nginx ngx_waf模块 使用总结

最新推荐文章于 2025-03-15 00:15:00 发布
最新推荐文章于 2025-03-15 00:15:00 发布
阅读量2.1k 收藏
点赞数
分类专栏: nginx 文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lzw_me/article/details/121908539
版权

ngx_waf 核心规则 :

naxsi_core.rules  配置参考naxsi_core.rules naxsi/naxsi_core.rules at master · nbs-system/naxsi · GitHubhttps://github.com/nbs-system/naxsi/blob/master/naxsi_config/naxsi_core.rules

白名单规则(naxsi_mysite.rules):

SecRulesEnabled;
DeniedUrl "/RequestDenied";
CheckRule "$SQL >= 8" BLOCK;
CheckRule "$RFI >= 8" BLOCK;
CheckRule "$TRAVERSAL >=4" BLOCK;
CheckRule "$EVADE >= 4" BLOCK;
CheckRule "$XSS >= 8" BLOCK;

如果需要制定日志路径 可以在location 添加

error_log /data/openresty/logs/naxsi.log;#配置Naxsi错误日志

白名单配置(naxsi_white.rules):

BasicRule wl:0 "mz:$HEADERS_VAR:cookie";
BasicRule wl:0 "mz:$ARGS_VAR:timstape";
BasicRule wl:0 "mz:$ARGS_VAR:timestape";
BasicRule wl:15 "mz:$URL:/elastic/login!getCookie.do|BODY";
BasicRule wl:1402 "mz:$URL:/elastic/login!getCookie.do|$HEADERS_VAR:content-type";
BasicRule wl:1000 "mz:$URL:/elastic/css/form_table.css|URL";
BasicRule wl:1005 "mz:$URL:/elastic/jtmg/notice_add.do|$BODY_VAR:noticeinfo.channelcode";
BasicRule wl:1008 "mz:$URL:/elastic/jtmg/warnMsg!queryWarnNoConfig.do|BODY";
BasicRule wl:1008 "mz:$URL:/elastic/ninclude/html{cursor:text;*cursor:auto}img,input,textarea{cursor:default}|URL";
BasicRule wl:1100 "mz:$URL:/elastic/system/os/os!update.do|$BODY_VAR:url";
BasicRule wl:1100,1101 "mz:$URL:/elastic/jtmg/saleruleinfoV2!modify.do|BODY";
BasicRule wl:1015 "mz:$URL:/elastic/jtmg/salerule!save.do|$BODY_VAR:salecode";
BasicRule wl:1015 "mz:$URL:/elastic/jtmg/testPhoneNo!delete.do|$ARGS_VAR:idstring";
BasicRule wl:1302 "mz:URL";
BasicRule wl:1100 "mz:$BODY_VAR:url";
BasicRule wl:1015 "mz:$URL:/elastic/system/role/rolemanage!update.do|$BODY_VAR:funcstring";
BasicRule wl:1000 "mz:$URL:/elastic/system/role/rolemanage!update.do|$BODY_VAR:updatebtn|NAME";

 MatchZone (mz:...)配置参考(白名单配置):

ARGS: GET的整个参数内容,如: foo=bar&in=%20
$ARGS_VAR: GET参数的参数名, 如 foo=bar&in=%20中的 foo和in。
$ARGS_VAR_X: 正则匹配的GET参数的参数名
HEADERS: 整个HTTP协议头内容
$HEADERS_VAR: HTTP协议头的参数名
$HEADERS_VAR_X: 正则匹配的HTTP协议头的参数名
BODY: POST的整个参数内容
$BODY_VAR: POST参数的参数名
$BODY_VAR_X: 正则匹配的POST参数的参数名
URL(整个链接?前的部分链接)
$URL:域名后的路径
$URL_X: 正则匹配的URL(整个链接?前的部分链接)
FILE_EXT: 文件名 (POST上传文件时上传的文件名)
RAW_BODY: HTTP请求的BODY部分的原始的未解析的内容

nginx 中可以添加配置,对于上面处于拦截的接口的友好提示

        location /RequestDenied {
           charset gb2312;
           echo '{"retCode":"500001","retMsg":"parameter illegal!"}';  
           return 403;
        }

