編譯打包 帶web防火牆的tengine

2021-09-21 22:49:44 字數 3513 閱讀 2423

重新打包了tengine,整合了開箱即用的基於lua的web應用防火牆,特別感謝agentzh和loveshell 。

由於lua屬於解釋性的指令碼語言,因此可以不用重啟nginx,就可以方便地修改lua指令碼中的規則。

二進位制軟體包內容如下

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

# rpm -qpl tengine-1.5.2-3.waf.el6.x86_64.rpm

/etc/logrotate.d/nginx

/etc/nginx

/etc/nginx/browsers

/etc/nginx/conf.d

/etc/nginx/conf.d/default.conf

/etc/nginx/fastcgi_params

/etc/nginx/koi-utf

/etc/nginx/koi-win

/etc/nginx/mime.types

/etc/nginx/module_stubs

/etc/nginx/modules

/etc/nginx/nginx.conf

/etc/nginx/waf/config.lua

/etc/nginx/waf/init.lua

/etc/nginx/waf/rules.d

/etc/nginx/waf/rules.d/args

/etc/nginx/waf/rules.d/cookie

/etc/nginx/waf/rules.d/post

/etc/nginx/waf/rules.d/url

/etc/nginx/waf/rules.d/user-agent

/etc/nginx/waf/rules.d/whiteurl

/etc/nginx/waf/waf.conf

/etc/nginx/waf/waf.lua

/etc/nginx/win-utf

/etc/rc.d/init.d/nginx

/etc/sysconfig/nginx

/usr/sbin/dso-tool

/usr/sbin/nginx

/usr/share/nginx

/usr/share/nginx/html

/usr/share/nginx/html/50x.html

/usr/share/nginx/html/index.html

/var/cache/nginx

/var/log/nginx

所謂web 應用防火牆,即waf,實際上就是乙個基於正則的黑名單,對於web請求中的不安全行為進行過濾,比如特殊的請求引數,url等。

注意:本文的waf 工作在nginx的http段,而不是server段。

假設訪問乙個不存在的檔案,本應該在server段匹配後,返回404,但是有了waf,非法訪問來不及到server段,就被攔截了,直接返回http 200 。

效果圖如下:

如果你覺得直接返回 「blocked by waf」比較暴力,

1

html=[[document.location =''</script></html>]]

(從fedora 19 移植而來) 

參考文章

注:附件上傳時直接加了zip字尾,無需解壓。

update 2014-08-07

發現乙個小bug,lua無法寫攻擊日誌,改變/var/log/nginx 目錄許可權即可

1

chownnginx:nginx/var/log/nginx

附件:

編譯打包 帶web防火牆的tengine

重新打包了tengine,整合了開箱即用的基於lua的web應用防火牆,特別感謝agentzh和loveshell 由於lua屬於解釋性的指令碼語言,因此可以不用重啟nginx,就可以方便地修改lua指令碼中的規則。二進位制軟體包內容如下 rpm qpl tengine 1.5.2 3.waf.el...

web防火牆和waf防火牆的區別和選擇

首先說下被很多老鳥或小白混要的一些說法,web防火牆和waf防火牆不屬於乙個東西.真的,看我解釋.web應用防火牆,屬於硬體級別防火牆.對 流量進行惡意特徵識別及防護,將正常 安全的流量回源到伺服器。避免 伺服器被惡意入侵,保障業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。程式的正常,...

web防火牆和waf防火牆的區別和選擇

首先說下被很多老鳥或小白混要的一些說法,web防火牆和waf防火牆不屬於乙個東西 web應用防火牆,屬於硬體級別防火牆 對 流量進行惡意特徵識別及防護,將正常 安全的流量回源到伺服器。避免 伺服器被惡意入侵,保障業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。程式的正常,強依賴的安全產品...