Nginx | WAF

防止第7層攻擊策彤,如SQLi栓袖,XSS,CSRF店诗,LFI裹刮,RFI等。NGINX網(wǎng)絡(luò)應(yīng)用程序防火墻(WAF)建立在ModSecurity 3.0上庞瘸。
ModSecurity WAF保護(hù)Web應(yīng)用免受各種第7層攻擊; 提供DDoS緩解捧弃,實(shí)時(shí)黑名單和審計(jì)日志記錄; 并支持符合PCI-DSS 6.6標(biāo)準(zhǔn)。
https://docs.nginx.com/nginx/admin-guide/dynamic-modules/nginx-waf/
https://docs.nginx.com/nginx-waf/admin-guide/nginx-plus-modsecurity-waf-installation-logging/

Nginx動(dòng)態(tài)添加modsecurity模塊
1.下載編譯modsecurity

git clone https://github.com/SpiderLabs/ModSecurity.git mod_security
cd mod_security
./autogen.sh  
./configure --enable-standalone-module
make
cp modsecurity.conf-recommended /etc/nginx/modsecurity.conf
cp -r mod_security/{modsecurity.conf-recommended,unicode.mapping} /etc/nginx/
sed -i 's/^SecRuleEngine DetectionOnly/SecRuleEngine on/' /etc/nginx/modsecurity.conf

2.檢查nginx是否編譯modsecurity模塊 | 安裝則跳過

#查看模塊
nginx -V
configure arguments: ... --add-module=/usr/local/nginx/mod_security/nginx/modsecurity
#編譯modsecurity模塊
./configure [這里是原來(lái)的編譯參數(shù)擦囊,通過nginx -V查看configure arguments的值] --add-module=/usr/local/nginx/mod_security/nginx/modsecurity
#編譯新增的模塊
make
#查看新生成的二進(jìn)制文件违霞,是否有新模塊輸出信息 | 有
./objs/nginx -V
#將新生成的nginx二進(jìn)制文件拷貝到/usr/sbin/下 | 覆蓋
cp objs/nginx /usr/sbin/nginx --backup
#執(zhí)行nginx -V查看新增的模塊 | 顯示新增模塊
nginx -V
#使用nginx -t檢測(cè)是否正常 | ok
nginx -t
#沒問題,執(zhí)行reload重新加載 | reload
nginx -s relaod

3.下載啟用OWASP規(guī)則

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git owasp-modsecurity-crs
cp -r owasp-modsecurity-crs /etc/nginx/
cd /etc/nginx/owasp-modsecurity-crs/ 
cp crs-setup.conf.example  crs-setup.conf

編輯/etc/nginx/modsecurity.conf文件瞬场,新增
Include owasp-modsecurity-crs/crs-setup.conf
Include owasp-modsecurity-crs/rules/REQUEST....conf
Include owasp-modsecurity-crs/rules/RESPONSE....conf

4.編輯nginx.conf location / { }添加,,然后nginx -t檢查語(yǔ)法是否有錯(cuò)||不能在http,server寫成include modsecurity.conf

ModSecurityEnabled on;
ModSecurityConfig modsecurity.conf;

參考文章:
modSecurity規(guī)則學(xué)習(xí)(一)——配置文件 - 897807300 - 博客園
https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual-%28v2.x%29#Installation_for_NGINX
https://github.com/SpiderLabs/ModSecurity/wiki/Compilation-recipes-for-v3.x#centos-6x
https://www.modsecurity.org/CRS/Documentation/

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末买鸽,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子贯被,更是在濱河造成了極大的恐慌眼五,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,252評(píng)論 6 516
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件彤灶,死亡現(xiàn)場(chǎng)離奇詭異看幼,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)幌陕,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 94,886評(píng)論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門诵姜,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人苞轿,你說我怎么就攤上這事茅诱《何铮” “怎么了?”我有些...
    開封第一講書人閱讀 168,814評(píng)論 0 361
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵瑟俭,是天一觀的道長(zhǎng)翎卓。 經(jīng)常有香客問我,道長(zhǎng)摆寄,這世上最難降的妖魔是什么失暴? 我笑而不...
    開封第一講書人閱讀 59,869評(píng)論 1 299
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮微饥,結(jié)果婚禮上逗扒,老公的妹妹穿的比我還像新娘。我一直安慰自己欠橘,他們只是感情好矩肩,可當(dāng)我...
    茶點(diǎn)故事閱讀 68,888評(píng)論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著肃续,像睡著了一般黍檩。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上始锚,一...
    開封第一講書人閱讀 52,475評(píng)論 1 312
  • 城市分裂傳說
    那天刽酱,我揣著相機(jī)與錄音,去河邊找鬼瞧捌。 笑死棵里,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的姐呐。 我是一名探鬼主播殿怜,決...
    沈念sama閱讀 41,010評(píng)論 3 422
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼皮钠!你這毒婦竟也來(lái)了稳捆?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 39,924評(píng)論 0 277
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤麦轰,失蹤者是張志新(化名)和其女友劉穎乔夯,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體款侵,經(jīng)...
    沈念sama閱讀 46,469評(píng)論 1 319
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡末荐,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,552評(píng)論 3 342
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了新锈。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片甲脏。...
    茶點(diǎn)故事閱讀 40,680評(píng)論 1 353
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出块请,到底是詐尸還是另有隱情娜氏,我是刑警寧澤,帶...
    沈念sama閱讀 36,362評(píng)論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布墩新,位于F島的核電站贸弥,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏海渊。R本人自食惡果不足惜绵疲,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,037評(píng)論 3 335
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望臣疑。 院中可真熱鬧盔憨,春花似錦、人聲如沸讯沈。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,519評(píng)論 0 25
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)芙盘。三九已至驯用,卻和暖如春脸秽,著一層夾襖步出監(jiān)牢的瞬間儒老,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,621評(píng)論 1 274
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工记餐, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留驮樊,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 49,099評(píng)論 3 378
  • 代替公主和親
    正文 我出身青樓片酝,卻偏偏與公主長(zhǎng)得像囚衔,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子雕沿,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,691評(píng)論 2 361

推薦閱讀更多精彩內(nèi)容

  • 轉(zhuǎn)載:趙班長(zhǎng)-運(yùn)維如何使用Nginx+Lua編寫WAF审轮? 引言 首先聲明本人非安全從業(yè)人員肥哎,請(qǐng)專業(yè)人士不要吐(ga...
    meng_philip123閱讀 4,982評(píng)論 3 12
  • 入門指南https://wizardforcel.gitbooks.io/web-hacking-101/cont...
    私藏館閱讀 1,326評(píng)論 0 5
  • Nginx是一個(gè)輕量級(jí)的,高性能的Web服務(wù)器以及反向代理和郵箱 (IMAP/POP3)代理服務(wù)器疾渣。它運(yùn)行在UNI...
    零一間閱讀 2,217評(píng)論 0 12
  • 備注: 使用的是modsecurity 3.0 的版本篡诽,也是nginx 官方推薦使用的,同時(shí)使用的是nginx 的...
    dalongrong閱讀 6,914評(píng)論 0 3
  • 臨近期末榴捡,本想暫停更新博文杈女,但根據(jù)我以往經(jīng)驗(yàn),某個(gè)習(xí)慣一旦中斷,再要重新拾起就太難达椰。想通之后回頭看翰蠢,又覺得本該如此...
    曾笑雨閱讀 555評(píng)論 0 1