NG+WAF实现应用安全访问

已于 2024-01-19 09:18:37 修改
阅读量1.9k 收藏 23
点赞数 36
CC 4.0 BY-SA版权
分类专栏: 运维经验分享 文章标签: 安全 网络
于 2024-01-17 10:23:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vincent0920/article/details/135641072
本文介绍了如何在NGINX中集成lua_waf模块,以提升Web应用安全。通过安装和配置ngx_lua_waf,实现IP黑白名单、URL过滤、CC攻击防护等功能,减轻硬件WAF对CPU的负担,确保业务稳定性。同时,文章提到NG+WAF架构下,流量先经过WAF检测再到达Web节点,避免了业务中断,并支持横向扩容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、基本概念

什么是waf?

Web应用防火墙(waf)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。

什么是ngx_lua_waf?

ngx_lua_waf是一个基于ngx_lua的web应用防火墙,Nginx支持开启waf模块,主要功能有:

支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝(新增cdip功能支持ip段)
支持URL白名单,将不需要过滤的URL进行定义
支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理
支持CC攻击防护,单个URL指定时间的访问次数,超过设定值(新增针对不同域名)
支持Cookie过滤,匹配自定义规则中的条目,然后进行处理
支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些
支持URL参数过滤,原理同上
支持日志记录,将所有拒绝的操作,记录到日志中去
新增支持拉黑缓存(默认600秒)

