CentOS7.7下安装jxwaf及配置策略和验证测试
服务器操作系统:CentOS7.7 64位
官方地址:
https://github.com/jx-sec/jxwaf
https://www.jxwaf.com/
安装地址:
https://docs.jxwaf.com/start.html#%E5%BF%AB%E9%80%9F%E5%85%A5%E9%97%A8
这个是开源的WAF中比较好的WAF,模式跟长亭的WAF有点像,猜测未来可能会走商业模式
1.开始安装
cd /usr/local/
git clone https://github.com/jx-sec/jxwaf.git
cd jxwaf
sh install_waf.sh
上述运行没有报错,就会有如下显示表示成功
nginx: the configuration file /opt/jxwaf/nginx/conf/nginx.conf syntax is ok
nginx: [alert] [lua] waf.lua:566: init(): jxwaf init success,waf node uuid is f4215e15-ded4-4c53-9263-a927c7791b51
nginx: configuration file /opt/jxwaf/nginx/conf/nginx.conf test is successful
2.注册key和password
根据官方文档,需要去其官方网站进行注册账户,获取api key,和api password
访问:https://www.jxwaf.com, 点击 “登陆” 按钮,然后看到注册的按钮,直接点击注册
这个过程我就不演示了,注册输入自己的邮箱,设置好密码即可,注册期间会发送验证码到注册的邮箱中去,这里是在垃圾箱里面找到的,所以收到邮件后将其标注为非垃圾邮件。
邮箱收到的验证码
上述注册成功后可以在全局位置看到api key和api password
获得的key和password
3.使用key和password激活jxwaf
cd /usr/local/jxwaf/tools/
python jxwaf_init.py --api_key=7b273584-ca5a-4d3e-b967-4xxxxxxxxxxxxxxxxxxx --api_password=bb3a32d8-a0c5-49ee-9214-016xxxxxxx
上述使用python执行的时候,不能确定是python2还是python3,查看代码可以根据print后面打印的代码是否带有小括号,确认是没有带的,所以确认是使用python2版本进行执行激活jxwaf
这里默认情况下使用CentOS7 操作系统默认带有python2版本,使用python2 版本去执行上述激活操作的时候提示没有requests库,需要通过pip命令去安装,但是没有pip2版本的命令需要自己安装,下面是安装步骤
安装setuptools
cd /usr/local/
wget --no-check-certificate https://pypi.python.org/packages/source/s/setuptools/setuptools-1.4.2.tar.gz
tar -xvf setuptools-1.4.2.tar.gz
cd setuptools-1.4.2
python2.7 setup.py install
安装pip2.7
curl https://bootstrap.pypa.io/get-pip.py | python2.7 -
安装好pip2.7之后发现安装requests库因国外的源网上过慢,导致安装失败,所以尝试更改为国内豆瓣的源,具体看如下步骤:
在linux环境下的修改方式和在windows环境下修改方式基本相同,这里简单总结一下:
(1):在用户的家目录下面创建名为.pip文件夹
(2):在创建好的.pip文件夹中创建名为pip.conf的文件
(3):在pip.conf文件中输入以下内容,ok!!!
[global] timeout = 6000
index-url = http://pypi.douban.com/simple
trusted-host = pypi.douban.com
完成之后开始安装requests库
pip install requests
上述都没有问题的话,那么直接执行就成功了,成功结果如下:
4.启动openresty
/opt/jxwaf/nginx/sbin/nginx
默认情况不做任何更改的情况下就是开启的80端口
刚部署起来的时候,可以正常访问,显示是It Works
不久我再刷新,发现需要备案,日啊,我只是测试而已
5.添加防护网站
在上述官网注册好的账户和密码之后可以直接在官网登录进去配置需要防护的网站
这里添加测试的是网站是test.afc6.cn -- http - ip地址 -- 80 -- 不存在代理
功能还是挺多的
6.测试验证策略
日志信息