开源框架openresty+nginx 实现web应用防火墙(WAF)

最新推荐文章于 2025-06-01 15:46:03 发布
最新推荐文章于 2025-06-01 15:46:03 发布
阅读量787 收藏 4
点赞数 1
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/wuchangsoft/p/10950739.html
本文介绍了Web应用防火墙(WAF)可保护Web服务安全,主要讲述通过春哥的开源框架openresty实现WAF。阐述了整体架构,介绍了支持的功能如IP、URL白黑名单等,还给出安装包下载、安装openresty、部署waf的步骤及配置方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、简介

Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击(Cross Site Scripting  xss)、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC(挑战黑洞)攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。

本文主要是通过春哥的开源框架openresty来实现WAF;

参考:https://github.com/openresty

 
2、架构

整体架构:春哥的openresty开源框架(该框架集成了nginx、lua、lua-nginx-module等模块),推荐使用该框架;

如果想使用原生的nginx、lua来搭建waf,请参阅  nginx lua lua-nginx-module构建web应用防火墙(waf)

 



3、实现功能

    支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。
    支持URL白名单,将不需要过滤的URL进行定义。
    支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
    支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。
    支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
    支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
    支持URL参数过滤,原理同上。
    支持日志记录,将所有拒绝的操作,记录到日志中去。
    日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示。

4、安装包下载

          提供了各种版本openresty,点击链接,去下载适合版本。

          openresty-1.13.6.2.tar.gz
5、安装openresty

创建安装包目录并将下载的安装包上传至该目录(也可以直接通过wget命令直接下载)

    mkdir -p /app/openresty/install
    cd /app/openresty/install/

 


解压 tar zxvf openresty-1.13.6.2.tar.gz

 


cd openresty-1.13.6.2

 


安装基本包

yum install -y readline-devel pcre-devel openssl-devel gcc gcc-c++ perl.x86_64

 


配置环境

 ./configure --prefix=/usr/local/openresty --with-luajit --with-http_v2_module --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module --with-ipv6 --with-http_sub_module --with-pcre --with-pcre-jit --with-file-aio --with-http_dav_module

 

 


编译 gmake

 


安装 gmake install

 


修改nginx.conf,测试是否安装成功

 


编辑nginx.conf

vi nginx.conf

    server {
        location /hello {
                default_type text/html;
                content_by_lua_block {
                    ngx.say("HelloWorld")
                }
            }
    }

 


启动nginx 一次执行下面代码段

    cd ../sbin
    ps -ef|grep nginx
    ./nginx -t
    ./nginx
    ps -ef|grep nginx

 


关闭防火墙或者开放虚拟机防火墙端口,

这里为了方便,直接就关闭防火墙了,生产中必须采用开放防火墙端口的方式

systemctl stop firewalld

systemctl status firewalld

 


浏览器访问测试 http://10.10.91.23/hello

 


6、部署waf

下载waf包  https://github.com/unixhot/waf

可以使用wget,也可以下载到本地,让后上传到虚拟机

解压后,将waf复制到 /usr/local/openresty/nginx/conf/

cp -r waf /usr/local/openresty/nginx/conf/

 


修改Nginx的配置文件,加入以下配置。注意路径,同时WAF日志默认存放在/tmp/日期_waf.log

/usr/local/openresty/nginx/conf

vi nginx.conf

        #WAF
        lua_shared_dict limit 50m;
        lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
        init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua";
        access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua";

 


 

修改waf中的配置信息

cd /waf

vi config.lua

 


重启nginx即可测试
---------------------
作者:ccx_jy
来源:优快云
原文:https://blog.youkuaiyun.com/chuanxincui/article/details/86089763
版权声明:本文为博主原创文章,转载请附上博文链接!