二、为啥要做NG+

了解本专栏 订阅专栏 解锁全文 超级会员免费看
nginx waf设计
03-11
基于nginx和modsecurity的WAF防火墙实现的配置1.过滤文件和路径 阻止 /~ 这种带有波浪线的路径 #阻止文件类型(扩展名、后缀) .(bzr|cvs|git|svn) .(bak|backup|bzr|cfg|conf|cvs|doc|docx|DS_Store|ear|git|gitignore|hg|htaccess|htpasswd|ini|inc|jar|log|online|production|project|properties|pl|pm|py|pyc|pyo|sh|sql|svn|swp|war)$ #阻止常见windows文件格式 .(ade|adp|app|asa|ascx|ashx|asmx|asp|aspx|axd|bas|bat|cdx|cer|chm|class|cmd|com|config|cpl|crt|cs|csproj|csh|csr|dat|dbf|dll|dos|exe|fxp|hlp|hta|htr|htw|ida|idc|idq|ins|isp|its|jse|key|ksh|licx|lnk|mad|maf|mag|mam|maq|mar|mas|mat|mau|mav|maw|mda|mdb|mde|mdt|mdw|mdz|msc|msh|msh1|msh1xml|msh2|msh2xml|mshxml|msi|msp|mst|old|ops|pass|pcd|pdb|pif|pol|prf|prg|printer|pst|pwd|resources|resx|reg|rem|scf|scr|sct|shb|shs|shtm|shtml|soap|stm|sys|url|vb|vbe|vbs|vbproj|vsdisco|webinfo|xsd|xsx|ws|wsc|wsf|wsh)$ 2.过
waf:使用Nginx+Lua实现WAF(版本v1.0)
05-08
WAF 使用Nginx+Lua实现自定义WAF(Web application firewall) 最近发现使用的人越来越多了,计划开始维护和增加新功能 2020.7.29 赵班长 项目背景介绍 需求产生 由于原生态的Nginx的一些安全防护功能有限,就研究能不能自己编写一个WAF,参考Kindle大神的ngx_lua_waf,自己尝试写一个了,使用两天时间,边学Lua,边写。不过不是安全专业,只实现了一些比较简单的功能: 功能列表: 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。 支持URL白名单,将不需要过滤的URL进行定义。 支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。 支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。 支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。 支持URL过
Nginx WAF 防护功能实战
西西工作室
04-30 2908
Nginx WAF 防护功能实战 下载地址 https://github.com/egzosn/ngx_lua_waf 用途: 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击 防止svn/备份之类文件泄漏 防止ApacheBench之类压力测试工具的攻击 屏蔽常见的扫描黑客工具,扫描器 屏蔽异常的网络请求 屏蔽图片附件类目录php执行权限 防止webshell...
Tengine 3.1.0 安装与 WAF 配置教程 (基于 Nginx 升级)
最新发布
crazy_rays的专栏
06-18 301
这个教程详细记录了从 Nginx 升级到 Tengine 3.1.0 并配置 ModSecurity WAF 的全过程,包括 Core Rule Set 4.15.0 的配置和使用。
Nginx - 集成ModSecurity实现WAF功能
小工匠
05-19 7160
ModSecurity是一款开源的Web应用防火墙(WAF),它能够保护Web应用免受各种类型的攻击。作为一个嵌入式模块,ModSecurity可以集成到常见的Web服务器(如Apache、Nginx)中,以拦截和阻止恶意的HTTP请求。其设计目标是提供一个灵活、可配置的安全解决方案,能够保护Web应用免受SQL注入、跨站脚本(XSS)、请求伪造、路径遍历等各种常见的Web攻击。
使用Nginx+Lua实现WAF - 学习笔记
不懂的博客
04-28 6694
一.OpenResty安装和测试官方网站:https://openresty.org/cn/ LUA学习:http://blog.jobbole.com/70480/1.安装OpenResty:# yum install -y readline-devel pcre-devel openssl-devel # cd /usr/local/src 下载并编译安装openresty # wget ht
Nginx 支持 WAF 防护功能实战
weixin_34117522的博客
03-31 459
  WAF(Web Application Firewall),中文名称叫做“Web应用防火墙 WAF的定义是这样的:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,通过从上面对WAF的定义中,我们可以很清晰地了解到:WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。用途:  用于过滤post,get,c...
Nginx访问本地项目及配置
热门推荐
KWMax
03-05 1万+
场景 在H5开发中,有时候有些问题只在线上环境出现,线上环境又不能随便更改代码和配置,比如,我们需要对页面进行重定向,正则匹配转发,那么我们能不能在本地调试就能模拟线上环境页面访问情况呢? 答案是肯定的!那么如何做呢? 模拟线上环境页面访问 1、nginx 线上环境使用的是nginx服务器。 Nginx是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服...
nginx+waf
不负韶华梦为马
07-15 3504
https://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html
使用NGINX+实现WAF功能
weixin_34319999的博客
11-24 677
一、了解WAF1.1 什么是WAFWeb应用防护系统(也称:网站应用级***防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。1.2 WAF的功能支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。支...
Nginx安装WAF
卡了个卡
07-13 3940
Nginx安装WAF
Nginx - 集成Waf 功能
小工匠
05-18 6529
检查请求URI是否包含"cost("或"concat("函数,或者URI中包含的SQL命令(如union、and、select、or、delete、update、insert)前后有空格或’+'符号,如果匹配,返回状态码504。检查HTTP用户代理字符串是否包含常见的扫描工具、下载工具、测试工具和爬虫(如YisouSpider、ApacheBench、Jmeter、Nmap等),如果匹配,返回状态码508。检查请求URI是否包含空格、“/.“或”./”,如果匹配,返回状态码509。检查查询字符串是否包含。
ngx_waf:用于nginx的Web应用程序防火墙模块,无需进行复杂的配置。 &使用简单的nginx防火墙模块
03-17
ngx_waf English | 用于nginx的Web应用程序防火墙模块,无需进行复杂的配置。 功能 IPV4和IPV6支持。 Anti Challenge Collapsar,它可以自动阻止恶意IP。 特定IP地址上的例外允许。 阻止指定的IP地址。 阻止指定的请求正文。 特定URL上的例外允许。 阻止指定的URL。 阻止指定的请求参数。 阻止指定的UserAgent。 阻止指定的Cookie。 特殊允许的推荐人。 阻止指定的引荐来源。 文件 推荐链接: : 备用链接: : 执照 谢谢 :此模块的大多数默认规则都来自此。 :感谢作者提供的教程。 :感谢作者提供的教程。
nginx+waf的配置
06-13
这个文件是我们生产所用的nginx配置文件和waf结合使用的配置文件
Nginx 快速集成免费 WAF
m0_63660506的博客
06-30 1460
OpenResty 是一个基于 Nginx 和 LuaJIT 的全功能 Web 应用服务器。本文主要介绍如何用Nginx 快速集成免费 WAF
nginx waf防火墙之Modsecurity
第九系艾文
03-14 1102
nginxwaf防火墙 modsecutiry
nginx-整合modsecurity做waf
weixin_41978855的博客
06-03 1297
ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。
使用Nginx+Lua实现自定义WAF(Web application firewall)
qq_27546717的博客
06-26 1868
这个是整个WAF最核心的部分,流程如图2-8所示,Nginx处理HTTP协议的请求内容,将HTTP协议解析成URL、URL参数、post内容、cookie、user-agent等字段,Lua针对这些字段进行检测,判断攻击类型。WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。使用页面访问,可以正常使用,说明反向代理配置生效。支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
开源框架openresty+nginx 实现web应用防火墙(WAF
chuanxincui的博客
01-09 8403
1、简介 Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击(Cross Site Scripting  xss)、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC(挑战黑洞)攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 本文主要是通过春哥的开源框...
CDN + Ddos + WAF +SLB
09-13
WAF(Web应用程序防火墙)是一种用于保护Web应用程序安全安全设备或服务。WAF可以检测和阻止针对Web应用程序的各种攻击,例如SQL注入、跨站脚本等。它通过检查应用程序的请求和响应,筛选和过滤恶意的或异常的请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值