ngx_lua_waf开源了

[loveshell]

ngx_lua_waf是一个基于ngx_lua开发的web应用防火墙。

代码很简单，开发初衷主要是高性能和轻量级。非常感谢开发过程中春哥给予的细心指导，加深了我对ngx lua的理解。

现在开源出来.其中包含我们的过滤规则。欢迎大家多提bug/建议和想fa，欢迎和我一起完善。

用途：

用于过滤post，get，cookie方式常见的web攻击

防止sql注入，本地包含，部分溢出，fuzzing测试，xss,SSRF等web攻击

防止svn/备份之类文件泄漏

防止ApacheBench之类压力测试工具的攻击

屏蔽常见的扫描黑客工具，扫描器

屏蔽异常的网络请求

屏蔽图片附件类目录php执行权限

防止webshell上传

效果图如下：

推荐安装:

请自行给nginx安装ngx_lua模块，推荐lujit2.0做lua支持

请提前新建/data/logs/hack/目录攻击日志，并赋予nginx用户对该目录的写入权限。

配置文件添加：

在http段添加

lua_need_request_body on;（开启post请求）

access_by_lua_file /usr/local/nginx/conf/waf.lua;

规则更新：

考虑到正则的缓存问题，动态规则会影响性能，所以暂没用共享内存字典和redis之类东西做动态管理。

规则更新可以把规则文件放置到其他服务器，通过crontab任务定时下载来更新规则，nginx reload即可生效。以保障ngx lua waf的高性能

只记录过滤日志，不开启过滤，在代码里在check前面加上--注释即可，如果需要过滤，反之

一些说明：

过滤规则在wafconf下，可根据需求自行调整，每条规则需换行

名称格式如下:虚拟主机名_sec.log

默认开启了get和post过滤，需要开启cookie过滤的，编辑waf.lua取消部分--注释即可

欢迎大家到http://bbs.linuxtone.org多多交流

weibo: [@ppla](http://weibo.com/opscode)

感谢ngx_lua模块的开发者[@agentzh](https://github.com/agentzh/),春哥是我见过开源精神最好的人

[wgm.china]

收到了，支持一下。

 

2013-03-25

---

wgm.china

---

发件人：loveshell

发送时间：2013-03-25 15:41

主题：[openresty] ngx_lua_waf开源了

收件人："openresty"<open...@googlegroups.com>

抄送：

 

--
--
邮件来自列表“openresty”,专用于技术讨论!
订阅: 请发空白邮件到 openresty...@googlegroups.com
发言: 请发邮件到 open...@googlegroups.com
退订: 请发邮件至 openresty+...@googlegroups.com
归档: http://groups.google.com/group/openresty
官网: http://openresty.org/
仓库: https://github.com/agentzh/ngx_openresty
教程: http://openresty.org/download/agentzh-nginx-tutorials-zhcn.html
 
 

[Wayne]

过滤规则有没有注释或者文档啥的？

2013/3/25 wgm.china <wgm....@gmail.com>

[kindle]

已经在readme里增加了对规则文件的用途进行了说明。详细的规则可以自由添加删除

[林刚]

大家好:
    感谢kindle的开源，有问题请教下大家，我目前使用这样的配置来拦截
    if ($http_user_agent ~* "java|perl|Commons-HttpClient|Wget|ruby|Nutch|sifu|Request|php|blo|python"){ return 444; }  # 对伪造User-Agent进行封锁
ngx_lua_waf是一个基于ngx_lua开发，我看了也有User-Agent封锁功能，而且其它功能都能直接用nginx来实现，请问下kindle和各位，这两种方式在差别在那里？按理应该是nginx原生更优吧

林刚 Lin Gang      

[loveshell]

最早我也是和你的做法差不多，但是涉及到多个虚拟主机配置的话，需要每个虚拟主机加入配置才行，我们有平台有几百个域名，运维部署相当的麻烦。后来我就发现了ngx lua挺好的，就用它来开发这个功能，只需要加载配置到http段即可，这是其一。还有nginx自身的指令无法满足复杂的业务需求，使用ngx_lua可以很容易的开发一些函数，性能也很好，还可以通过luajit的ffi调用c代码，很容易实现编程化配置，也支持协程。可控性更强，而且开发效率很高

在 2013年3月25日星期一UTC+8下午5时51分41秒，loveshell写道：

是这样的，但是在匹配方面的性能可能ngx lua更优，他的正则都可以缓存的。还有就是在管理配置方面更加的方便，只需要加载一个文件即可。包括一些其他功能实现上比如说日志管理等。

