限,照着教程都无法顺利编译通过,直到这次 LNMP1.5 测试版 发布集成了支持Lua的编译开关才算是真正的在Nginx里用上了LuK l J ga(可参考【军哥 LNMP 一键安装包 1.5测试版发布】一文了解)。

LNMP 1.5 测试版体验之 ngx_lua_waf 初体验!

升级LNMP1.5测试版后,迫不及待的在lnmp.conf里打开Lua支持开关重新编译Nginx,一气呵成!

PS:可/ ^ Q w t l x -惜了前几天的【纯自嗨,LNMP下启用TLSv1.3支持过程全记录】一文启用的SSL的TLSv1.` Z l *3支持因为重新编译也给放弃了,不过毕竟是“孤芳自赏”自嗨的,放弃也就放弃了!

要说明月一直以来最想用的Lua模块就是ngx_lua_waf了,至于这是干啥的,看下面的说明大家就知道了

ngx_lua_waf说明

  • 防止sql注入,本地包含,部分溢出,fua U % & a @ Azzing测试,xss,SSRF等web攻击。
  • 防止svn/备份之类文件泄漏。
  • 防止M B H & X g B 7 jApac* { # 3 , U 1heBench之类压力测试工具的攻击。
  • 屏蔽常见的扫描黑客_ _ o * L ^ q工具,扫描器。
  • 屏蔽异常的网络请求。
  • 屏蔽图片附件类目录php执行权Y [ v l } o a g限。
  • 防止webshell上传

下载ngx_lua_waf

wget https://github.com/loveshell/ngx_lua_waf/archive/master.z0 / [ | iip

解压缩到当前目录

unzip master.zip

进入ngx_lua_waf目录复制所有文件和目录到/usr/local/nginx.conf/waf/目录(这个q N $ ^ 7 &一般默认都是这里,如果不是请记得修改为自i i N X W E R己Nginx配置文件目录即可。)

mv ngx_lua_waf-master/* /usr/local/nginxv & 7 4 - M //conf/waf/

创建一个存放攻击日志记录的目录并赋予Nginx对应的权限,比如:

mkdir -p /data/logs/hack/
chown -R www:www /data/logs/hack/
chmod -R 755 /data/logsM 5 D A T/hack/

安装部署ngx_lua_waf

在N4 2 9 ( W :ginx默认的nginx.conf配置文件http模块里添加如下语句引用ngx_* ? P l u + 9 rlua_waf模块生效:

#部署ngx_lua_waf防火墙
lua_need_request_body on;
lua_shx x j h `ared_dict limit 10m;
lua_pA o ;ackage_path "/usr/local/nginx.conf/waf/?.lua";
access_by_lua_fil+ : o . } - ke /usr; C j m ^ I 9 u/local/nginx/conf/waf/waQ 4 [ O ` Kf.luaB ? = B p 4 s;
init_by_lua_file  /usr/local/nginx/conf/waf/init.lua;

编辑完成后,保存退出

为了确保万一y ? R L 9 i ? ^,让Nginx检查以下配置文件语法正确与否是个好习惯:

