脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器nginx → Nginx  lua WAF

Nginx + lua 实现WAF的详细过程

 更新时间:2024年07月08日 11:05:52   作者:粥小羊i  
这篇文章主要介绍了Nginx + lua 实现WAF的详细过程,本文给大家介绍的非常详细,感兴趣的朋友跟随小编一起看看吧

一、背景

    近期发现公司网站有SEO攻击,为了解决这个问题需要有一个违禁词拦截,例如以下例子(雨果网):

当然,他这个是用的阿里云的WAF服务,不用阿里云的服务也能做。

二、具体步骤

1、确认Nginx安装LuaJIT (不会自己百度,有详细教程)

2、lua脚本如下:

local shared_dict_name = "blocked_keywords"
local file_path = "/application/lua/blocked_keywords.txt"
local template = require "resty.template"
local shared_dict = ngx.shared[shared_dict_name]
local last_modified_time = 0
local function load_keywords_from_file()
    local file, err = io.open(file_path, "r")
    if not file then
        ngx.log(ngx.ERR, "Unable to open " .. file_path .. ": " .. (err or "Unknown error"))
        return nil
    end
    local keywords = {}
    for line in file:lines() do
        local keyword = line:match("^%s*(.-)%s*$")
        if keyword and keyword ~= "" then
            keywords[#keywords + 1] = keyword
            shared_dict:set(keyword, true)
        end
    end
    file:close()
    return keywords
end
local function get_keywords()
    local keywords = shared_dict:get_keys() or {}
    if #keywords == 0 or ngx.time() - last_modified_time > 60 then
        keywords = load_keywords_from_file()
    end
    return keywords
end
local function is_blocked(request_url)
    local keywords = get_keywords()
    for _, keyword in ipairs(keywords) do
        if string.find(request_url, keyword, 1, true) then
            return true
        end
    end
    return false
end
local request_url = ngx.var.uri
if is_blocked(request_url) then
    ngx.status = ngx.HTTP_FORBIDDEN
    ngx.header.content_type = "text/html; charset=utf-8"
    ngx.say(template.CONTENT)
    return ngx.exit(ngx.HTTP_FORBIDDEN)
end

3、违禁词记录到 /application/lua/blocked_keywords.txt中

4、编写一个拦截的返回页面(网上抄的)

cat /usr/local/openresty/lualib/resty/template.lua

-- resty/template.lua
 
local _M = {}
 
_M.CONTENT = [[
<html xmlns="http://www.xxxx.cn">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>网站防火墙</title>
<style>
body {
  display: flex;
  justify-content: center;
  align-items: center;
  margin: 0;
  padding: 0;
  font: 14px/1.5 Microsoft Yahei, 宋体, sans-serif;
  color: #555;
  background-color: #f3f7f9;
}
 
.container {
  width: 1000px; /* 定义容器的宽度 */
  padding-top: 70px; /* 保持原有的上边距 */
}
 
.header {
  height: 40px;
  line-height: 40px;
  color: #fff;
  font-size: 16px;
  background: #6bb3f6;
  padding-left: 20px;
}
 
.content {
  border: 1px dashed #cdcece;
  border-top: none;
  font-size: 14px;
  background: #fff;
  color: #555;
  line-height: 24px;
  min-height: 220px; /* 使用最小高度而不是固定高度 */
  padding: 20px;
  background: #f3f7f9;
  display: flex;
  flex-direction: column;
  justify-content: space-between;
}
 
.text-content {
  flex: 1;
}
 
.button {
  margin-top: 20px;
  padding: 5px 10px; /* 调整按钮内边距 */
  background: #6bb3f6;
  color: white;
  text-decoration: none;
  border-radius: 5px;
  display: inline-block; /* 改为行内块元素 */
  text-align: center; /* 按钮文本居中对齐 */
  font-size: 14px; /* 调整字体大小 */
}
 