参考:naxsi/naxsi_core.rules at master · nbs-system/naxsi · GitHub

linux web应用防火墙,基于ngx_lua_waf模块配置web应用防火墙
weixin_36314729的博客
05-12 603
前言ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙1,用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等web***防止svn/备份之类文件泄漏防止ApacheBench之类压力测试工具的***屏蔽常见的扫描***工具,扫描器屏蔽异常的网络请求屏蔽图片附件类目录php执行权限防止webshell上传2,安装配置...
nginx(三十九) post_read阶段ngx_http_realip_module模块学习
wzj_110的博客
10-01 2350
http_real_ip模块学习
ngx_waf:用于nginx的Web应用程序防火墙模块,无需进行复杂的配置。 &使用简单的nginx防火墙模块
03-17
ngx_waf English | 用于nginx的Web应用程序防火墙模块,无需进行复杂的配置。 功能 IPV4和IPV6支持。 Anti Challenge Collapsar,它可以自动阻止恶意IP。 特定IP地址上的例外允许。 阻止指定的IP地址。 阻止指定的请求正文。 特定URL上的例外允许。 阻止指定的URL。 阻止指定的请求参数。 阻止指定的UserAgent。 阻止指定的Cookie。 特殊允许的推荐人。 阻止指定的引荐来源。 文件 推荐链接: : 备用链接: : 执照 谢谢 :此模块的大多数默认规则都来自此。 :感谢作者提供的教程。 :感谢作者提供的教程。
Nginx +WAF使用总结
weixin_33774615的博客
08-17 1307
曾经研究过一段时间,并做了一下简单的总结,感觉还比较实用,放在有道云笔记里躺了很长时间,感觉有点浪费,拿出来分享一下,让新手少走弯路,高手请绕行。。。。环境:linux平台,redhat系统;一Nginx安装1.所需组件若已有这几个组件,可直接查看安装部分1.1gcc编译器若没有gcc编译器,yum-yinstallgcc*这一步时间有点长1.2...
Nginx 配置详解(Nginx Configuration Basics)
最新发布
Linux运维老纪的博客
03-15 997
Nginx 是每个运维工程师和开发者必备的工具,它的高效、灵活和扩展性使其成为现代 Web 服务架构的重要组成部分。在优化 Nginx 配置时,我们需要考虑多个方面,从硬件资源到网络协议,再到缓存和负载均衡等,都可以进行针对性配置。 在面对不同的业务需求和流量规模时,合理配置 Nginx 会让你的服务更加稳定高效。如果你正在为 Nginx 配置而头疼,或者想要进一步优化你的 Web 服务,不妨尝试从本文提到的优化策略着手。希望这篇文章给你带来帮助。
ngx_waf入门教程:保护你的Nginx服务器
让每一行代码都有改变世界的力量
03-03 1217
ngx_waf作为一款强大的Nginx Web应用防火墙模块,能够有效地提升Nginx服务器的安全性,保护Web应用程序免受各种网络攻击的侵害。随着网络安全形势的不断变化和发展,我们期待ngx_waf能够不断更新和完善,为用户提供更加全面和高效的Web安全防护解决方案。在本教程中,我们将介绍ngx_waf的基本概念和配置方法,帮助你入门并保护你的Nginx服务器。ngx_waf会记录拦截的请求信息到指定的日志文件中。在上述配置中,我们启用了ngx_waf模块,并指定了规则文件和日志文件的路径。
ngx_waf 防火墙
让每一行代码都有改变世界的力量
03-04 781
ngx_waf是一款基于Nginx的Web应用程序防火墙,它有以下优点和缺点:
ELK7.9分析Nginx-waf模块日志
傻笑zz的博客
08-08 980
背景        目前有一台腾讯云服务器,在公网上提供了web服务,使用的架构为LNMP,并且为了加固web服务的安全,安装了nginxngx_lua_waf模块,可以轻微阻挡一些SQL注入等其余web攻击,也开启了waf模块的日志记录功能。针对目前的一个情况,需要对waf模块的日志进行分析,定期检查web服务器是否存在潜在的危机,下面就跟着我的步骤一起来看一下,如何借助ELK日志分析平台对nginxwaf日志进行分析,并针对分析的
ngx_lua_waf-master.zip_lua_nearly11h_nginx_ngx_lua_waf
09-21
安装和使用ngx_lua_waf时,你需要先确保已经安装了Nginxngx_lua模块。然后,将ngx_lua_waf解压到Nginx的`sites-available`或相应配置目录下,并根据`README.md`或`INSTALL.md`中的指示修改配置文件,添加必要的Lua...
Centos 7 64 +[nginx+ngx_lua 模块] 支持WAF防护功能
11-16
本文将介绍如何在CentOS 7 64位系统上配置Nginx服务器,集成ngx_lua模块以支持Web应用防火墙(WAF)防护功能。Nginx是一款轻量级、高性能的Web服务器和反向代理服务器,因其高效并发处理能力而被广泛应用于各大...
nginx+waf的配置
06-13
这个文件是我们生产所用的nginx配置文件和waf结合使用的配置文件
