Openresty增加waf配置

1. Ngx lua waf 说明

防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击

防止svn/备份之类文件泄漏

防止ApacheBench之类压力测试工具的攻击

屏蔽常见的扫描黑客工具,扫描器

屏蔽异常的网络请求

屏蔽图片附件类目录php执行权限

防止webshell上传

2. 下载 waf

使用git

git clone https://github.com/loveshell/ngx_lua_waf.git

使用wget

wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip

3. 安装

下载解压后,将整 ngx_lua_waf 放到 nginx conf 目录中,并命名为 waf;

4. 配置

nginx安装路径假设为:/usr/local/nginx/conf/ ;以下都将以此配置为例进行说明

4.1. 在nginx.conf的http段添加

lua_package_path "/usr/local/nginx/conf/waf/?.lua";

lua_shared_dict limit 10m;

init_by_lua_file  /usr/local/nginx/conf/waf/init.lua;

access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

4.2. 配置config.lua

--配置waf规则目录

RulePath = "/usr/local/nginx/conf/waf/wafconf/"

--修改失败提示

html=[[{"retcode":"21000","messages":"请求失败,请稍后再试","body":{}}]]

--开启cc攻击,需要在nginx.conf http 段配置lua_shared_dict

CCDeny="on"

-- 设置cc攻击频率,单位为秒 (如:同一个ip请求同一个地址,每秒最多请求50次)

CCrate = "50/1"

4.3. 其他详细配置说明

    RulePath = "/usr/local/nginx/conf/waf/wafconf/"

    --规则存放目录

    attacklog = "off"

    --是否开启攻击信息记录,需要配置logdir

    logdir = "/usr/local/nginx/logs/hack/"

    --log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限

    UrlDeny="on"

    --是否拦截url访问

    Redirect="on"

    --是否拦截后重定向

    CookieMatch = "on"

    --是否拦截cookie攻击

    postMatch = "on"

    --是否拦截post攻击

    whiteModule = "on"

    --是否开启URL白名单

    black_fileExt={"php","jsp"}

    --填写不允许上传文件后缀类型

    ipWhitelist={"127.0.0.1"}

    --ip白名单,多个ip用逗号分隔

    ipBlocklist={"1.0.0.1"}

    --ip黑名单,多个ip用逗号分隔

    CCDeny="on"

    --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)

    CCrate = "100/60"

    --设置cc攻击频率,单位为秒.

    --默认1分钟同一个IP只能请求同一个地址100次

    html=[[Please go away~~]]

    --警告内容,可在中括号内自定义

5 修改 waf/init.lua 文件

替换sys_html 函数:

function say_html()

    if Redirect then

        ngx.header.content_type = "text/html;charset=UTF-8"

        ngx.status = ngx.HTTP_FORBIDDEN

        ngx.say(html)

        ngx.exit(ngx.status)

    end

end

替换denycc 函数:

function denycc()

    if CCDeny then

        local uri=ngx.var.uri

        CCcount=tonumber(string.match(CCrate,'(.*)/'))

        CCseconds=tonumber(string.match(CCrate,'/(.*)'))

        local token = getClientIp()..uri

        local limit = ngx.shared.limit

        local req,_=limit:get(token)

        if req then

            if req > CCcount then

                ngx.header.content_type = "application/json;charset=UTF-8"

                local ret={returncode='22000',messages='请求拒绝,请稍后再试',body={}}

                --ngx.header['Content-Type']="text/html;charset=UTF-8"

                ngx.say(json.encode(ret))

                ngx.exit(200)

                return true

            else

                 limit:incr(token,1)

            end

        else

            limit:set(token,1,CCseconds)

        end

    end

    return false

end

6. 启用waf

然后重启nginx,或reload 即可:

/user/local/nginx/sbin/nginx -s reload

7. 测试

curl http://www.test.cn/test/index?id=../etc/passwd

返回:{"retcode":"21000","messages":"请求失败,请稍后再试","body":{}} 说明生效

Openresty增加waf配置的更多相关文章

  1. 安装Nginx+Lua+OpenResty开发环境配置全过程实例

    安装Nginx+Lua+OpenResty开发环境配置全过程实例 OpenResty由Nginx核心加很多第三方模块组成,默认集成了Lua开发环境,使得Nginx可以作为一个Web Server使用. ...

  2. [转]通过继承ConfigurationSection,在web.config中增加自定义配置

    本文转自:http://www.blue1000.com/bkhtml/2008-02/55810.htm 前几天写了一篇使用IConfigurationSectionHandler在web.conf ...

