waf服务器部署位置,【原】WAF 防火墙 部署
一、了解WAF
1.1 什么是WAF
Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。
1.2 WAF的功能
支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。
支持URL白名单,将不需要过滤的URL进行定义。
支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。
支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
支持URL参数过滤,原理同上。
支持日志记录,将所有拒绝的操作,记录到日志中去
1.3 WAF的特点
异常检测协议
Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。
增强的输入验证
增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。
及时补丁
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。
基于规则的保护和基于异常的保护
基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。
状态管理
WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。
其他防护技术
WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。
1.3WAF与网络防火墙的区别
网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。只是对端口做限制,对TCP协议做封堵。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。
一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,如能根据TCP会话异常性及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中,但从根本上说他仍然无法理解HTTP会话,难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。
web应用防火墙能在应用层理解分析HTTP会话,因此能有效的防止各类应用层攻击,同时他向下兼容,具备网络防火墙的功能。
OpenResty由Nginx核心加很多第三方模块组成,默认集成了Lua开发环境,使得Nginx可以作为一个Web Server使用。
借助于Nginx的事件驱动模型和非阻塞IO,可以实现高性能的Web应用程序。
而且OpenResty提供了大量组件如Mysql、Redis、Memcached等等,使在Nginx上开发Web应用更方便更简单。
以下是整理的Nginx+Lua架构思维导图:
二、使用openResty配置waf防火墙,不需要编译nginx
①安装依赖包和创建nginx运行的普通用户
[root@linux-node1 ~]# yum install -y readline-devel pcre-devel openssl-devel
[root@linux-node1 src]# useradd -s /sbin/nologin -M www
②下载当前最新的luajit,并编译
[root@linux-node1 ~]# cd /usr/local/src/[root@linux-node1 src]#wget http://luajit.org/download/LuaJIT-2.1.0-beta3
[root@linux-node1 src]# tar -xzf LuaJIT-2.1.0-beta3
[root@linux-node1 src]# cd LuaJIT-2.1.0-beta3
[root@linux-node1 LuaJIT-2.1.0-beta3]# make && make install
[root@linux-node1 LuaJIT-2.1.0-beta3]# export LUAJIT_LIB=/usr/local/lib
[root@linux-node1 LuaJIT-2.1.0-beta3]# export LUAJIT_INC=/usr/local/include/luajit-2.1
[root@linux-node1 ~]# ln -s /usr/local/lib/libluajit-5.1.so.2 /lib64/libluajit-5.1.so.2
#一定创建此软连接,否则会报错如果不创建符号链接,可能出现以下异常: errorwhileloading shared libraries: libluajit-5.1.so.2: cannotopenshared object file: No such fileordirectory
③下载并编译安装openresty
[root@linux-node1 ~]#cd /usr/local/src
[root@linux-node1 src]# wget https://openresty.org/download/openresty-1.13.6.2.tar.gz
[root@linux-node1 src]#tar -zxf openresty-1.13.6.2.tar.gz
[root@linux-node1 src]#cd openresty-1.13.6.2
[root@linux-node1 openresty-1.13.6.2]# ./configure --prefix=/usr/local/openresty \--user=www \--group=www \--with-luajit \--with-http_v2_module \--with-http_stub_status_module \--with-http_ssl_module \--with-http_gzip_static_module \--with-ipv6 --with-http_sub_module \--with-pcre \--with-pcre-jit \--with-file-aio \--with-http_dav_module
[root@linux-node1 openresty-1.13.6.2]#gmake && gmake install
④测试openresty安装
[root@linux-node1 ~]#vim /usr/local/openresty/nginx/conf/nginx.confserver
{ location /hello
{ default_type text/html;
content_by_lua_block {
ngx.say("HelloWorld")
}
}
}
⑤测试并启动nginx
[root@linux-node1 ~]#/usr/local/openresty/nginx/sbin/nginx -t
[root@linux-node1 ~]#/usr/local/openresty/nginx/sbin/nginx
3、WAF部署
①在github上克隆下代码
[root@linux-node1 ~]#git clone https://github.com/unixhot/waf.git[root@linux-node1 ~]#cp -a ./waf/waf /usr/local/openresty/nginx/conf/
②修改Nginx的配置文件,加入(http字段)以下配置。注意路径,同时WAF日志默认存放在/tmp/日期_waf.log
[root@linux-node1 ~]# cd /usr/local/openresty/nginx/conf
[root@linux-node1 conf]# vim nginx.conf
#WAFlua_shared_dict limit50m;
#防cc使用字典,大小50
Mlua_package_path"/usr/local/openresty/nginx/conf/waf/?.lua"; init_by_lua_file"/usr/local/openresty/nginx/conf/waf/init.lua"; access_by_lua_file"/usr/local/openresty/nginx/conf/waf/access.lua";
[root@linux-node1 ~]# /usr/local/openresty/nginx/sbin/nginx –t
