脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器nginx → Nginx安装配置naxsi waf防火墙

Nginx安装配置naxsi waf防火墙的方法实现

 更新时间:2024年08月22日 10:10:38   作者:Q.E.D.  
Naxsi是第三方nginx模块,它也能有效防御,本文主要介绍了Nginx安装配置naxsi waf防火墙的方法实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

Naxsi 是第三方 nginx 模块 ,它和 Modsecurity 都是开源 WAF ,但是它们的防御模式不同。 Naxsi 不依赖像防病毒软件这样的签名库,因此不会被“未知”攻击模式所规避,它就像是 windows 下默认的防火墙。Naxsi 和其他 WAF 之间的另一个主要区别就是仅过滤 GET 和 POST 请求。

 之前一直在用 modsecurity ,效果还不错,但是它对 nginx 支持真的不太好~.~ 。经常会产生大量错误日志,不过这个并不影响它的正常功能,只是看着揪心。让我想更换它的主要原因是 Modsecurity 经常在处理某个请求(正常或不正常)时,会突然导致 CPU 99.9% 以上,这是最不能忍受的。

1、Naxsi 和 Modsecurity对比

WAFNaxsiModsecurity
Nginx 兼容性好(第三方 nginx 模块)不好(原 Apache 下的模块,Nginx 下bug较多)
防御模式简单(不依赖签名库)复杂(依赖更新规则)
白名单规则支持支持
安装难度容易一般(需要安装依赖库)
社区支持一般较好
内存占用大?不到哪去
特色支持学习模式,可借助 nxapi/nxtool 自动分析白名单可开启只记录不阻止,但是官方没有提供分析工具。
总结Naxsi 比较灵活,所以学习成本较大,白名单规则需要自己完成。对 Nginx 支持良好,快速轻便。Modsecurity 操作简单,规则更新较快,比较占用服务器资源,对于生产环境下的 Nginx 来说是个噩梦

在日常使用中,可以发现 Modsecurity 具有非常严格的防御规则(误报挺多的),并且规则支持较好(有强大的后台?)。如果你使用 Apache 服务器,推荐使用 Modsecurity WAF。如果你使用的是 Nginx 服务器,建议先尝试使用 Naxsi 。

下面就来在 Centos 下编译安装 Nginx + Naxsi WAF 。 【占位:Modsecurity 的编译安装】

2、编译 Nginx + Naxsi

首先先运行:

# nginx -V

然后可以看到现有的模块,复制保存一下备用。

configure arguments: --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module --with-http_mp4_module --with-openssl=../openssl-1.0.2l --with-pcre=../pcre-8.40 --with-pcre-jit --with-ld-opt=-ljemalloc

3、下载 Nginx 和 Naxsi

Naxsi 应该使用所有高于 0.8.X 的 Nginx 版本。 Naxsi 版本可以在  https://github.com/nbs-system/naxsi 这里,选择 Branch –> Tags 查看版本号。

下载 Nginx 和 Naxsi ,并解压,然后进入解压后的 Nginx 目录:

# wget http://nginx.org/download/nginx-1.12.1.tar.gz
# wget https://github.com/nbs-system/naxsi/archive/0.55.3.tar.gz
# tar xvzf nginx-1.12.1.tar.gz 
# tar xvzf naxsi-0.55.3.tar.gz
# cd nginx-1.12.1/

Naxsi 不要求任何特定的依赖,它需要的 libpcre ,libssl ,zlib ,gzip 这些 Nginx 已经集成了。

然后编译(记得在 ./configure 后面加上 --add-module=../naxsi-0.55.3/naxsi_src/ 和你之前备份的模块):

./configure --prefix=/usr/local/nginx --user=www --group=www --add-module=../naxsi-0.55.3/naxsi_src/ --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module --with-http_mp4_module --with-openssl=../openssl-1.0.2l --with-pcre=../pcre-8.40 --with-pcre-jit --with-ld-opt=-ljemalloc
make //不要 make install,不然就真的覆盖了

等待编译完成。Naxsi 安装完成。

4、替换nginx二进制文件

# cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak
# cp ./objs/nginx /usr/local/nginx/sbin/

注:如果提示 cp: cannot create regular file ‘/usr/local/nginx/sbin/nginx’: Text file busy ,请先 service nginx stop

