准备好给你的nginx服务器加个防火墙吗 ?
731人浏览 2023-10-23 15:18:52
防火墙功能
- 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝
- 支持URL白名单,将不需要过滤的URL进行定义
- 支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)
- 支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403
- 支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)
- 支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403
- 支持URL参数过滤,原理同上
- 支持日志记录,将所有拒绝的操作,记录到日志中去* 日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示
一键安装脚本
实现思路: 给 nginx 增加 ngx_devel_kit、lua-nginx-module 这两个模块,然后再修改 nginx 配置来运行 ngx_lua_waf
lua模块安装
1.下载 ngx_lua_waf 防火墙的各种依赖及模块
cd /usr/src/
wget https://github.com/openresty/luajit2/archive/v2.1-20181029.tar.gz
tar xzvf v2.1-20181029.tar.gz
mv luajit2-2.1-20181029 luajit-2.1
wget https://github.com/openresty/lua-cjson/archive/2.1.0.6.tar.gz
tar xzvf 2.1.0.6.tar.gz
mv lua-cjson-2.1.0.6 lua-cjson
wget https://github.com/simplresty/ngx_devel_kit/archive/v0.3.1rc1.tar.gz
tar xzvf v0.3.1rc1.tar.gz
mv ngx_devel_kit-0.3.1rc1 ngx_devel_kit
wget https://github.com/openresty/lua-nginx-module/archive/v0.10.13.tar.gz
ta r xzvf v0.10.13.tar.gz
mv lua-nginx-module-0.10.13 lua-nginx-module
2.编译安装luajit
cd luajit-2.1make -j2 && make installecho ‘/usr/local/lib’ » /etc/ld.so.conf.d/local.confldconfig
3.编译安装lua-cjson
cd /usr/src/lua-cjsonexport LUA_INCLUDE_DIR=/usr/local/include/luajit-2.1make -j2 && make install
4.设置 LUAJIT 环境变量
export LUAJIT_LIB=/usr/local/libexport LUAJIT_INC=/usr/local/include/luajit-2.1
5.编译 nginx 的时候加上以下两个模块
–add-module=../lua-nginx-module–add-module=../ngx_devel_kit
6.下载配置 ngx_lua_waf
cd /usr/local/nginx/conf/
git clone https://github.com/xzhih/ngx_lua_waf.git waf
cat > /usr/local/nginx/conf/waf.conf << EOF
lua_shared_dict limit 20m;
lua_package_path "/usr/local/nginx/conf/waf/?.lua";
init_by_lua_file "/usr/local/nginx/conf/waf/init.lua";
access_by_lua_file "/usr/local/nginx/conf/waf/access.lua";
EOF
mkdir -p /usr/local/nginx/logs/waf
chown www-data:www-data /usr/local/nginx/logs/waf
你可以在 /usr/local/nginx/logs/waf 找到防火墙日志; 在 nginx.conf 里 include waf.conf
7.测试验证启动
nginx 并访问 http://192.168.31.91/?a=a.sql ; 就可以看到防火墙提示了
相关推荐
-
unix或centos离线安装jdk和nginx操作说明2023-10-23 15:41:26 -
Nginx自定义数据结构之字符串(String)数组(Array)链表(List)
Nginx自定义数据结构之字符串(String)数组(Array)链表(List)2023-10-23 15:41:09 -
Nginx的配置详解2023-10-23 15:40:54 -
Centos7 Nginx搭建局域网yum仓库详细步骤2023-10-23 15:38:59 -
nginx维护页面处置-全部URL指向同一个页面2023-10-23 15:35:52