【如何快速搭建企业级的WAF防火墙】

如何快速搭建企业级的WAF防火墙 目标1. 安装 OpenResty2. 部署 Best-Nginx-Waf2.1 下载 Best-Nginx-Waf2.2 解压缩2.3 将 best-nginx-waf 文件夹复制到openresty目录下2.4 依赖包安装 3. 配置 nginx.conf 启用best-nginx-waf4. 至此基于OpenResty 和 Best-Nginx-Waf搭建的WAF就可以拦截和记录攻击啦；进行最近流行的 log4j 攻击拦截测试 5. 对于二开或自定义规则5.1 自定义规则目录在best-nginx-waf/rules 下:5.2 支持钉钉告警、攻击日志上传、拦截和观察双模式、nginx健康检测等企业级的需求。参考具体项目链接

目标

	基于 Centos -7、 OpenResty、Best-Nginx-Waf  快速搭建起企业级的网站WAF防火墙; 

1. 安装 OpenResty

yum -y install  wget gcc perl unzip openssl openssl-devel
#下载并解压源码包
wget https://github.com/zylhahah/best-nginx-waf/archive/refs/heads/master.zip
tar zxf openresty-1.13.6.1.tar.gz
#编译安装
cd openresty-1.13.6.1
./configure
make
make install   #默认会安装到/usr/local/openresty目录
#openresty 自带nginx, 启动nginx
/usr/local/openresty/nginx/sbin/nginx -t  #检查配置文件语法是否正确
/usr/local/openresty/nginx/sbin/nginx     #启动nginx

2. 部署 Best-Nginx-Waf 2.1 下载 Best-Nginx-Waf

wget https://github.com/ddonline/nginx-lua-waf/archive/master.zip

2.2 解压缩

unzip master.zip  #解压后得到文件夹 best-nginx-waf

2.3 将 best-nginx-waf 文件夹复制到openresty目录下

cp -r best-nginx-waf /usr/local/openresty

2.4 依赖包安装

cd best-nginx-waf 目录下
cp http_headers.lua /usr/local/openresty/lualib/resty/
cp http.lua /usr/local/openresty/lualib/resty/

cd best-nginx-waf/luasocket-2.0.2
1、执行 make 命令
2、mkdir -p /usr/local/openresty/luajit/lib/lua/5.1/socket   
   cp src/socket.so.2.0.2 /usr/local/openresty/luajit/lib/lua/5.1/socket/core.so
   mkdir -p /usr/local/openresty/luajit/lib/lua/5.1/mime
   cp src/mime.so.1.0.2 /usr/local/openresty/luajit/lib/lua/5.1/mime/core.so

3. 配置 nginx.conf 启用best-nginx-waf

vi /usr/local/openresty/nginx/conf/nginx.conf
在http级别添加以下内容:
  lua_package_path "/usr/local/openresty/best-nginx-waf/?.lua;/usr/local/openresty/best-nginx-waf/lua-resty-redis/lib/?.lua;/usr/local/openresty/best-nginx-waf/lua-resty-lrucache/lib/?.lua;/usr/local/openresty/best-nginx-waf/luasocket-2.0.2/src/?.lua;/usr/local/openresty/lualib/?.lua;";
  lua_shared_dict limit 50m;
  lua_code_cache on;
  lua_regex_cache_max_entries 4096;
  init_worker_by_lua_file /usr/local/openresty/best-nginx-waf/job.lua;
  access_by_lua_file /usr/local/openresty/best-nginx-waf/access.lua;
  body_filter_by_lua_file /usr/local/openresty/best-nginx-waf/response_filter.lua;
    
在server级别修改server_name:
#在每个vhost中(server级别)定义server_name时，建议设置一个以上的主机名，默认第一个将做为规则中的主机区别标志，例如
  server_name  api api.test.com;
    
# 修改日志目录权限,使nginx对目录可写 具体目录位置可在conf.lua文件中修改
mkdir -p /var/log/best-nginx-waf/
chmod o+w /var/log/best-nginx-waf/
# 重载nginx使配置生效
/usr/local/openresty/nginx/sbin/nginx -t  #检查配置文件语法是否正确
/usr/local/openresty/nginx/sbin/nginx -s reload    #重载nginx

4. 至此基于OpenResty 和 Best-Nginx-Waf搭建的WAF就可以拦截和记录攻击啦； 进行最近流行的 log4j 攻击拦截测试

这里我们可以看到攻击已被拦截；整个请求耗时仅仅23ms；
至此best-nginx-waf 我们已经搭建完毕；后续就按照正常的nginx 使用就行。

5. 对于二开或自定义规则 5.1 自定义规则目录在best-nginx-waf/rules 下:

可进行 ip、uri 黑白名单设置。rule.json 用来编辑流量的正则匹配，支持拦截和观察两种模式；规则结构也支持树形结构对于精细化管理非常的贴心。

5.2 支持钉钉告警、攻击日志上传、拦截和观察双模式、nginx健康检测等企业级的需求。

在项目文件夹下的 config.lua配置文件中可以看到best-nginx-waf 支持钉钉告警；攻击日志上报; 响应日志上报(对于安全人员想观察规则效果非常贴心了)；nginx服务的健康检查等；所以对于二开的需求也是考虑的非常周到。其他的配置大家伙自己探索吧。

参考具体项目链接

Best-Nginx-Waf: https://github.com/zylhahah/best-nginx-waf
OpenResty: http://openresty.org/cn/download.html