Nginx防火墙自动封禁解封IP概述.docx

?

?

Nginx防火墙自动封禁解封IP

?

?

ngx_lua_waf是一个高性能的轻量级web应用防火墙，基于lua-nginx-module

它具有以下功能：

防止sql注入，本地包含，部分溢出，fuzzing测试，xss,SSRF等web攻击

防止svn/备份之类文件泄漏

防止ApacheBench之类压力测试工具的攻击

屏蔽常见的扫描黑客工具，扫描器

屏蔽异常的网络请求

屏蔽图片附件类目录php执行权限

防止webshell上传

安装

安装起来也是相当容易，说白了就是给nginx增加ngx_devel_kit、lua-nginx-module这两个模块，然后再修改nginx配置来运行ngx_lua_waf。

下载ngx_lua_waf防火墙的各种依赖及模块

cd?/root

wget/openresty/luajit2/archive/v2.1tar.gz

tarxzvfv2.1tar.gz

mvluajit2-2.1luajit-2.1

wget/openresty/lua-cjson/archive/.tar.gz

tarxzvf.tar.gz

mvlua-cjson-lua-cjson

wget/simplresty/ngx_devel_kit/archive/v0.3.1rc1.tar.gz

tarxzvfv0.3.1rc1.tar.gz

mvngx_devel_kit-0.3.1rc1ngx_devel_kit

wget/openresty/lua-nginx-module/archive/v0.10.13.tar.gz

tarxzvfv0.10.13.tar.gz

mvlua-nginx-module-0.10.13lua-nginx-module

编译安装luajit

cdluajit-2.1??make-j2makeinstall

echo/usr/local/lib/etc/ld.so.conf.d/local.conf

ldconfig

编译安装lua-cjson

cdlua-cjson??exportLUA_INCLUDE_DIR=/usr/local/include/luajit-2.1

make-j2makeinstall

设置LUAJIT环境变量

exportLUAJIT_LIB=/usr/local/lib

exportLUAJIT_INC=/usr/local/include/luajit-2.1

编译nginx的时候加上以下两个模块

--add-module=../lua-nginx-module

--add-module=../ngx_devel_kit

[root@elk-master-node~]#cdnginx-1.14.2/

[root@elk-master-nodenginx-1.14.2]#./configure--with-stream--with-http_ssl_module--prefix=/opt/nginx1.14.2--add-module=../lua-nginx-module--add-module=../ngx_devel_kit

下载配置ngx_lua_waf

[root@elk-master-nodenginx-1.14.2]#cd/opt/nginx1.14.2/conf/

[root@elk-master-nodenginx-1.14.2]#?gitclone?/loveshell/ngx_lua_waf.git?waf

cat/opt/nginx1.14.2/conf/waf.confEOF

lua_shared_dictlimit20m;

lua_package_path/opt/nginx1.14.2/conf/waf/?.lua;

init_by_lua_file/opt/nginx1.14.2/conf/waf/init.lua;

access_by_lua_file/opt/nginx1.14.2/conf/waf/waf.lua;

EOF

mkdir-p/opt/nginx1.14.2/logs/waf/

chown?www.www?/opt/nginx1.14.2/logs/waf??注：www.www?用户和组参照nginx.conf中user

在nginx.conf里http段添加