nginx openresty waf动态黑名单 白名单 、centos 、windows下部署

最新推荐文章于 2025-05-27 17:35:35 发布
原创 最新推荐文章于 2025-05-27 17:35:35 发布 · 2.2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx

本文介绍了如何使用Nginx和OpenResty实现自定义WAF,支持IP黑白名单、URL白名单、User-Agent过滤等功能。详细阐述了OpenResty的安装与WAF部署过程,包括动态黑名单的实现,利用Redis存储和更新黑名单,并提供了Windows版本的实现方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、WAF

使用Nginx+Lua实现自定义WAF(Web application firewall)

参考网址https://github.com/unixhot/waf

功能列表:

  1. 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。
  2. 支持URL白名单,将不需要过滤的URL进行定义。
  3. 支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
  4. 支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。
  5. 支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
  6. 支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
  7. 支持URL参数过滤,原理同上。
  8. 支持日志记录,将所有拒绝的操作,记录到日志中去。
  9. 日志记录为JSON格式,便于日志分析,例如使用ELK进行攻击日志收集、存储、搜索和展示。

WAF实现

WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。所以本文中的WAF的实现由五个模块(配置模块、协议解析模块、规则模块、动作模块、错误处理模块)组成。

安装部署

以下方案选择其中之一即可:

  • 选择1: 可以选择使用原生的Nginx,增加Lua模块实现部署。
  • 选择2: 直接使用OpenResty

OpenResty安装

1 Yum安装OpenResty(推荐)

源码安装和Yum安装选择其一即可,默认均安装在/usr/local/openresty目录下。

[root@opsany ~]# wget https://openresty.org/package/centos/openresty.repo
[root@opsany ~]# sudo mv openresty.repo /etc/yum.repos.d/
[root@opsany ~]# sudo yum install -y openresty
  1. 测试OpenResty和运行Lua
[root@opsany ~]# vim /usr/local/openresty/nginx/conf/nginx.conf
#在默认的server配置中增加
        location /hello {
            default_type text/html;
            content_by_lua_block {
                ngx.say("<p>hello, world</p>")
            }
        }
[root@opsany ~]# /usr/local/openresty/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/openresty-1.17.8.2/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/openresty-1.17.8.2/nginx/conf/nginx.conf test is successful
[root@opsany ~]# /usr/local/openresty/nginx/sbin/nginx
  1. 测试访问
[root@opsany ~]# curl http://127.0.0.1/hello
<p>hello, world</p>

WAF部署

[root@opsany ~]# git clone https://github.com/unixhot/waf.git
[root@opsany ~]# cp -r ./waf/waf /usr/local/openresty/nginx/conf/
[root@opsany ~]# vim /usr/local/openresty/nginx/conf/nginx.conf
#在http{}中增加,注意路径,同时WAF日志默认存放在/tmp/日期_waf.log
#WAF
    lua_shared_dict limit 50m;
    lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
    init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua";
    access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua";
[root@opsany ~]# ln -s /usr/local/openresty/lualib/resty/ /usr/local/openresty/nginx/conf/waf/resty
[root@opsany ~]# /usr/local/openresty/nginx/sbin/nginx -t
[root@opsany ~]# /usr/local/openresty/nginx/sbin/nginx -s reload

2、附录

Nginx + Lua源码编译部署(不推荐)