转载于:https://www.cnblogs.com/wuchangsoft/p/10950739.html

使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1686
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP...
开源WEB应用防火墙-WAF
fangyingquano的专栏
09-04 4970
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。由于nginx配置文件书写不方便,并且实现白名单功能很复杂,nginx的白名单也不适用于CC攻击,所以在这里使用nginx+lua来实现WAF,如果想使用lua,须在编译nginx的时候配置上lua,或者结合OpenResty使用,此方法不需要编译nginx时候指定lua。日志显示包含:记录了UA,匹配规则,URL,攻击IP,攻击时间,攻击的类型,请求的数据 ,访问域名。
openresty IP防火墙
weixin_33895695的博客
01-26 215
2019独角兽企业重金招聘Python工程师标准>>> ...
基于OpenResty的Lor Lua Web框架实战教程
最新发布
weixin_28913879的博客
06-01 1017
OpenResty是一个将NginxLuaJIT结合的开源软件平台,它允许开发者通过Lua语言来扩展Nginx的功能,从而实现高度可定制的Web平台。这种融合,既保持了Nginx的高效性能,又通过LuaJIT的高执行速度,实现了更加灵活、快速的Web应用开发处理能力。OpenResty广泛应用于需要高并发低延迟的Web应用中,比如API网关、动态Web应用、高性能网络应用等场景。OpenResty的出现,极大地改变了传统的Web开发模式,为快速迭代复杂业务场景提供了一个强大的技术解决方案。
基于openresty开发waf防火墙
Z.X的博客
03-30 854
2023年3月30日11:12:01 安装openresty 你可以在你的 RHEL 系统中添加 openresty 仓库,这样就可以便于未来安装或更新我们的软件包(通过 yum check-update 命令)。添加仓库,运行下面的命令(对于 RHEL 8 或以上版本,应将下面的 yum 都替换成 dnf): add the yum repo: wget https://openresty.o...
Openresty实现web应用防火墙waf
Bird&Bird
03-13 2988
OpenResty 是由中国人章亦春发起,把nginx各种三方模块的一个打包而成的软件平台,核心就是nginx+lua脚本语言。主要是因为nginx是C语言编写,修改很复杂,而lua语言则简单得多,国内很多大公司如360、京东、gitee等都在用来作为web应用防火墙
OpenResty(ngx_lua)+Moochine 完整实例()
foxox
06-10 645
OpenResty(ngx_lua)+Moochine 完整实例 这个项目演示了如何使用OpenRestyMoochine开发Web应用。 一、安装配置 1.1 OpenResty 安装 参看:http://openresty.org/#Installation 编译时选择luajit, ./configure --with-luajit 1.2 Moochine 安装 ...
Lua实现Web防火墙Redis+OpenResty+Nginx集成方案
资源摘要信息:"lua版waf web防火墙 redis+nginx版" 知识点概述: Lua是一种轻量级的脚本语言,经常被嵌入到应用程序中提供灵活的扩展定制功能。WAFWeb Application Firewall)即Web应用防火墙,用于保护Web应用...
lua版waf web防火墙 redis+nginx
06-23
**lua版WAF Web防火墙**是针对Web应用程序的安全防护系统,...总之,lua版WAF Web防火墙结合RedisOpenResty Nginx,提供了一种高效且灵活的Web安全解决方案,能够有效地保护网站免受恶意攻击,同时便于管理扩展。
Nginx之轨迹】Nginx + Lua 实现 waf Web 应用防火墙(解决 nignx 加载失败问题:LuaJIT version which is not OpenResty‘s)
web15085599741的博客
02-21 1886
—— 目录 —— 1. Lua ngx_lua_waf 简介 2. 前置问题 3. 安装配置各模块 4. 配置 Nginx 5. 检验是否添加模块成功 6. 配置安全防火墙 7. 详细设置安全防火墙 1. Lua ngx_lua_waf 简介 Lua 是一门轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放 其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展定制功能。 Lua 的应用场景:游戏开发、独立应用脚本、Web 应用脚本、扩展数据库插件如:MySQL Proxy
docker-waf:适用于Docker的基于NGINXModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurityNGINX构建的Web应用程序防火墙WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
linux-cheerwaf是基于openresty设计自定义灵活规则的web应用防火墙
08-13
cheerwaf是基于openresty设计自定义灵活规则的web应用防火墙
Python-一个基于OpenResty的仿Yii的web框架
08-12
一个基于OpenResty的仿Yii的web框架
一个基于openresty的http接口web开发框架luastar.zip
07-19
luastar是一个基于openresty的高性能高并发开发框架,支持http接口web开发。 luastar使用openresty-1.7.10.2在macOScentos6.5系统上测试过。 luastar主要特性如下: request/response封装 缓存管理 配置文件管理 路由/拦截器配置 类似spring bean管理 mysqlredis访问封装 httpclient等常用工具封装 web支持session页面模板 详情请查看 luastar开发文档 标签:luastar
linux-JXWAF锦衣盾是一款基于openrestynginxlua开发的下一代web应用防火墙
08-13
jxwaf(锦衣盾)是一款基于openresty(nginx lua)开发的下一代web应用防火墙,独创的业务逻辑防护引擎机器学习引擎可以有效对业务安全风险进行防护,解决传统WAF无法对业务安全进行防护的痛点。
OpenResty - 高性能应用服务器框架
weixin_40943147的博客
08-27 414
基于Nginx的模块化设计,衍生出了很多第三方模块以扩展Nginx的能力。其中,有一个有趣且影响深远的模块,即lua-nginx-module。它把Lua解析器内嵌到了Nginx中,从而可以使用Lua语言编程,极大增强了Nginx的能力。Lua是一种轻量,小巧的脚本语言,用标准的c语言编写并以源代码,其设计目的是 饿了嵌入应用程序中,从而为应用程序提供灵活的扩展定制功能OpenResty(https://openresty.org/cn/) 正是基于NginxLua的高性能Web平台,其内部集成了大量精
openresty服务管理框架(API网关)
Mental_history_T的博客
06-05 1828
tl-ops-manage (tl-openresty-web-manage),基于openresty开发的一款基础服务管理工具,支持服务动态扩展,自定义URL路由,健康检查,服务熔断限流,动态配置检测,日志记录,数据版本控制,后台可视化管理,等等….....................
openresty 交给php,openresty搭建网站防火墙
weixin_39678493的博客
04-01 180
实现一个简单的防火墙,例如:当我提交一个 select * from 疑似 sql注入的参数时,则会直接被拦截下载waf配置:wgethttps://github.com/loveshell/ngx_lua_waf/archive/v0.7.2.tar.gz解压文件并将./config.lua,./init.lua,./waf.lua,./wafconf/*文件移动到你的项目目录例如在上篇文章中...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2972
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值