nginx服务器基础（准备好给你的nginx服务器加个防火墙吗）

nginx服务器基础（准备好给你的nginx服务器加个防火墙吗）export LUAJIT_LIB=/usr/local/libexport LUAJIT_INC=/usr/local/include/luajit-2.14.设置 LUAJIT 环境变量cd luajit-2.1make -j2 && make installecho ‘/usr/local/lib’ » /etc/ld.so.conf.d/local.confldconfig3.编译安装lua-cjsoncd /usr/src/lua-cjsonexport LUA_include_DIR=/usr/local/include/luajit-2.1make -j2 && make install

防火墙功能

• 支持IP白名单和黑名单功能，直接将黑名单的IP访问拒绝
• 支持URL白名单，将不需要过滤的URL进行定义
• 支持User-Agent的过滤，匹配自定义规则中的条目，然后进行处理（返回403）
• 支持CC攻击防护，单个URL指定时间的访问次数，超过设定值，直接返回403
• 支持Cookie过滤，匹配自定义规则中的条目，然后进行处理（返回403）
• 支持URL过滤，匹配自定义规则中的条目，如果用户请求的URL包含这些，返回403
• 支持URL参数过滤，原理同上
• 支持日志记录，将所有拒绝的操作，记录到日志中去* 日志记录为JSON格式，便于日志分析，例如使用ELKStack进行攻击日志收集、存储、搜索和展示

一键安装脚本

实现思路: 给 nginx 增加 ngx_devel_kit、lua-nginx-module 这两个模块，然后再修改 nginx 配置来运行 ngx_lua_waf

私信回复：nginx_waf 获取安装脚本下载地址

lua模块安装

1.下载 ngx_lua_waf 防火墙的各种依赖及模块

cd /usr/src/ wget https://github.com/openresty/luajit2/archive/v2.1-20181029.tar.gz tar xzvf v2.1-20181029.tar.gz mv luajit2-2.1-20181029 luajit-2.1 wget https://github.com/openresty/lua-cjson/archive/2.1.0.6.tar.gz tar xzvf 2.1.0.6.tar.gz mv lua-cjson-2.1.0.6 lua-cjson wget https://github.com/simplresty/ngx_devel_kit/archive/v0.3.1rc1.tar.gz tar xzvf v0.3.1rc1.tar.gz mv ngx_devel_kit-0.3.1rc1 ngx_devel_kit wget https://github.com/openresty/lua-nginx-module/archive/v0.10.13.tar.gz ta r xzvf v0.10.13.tar.gz mv lua-nginx-module-0.10.13 lua-nginx-module

2.编译安装luajit

cd luajit-2.1make -j2 && make installecho ‘/usr/local/lib’ » /etc/ld.so.conf.d/local.confldconfig

3.编译安装lua-cjson

cd /usr/src/lua-cjsonexport LUA_include_DIR=/usr/local/include/luajit-2.1make -j2 && make install

4.设置 LUAJIT 环境变量

export LUAJIT_LIB=/usr/local/libexport LUAJIT_INC=/usr/local/include/luajit-2.1

5.编译 nginx 的时候加上以下两个模块

–add-module=../lua-nginx-module–add-module=../ngx_devel_kit

6.下载配置 ngx_lua_waf

cd /usr/local/nginx/conf/ git clone https://github.com/xzhih/ngx_lua_waf.git waf cat > /usr/local/nginx/conf/waf.conf << EOF lua_shared_dict limit 20m; lua_package_path "/usr/local/nginx/conf/waf/?.lua"; init_by_lua_file "/usr/local/nginx/conf/waf/init.lua"; access_by_lua_file "/usr/local/nginx/conf/waf/access.lua"; EOF mkdir -p /usr/local/nginx/logs/waf chown www-data:www-data /usr/local/nginx/logs/waf

你可以在 /usr/local/nginx/logs/waf 找到防火墙日志; 在 nginx.conf 里 include waf.conf

7.测试验证启动

nginx 并访问 http://192.168.31.91/?a=a.sql ; 就可以看到防火墙提示了