Nginx+Lua实现WAF应用防火墙配置

本文以防止sql注入来讲解WAF的配置
环境：centos7，PHP7，mysql5.6，Nginx1.13

建立一个用户表：

create	table	
user(id	int(11),username varchar(64), 
password varchar(64),email	varchar(64));

插入一条数据

insert into user (id,username,password,email) 
values(1,'test','123','[email protected]');

login.html

    

        

            
 用 户: 
            

        
        

            
 密 码: 
            

        
        

            

            

        
    

sql.php

";
	$query=mysql_query($sql);
	$arr=mysql_fetch_array($query);
	if($arr){
	    echo "login success!
";
	    echo $arr[1];
	    echo $arr[3]."

";
	}else{
	        echo "login failed!";       
	}                                                                }
?>

先输入正确的用户名和密码，返回login success!
输入’ or 1=1 # 进行sql注入，返回login success!，此时的sql语句如下：

select * from user where username='' or 1= 1 #'' and password='1'

WAF配置

1. 将下面得到的文件放到Nginx的conf配置文件下，重命名为waf

git clone https://github.com/loveshell/ngx_lua_waf.git

2. 打开Nginx的配置文件nginx.conf，在http下增加如下配置：

lua_package_path "/usr/local/nginx/conf/waf/?.lua";
lua_shared_dict limit 10m;
init_by_lua_file "/usr/local/nginx/conf/waf/init.lua";
access_by_lua_file "/usr/local/nginx/conf/waf/waf.lua";

3. 打开waf/wafconf/config.lua，将RulePath值设置为自己的wafconf所在路径
4. 打开waf/wafconf/post，添加一个规则

\sor\s+

5. 重启Nginx

现在，再进行SQL注入，得到如下页面：

CC攻击测试

在config.lua配置文件中，开启防CC攻击，即把CCDeny值设为on，默认值为off，CCrate=“100/60”表示一分钟最多只能有100次访问，超过该值的请求被拦截，但是过一会访问又会通过。

用ab压测：

//请求2000个，每次请求20个
ab -n 2000 -c 20 你的url

发现只有1994个请求成功响应