.button:hover {
  background: #5aa1e3;
  cursor: pointer;
}
</style>
</head>
 
<body>
<div class="container">
  <div class="header">
    网站防火墙
  </div>
  <div class="content">
    <div class="text-content">
      <p><span style="font-weight:600; color:#fc4f03;">您的请求带有不合法参数,已被网站管理员设置拦截!</span></p>
      <p>可能原因:您提交的内容包含危险的攻击请求</p>
      <p>如何解决:</p>
      <ul>
        <li>1)检查提交内容;</li>
        <li>2)如网站托管,请联系空间提供商;</li>
        <li>3)普通网站访客,请联系网站管理员;</li>
      </ul>
    </div>
    <!-- 返回首页按钮 -->
    <a href="https://xxxx" rel="external nofollow"  class="button">返回首页</a>
  </div>
</div>
</body>
</html>
]]
 
return _M

5、Nginx配置文件引入lua脚本

- 首先nginx.conf主配置文件加入
    lua_shared_dict blocked_keywords 10m;

- 网站配置文件引用脚本
access_by_lua_file /application/lua/url_filter.lua;

6、reload Nginx

nginx -s reload

7、验证

8、后续可添加其他功能。

到此这篇关于Nginx + lua 实现WAF的文章就介绍到这了,更多相关Nginx lua 实现WAF内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • nginx实现负载均衡与实例解读

    nginx实现负载均衡与实例解读

    这篇文章主要介绍了nginx实现负载均衡与实例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2025-04-04
  • 利用nginx访问日志如何记录mysql中的用户id详解

    利用nginx访问日志如何记录mysql中的用户id详解

    这篇文章主要给大家介绍了关于利用nginx访问日志如何记录mysql中用户id的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面跟着小编一起来学习学习吧。
    2017-07-07
  • Nginx+cpolar实现内网穿透多个Windows Web站点端口的步骤详解

    Nginx+cpolar实现内网穿透多个Windows Web站点端口的步骤详解

    这篇文章主要给大家介绍了Nginx+cpolar实现内网穿透多个Windows Web站点端口的详细步骤,文章通过图文介绍的非常详细,对大家的学习或工作有一定的帮助,需要的朋友可以参考下
    2023-10-10
  • Nginx中alias指令的实现

    Nginx中alias指令的实现

    lias指令用于指定一个替换位置,该替换位置会替换掉location块中指定的URl,下面就来介绍一下alias指令,具有一定的参考价值,感兴趣的可以了解一下
    2024-08-08
  • Nginx反向代理中出现502错误的解决步骤

    Nginx反向代理中出现502错误的解决步骤

    反向代理是一种服务器代理的方式,它代理了客户端的请求并将请求转发给后端服务器,然后将后端服务器的响应返回给客户端,但经常会遇到502错误,所以本文给大家介绍了Nginx反向代理中出现502错误的解决步骤,需要的朋友可以参考下
    2025-03-03
  • Nginx代理导致请求头某些内容丢失的问题解决

    Nginx代理导致请求头某些内容丢失的问题解决

    本文主要介绍了在使用NGINX代理时请求头中的下划线被自动忽略的问题,通过两种方法解决了这个问题,具有一定的参考价值,感兴趣的可以了解一下
    2025-02-02
  • nginx完全卸载的方法步骤

    nginx完全卸载的方法步骤

    由于现在nginx有版本漏洞,所以很多安装过nginx的需要卸载重新安装,本文主要介绍了nginx完全卸载的方法步骤,具有一定的参考价值,感兴趣的可以了解一下
    2024-08-08
  • Nginx服务器作反向代理实现内部局域网的url转发配置

    Nginx服务器作反向代理实现内部局域网的url转发配置

    这篇文章主要介绍了Nginx服务器作反向代理实现内部局域网的url转发实例,文中提到需要注意proxy_read_timeout参数的相关调整,需要的朋友可以参考下
    2016-01-01
  • 使用Nginx实现根据 IP 匹配指定 URL

    使用Nginx实现根据 IP 匹配指定 URL

    最近的一个项目,需要特定的IP访问某专题页面的时候跳转到网站首页,思考了下,直接使用NGINX实现,分享给大家。
    2014-09-09
  • Nginx批量添加二级子域名完美方案

    Nginx批量添加二级子域名完美方案

    这篇文章主要介绍了Nginx批量添加二级子域名完美方案,本文讲解使用正则表达式批量匹配指定域名的二级域名虚拟主机,需要的朋友可以参考下
    2015-04-04

最新评论