Linux下用nginx和naxsi搭建web防火墙

Linux下用nginx和naxsi搭建web防火墙

  • Naxsi

Naxsi是一个开源,高性能,地位会规则,nginx的web应用程序防火墙模块,著名的web服务器和反向代理,它的目标是帮助人们保护web应用程序,对跨站脚本,SQL注入,跨站请求伪造,本地和远程文件包含漏洞。

这次就使用naxsi模块来完成WAF构建。

  • 下载Naxsi以及编译

下载:master naxsi-master.zip

编译:./configure –prefix=$TOOLDIR/openresty/openRestyDir  

--with-http_stub_status_module \

--add-module=$TOOLDIR/openResty/nginx-http-concat-master \

--add-module=$TOOLDIR/openResty/naxsi-master/naxsi_src \

--with-http_realip_module \

--with-http_ssl_module \

--with-luajit

 

gmake

gmake install

 

   ps: 这些模块其实在安装openresty的时候已经添加并且编译了,所以这一步可以省略。

 

  • 定义一个虚拟主机的安全策略

cd /open/thirdparty/openrestyDir/nginx/conf/naxsi_conf

vi mysite.rules

mysite.rules内容如下:

//开启自学习模式

#LearningMode;

//开启naxsi 

SecRulesEnabled; 

//关闭规则

#SecRulesDisabled;

//定义请求被拒的位置,nginx.conf中有相关配置

DeniedUrl "/RequestDenied";

//确定naxsi何时采取行动

# check rules  

CheckRule "$XSS >= 4" BLOCK;

CheckRule "$TRAVERSAL >= 4" BLOCK;

CheckRule "$EVADE >= 8" BLOCK;

CheckRule "$UPLOAD >= 8" BLOCK;

CheckRule "$RFI >= 8" BLOCK;

CheckRule "$SQL >= 8" BLOCK

将mysite.rules文件在nginx.conf中配置,如图:

且配置被拒请求的位置:返回403状态码

location /RequestDenied {

        return 403;

    }

 

四、添加naxsi核心配置naxsi_core.rules

在nginx.conf中添加naxsi的核心配置: 

  • 白名单规则配置

这是这次用到的白名单规则,我们可以根据自身的要求添加白名单规则,然后将规则include到server中的location中。

总结:

在查阅了一些资料后,我对naxsi的理解就是,帮助我们抵挡一些不合法的请求或者攻击,可以帮我们过滤某些请求。而这其中最重要的就是mysite.rules、naxsi_white.rules文件,他们都属于防火墙中的规则,mysite.rules文件是对不合法请求的处理,而naxsi_white.rules则是规定什么url合法的(当然不限于url,还有参数,get和post等),哪些是不合法的。这些文件都在nginx.conf文件中include,这样在nginx启动的时候,就会加载到这些配置文件了,也会对请求做出处理。

步骤如下:

解析http请求:协议解析模块,也就是白名单规则。

匹配规则:规则检测模块,匹配规则库

防御动作:return 403等

日志记录:将过滤日志记录下来

     

    

 

 

你可能感兴趣的:(Linux下用nginx和naxsi搭建web防火墙)