[root@linux-node1 ~]# /usr/local/openresty/nginx/sbin/nginx -s reload
③根据日志记录位置,创建日志目录
[root@linux-node1 ~]#mkdir /tmp/waf_logs[root@linux-node1 ~]#chown nginx.nginx /tmp/waf_logs
备注:
我已经将我们生产环境中的nginx+waf的配置文件上次上去,下载链接http://download.csdn.net/detail/m0_37886429/9869230
4、waf的模块
①配置模块
waf安装好以后,不要直接上生产,而是先记录日志,不做任何动作。确定wafF不产生误杀
config.lua配置模块
[root@linux-node1 waf]# pwd/usr/local/openresty/nginx/conf/waf
[root@linux-node2 waf]# cat config.lua--WAF config file,enable = "on",disable = "off" --waf status config_waf_enable ="on"
#是否开启配置--log dir config_log_dir ="/tmp/waf_logs"
#日志记录地址--rule setting config_rule_dir ="/usr/local/nginx/conf/waf/rule-config"
#匹配规则缩放地址--enable/disable white url config_white_url_check ="on"
#是否开启url检测--enable/disable white ip config_white_ip_check ="on"
#是否开启IP白名单检测--enable/disable block ip config_black_ip_check ="on"
#是否开启ip黑名单检测--enable/disable url filtering config_url_check ="on"
#是否开启url过滤--enalbe/disable url args filtering config_url_args_check ="on"
#是否开启参数检测--enable/disable user agent filtering config_user_agent_check ="on"
#是否开启ua检测--enable/disable cookie deny filtering config_cookie_check ="on"
#是否开启cookie检测--enable/disable cc filtering config_cc_check ="on"
#是否开启防cc攻击--cc rate the xxx of xxx seconds config_cc_rate ="10/60"
#允许一个ip60秒内只能访问10次--enable/disable post filtering config_post_check ="on"
#是否开启post检测--config waf output redirect/html config_waf_output ="html"
#action一个html页面,也可以选择跳转--if config_waf_output ,setting url config_waf_redirect_url ="http://www.baidu.com"config_output_html=[[#下面是html的内容 请安全上网,注意操作规范。 ]]
备注:”请安全上网,注意操作规范” 这个字段可以随意更改,安装自己的需求来。
②access.lua 规则模块
[root@linux-node1 waf]# pwd/usr/local/openresty/nginx/conf/waf
[root@linux-node2 waf]# cat access.luarequire'init'functionwaf_main()
if white_ip_check()
then else if black_ip_check()
then else if user_agent_attack_check()
then else if cc_attack_check()
then else if cookie_attack_check()
then else if white_url_check()
then else if url_attack_check()
then else if url_args_attack_check()
then--elseif post_attack_check()
then else returnendendwaf_main()
检测顺序:先检查白名单,通过即不检测;再检查黑名单,不通过即拒绝,检查UA,UA不通过即拒绝;检查cookie;URL检查;URL参数检查,post检查;
启用waf并测试,模拟sql注入即url攻击,显示效果如下 ()
日志显示如下,记录了UA,匹配规则,URL,客户端类型,攻击的类型,请求的数据
④使用ab压测工具模拟防cc攻击
[root@linux-node3 ~]# ab -c 100 -n 100 http://192.168.88.133/index.php
⑤ 模拟ip黑名单
将请求ip放入ip黑名单中[root@linux-node1 rule-config]# echo “192.168.88.1” >>/usr/local/openresty/nginx/conf/waf/rule-config/blackip.rule
显示结果如下
⑥模拟ip白名单
将请求ip放入ip白名单中,此时将不对此ip进行任何防护措施,所以sql注入时应该返回404
[root@linux-node2 rule-config]# echo “192.168.88.1” >>/usr/local/openresty/nginx/conf/waf/rule-config/whiteip.rule
显示结果如下
⑦模拟URL参数检测
浏览器输入192.168.88.133/?a=select * from table
显示结果如下
详细规定在arg.rule中有规定,对请求进行了规范
bash[root@linux-node1 rule-config]#/usr/local/openresty/nginx/conf/waf/rule-config/cat args.rule\.\./\:\$\$\{select.+(from|limit)(?:(union(.*?)select))having|rongjitestsleep\((\s*)(\d*)(\s*)\)benchmark\((.*)\,(.*)\)base64_decode\((?:from\W+information_schema\W)(?:(?:current_)user|database|schema|connection_id)\s*\((?:etc\/\W*passwd)into(\s+)+(?:dump|out)file\s*group\s+by.+\(xwork.MethodAccessor(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(xwork\.MethodAccessor(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/java\.lang\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[\
参考:
1.openresty :
https://github.com/openresty/lua-nginx-module#lualuajit-bytecode-support
2.安装 :
https://blog.csdn.net/m0_37886429/article/details/73178889
https://blog.csdn.net/m0_37886429/article/details/73178889
3.luajit:
http://luajit.org/download.html
4.策略:
https://github.com/unixhot/waf
waf服务器部署位置,【原】WAF 防火墙 部署相关推荐
- 技术周|5G UPF + MEC 的部署位置、场景与模式
目录: 1.通信⽹络的时延分析 2.MEC 的部署位置 UPF 的部署位置 ME Host 的部署位置 3.MEC 的部署场景 MEC 在 4G ⽹络中的部署 透明串接⽅案 分布式⽹关⽅案 MEC 在 ...