  1. Nginx安装必备的Nginx和PCRE软件包。
[root@nginx-lua ~]# cd /usr/local/src
[root@nginx-lua src]# w
最低0.47元/天 解锁文章

200万优质内容无限畅学
基于openresty实现IP白名单+时间段访问控制
weixin_45745503的博客
08-22 802
这个配置主要实现的功能就是,拦截非白名单用户访问服务,并且除健康检查外,拒绝11:00~19:00以外的所有请求进来。代码里面还有一些小遐思,比如IPv4和v6地址的检测,如有好办法大家可以讨论讨论,如果有什么问题大家也可以帮忙指出,一起学习。
使用NGINX+Openresty实现WAF功能
reblue520的专栏
05-05 1670
使用NGINX+Openresty实现WAF功能 一、了解WAF1.1 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 1.2 WAF的功能 支持IP...
Nginx动态IP白名单自动化配置方案
weixin_42613018的博客
04-28 970
IP白名单是一种网络安全策略,用于限制特定的IP地址或IP地址范围访问网络资源。只有在白名单上注册的IP地址可以访问特定的服务或服务器。通过这种方式,管理员可以确保只有授权的用户能够接触到关键数据或系统功能。IP白名单可以应用于多种场景,包括但不限于限制访问特定的网络服务、数据库、应用服务器或API接口。例如,开发服务器可能会仅允许来自开发团队IP地址的访问,从而提高开发环境的安全性。与白名单相对的是IP黑名单,它是一种安全机制,用于阻止特定的IP地址或IP地址范围访问网络资源。
openresty+lua+redis把非正常访问的域名加入黑名单
最新发布
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
05-27 593
openresty+lua+redis把非正常访问的域名加入黑名单
window系统中为Nginx增加WAF应用防火墙
songjoyce的专栏
02-02 2651
window系统中为Nginx增加WAF应用防火墙
Openresty实现黑名单
y1054765649的博客
08-03 962
首先先简要介绍下OpenrestyOpenresty可以让开发人员使用Lua编程语言对nginx核心以及现有的各种Nginx C模块进行脚本编程,构建出一个高性能的Web应用。Openresty分为4个大阶段,包括Initialization Phase,Rewrite/Access Phase,Content Phase以及Log Phase,每个阶段的功能见下表1,而这四个大阶段又可分为11个小阶段,如下表2所示。 表1 Openrety的四个大阶段 阶段 功能 Initializati
Openresty黑名单过滤
小丑鱼的专栏
01-17 1434
有些时候在你配置nginx的时候可能需要做一些黑名单拦截的操作,设置黑名单,拦截存在这个黑名单中的url,使用openresty很方便,使用lua代码在access_by_lua*的过程中添加过滤代码即可实现,实现这个功能需要以下几步操作。
OpenRestyNginx实现接口验签与黑名单控制
qq_41633199的博客
04-11 919
openrestynginx,接口验签
开源框架openresty+nginx 实现web应用防火墙(WAF
weixin_30393907的博客
05-30 777
1、简介Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击(Cross Site Scripting xss)、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC(挑战黑洞)攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。本文主要是通过春哥的开源...
centos环境Nginx如何安装OpenResty WAF抵御应用层DDoS攻击
04-22
安装OpenResty WAF可以采用以下步骤: 1. 确保已经安装nginxOpenResty。可参考相关教程安装。 2. 下载OpenResty WAF源文件,在终端运行命令:`...以上是在CentOS环境下安装OpenResty WAF的步骤。希望能够帮助到你。
OpenResty 部署指南
峰迹的博客
04-22 2088
OpenResty 不仅仅是 Nginx 的一个分支,它是一个为高并发、高性能 Web 应用和服务设计的强大平台。通过遵循本指南,您将能够快速、专业地安装和配置 OpenResty,为您的 Web 应用提供坚实的基础。最新版本的Change Log↩︎。
Nginx白名单防御模块belialwaf.zip
07-18
这个程序是基于 nginx lua module . 运行平台是 linux freebsd 的 nginx 。。 WIN 的 你可以用个 linux 的 nginx 做反向代理 保护后面的服务。 Belial 目前包含的模块有 : GET 、 POST 、 COOKIE SQL注入防御、文件上传控制、POST白名单审核、nginx路径解释防御、封IP、 自动拦截防御 cc防御。 防御面向的语言是 php .. 其他的~不做考虑 。启用 belial waf 在性能损耗上基本可以忽略~ 有问题请联系俺。 俺的微博: http://weibo.com/shajj 系列使用教程 1、nginx lua 和 belial waf 安装配置 http://www.dwz.cn/awGdk 2、我线上的配置(包括config.lua 和 nginx.conf的配置) https://github.com/nixuehan/Belial/tree/master/example 3、belial waf 目录结构和文件解释 http://dwz.cn/axyOW 4、配置文件参数解释 http://www.dwz.cn/awCYM 5、基本防御机制 http://dwz.cn/axfxQ 6、post白名单机制 http://dwz.cn/axBrV 7、自动拦截机制 http://dwz.cn/axD74 8、CC防御机制 http://dwz.cn/axGjD 9、日志文件 http://dwz.cn/axGN3 标签:belial
