使用Openresty實現WAF防火牆功能

時間 2020-08-11

標籤使用 openresty 實現 waf 防火牆功能简体版

原文原文鏈接

Openresty簡介

OpenResty® 是一個結合了 Nginx 與 Lua 的高性能 Web 平臺，其內部集成了大量精良的 Lua 庫、第三方模塊以及大多數的依賴項。用於方便地搭建可以處理超高併發、擴展性極高的動態 Web 應用、Web 服務和動態網關。php

OpenResty® 經過匯聚各類設計精良的 Nginx 模塊（主要由 OpenResty 團隊自主開發），從而將 Nginx 有效地變成一個強大的通用 Web 應用平臺。css

這樣，Web 開發人員和系統工程師可使用 Lua 腳本語言調動 Nginx 支持的各類 C 以及 Lua 模塊，快速構造出足以勝任 10K 乃至 1000K 以上單機併發鏈接的高性能 Web 應用系統。html

OpenResty® 的目標是讓你的Web服務直接跑在 Nginx 服務內部，充分利用 Nginx 的非阻塞 I/O 模型，不只僅對 HTTP 客戶端請求,甚至於對遠程後端諸如 MySQL、PostgreSQL、Memcached 以及 Redis 等都進行一致的高性能響應。java

Openresty安裝

如下采用CentOS 7.6進行部署python

1.安裝依賴開發組件mysql

•pcre-devel：擴展的正則表達式引擎，爲了使Nginx處理更復雜的正則表達式機制linux

•openssl-devel：--with-http_ssl_module使用該模塊必需裝openssl庫，來實現http支持https協議nginx

•zlib-devel：zlib庫是網絡通訊壓縮庫，ngx_http_gzip_module（gzip壓縮模塊）所必需的c++

•readline-devel：readline是安裝Openresty所必須的依賴包git

yum install gcc-c++ libtool gmake make -y
yum install pcre pcre-devel openssl openssl-devel zlib zlib-devel readline readline-devel-y

2.建立nginx用戶組 Nginx的Master主進程以root用戶身份運行，而worker子進程咱們指定它爲nginx用戶運行

groupadd nginx 
useradd -d /home/nginx -g nginx -s /sbin/nginx nginx

3.下載編譯並安裝Openresty

wget https://openresty.org/download/openresty-1.17.8.2.tar.gz
tar xf openresty-1.17.8.2.tar.gz
cd openresty-1.17.8.2
./configure --prefix=/usr/local/openresty \
--sbin-path=/usr/local/openresty/nginx/sbin/nginx \
--conf-path=/usr/local/openresty/nginx/conf/nginx.conf \
--pid-path=/usr/local/openresty/nginx/run/nginx.pid \
--error-log-path=/usr/local/openresty/nginx/logs/error.log \
--http-log-path=/usr/local/openresty/nginx/logs/access.log \
--user=nginx \
--group=nginx \
--with-pcre \
--with-stream \
--with-threads \
--with-file-aio \
--with-http_v2_module \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_gzip_static_module \
--with-http_stub_status_module
gamke && gmake install

4.爲Openresty添加環境變量

vim /etc/profile.d/openresty.sh
export PATH=/usr/local/openresty/bin:$PATH

5.添加location配置確認結合了Nginx與Lua的Openresty部署成功

location /hello {
            default_type text/html;
            content_by_lua_block {
                ngx.say("HelloWorld")       #經過調用lua來打印HelloWorld
            }
        }

上面已經實現了Openresty的部署，下面將結合WAF實現防火牆

什麼是WAF

Web應用防禦系統（也稱爲：網站應用級入侵防護系統。英文：Web Application Firewall，簡稱：WAF）。利用國際上公認的一種說法：Web應用防火牆是經過執行一系列針對HTTP/HTTPS的安全策略來專門爲Web應用提供保護的一款產品。

實現WAF

實現WAF的方式有兩種

1.使用nginx+lua來實現WAF,須在編譯nginx的時候配置上lua

2.部署OpenResty,不須要在編譯nginx的時候指定lua這裏咱們採用的是第二種WAF一句話描述，就是解析HTTP請求（協議解析模塊），規則檢測（規則模塊），作不一樣的防護動做（動做模塊），並將防護過程（日誌模塊）記錄下來。因此本文中的WAF的實現由五個模塊(配置模塊、協議解析模塊、規則模塊、動做模塊、錯誤處理模塊）組成。

