ngx_lua_waf nginx防火墙安装操作手册

ngx_lua_waf是一个基于lua-nginx-module(openresty)的web应用防火墙，主要用途是：

防止sql注入，本地包含，部分溢出，fuzzing测试，xss,SSRF等web攻击
防止svn/备份之类文件泄漏
防止ApacheBench之类压力测试工具的攻击
屏蔽常见的扫描黑客工具，扫描器
屏蔽异常的网络请求
屏蔽图片附件类目录php执行权限
防止webshell上传

具体情况可访问作者的github了解，这里不多说，本文主要记录部署实施的操作步骤：

1. yum安装git、gcc等编译环境

# yum -y install git
# yum -y install gcc gcc-c++

2. 下载软件包

# cd /home/soft
# git clone https://github.com/simpl/ngx_devel_kit.git
# git clone https://github.com/openresty/lua-nginx-module.git
# wget -c http://luajit.org/download/LuaJIT-2.0.5.tar.gz

有的地方访问git被墙，我这里下载好的介质用也行：
链接：https://pan.baidu.com/s/1XlRaFV1Mlu-0ysrbK5uQGQ 密码：idsv

3. 安装Luajit

# tar -xzf LuaJIT-2.0.5.tar.gz
# cd LuaJIT-2.0.5
# make && make install

验证安装成功：

# luajit -v

验证luajit安装

4. 导入环境变量

# vim /etc/profile

#如果按照上面操作，则路径如下，如果不是，则可能不一样
export LUAJIT_LIB=/usr/local/lib  
export LUAJIT_INC=/usr/local/include/luajit-2.0

# source /etc/profile

# echo "/usr/local/lib" >> /etc/ld.so.conf
# ldconfig

5. 编译安装nginx

5.1 查看当前nginx版本和编译参数

# nginx -V 

5.2 编译安装lua-nginx-module和ngx_dev_kit模块

# cd /home/soft/nginx-1.11.3
# ./configuer --with-pcre=../pcre-8.35 --with-zlib=../zlib-1.2.8 --with-openssl=../openssl-fips-2.0.13 --add-module=/home/soft/lua-nginx-module --add-module=/home/soft/ngx_devel_kit

即在原有模块参数后增加 lua-nginx-module 和 ngx_devel_kit 模块

# make
# mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak  
# cp objs/nginx /usr/local/nginx/sbin/  
# nginx -s reload  

注意，生产环境做任何操作都应备份为先，因此重新编译nginx时应先对旧的nginx可执行文件进行备份，以便于如果出问题后进行回滚操作，基于这个理由，增加模块的时候不要直接使用make install，而是手动cp过去

5.3 lua-nginx-module模块的检验

在/usr/local/nginx/conf/nginx.conf中加入以下内容并保存:

server{
......
    location /hello { 
          default_type 'text/plain'; 
          content_by_lua 'ngx.say("hello, lua")'; 
    }
}

# /usr/local/nginx/sbin/nginx -s reload

访问 ip/hello，出现如下结果，说明安装成功：

6. 安装并配置ngx_lua_waf

# cd /usr/local/nginx/conf/
# git clone https://github.com/loveshell/ngx_lua_waf.git
# mv ngx_lua_waf/ waf
# mkdir ../logs/hack
# chmod -R 755 ../logs/hack/

修改config.lua的文件路径

vim waf/config.lua 

#config.lua在/usr/local/nginx/conf/waf内
#RulePath是存放规则文件的路径
RulePath = "/usr/local/nginx/conf/waf/wafconf/"
attacklog = "on"
#日志存放路径
logdir = "/usr/local/nginx/logs/hack/"
UrlDeny="on"
Redirect="on"
CookieMatch="on"
postMatch="on"
whiteModule="on"
black_fileExt={"php","jsp"}
ipWhitelist={"127.0.0.1"}
ipBlocklist={"1.0.0.1"}
CCDeny="off"
CCrate="100/60"
html=[[

在nginx.conf的http段中添加配置

# vim nginx.conf

lua_need_request_body on;
lua_package_path "/usr/local/nginx/conf/waf/?.lua";
lua_shared_dict limit 10m;
init_by_lua_file  /usr/local/nginx/conf/waf/init.lua; 
access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

重新加载nginx，ok

# nginx -t
# nginx -s reload

尝试访问ip/.svn，得到如下结果即可认为配置成功：

7. 日志的定时删除
   由于日志是每天都在按照日期增加的，所以为了便于管理，这里增加了防护日志的清理功能：

# vim /home/trs/clean_ngx_waf_lua.sh

#!/bin/bash
#LOGS_PATH 是ngx_lua_waf的日志存放目录
#这里只保留最近3天的日志
LOGS_PATH=/usr/local/nginx/logs/hack/
cd ${LOGS_PATH}
find . -mtime +3 -name "*sec.log" | xargs rm -f
exit 0

# chmod +x clean_ngx_waf_lua.sh

将以上的日志做一个定时执行：

#crontab -e

### clean ngx_waf_lua logs
1 0 * * * /home/trs/clean_ngx_waf_lua.sh

8. 关于config.lua的配置说明

#规则存放目录
RulePath = "/usr/local/nginx/conf/waf/wafconf/"
#是否开启攻击信息记录，需要配置logdir
attacklog = "off"
#log存储目录，该目录需要用户自己新建，切需要nginx用户的可写权限
logdir = "/usr/local/nginx/logs/hack/"
#是否拦截url访问
UrlDeny="on"
#是否拦截后重定向 
Redirect="on"
#是否拦截cookie攻击
CookieMatch = "on"
#是否拦截post攻击
postMatch = "on" 
#是否开启URL白名单
whiteModule = "on" 
#填写不允许上传文件后缀类型
black_fileExt={"php","jsp"}
#ip白名单，多个ip用逗号分隔
ipWhitelist={"127.0.0.1"}
#ip黑名单，多个ip用逗号分隔
ipBlocklist={"1.0.0.1"}
#是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)
CCDeny="on"
#设置cc攻击频率，单位为秒.
#默认1分钟(60秒)同一个IP只能请求同一个地址100次
CCrate = "100/60"
#警告内容,可在中括号内自定义
html=[[Please go away~~]]
 
# 备注:不要乱动双引号，区分大小写