Linux下给nginx安装waf模块
09-30
ngx_lua_waf是一个基于ngx_lua的web应用防火墙。代码很简单,开发初衷主要是使用简单,高性能和轻量级。下面我们来看看如何在为nginx安装waf模块
nginx waf设计
03-11
基于nginx和modsecurity的WAF防火墙实现的配置1.过滤文件和路径 阻止 /~ 这种带有波浪线的路径 #阻止文件类型(扩展名、后缀) .(bzr|cvs|git|svn) .(bak|backup|bzr|cfg|conf|cvs|doc|docx|DS_Store|ear|git|gitignore|hg|htaccess|htpasswd|ini|inc|jar|log|online|production|project|properties|pl|pm|py|pyc|pyo|sh|sql|svn|swp|war)$ #阻止常见windows文件格式 .(ade|adp|app|asa|ascx|ashx|asmx|asp|aspx|axd|bas|bat|cdx|cer|chm|class|cmd|com|config|cpl|crt|cs|csproj|csh|csr|dat|dbf|dll|dos|exe|fxp|hlp|hta|htr|htw|ida|idc|idq|ins|isp|its|jse|key|ksh|licx|lnk|mad|maf|mag|mam|maq|mar|mas|mat|mau|mav|maw|mda|mdb|mde|mdt|mdw|mdz|msc|msh|msh1|msh1xml|msh2|msh2xml|mshxml|msi|msp|mst|old|ops|pass|pcd|pdb|pif|pol|prf|prg|printer|pst|pwd|resources|resx|reg|rem|scf|scr|sct|shb|shs|shtm|shtml|soap|stm|sys|url|vb|vbe|vbs|vbproj|vsdisco|webinfo|xsd|xsx|ws|wsc|wsf|wsh)$ 2.过
《Linux运维总结:Nginx添加Lua实现WAF防火墙》
热门推荐
东城绝神
08-28 1万+
文章目录前言总结 前言 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。 ...
安装lua-nginx-module实现WAF功能
qq_31292011的博客
11-09 1226
Nginx使用Lua模块实现WAF的功能很强大,可以对代码进行修改二次开发,修改成为自己想要的效果,不妨试试看看。ngx_lua_module 是一个nginx http模块,它把 lua 解析器内嵌到 nginx,用来解析并执行lua 语言编写的网页后台脚本。# 是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;# log存储目录,该目录需要用户自己新建,切需要nginx用户的可写权限。whiteurl是白名单,里面的url匹配到不做过滤。
Nginx - 集成Waf 功能
小工匠
05-18 5926
检查请求URI是否包含"cost("或"concat("函数,或者URI中包含的SQL命令(如union、and、select、or、delete、update、insert)前后有空格或’+'符号,如果匹配,返回状态码504。检查HTTP用户代理字符串是否包含常见的扫描工具、下载工具、测试工具和爬虫(如YisouSpider、ApacheBench、Jmeter、Nmap等),如果匹配,返回状态码508。检查请求URI是否包含空格、“/.“或”./”,如果匹配,返回状态码509。检查查询字符串是否包含。
Nginx学习(六)ngx_lua_waf模块
weixin_34364135的博客
03-15 297
http://blog.chinaunix.net/uid-1728743-id-3546152.htmlhttps://github.com/loveshell/ngx_lua_wafngx_lua_waf 安装说明文档作者github地址:https://github.com/loveshell/ngx_lua_waf转自作者说明文档:ngx_lua_waf是我刚入职趣游...
使用 Nginx 三方扩展 ngx_waf 快速实现一个高性能的 Web 应用防火墙
easylife206的专栏
02-15 4749
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !ngx_waf:方便且高性能的 Nginx 防火墙模块缓存策略为 LRU,IP 检查和 CC 防御花费常数...
Nginx - 集成ModSecurity实现WAF功能
小工匠
05-19 6426
ModSecurity是一款开源的Web应用防火墙(WAF),它能够保护Web应用免受各种类型的攻击。作为一个嵌入式模块,ModSecurity可以集成到常见的Web服务器(如Apache、Nginx)中,以拦截和阻止恶意的HTTP请求。其设计目标是提供一个灵活、可配置的安全解决方案,能够保护Web应用免受SQL注入、跨站脚本(XSS)、请求伪造、路径遍历等各种常见的Web攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值