使用openresty实现WAF防火墙功能

Openresty简介

OpenResty® 是一个结合了 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。OpenResty® 通过汇聚各种设计精良的 Nginx 模块(主要由 OpenResty 团队自主开发),从而将 Nginx 有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统。OpenResty® 的目标是让你的Web服务直接跑在 Nginx 服务内部,充分利用 Nginx 的非阻塞 I/O 模型,不仅仅对 HTTP 客户端请求,甚至于对远程后端诸如 MySQL、PostgreSQL、Memcached 以及 Redis 等都进行一致的高性能响应。


1. Openresty安装(Centos 7.6)

yum install gcc-c++ libtool gmake make -y
yum install pcre pcre-devel openssl openssl-devel zlib zlib-devel readline readline-devel-y

2. 创建nginx用户

groupadd nginx
useradd -d /home/nginx -g nginx -s /sbin/nginx nginx

3. 下载编译openresty

wget https://openresty.org/download/openresty-1.17.8.2.tar.gz
tar xf openresty-1.17.8.2.tar.gz
cd openresty-1.17.8.2
./configure --prefix=/usr/local/openresty \
--sbin-path=/usr/local/openresty/nginx/sbin/nginx \
--conf-path=/usr/local/openresty/nginx/conf/nginx.conf \
--pid-path=/usr/local/openresty/nginx/run/nginx.pid \
--error-log-path=/usr/local/openresty/nginx/logs/error.log \
--http-log-path=/usr/local/openresty/nginx/logs/access.log \
--user=nginx \
--group=nginx \
--with-pcre \
--with-stream \
--with-threads \
--with-file-aio \
--with-http_v2_module \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_gzip_static_module \
--with-http_stub_status_module
gamke && gmake install

4. 为openresty添加环境变量

cat > /etc/profile.d/openresty.sh << EOF
export PATH=/usr/local/openresty/bin:$PATH
export PATH=/usr/local/openresty/nginx/sbin:$PATH
EOF
source /etc/profile.d/openresty.sh

5. 添加location配置确认结合了Nginx与Lua的Openresty部署成功

vim /usr/local/openresty/nginx/conf/nginx.conf
location /hello {
    default_type text/html;
    content_by_lua_block {
        ngx.say("HelloWorld")       #通过调用lua来打印HelloWorld
    }
}

Snipaste_2020-07-28_18-57-29.png
启动nginx

nginx

Snipaste_2020-07-28_18-58-58.png
Snipaste_2020-07-28_18-59-18.png


6. 部署并配置WAF

WAF的功能

1.支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。
2.支持URL白名单,将不需要过滤的URL进行定义。
3.支持User-Agent的过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
4.支持CC攻击防护,单个URL指定时间的访问次数,超过设定值,直接返回403。
5.支持Cookie过滤,匹配自定义规则中的条目,然后进行处理(返回403)。
6.支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
7.支持URL参数过滤,原理同上。
8.支持日志记录,将所有拒绝的操作,记录到日志中去。
9.日志记录为JSON格式,便于日志分析,例如使用ELKStack进行攻击日志收集、存储、搜索和展示。

6.1 下载waf模块

git clone https://github.com/unixhot/waf.git
cp -a ./waf/waf /usr/local/openresty/nginx/conf/
git clone https://github.com/openresty/lua-resty-core.git
mv lua-resty-core/ /usr/local/openresty/

7. 引入WAF模块

vim /usr/local/openresty/nginx/conf/nginx.conf
...
http {
lua_shared_dict limit 10m;
lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua;/usr/local/openresty/lua-resty-core/lib/?.lua;;";
init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua";
access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua";
...
}