nginx -t

返回如下信息即表明配置文件正确无误。

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

修改ngx_lua_waf配置

可以编辑/usr/local/nginx/conf/waf/config.lua来调整ngx_lua_waf. Q _ : % ? T `的相关配置。

附送ngx_lua_waf 配置文件co| ! u w } ` B 8nfig.) W t j J y mlua中文注释

RulePath = "/usr/local/nginx/conf/waf/wafconf/"
--规则存q n Y f = $放目录
atL 2 1 } utacklog = "off"
--是否开启攻击] [ H K u信息记录,需要配置logdir
logdir = "/data/logs/hack/"
--log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限
UrlDeny="on"
--是否拦截url访问
Redirect="on"M 4 b
--是否拦截后重定向[ & . B O 8 B 7
CookieMatch = "on"
--是否拦截cooH i O o M akie攻击
postMatci G 6 ~h = "on"
--是否拦截post攻击
whiteModule = "on"
--是否开启URL白名单
black_fileExt={"php","jsp"}
--填写可上传文件后缀类型
ipWhiv = u p S Otelist={"127.0.0.1"}
--iS m , L `  { kp白名单,多个ip用逗号分隔
ipBlocklist={"1.0.0.1"}
--ip黑名单,多个ip用逗号分隔
CCDeny="on"
--是否开启拦截cc攻击(需要n7 W ?ginx.conf的` W M / . - 4 ;http( 5 f段增加lua_shared_dict limit 10m;)i R , { Y c -
CCrate = "100/60"
--设置cc攻击频z 3 G q Z w H F率,单位为秒.
--默认1分钟同一个IP只能请求I l o l . D H W同一个地址100次
html=[[Please go away~~]]
--警告内容,可在中括号内自定义

备注:不要乱动双引号,区分大小写

可以把config.lua中的Redirect设置为off,只记录不拦截,观察没有误拦后再开G + / . ?启。

完成自己的需求的配置后,保存退出。重启Nginx后就生效了。

测试

测试创建个test.php文件,内容为test,使用curl来访问。

curl http:h 9 5 ( * P Q//localhost/test.php?id=../etc/passl Z Q O Rwd

返回的内容:test

因为127.0.0.1允许的所以能看见页面的内容,因为域名地址是不允许的所以能看不见页面的内容,说明生效了

curl https://www.imydl.tech/test.php?id=.% H X R./etc/pQ S $asswd

同样的上面的地址在浏览器里看到的就是config.lua文件里的HTML源码的内容了,如下图:

LNMP 1.5 测试版体验之 ngx_lua_waf 初体验!

所以具4 0 : 1 u x U体的内容大家可以根据自己兴趣任意定制了!

LNMP 1.5 测试版体验之 ngx_lua_waf 初体验!

什么是WAF

  Wf y oeb应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/Hg m r J i U N Q JTTPS的 安全策略 来专门1 G Y $ c t为Web应用提供保护的一款产品。

WAF的功能

  • 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。
  • 支持URf N T W @ i hL白名单,将不需要过滤的URL进行定义。
  • S z X s e D ! _持Us, z j V o # 3 Ter-Agent的过滤,匹配自定义规则中的条目,n . r & 1 & O然后进9 g行处理(返回403)。
  • 支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。
  • 支持Cook& i | ; ~ 3ie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
  • 支持URL过滤j E [,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
  • 支持URL参数过滤,原理同上。
  • 支持日志记录,将所有拒绝的操作,记录到日志中去。

WAF的特点

  • 异常检测协议

  Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

  • 增强的输入验证

  增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。

  • 及时补丁

  修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息d E pWAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,K ) 9 I并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有h C ? 7 7选择的情况下,任何保护措施都比没有保护措施更好。

  • 基于规则的保护和基于异常的保护

  基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据) A 7 ] y S u ? ^判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了v v f v B % o解才可能做到,可现实中这是十分困难的一件事情。_ { h ^ D

  • 状态管理

  WAF能够判断用户是否是第y F F A * G #一次访问并且将请求重定向到默认登录页面并且t q # 0 O ; W记录事件。通过检测用户的整个. x f Y P x操作行为我们可以更容易识别攻击。状态U ] e s 9 ;管理模式还能检a t M @ $ B测出异^ 3 5 @ D常事件(比如登陆失败),并且在达到极限值时i F i进行处理。这对暴力攻击的识别和响应是十分有利的。

  • 其他防护技术

  WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

WAF与网络防火墙的区别

  网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。只是对端口做限制,对TCP协议做封堵。其产品设计无需理解HT1 l D ? N - ^ pTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可能对HTTP通讯进行输入验证或攻击规则分O ^ K i析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。
  一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,如能根据T] N ! 1 )CP会话异 s V }常性及攻击特A ; g征阻止网络a + `层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据T 2 O T包中,但从根本上说他仍然无法理解HTTP会话,难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用{ $ & + y V K a J层攻击t V b { / j 2
  web应用防火墙能在应用层理解分析HTTP会话,因此能有效的防止各类应用层攻击,同时他向下兼容,具备网络防火墙的功能。