首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >无成本为网站服务器加入高可靠的WAF防护

无成本为网站服务器加入高可靠的WAF防护

作者头像
C4rpeDime
发布2018-12-25 15:16:25
9670
发布2018-12-25 15:16:25
举报
文章被收录于专栏:黑白安全黑白安全

什么是WAF:WAF就是Web应用防护系统(Web Application Firewall)翻译过来就是网站应用级入侵防御系统,他的工作原理是通过执行一系列针对HTTP(80端口)或者HTTPS(443端口)的安全策略来阻止不正经的访问,比如跨站攻击等。

无成本为网站服务器加入高可靠的WAF防护
无成本为网站服务器加入高可靠的WAF防护

自从军哥的LNMP更新到1.5以后LNMP配置中添加了Enable_Nginx_Lua='y'选项,也就是支持一键安装Nginx_Lua了,这对于像树懒先生这样水平的站长简直就是福利啊,在默认状态中这个选项应该是“n”的,所以我们需要在服务器的/root/lnmp1.5目录下更改lnmp.conf文件中的Enable_Nginx_Lua='n'为Enable_Nginx_Lua='y',然后我们重新编译一下NGINX具体代码如下

//进入服务器SSH控制台,依次执行一下命令

cd lnmp1.5
./upgrade.sh nginx
无成本为网站服务器加入高可靠的WAF防护
无成本为网站服务器加入高可靠的WAF防护

接下来输入括号中的版本号,进行重新编译树懒先生用的是1.14版本,片刻后已经编译完成,接下来我们wget一下lua的文件到服务器,在控制台执行一下代码:

wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip

解压缩,并移动到我们需要的目录去

unzip master.zip
mv ngx_lua_waf-master/* /usr/local/nginx/conf/waf/

我们将服务器/usr/local/nginx/conf/waf/目录下的config.lua下载到本地,这个是WAF的配置文件,图中是树懒先生的配置。

无成本为网站服务器加入高可靠的WAF防护
无成本为网站服务器加入高可靠的WAF防护

下面将完整的配置代码贡献出来了,直接覆盖config.lua就可以了

RulePath = "/usr/local/nginx/conf/waf/wafconf/"
attacklog = "on"
logdir = "/usr/local/nginx/logs/hack/"
UrlDeny="on"
Redirect="on"
CookieMatch="on"
postMatch="on"
whiteModule="on"
black_fileExt={"php","jsp"}
ipWhitelist={"127.0.0.1"}
ipBlocklist={"1.0.0.1"}
CCDeny="on"
CCrate="500/60"
html=[[
<html xmlns="http://www.w3.org/1999/xhtml"><head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>网站防火墙</title>
<style>
p {
    line-height:20px;
}
ul{ list-style-type:none;}
li{ list-style-type:none;}
</style>
</head>

<body style=" padding:0; margin:0; font:14px/1.5 Microsoft Yahei, 宋体,sans-serif; color:#555;">

 <div style="margin: 0 auto; width:1000px; padding-top:70px; overflow:hidden;">


  <div style="width:600px; float:left;">
    <div style=" height:40px; line-height:40px; color:#fff; font-size:16px; overflow:hidden; background:#FF0000; padding-left:20px;">黑白网WAF安全防火墙</div>
    <div style="border:1px dashed #cdcece; border-top:none; font-size:14px; background:#fff; color:#555; line-height:24px; height:220px; padding:20px 20px 0 20px; overflow-y:auto;background:#f3f7f9;">
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px;"><span style=" font-weight:600; color:#fc4f03;">您的请求带有不合法的参数,已被WAF安全防护自动拦截!</span></p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px;">可能原因:您提交的内容包含危险的攻击请求</p>
<p style=" margin-top:12px; margin-bottom:12px; margin-left:0px; margin-right:0px; -qt-block-indent:1; text-indent:0px;">如何解决:</p>
<ul style="margin-top: 0px; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; -qt-list-indent: 1;"><li style=" margin-top:12px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px;">1)检查提交内容是否合法</li>
<li style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px;">2)立刻使用杀毒软件全盘杀毒并刷新重试</li>
<li style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px;">3)如为普通网站访客,请联系网站管理员</li></ul>
    </div>
  </div>
</div>
</body></html>
]]

这还不算完,我们看到logdir = "/usr/local/nginx/logs/hack/"  一项中我们开启了日志,所以还要最后执行一下代码,一遍WAF能顺利将日志输出,如果不需要日志将attacklog一项调成off即可,然后忽略下面的代码

mkdir -p /usr/local/nginx/logs/hack/
chown -R www:www /usr/local/nginx/logs/hack/
chmod -R 755 /usr/local/nginx/logs/hack/

最后重启NGINX即可,LNMP可以执行这个代码重启lnmp restart,我们进入一个不正经的链接,便会发现被阻止了,出现如图所示的惊喜

无成本为网站服务器加入高可靠的WAF防护
无成本为网站服务器加入高可靠的WAF防护

最后其实CDN所谓的WAF都是表面功夫,一旦暴露真实IP立刻凉凉,前两天发现有些站长的SSL检测链接直接暴露了真实IP,抱着试一下的心态顺着IP还顺利进入了数据库后台...话说这站长也不改一下默认root密码,还好没有恶意,要不然后果真的不敢想,还真是百密一疏啊。

本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2018-12-091,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
内容分发网络 CDN
内容分发网络(Content Delivery Network,CDN)通过将站点内容发布至遍布全球的海量加速节点,使其用户可就近获取所需内容,避免因网络拥堵、跨运营商、跨地域、跨境等因素带来的网络不稳定、访问延迟高等问题,有效提升下载速度、降低响应时间,提供流畅的用户体验。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档