Snipaste_2020-07-28_19-06-07.png


8. WAF模块配置文件详解

cat /usr/local/openresty/nginx/conf/waf/config.lua
--lua文件中,--为行注释,
--[[ 
这是块注释
--]]

config_waf_enable = "on"        --是否启用waf模块,值为 on 或 off
config_log_dir = "/tmp"         --waf的日志位置,日志格式默认为json
config_rule_dir = "/usr/local/openresty/nginx/conf/waf/rule-config" --策略规则目录位置,可根据情况变动
config_white_url_check = "on"   --是否开启URL检测
config_white_ip_check = "on"    --是否开启IP白名单检测
config_black_ip_check = "on"    --是否开启IP黑名单检测
config_url_check = "on"         --是否开启URL过滤
config_url_args_check = "on"    --是否开启Get参数过滤
config_user_agent_check = "on"  --是否开启UserAgent客户端过滤
config_cookie_check = "on"      --是否开启cookie过滤
config_cc_check = "on"          --是否开启cc攻击过滤
config_cc_rate = "10/60"        --cc攻击的速率/时间,单位为秒;默认示例中为单个IP地址在60秒内访问同一个页面次数超过10次则认为是cc攻击,则自动禁止此IP地址访问此页面60秒,60秒后解封(封禁过程中此IP地址依然可以访问其它页面,如果同一个页面访问次数超过10次依然会被禁止)
config_post_check = "on"        --是否开启POST检测
config_waf_output = "html"      --对于违反规则的请求则跳转到一个自定义html页面还是指定页面,值为 html 和 redirect
config_waf_redirect_url = "https://www.unixhot.com"     --指定违反请求后跳转的指定html页面

--指定违反规则后跳转的自定义html页面
config_output_html=[[
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Language" content="zh-cn" />
<title>网站防火墙</title>
</head>
<body>
<h1 align="center"> 欢迎白帽子进行授权安全测试,安全漏洞请联系QQ:1111111。
</body>
</html>
]]

9. CC攻击过滤

需要在config.lua中开启config_cc_check = "on"参数,然后指定config_cc_rate = "10/60"速率和时间 CC攻击只需要在config.lua配置文件中指定上面的两个参数即可
如下指定在60秒内对于单个IP地址访问单个页面的次数最大10次,超过10次则自动拉入黑名单,60秒后自动解除

vim /usr/local/openresty/nginx/conf/waf/config.lua
config_cc_check = "on"
config_cc_rate = "10/60"

手动快速刷新10次
GIF 2020-7-28 19-15-04.gif


10. 异常URL策略配置

需要在config.lua中开启config_url_check = "on"参数 然后定义rule-config/url.rule文件,url.rule文件默认为如下,如果匹配到规则的将跳转到由config.lua中config_waf_output = "html"参数指定的页面

1.禁止URL访问 .htaccess|.bash_history 的文件
2.禁止URL访问包含带有phpmyadmin|jmx-console|admin-console|jmxinvokerservlet地址
3.禁止URL访问包含 java.lang 的地址
4.禁止URL访问包含 .svn/ 的地址
cat url.rule
\.(htaccess|bash_history)
\.(bak|inc|old|mdb|sql|backup|java|class|tgz|gz|tar|zip)$
(phpmyadmin|jmx-console|admin-console|jmxinvokerservlet)
java\.lang
\.svn\/
/(attachments|upimg|images|css|uploadfiles|html|uploads|templets|static|template|data|inc|forumdata|upload|includes|cache|avatar)/(\\w+).(php|jsp)

假如你不想让别人访问根下的/login,那么就可以写入到配置中

cat url.rule
\.(htaccess|bash_history)
\.(bak|inc|old|mdb|sql|backup|java|class|tgz|gz|tar|zip)$
(phpmyadmin|jmx-console|admin-console|jmxinvokerservlet)
java\.lang
\.svn\/
/(attachments|upimg|images|css|uploadfiles|html|uploads|templets|static|template|data|inc|forumdata|upload|includes|cache|avatar)/(\\w+).(php|jsp)
/login

Snipaste_2020-07-28_19-29-09.png