nginx+waf的配置
06-13
这个文件是我们生产所用的nginx配置文件和waf结合使用的配置文件
OpenResty部署教程
qq_44742109的博客
09-11 837
OpenResty 的配置文件通常位于 /usr/local/openresty/nginx/conf/nginx.conf 或 /etc/openresty/nginx.conf,具体位置可能因安装方式略有不同。但请注意,随着技术的发展,也有一些替代方案,如Node.js、Django/Flask等,具体选择哪种,需要根据项目需求和团队熟悉程度来决定。如果你有特定的应用,可以创建一个或多个lua文件作为Nginx的后端处理程序,然后通过OpenResty的API或者Nginx的location块来调用。
openresty + waf 搭建
u011196623的专栏
05-23 748
Centos7安装Openresty通过yum安装 在 /etc/yum.repos.d/ 下新建 OpenResty.repo 内容 [openresty] name=Offici...
使用Nginx OpenResty与Redis实现高效IP黑白名单管理
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
07-15 2482
OpenResty是一个基于Nginx的全功能Web平台,它集成了一系列精心设计的Lua库、第三方模块和一个基于LuaJIT的轻量级Web框架。OpenResty的核心是Nginx,但它通过Lua语言扩展了Nginx的功能,使其能够构建能够处理超高并发的动态Web应用。白名单是一种安全策略,用于定义一组被信任的IP地址或实体,它们被允许访问特定的资源或服务。安全性增强:限制访问权限,仅允许特定的IP地址访问敏感资源。防止滥用:减少恶意用户或爬虫对服务的滥用。流量管理。
Nginx配置访问白名单
四维空间
06-19 1507
server { listen 80; server_name 192.168.1.1; index index.html index.htm index.php; root /data/www/app/webroot; charset utf-8; allow 192.1...
Openresty实现web应用防火墙(waf
Bird&Bird
03-13 2964
OpenResty 是由中国人章亦春发起,把nginx和各种三方模块的一个打包而成的软件平台,核心就是nginx+lua脚本语言。主要是因为nginx是C语言编写,修改很复杂,而lua语言则简单得多,国内很多大公司如360、京东、gitee等都在用来作为web应用防火墙。
openresty waf实现黑名单
02-28
### 使用 OpenResty WAF 实现 IP 黑名单过滤 在 OpenResty 的 Web 应用防火墙 (WAF) 配置中,`blackip.rule` 文件用于定义 IP 地址黑名单。此文件位于 `/usr/local/openresty/nginx/conf/waf/rule-config/` 目录下[^1]。 #### 配置 `blackip.rule` 为了实现 IP 黑名单功能,在 `blackip.rule` 文件中按照如下格式添加需要屏蔽的 IP 地址: ```plaintext # Example of blocking a single IP address deny 192.168.1.10; # Blocking an entire subnet can also be done using CIDR notation deny 172.16.0.0/16; ``` 每条规则前可以加上注释来描述该规则的目的或背景信息。使用 `deny` 关键字指定要阻止访问的具体 IP 或子网范围。 #### 加载并启用配置 编辑完成后保存更改,并确保 Nginx 能够重新加载最新的配置而不重启服务,通常可以通过命令行执行以下操作完成热更新: ```bash nginx -s reload ``` 这会使得新的黑名单位置立即生效而不会中断现有连接。 #### 测试与验证 确认配置无误之后,可通过尝试从被加入黑名单中的 IP 发起 HTTP 请求测试是否能够成功拦截请求。正常情况下应该返回 403 Forbidden 响应码表示已被拒绝访问。 ```python import requests response = requests.get('http://your-server-ip/', headers={'X-Forwarded-For': '192.168.1.10'}) print(response.status_code) ``` 上述 Python 代码模拟了一个来自已知黑名单内的 IP (`192.168.1.10`) 对服务器发起 GET 请求的过程;如果一切设置正确,则预期输出状态码为 `403`.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值