You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
ngx_lua_waf/README.md

107 lines
3.7 KiB

This file contains ambiguous Unicode characters!

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

##ngx_lua_waf
ngx_lua_waf是我刚入职趣游时候开发的一个基于ngx_lua的web应用防火墙。
代码很简单,开发初衷主要是使用简单,高性能和轻量级。
现在开源出来.其中包含我们的过滤规则。如果大家有什么建议和想fa欢迎和我一起完善。
###用途:
防止sql注入本地包含部分溢出fuzzing测试xss,SSRF等web攻击
防止svn/备份之类文件泄漏
防止ApacheBench之类压力测试工具的攻击
屏蔽常见的扫描黑客工具,扫描器
屏蔽异常的网络请求
屏蔽图片附件类目录php执行权限
防止webshell上传
###效果图如下:
![sec](http://i.imgur.com/DqU30au.png)
###推荐安装:
请自行给nginx安装ngx_lua模块推荐使用lujit做lua支持
###使用说明:
nginx安装路径假设为:/usr/local/nginx/conf/
把ngx_lua_waf下载到conf目录下,解压命名为waf
在nginx.conf的http段添加
lua_package_path "/usr/local/nginx/conf/waf/?.lua";
lua_shared_dict limit 10m;
init_by_lua_file /usr/local/nginx/conf/waf/init.lua;
access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;
配置config.lua里的waf规则目录(一般在waf/conf/目录下)
RulePath = "/usr/local/nginx/conf/waf/wafconf/"
绝对路径如有变动,需对应修改
###配置文件详细说明:
RulePath = "/usr/local/nginx/conf/waf/wafconf/"
--规则存放目录
attacklog = "off"
--是否开启攻击信息记录需要配置logdir
logdir = "/usr/local/nginx/logs/hack/"
--log存储目录该目录需要nginx用户的可写权限
UrlDeny="on"
--是否拦截url访问
Redirect="on"
--是否拦截后重定向
CookieMatch = "on"
--是否拦截cookie攻击
postMatch = "on"
--是否拦截post攻击
whiteModule = "on"
--是否开启白名单
ipWhitelist={"127.0.0.1"}
--ip白名单多个ip用逗号分隔
CCDeny="on"
--是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
CCrate = "100/60"
--设置cc攻击频率单位为秒.
--默认1分钟同一个IP只能请求同一个文件(request_filename)100次
html=[[Please go away~~]]
--警告内容,可在中括号内自定义
备注:不要乱动双引号,区分大小写
###规则更新:
考虑到正则的缓存问题动态规则会影响性能所以暂没用共享内存字典和redis之类东西做动态管理。
规则更新可以把规则文件放置到其他服务器通过crontab任务定时下载来更新规则nginx reload即可生效。以保障ngx lua waf的高性能。
只记录过滤日志不开启过滤在代码里在check前面加上--注释即可,如果需要过滤,反之
###一些说明:
过滤规则在wafconf下可根据需求自行调整每条规则需换行,或者用|分割
global是全局过滤文件里面的规则对post和get都过滤
get是只在get请求过滤的规则
post是只在post请求过滤的规则
whitelist是白名单里面的url匹配到不做过滤
user-agent是对user-agent的过滤规则
默认开启了get和post过滤需要开启cookie过滤的编辑waf.lua取消部分--注释即可
日志文件名称格式如下:虚拟主机名_sec.log
###关于
欢迎大家到http://bbs.linuxtone.org 多多交流
weibo: [@ppla](http://weibo.com/opscode)
感谢ngx_lua模块的开发者[@agentzh](https://github.com/agentzh/),春哥是我所接触过开源精神最好的人