  3. Tomcat增加Context配置不带项目名访问导致启动的时候项目加载两次

    eclipse发布web应用至tomcat,默认方式下访问该项目是需要带项目名称的,例http://localhost:8080/myapp/.现在需要改成这样访问http://localhost.修 ...

  4. webstorm增加内存配置参数

    webstorm增加内存配置参数 找到WebStorm.exe.vmoptions这个文件,路径如下 webstorm安装主目录>bin>WebStorm.exe.vmoptions 更改 ...

  5. 使用Nginx+Openresty实现WAF功能

    什么是WAF Web应用防护系统(也称为:网站应用级入侵防御系统.英文:Web Application Firewall,简称: WAF).利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针 ...

  6. 使用IConfigurationSectionHandler在web.config中增加自定义配置

    一. 场景    这里仅举一个简单应用的例子,我希望在web.config里面增加网站的基本信息,如:网站名称,网站版本号,是否将网站暂时关闭等.二. 基本实现方法1. 定义配置节点对应的类:Site ...

  7. 为OpenResty增加ngx_pagespeed模块进行优化

    1.下载ngx_pagespeed模块 wget https://github.com/pagespeed/ngx_pagespeed/archive/v1.8.31.4-beta.zip unzip ...

  8. nopcommerce 4.1 core 学习 增加商城配置属性

    需求:  原本是想用nop 来做国际版的商城,可以像亚马逊那样 国内外通用,  专门增加一个跨进元素属性. 学习里面的一些架构思想.  国内的行情还是 像himall  会比较实用. 这是在商城的综合 ...

  9. 基于openresty的https配置实践

    最近机器人项目的子项目,由于和BAT中的一家进行合作,人家要求用HTTPS连接,于是乎,我们要改造我们的nginx的配置,加添HTTPS的支持. 当然了,HTTPS需要的证书,必须是认证机构颁发的,这 ...

随机推荐

  1. 如何解决 SQL Server 中的锁升级所致的阻塞问题

    概要 锁升级为表锁插入转换很多细粒度的锁 (如行或页锁) 的过程.Microsoft SQL Server 动态确定何时执行锁升级.作出决定之前,SQL Server 将特定的扫描,整个事务,并且用于 ...

  2. Java基础(十):封装

    在面向对象程式设计方法中,封装(英语:Encapsulation)是指一种将抽象性函式接口的实现细节部份包装.隐藏起来的方法.封装可以被认为是一个保护屏障,防止该类的代码和数据被外部类定义的代码随机访 ...

  3. 协定须要双工,可是绑定“WSHttpBinding”不支持它或者因配置不对而无法支持它

    协定须要双工,可是绑定"WSHttpBinding"不支持它或者因配置不对而无法支持它 下面两种情况,我都遇到过. 一, < endpoint address =" ...

  4. [JSP]JSP中include指令和include动作的差别

    include指令是编译阶段的指令,即include所包括的文件的内容是编译的时候插入到JSP文件里,JSP引擎在推断JSP页面未被改动,否则视为已被改动. 因为被包括的文件是在编译时才插入的.因此假 ...

  5. Deal with relational data using libFM with blocks

    原文:https://thierrysilbermann.wordpress.com/2015/09/17/deal-with-relational-data-using-libfm-with-blo ...

  6. Python27中Json对中文的处理

    应用场景如下:从api下载数据,json解析,存入字典,定期保存.重启程序需要加载保存的文本. 问题1:json中都是unicode串,存到文本里都是些\u*** 解决:关闭ensure_ascii开 ...

  7. IOS开发基础Object-C(12)—单例模式

    单例模式的意思就是仅仅有一个实例. 单例模式确保某一个类仅仅有一个实例,并且自行实例化并向整个系统提供这个实例.这个类称为单例类. 1.单例模式的要点: 显然单例模式的要点有三个:一是某个类仅仅能有一 ...

  8. cocos lua 加密与解密 混淆 (版本号cocos3.4)

    cocos luacompile cocos luacompile Overview Usage Available Arguments Samples Overview Compile the .l ...

  9. UISlider设置按钮透明

    UISlider *aslider = [[UISlider alloc]initWithFrame:kCR(, , , )]; [aslider setValue:0.5]; [aslider se ...

  10. BIO、NIO、AIO差别

    网上非常多IO资料,对新手来说.越看越晕.依据自己的理解.总结对照了一下BIO.NIO.AIO. BIO:线程发起IO请求,无论内核是否准备好IO操作,从发起请求起,线程一直堵塞,直到操作完毕. 例如 ...