返回首页 | 注册送体验金88送现金

合作共赢、快速高效、优质的网站建设提供商

更多精品源码-尽在织梦模板-www.moke8.com

OpenWAF快速上手

时间:2017-08-08 编辑:admin

装置

装置最新文档,请参阅《轻松玩转OpenWAF之装置篇》

OpenWAF简介

OpenWAF是第一个全方位开源的Web运用防护体系(WAF),他根据nginx_lua API剖析HTTP恳求信息。OpenWAF由行为剖析引擎和规矩引擎两大功用引擎构成。其间规矩引擎首要对单个恳求进行剖析,行为剖析引擎首要担任跨恳求信息追寻。

规矩引擎的启示来自modsecurity及lua-resty-waf,将ModSecurity的规矩机制用lua完成。根据规矩引擎能够进行协议标准,主动东西,注入进犯,跨站进犯,信息走漏,反常恳求等安全防护,支撑动态增加规矩,及时修补缝隙。

行为剖析引擎包括根据频率的含糊辨认,防歹意爬虫,人机辨认等防勘探模块,防CSRF,防CC,防提权,文件上传防护等防进犯模块,cookie防篡改,防盗链,自定义呼应头,进犯呼应页面等防信息走漏模块。

除了两大引擎之外,还包括计算,日志,进犯呼应页面,接入规矩等根底模块。除了已有的功用模块,OpenWAF还支撑动态修正装备,
动态增加第三方模块,使得在不重启引擎中止事务的条件下,晋级防护。

OpenWAF支撑将上述功用封装为战略,不同的web application运用不同的战略来防护。将来还会打造云渠道,战略还可共享供别人参阅。

发布运用

简介

发布运用,需求装备 OpenWAF 的接入规矩,装备文件方位:/opt/OpenWAF/conf/twaf_access_rule.json

OpenWAF的接入规矩和nginx的装备结合,到达发布运用的意图

接入规矩装备扼要阐明

{
    "twaf_access_rule": [
        "rules": [                                 -- 数组,留意先后顺序
            {                                      
                "ngx_ssl": false,                  -- nginx认证的开关
                "ngx_ssl_cert": "path",            -- nginx认证所需PEM证书地址
                "ngx_ssl_key": "path",             -- nginx认证所需PEM私钥地址
                "host": "www.baidu.com",           -- 域名,正则匹配
                "port": 80,                        -- 端口号(缺省80)
                "path": "\/",                      -- 途径,正则匹配
                "server_ssl": false,               -- 后端服务器ssl开关
                "forward": "server_5",             -- 后端服务器upstream称号
                "forward_addr": "1.1.1.2",         -- 后端服务器ip地址
                "forward_port": "8080",            -- 后端服务器端口号(缺省80)
                "policy": "policy_uuid"            -- 安全战略ID
            }
        ]
    }
}

发布运用举例

接下来结合nginx装备举例解说接入规矩的运用

初度运用OpenWAF

运用OpenWAF供给的nginx装备文件

如果用 OpenWAF 默许的 /etc/ngx_openwaf.conf 装备文件(默许监听 80 端口)

修正 /opt/OpenWAF/conf/twaf_access_rule.json 文件中第一条接入规矩的"forward_addr"值

    要防护的服务器为192.168.3.1:80,装备如下:
        "forward_addr": "192.168.3.1"

    要防护的服务器为22.22.22.22:8090,装备如下:
        "forward_addr": "22.22.22.22",
        "forward_port": 8090

此刻发动nginx,进行拜访即可

小提示:
    发动nginx指令  /usr/local/openresty/nginx/sbin/nginx -c /etc/ngx_openwaf.conf  
    中止nginx指令  /usr/local/openresty/nginx/sbin/nginx -c /etc/ngx_openwaf.conf -s stop

默许SQLI,CC防护都是敞开的,能够进行SQL注入或CC进犯,看防护作用

深化防护,深化测验,请看其他文档

运用自己原有的nginx装备

具有自己的nginx装备,仅需以下两步即可体会OpenWAF防护

nginx装备修正
在 nginx 的 http 等级增加如下两行:

include /opt/OpenWAF/conf/twaf_main.conf;
include /opt/OpenWAF/conf/twaf_api.conf;

要防护的 server 或 location 等级增加如下一行:

include /opt/OpenWAF/conf/twaf_server.conf;

OpenWAF接入规矩修正
修正/opt/OpenWAF/conf/twaf_access_rule.json文件
将"state"值设为false即可

OpenWAFnginxOpenResty装置入门
浏览:

网站建设

流程

    网站建设流程