5、检查 nginx 模块

# nginx -V

看到有 –add-module=../naxsi-0.55.3/naxsi_src/ 就成功了。

6、nginx/naxsi 基本配置

6.1、http 部分配置

打开 nginx.conf 在 http 部分配置:

http {
 include naxsi_core.rules;  #导入 naxsi 核心规则
 ...
}
server 部分配置
在 nginx.conf 的 server 部分配置:

location / {
   #开启 naxsi
   SecRulesEnabled;
   #开启学习模式
   LearningMode;
   #定义阻止请求的位置
   DeniedUrl "/50x.html"; 
   #CheckRules, 确定 naxsi 何时采取行动
   CheckRule "$SQL >= 8" BLOCK;
   CheckRule "$RFI >= 8" BLOCK;
   CheckRule "$TRAVERSAL >= 4" BLOCK;
   CheckRule "$EVADE >= 4" BLOCK;
   CheckRule "$XSS >= 8" BLOCK;
   #naxsi 日志文件
   error_log /.../foo.log;
   ...
  }
  error_page   500 502 503 504  /50x.html;
  #This is where the blocked requests are going
  location = /50x.html {
  return 418; #I'm a teapot \o/
  }

6.2、测试

测试 nginx 配置

/nginx/sbin/nginx -t
nginx: the configuration file /nginx/conf/nginx.conf syntax is ok
nginx: configuration file /nginx/conf/nginx.conf test is successful 

重启 nginx

service nginx reload

6.3、防御测试

浏览器中打开 http://www.test.com/?a=<>‘ ,出现 403 错误,并且在 foo.log 中出现 NAXSI_FMT 开头的日志。恭喜你 Naxsi 启用成功。

6.4、白名单规则

Naxsi 社区提供了一些常用的白名单规则,例如 wordpress 。可以在  https://github.com/nbs-system/naxsi-rules下载白名单规则。

然后将规则 include 到 server 内的 location 中。重启 nginx 即可。不过目前这些白名单最近的修改日期有点久了~.~ ,可根据自身需要添加白名单规则。

详细的白名单规则以及 Naxsi 其他支持,可参考  Naxsi WIKI

到此这篇关于Nginx安装配置naxsi waf防火墙的方法实现的文章就介绍到这了,更多相关Nginx安装配置naxsi waf防火墙内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • 详解Nginx 动态 DNS 反向代理的几种写法

    详解Nginx 动态 DNS 反向代理的几种写法

    这篇文章主要介绍了详解Nginx 动态 DNS 反向代理的几种写法,详细的介绍了Nginx 动态 DNS 反向代理的4种方法,非常具有实用价值,需要的朋友可以参考下
    2018-05-05
  • 升级nginx以支持http2的方法

    升级nginx以支持http2的方法

    本篇文章主要介绍了升级nginx以支持http2的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-03-03
  • Keepalived+Nginx+Tomcat 实现高可用Web集群的示例代码

    Keepalived+Nginx+Tomcat 实现高可用Web集群的示例代码

    这篇文章主要介绍了Keepalived+Nginx+Tomcat 实现高可用Web集群的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-09-09
  • nginx禁止直接通过ip进行访问并跳转到自定义500页面的操作

    nginx禁止直接通过ip进行访问并跳转到自定义500页面的操作

    这篇文章主要介绍了nginx禁止直接通过ip进行访问并跳转到自定义500页面的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2020-05-05
  • Nginx可视化配置工具NginxWebUI的使用

    Nginx可视化配置工具NginxWebUI的使用

    本文主要介绍了Nginx可视化配置工具NginxWebUI的使用,可以使用 WebUI 配置 Nginx 的各项功能,包括端口转发,反向代理,ssl 证书配置,负载均衡等,感兴趣的可以了解一下
    2022-01-01
  • 重启或杀掉Nginx进程后丢失nginx.pid的解决办法

    重启或杀掉Nginx进程后丢失nginx.pid的解决办法

    在重启或杀掉nginx进程后,会丢失nginx.pid文件,导致nginx无法正常启动,这里分享下解决方法
    2014-01-01
  • Nginx服务器作反向代理实现内部局域网的url转发配置

    Nginx服务器作反向代理实现内部局域网的url转发配置

    这篇文章主要介绍了Nginx服务器作反向代理实现内部局域网的url转发实例,文中提到需要注意proxy_read_timeout参数的相关调整,需要的朋友可以参考下
    2016-01-01
  • 使用Nginx和Lua进行JWT校验介绍

    使用Nginx和Lua进行JWT校验介绍

    大家好,本篇文章主要讲的是使用Nginx和Lua进行JWT校验介绍,感兴趣的同学赶快来看一看吧,对你有帮助的话记得收藏一下
    2021-12-12
  • 使用Nginx搭载rtmp直播服务器的方法

    使用Nginx搭载rtmp直播服务器的方法

    这次我们搭建一个rtmp直播服务器,用于电脑或手机直播推流到服务器,然后其他终端如电脑或手机可以观看直播的视频画面。接下来通过本文给大家分享使用Nginx搭载rtmp直播服务器的问题,感兴趣的朋友一起看看吧
    2021-10-10
  • Nginx中split_clients模块的使用

    Nginx中split_clients模块的使用

    split_clients模块可以轻松地实现A/B测试,本文主要介绍了Nginx中split_clients模块的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2024-06-06

最新评论