Nginx ngx_waf防护

Nginx是一款高性能开源的HTTP服务器,通过ngx_waf模块可以快速将防护接入到其中。

ngx_waf为开源的github上的一个项目,其包含了应用防火墙的基本功能,比如 URL 检查、POST 检查和 CC 防护等。配置文件和规则文件书写简单,本模块目前支持 nginx-1.18.0 或更新的版本。

下面为安装Ngx_waf的一些简单教程

稳定版

git clone -b master https://github.com/ADD-SP/ngx_waf.git

开发版

git clone -b dev https://github.com/ADD-SP/ngx_waf.git

1.编译安装

编译安装有静态的链接和动态的SO文件加载,下面先说静态的安装方式:

1.1静态安装方式

运行nginx -V 获取当前nginx的configure的配置

比如
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp
 --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module
 --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module
 --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fdebug-prefix-map=/data/builder/debuild/nginx-1.19.6/debian/debuild-base/nginx-1.19.6=. -fstack-protector-strong -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie' --with-openssl-opt=enable-tls1_3

我们使用记事本记住上面的代码留着备用

下载最新的稳定的版本nginx,比如使用nginx-1.20.1为最新的为例

cd /opt
wget https://nginx.org/download/nginx-1.20.1.tar.gz
tar -zxf nginx-1.20.1.tar.gz
稳定版本执行
git clone -b master https://github.com.cnpmjs.org/ADD-SP/ngx_waf.git
开发版本执行
git clone -b dev https://github.com.cnpmjs.org/ADD-SP/ngx_waf.git
cd ngx_waf
git clone https://github.com.cnpmjs.org/libinjection/libinjection.git inc/libinjection
cd ..
cd nginx-1.20.1
我们这时在上面执行nginx -V的configure的配置代码后面加上--add-module=../ngx_waf
make
meke install
systemctl restart nginx
如果没有报错静态编译安装方式就搞定了

1.2静态安装方式

cd /opt/nginx-1.20.1

apt-get update && apt-get install --yes uthash-dev

./configure --add-dynamic-module=/opt/ngx_waf --with-compat

make modules

然后将动态模块ngx_http_waf_module.so拷贝到你的nginx的模块目录中,可以通过执行nginx -V查看nginx的模块路径,比如--modules-path=/usr/lib/nginx/modules就当前模块的路径

cp objs/*.so /usr/lib/nginx/modules

最后在 nginx 的nginx.conf配置文件顶部添加一行
load_module "/usr/lib/nginx/modules/ngx_http_waf_module.so";

systemctl daemon-reload

2.Nnx_waf的配置

在nginx.conf内的一个server 块中添加配置来开启ngx_waf
waf on; # on 表示启用,off 表示关闭。
waf_rule_path /etc/nginx/rules/; # 规则文件所在目录的绝对路径,必须以 / 结尾
waf_mode STD; # 防火墙工作模式,STD 表示标准模式
waf_cc_deny rate=1500r/m duration=60m; # CC 防御参数,1000 每分钟请求次数上限,超出上限后封禁对应 ip 60 分钟
waf_cache capacity=50; # 最多缓存 50 个检测目标的检测结果,对除了 IP 黑白名单检测、CC 防护和 POST 检测以外的所有检测生效
waf_priority "W-IP IP CC UNDER-ATTACK W-URL URL ARGS UA W-REFERER REFERER COOKIE"; #waf_priority保护

systemctl daemon-reload

这样我们就成功为nginx 配置了Ngx_waf防护
具体的配置请看作者的开源项目地址: Ngx_WAF

上一篇
下一篇