前言

当 WEB应用 越来越为丰富的同时，WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件，频繁发生。

前面的是套话，WAF 的应用目前多见于一些主打安全性的 CDN 中，但是那些 CDN 用了以后的效果就是云减速或者变成 50X 网站，或者说不支持 HTTPS。因此自建一套 WAF 系统也是比较必要的。 区别于像 WordPress 上的 WAF 插件，直接在 Nginx 上部署效率更高，且不影响网站的速度和性能。

准备

首先我们需要 Nginx 作为 Web 服务器，并配备 ngx_lua 并使用 lujit2 做 lua 支持。大家可以自行编译，也可以直接使用 ngx_lua 作者开发的 OpenResty，基于 Nginx 默认集成 ngx_lua，新手还是推荐直接使用后者。

然后就是，ngx_lua_waf，包含多种防御规则，直接一键上手。

特征

防止 sql 注入，本地包含，部分溢出，fuzzing 测试，xss,SSRF 等 web 攻击
防止 svn/备份 之类文件泄漏
防止 ApacheBench 之类压力测试工具的攻击
屏蔽常见的扫描黑客工具，扫描器
屏蔽异常的网络请求
屏蔽图片附件类目录 php 执行权限
防止 webshell 上传

一般来说，基本的网络攻击都可以防御了，软件的缺陷导致的漏洞也可以一定弥补，还可以一定程度上拦截或者缓解 CC 攻击。

安装

注：

这里默认安装了 OpenResty 在 /usr/local/openresty 目录下

一、下载 ngx_lua_waf

git clone https://github.com/loveshell/ngx_lua_waf.git
mv ngx_lua_waf waf
mv waf /usr/local/openresty/nginx/

#创建日志目录
mkdir -p /usr/local/openresty/nginx/logs/hack/
chmod -R 775 /usr/local/openresty/nginx/logs/hack/

二、修改 nginx.conf

修改 /usr/local/openresty/nginx/conf/nginx.conf ，在 http{} 内加入

lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
lua_shared_dict limit 10m; #开启拦截cc攻击
init_by_lua_file/usr/local/openresty/nginx/conf/waf/init.lua; 
access_by_lua_file /usr/local/openresty/nginx/conf/waf/waf.lua;

三、修改 config.lua

修改 /usr/local/openresty/nginx/conf/waf/config.lua 文件。

对应地方修改为 ：

RulePath = "/usr/local/openresty/nginx/conf/waf/wafconf/"
attacklog = "on"
logdir = "/usr/local/openresty/nginx/logs/hack/"
UrlDeny="on"

此文件的详细配置内容：(每次修改，都要重启 Nginx 以便生效)

RulePath = "/usr/local/nginx/conf/waf/wafconf/"
--规则存放目录
attacklog = "off"
--是否开启攻击信息记录，需要配置logdir
logdir = "/usr/local/nginx/logs/hack/"
--log存储目录，该目录需要用户自己新建，切需要nginx用户的可写权限
UrlDeny="on"
--是否拦截url访问
Redirect="on"
--是否拦截后重定向
CookieMatch = "on"
--是否拦截cookie攻击
postMatch = "on" 
--是否拦截post攻击
whiteModule = "on" 
--是否开启URL白名单
black_fileExt={"php","jsp"}
--填写不允许上传文件后缀类型
ipWhitelist={"127.0.0.1"}
--ip白名单，多个ip用逗号分隔
ipBlocklist={"1.0.0.1"}
--ip黑名单，多个ip用逗号分隔
CCDeny="on"
--是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
CCrate = "100/60"
--设置cc攻击频率，单位为秒.
--默认1分钟同一个IP只能请求同一个地址100次
html=[[Please go away~~]]
--警告内容,可在中括号内自定义
备注:不要乱动双引号，区分大小写

四、重启

重启你的 Nginx 服务，一般来说都是 service nginx restart

五、检测是否生效

在终端输入

curl http://www.mf8.biz/test.php?id=../etc/passwd

如果返回：网站防火墙 等内容，差不多就是了

也可以直接浏览器访问

http://www.mf8.biz/test.php?id=../etc/passwd

返回下图即可：

当然了，错误页面的内容都是可以自己定义的。