在 2013年3月25日下午5:14，林刚 <tel...@telking.net>写道：

大家好:
    感谢kindle的开源，有问题请教下大家，我目前使用这样的配置来拦截
    if ($http_user_agent ~* "java|perl|Commons-HttpClient|Wget|ruby|Nutch|sifu|Request|php|blo|python"){ return 444; }  # 对伪造User-Agent进行封锁
ngx_lua_waf是一个基于ngx_lua开发，我看了也有User-Agent封锁功能，而且其它功能都能直接用nginx来实现，请问下kindle和各位，这两种方式在差别在那里？按理应该是nginx原生更优吧

在 2013年3月25日下午4:49，kindle <linuxr...@gmail.com>写道：

已经在readme里增加了对规则文件的用途进行了说明。详细的规则可以自由添加删除

在 2013年3月25日下午4:00，Wayne <moonbi...@gmail.com>写道：

过滤规则有没有注释或者文档啥的？

2013/3/25 wgm.china <wgm....@gmail.com>

收到了，支持一下。

 

2013-03-25

---

wgm.china

---

发件人：loveshell

发送时间：2013-03-25 15:41

主题：[openresty] ngx_lua_waf开源了

收件人："openresty"<openresty@googlegroups.com>

抄送：

 

订阅: 请发空白邮件到 openresty+subscribe@googlegroups.com
发言: 请发邮件到 open...@googlegroups.com
退订: 请发邮件至 openresty+unsubscribe@googlegroups.com

归档: http://groups.google.com/group/openresty
官网: http://openresty.org/
仓库: https://github.com/agentzh/ngx_openresty
教程: http://openresty.org/download/agentzh-nginx-tutorials-zhcn.html
 
 

--
--
邮件来自列表“openresty”,专用于技术讨论!

订阅: 请发空白邮件到 openresty+subscribe@googlegroups.com
发言: 请发邮件到 open...@googlegroups.com
退订: 请发邮件至 openresty+unsubscribe@googlegroups.com

归档: http://groups.google.com/group/openresty
官网: http://openresty.org/
仓库: https://github.com/agentzh/ngx_openresty
教程: http://openresty.org/download/agentzh-nginx-tutorials-zhcn.html
 
 

--
--
邮件来自列表“openresty”,专用于技术讨论!

订阅: 请发空白邮件到 openresty+subscribe@googlegroups.com
发言: 请发邮件到 open...@googlegroups.com
退订: 请发邮件至 openresty+unsubscribe@googlegroups.com

归档: http://groups.google.com/group/openresty
官网: http://openresty.org/
仓库: https://github.com/agentzh/ngx_openresty
教程: http://openresty.org/download/agentzh-nginx-tutorials-zhcn.html
 
 

--
--
邮件来自列表“openresty”,专用于技术讨论!

订阅: 请发空白邮件到 openresty+subscribe@googlegroups.com
发言: 请发邮件到 open...@googlegroups.com
退订: 请发邮件至 openresty+unsubscribe@googlegroups.com

归档: http://groups.google.com/group/openresty
官网: http://openresty.org/
仓库: https://github.com/agentzh/ngx_openresty
教程: http://openresty.org/download/agentzh-nginx-tutorials-zhcn.html
 
 

--
林刚 Lin Gang      

--
--
邮件来自列表“openresty”,专用于技术讨论!
订阅: 请发空白邮件到 openresty+subscribe@googlegroups.com
发言: 请发邮件到 open...@googlegroups.com
退订: 请发邮件至 openresty+unsubscribe@googlegroups.com

[loveshell]

想起来当时想把安全过滤的日志提取出来都没找到方法，好像log_subrequest也是后来加入的，反正当时各种的不方便啊。现在想做什么事情很容易，想提取，想直接发送远程syslog server，通过ngx_lua都轻松的实现了

在 2013年3月25日星期一UTC+8下午8时22分52秒，loveshell写道：

[陈衍领]

一样的，不必拘泥某种形式，根据你业务需求选择合适的方法就行了。

[agentzh]

Hello!

首先，感谢你的贡献！

2013/3/25 kindle
>
> 是这样的，但是在匹配方面的性能可能ngx lua更优，他的正则都可以缓存的。

这里需要稍微纠正一下，nginx 配置里使用的正则也是只编译一次的（即也是缓存 PCRE 编译后的正则的）。

基于 Lua 实现的 waf 的主要优势在于更加灵活的功能和配置，可以适应更复杂的过滤规则和需求。

Best regards,
-agentzh

[lhmwzy]

请问一下，https://github.com/loveshell/ngx_lua_waf 这个页面中的效果图，是用什么软件统计以及画出来的？

[4647...@qq.com]

您好！

https://github.com/loveshell/ngx_lua_waf

攻击行为统计中。
下面统计分别对应哪些规则？麻烦具体描述下，或者给个文档参考下。谢谢！
sql注入， 命令执行， 敏感文件，文件包含，xss攻击，扫描器扫描，任意代码执行，目录探测，异常请求。
qq邮箱：4647...@qq.com
--致敬！

在 2013年3月25日星期一 UTC+8下午3:41:46，loveshell写道：