- waf服务器部署位置,waf部署在哪里
waf部署在哪里 内容精选 换一换 针对自动学习项目,当模型训练完成后,其生成的模型,将自动进入模型管理 > 模型页面,如下图所示.模型名称由系统自动命名,前缀与自动学习项目的名称一致,方便辨识 ...
- 服务器部署位置怎么找,服务器部署位置
服务器部署位置 内容精选 换一换 用于IDE-daemon-host(作为服务端)和IDE-daemon-client(作为客户端)之间的双向认证.在Atlas 300场景下,IDE-daemon-h ...
- WAF——web安全及web应用防火墙
WEB应用安全 风险分析 ■网站代码程序设计存在隐患 ■0day漏洞频发 ■网站运维和管理人员安全意识淡薄 ■黑客进入门槛越来越低 法律法规 网络安全法:对应用安全和数据安全提出明确要求 等报2.0: ...
- 购买弹性云服务器怎么部署网站,购买后怎么部署自己的云服务器
购买后怎么部署自己的云服务器 内容精选 换一换 SSL证书对部署的服务器没有任何限制,无论是华为云或其他云厂商的服务器,还是线下云服务器.获取证书文件后,您可根据自己的需求将SSL证书部署到网站对应的 ...
- FortiGate防火墙部署SSL接入功能
网安运营 - 建设篇 第一章 FortiGate防火墙部署SSL接入功能 网安运营 - 建设篇 下章内容 前言 前置条件 软件环境 硬件环境 简易拓扑说明 FortiGate部署SSL FortiGa ...
- 网站部署到云服务器需要哪些文件,云服务器能部署哪些应用?怎么部署?
云技术的应用十分广泛,其中之一体现在云服务器的使用上,凭借更加简单的操作与便利等优势,云服务器可谓深受众多企业青睐. 但许多站长对它的运行模式不太了解,也可能只知道放置网站这一作用.但其实云服务的模式 ...
- vFW虚拟防火墙部署实战
疫情还没结束,远程办公仍在继续,这个时间想做个实验都变得很困难,毕竟很少有人单独买设备放家里准备做实验的.远程登录实验室,又没人在现场配合做网线拔插等操作,怎么办呢?搞一台虚拟防火墙vFW吧! 以比较 ...
- 宝塔面板在同一服务器下创建多个端口部署项目(轻量应用服务器一键部署网站、博客、GltLab完整版)
[从零开始使用轻量应用服务器快速搭建自己的GitLab]https://blog.csdn.net/qq_38629292/article/details/123982234 在上一篇博客中,我们详细 ...
最新文章
- 一篇让你搞懂 Nginx
- 李飞飞团队加入AI抗疫:家用监控系统,可以远程反馈新冠症状
- MQTT协议通俗讲解
- vue目录结构及简单的开发介绍
- C++学习之路 | PTA乙级—— 1043 输出PATest (20 分)(精简)
- 魔术师利用一副牌中的13张红桃c语言,魔术师的猜牌术(1) 魔术师利用一副牌中的13张黑桃 - 下载 - 搜珍网...
- 阿里巴巴再陷“抄袭门”,究竟孰真孰假?
- 英语骂人脏话大全(from ndi) scarlk scarlk 2011-12-28 10:09:21
- 疫情推动下的云联络中心终于引起了销售行业的重视。
- c语言 表盘指针旋转,请教下,表盘指针图片旋转 ??
- 关于ORACLE (AMERICAN_AMERICA.US7ASCII)字符集
- 微信小程序开发常见问题解答
- tensorflow中squeeze与expand_dims
- Python list 列表方法
- 数据结构(八):排序 | 插入排序 | 希尔排序 | 冒泡排序 | 快速排序 | 简单选择排序 | 堆排序 | 归并排序 | 基数排序 | 外部排序 | 败者树 | 置换-选择排序 | 最佳归并树
- Gym - 101653T Runes [模拟]
- Udacity Deep Learning课程作业(五)
- php拖拽上传_JS实现的文件拖拽上传功能示例
- 为什么要看《代码大全》?
- 【加密与解密】Openssl 生成的RSA秘钥如被C#使用解密