静看光阴荏苒
不管不顾不问不说也不念

ngx_waf:方便且高性能的Nginx防火墙模块

消息来自:bobmaster,特此感谢。

这是一个新开发的nginx防火墙模块,前段时间作者加入了一个类似cloudflare防cc攻击的5秒盾功能,这里就搭建起来试试看。

系统debian10,通过包管理器安装的nginx1.14.2,下面通过编译动态模块的方式来使用。

安装编译nginx所需的依赖:

apt -y update
apt -y install wget git build-essential zlib1g-dev libssl-dev libpcre3-dev libgeoip-dev libgd-dev libxml2-dev libxslt1-dev

安装编译此模块所需的依赖:

apt -y install uthash-dev libsodium23 libsodium-dev

下载nginx1.14.2的源码解压:

mkdir -p /opt/build && cd /opt/build
wget http://nginx.org/download/nginx-1.14.2.tar.gz
tar -xzvf nginx-1.14.2.tar.gz

拉取ngx_waf的源码:

git clone https://github.com/ADD-SP/ngx_waf.git
cd ngx_waf
git clone https://github.com/libinjection/libinjection.git inc/libinjection

进入到nginx的源码目录:

cd /opt/build/nginx-1.14.2

查看当前机器nginx的编译参数:

nginx -V

回显类似于:

去掉上图内所有“添加动态模块”的参数:

--add-dynamic-module=/build/nginx-m1Thpq/nginx-1.14.2/debian/modules/http-auth-pam
--add-dynamic-module=/build/nginx-m1Thpq/nginx-1.14.2/debian/modules/http-dav-ext
--add-dynamic-module=/build/nginx-m1Thpq/nginx-1.14.2/debian/modules/http-echo
--add-dynamic-module=/build/nginx-m1Thpq/nginx-1.14.2/debian/modules/http-upstream-fair
--add-dynamic-module=/build/nginx-m1Thpq/nginx-1.14.2/debian/modules/http-subs-filter

其他的参数复制保留下来,加入到下面的配置中:

./configure --add-dynamic-module=/opt/build/ngx_waf \
--<除去原Nginx的所有add-dynamic-module参数后,剩下的参数都应该加在这里,也记得去掉这个括号>

之后编译模块:

make modules

把编译好的模块复制到nginx的模块加载目录:

cp objs/ngx_http_waf_module.so /usr/share/nginx/modules

编辑nginx主配置文件:

nano /etc/nginx/nginx.conf

在顶行加入下面的配置:

load_module modules/ngx_http_waf_module.so;

重启nginx:

systemctl restart nginx

如果正常的话,现在就可以来配置模块了。

ngx_waf的配置需要写到server段内,下面新建一个nginx站点配置文件:

nano /etc/nginx/conf.d/waf.conf

一个示例配置:

server {
  listen      80;
  server_name ngxwaf.233.fi;
  root        /var/www/html/flappyfrog;
  index       index.html;

  waf on; # 是否启用模块
  waf_rule_path /opt/build/ngx_waf/assets/rules/; # 模块规则
  waf_mode STD !CC; # 启用普通模式并关闭CC防护
  waf_cache capacity=50; # 缓存配置
  waf_under_attack on uri=/under-attack.html; # 配置5秒盾
}

把测试用的html复制到站点的根目录下:

cp /opt/build/ngx_waf/assets/under-attack.html /var/www/html/flappyfrog

重载nginx:

systemctl reload nginx

测试,如果正常的话,第一次访问站点的时候会有如下界面:、

这个html你可以随便魔改,改成花里胡哨的都可以,这里就不折腾这些东西了。。

关于此模块还有很多其他可配置项,具体的可以看官方的文档:

https://add-sp.github.io/ngx_waf/zh-cn/advance/directive.html

赞(1)
未经允许不得转载:荒岛 » ngx_waf:方便且高性能的Nginx防火墙模块
分享到: 更多 (0)

评论 2

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #1

    lala话说你文中使用的nginx版本是不是低了点,我看ngx_waf文档里写最低支持的版本是nginx-1.18.0
    https://add-sp.github.io/ngx_waf/zh-cn/guide/compatibility.html#%E5%B9%B3%E5%8F%B0%E5%85%BC%E5%AE%B9%E6%80%A7
    :wink:

    BobMaster1个月前 (06-27) Firefox 89.0 Firefox 89.0 Windows 10 x64 Edition Windows 10 x64 Edition回复
    • 现在1.14用着也没发现问题,要有问题的话到时候直接升debian11就行了。。

      LALA1个月前 (06-30) Google Chrome 90.0.4430.212 Google Chrome 90.0.4430.212 Windows 10 x64 Edition Windows 10 x64 Edition回复

分享创造快乐

广告合作资源投稿