WAF的功能

1.支持IP白名單和黑名單功能，直接將黑名單的IP訪問拒絕。

2.支持URL白名單，將不須要過濾的URL進行定義。

3.支持User-Agent的過濾，匹配自定義規則中的條目，而後進行處理（返回403）。

4.支持CC攻擊防禦，單個URL指定時間的訪問次數，超過設定值，直接返回403。

5.支持Cookie過濾，匹配自定義規則中的條目，而後進行處理（返回403）。

6.支持URL過濾，匹配自定義規則中的條目，若是用戶請求的URL包含這些，返回403。

7.支持URL參數過濾，原理同上。

8.支持日誌記錄，將全部拒絕的操做，記錄到日誌中去。

9.日誌記錄爲JSON格式，便於日誌分析，例如使用ELKStack進行攻擊日誌收集、存儲、搜索和展現。

部署WAF

WAF已經有人經過lua寫出了這個開源的功能，在此直接拿來用便可。

GitHub地址：https://github.com/unixhot/waf

1.下載waf模塊

git clone https://github.com/unixhot/waf.git
cp -a ./waf/waf /usr/local/openresty/nginx/conf/

2.waf文件介紹

ls -lrth /usr/local/openresty/nginx/conf/waf/
總用量 20K
-rw-r--r-- 1 root root  408 7月  27 09:30 access.lua
-rw-r--r-- 1 root root 2.3K 7月  27 09:30 lib.lua
-rw-r--r-- 1 root root 5.4K 7月  27 09:30 init.lua
-rw-r--r-- 1 root root 1.3K 7月  27 09:30 config.lua
drwxr-xr-x 2 root root  158 7月  27 09:57 rule-config

以上access.lua、lib.lua、init.lua都是功能實現的lua代碼，若是不具有lua的開發能力，咱們通常不會去進行改動 config.lua爲各個功能的配置文件 rule-config目錄存放了各類防護策略規則咱們須要常常改動config.lua和存儲策略的文件

ls /usr/local/openresty/nginx/conf/waf/rule-config/ -rlth
總用量 24K
-rw-r--r-- 1 root root 652 7月  27 09:30 cookie.rule             #Cookie策略文件
-rw-r--r-- 1 root root 749 7月  27 09:30 args.rule               #異常Get參數策略文件
-rw-r--r-- 1 root root   6 7月  27 09:30 whiteurl.rule           #白名單URL策略文件
-rw-r--r-- 1 root root   0 7月  27 09:30 whiteip.rule            #IP白名單策略文件
-rw-r--r-- 1 root root 173 7月  27 09:30 useragent.rule          #異常UserAgent策略文件
-rw-r--r-- 1 root root 307 7月  27 09:30 url.rule                #異常URL策略文件
-rw-r--r-- 1 root root 739 7月  27 09:30 post.rule               #異常POST參數策略文件
-rw-r--r-- 1 root root   0 7月  27 09:57 blackip.rule            #IP黑名單策略文件

Openresty引入WAF模塊

1.修改nginx配置來引入WAF模塊

以下在Nginx中加入如下配置來引入WAF模塊

vim /usr/local/openresty/nginx/conf/nginx.conf
...
http {
lua_shared_dict limit 10m;
lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua";
init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua";
access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua";
...
}

2.重啓Openrestyd

openresty -t
nginx: the configuration file /usr/local/openresty/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/openresty/nginx/conf/nginx.conf test is successful

openresty -s reload

3.查看nginx error.log

警告以下：failed to load the 'resty.core' module 加載 resty.core 核心模塊失敗，而後下面還有十幾行找不到文件的日誌

cat /usr/local/openresty/nginx/logs/error.log
2020/07/27 15:39:38 [notice] 12728#12728: signal process started
2020/07/27 15:39:38 [alert] 27311#27311: failed to load the 'resty.core' module (https://github.com/openresty/lua-resty-core); ensure you are using an OpenResty release from https://openresty.org/en/download.html (reason: module 'resty.core' not found:
    no field package.preload['resty.core']
    no file '/usr/local/openresty/nginx/conf/waf/resty/core.lua'
    no file '/usr/local/openresty/site/lualib/resty/core.so'
    no file '/usr/local/openresty/lualib/resty/core.so'
    no file './resty/core.so'
    no file '/usr/local/lib/lua/5.1/resty/core.so'
    no file '/usr/local/openresty/luajit/lib/lua/5.1/resty/core.so'
    no file '/usr/local/lib/lua/5.1/loadall.so'
    no file '/usr/local/openresty/site/lualib/resty.so'
    no file '/usr/local/openresty/lualib/resty.so'
    no file './resty.so'
    no file '/usr/local/lib/lua/5.1/resty.so'
    no file '/usr/local/openresty/luajit/lib/lua/5.1/resty.so'
    no file '/usr/local/lib/lua/5.1/loadall.so') in /usr/local/openresty/nginx/conf/nginx.conf:130

4.解決辦法以下

上面告警是缺乏 lua-resty-core 模塊，從而找不到這些信息，因此咱們要下載lua-resty-core模塊而後引入到Openresty

git clone https://github.com/openresty/lua-resty-core.git

而後修改nginx配置文件來引入此模塊,以下格式添加到第二行的後面

lua_shared_dict limit 10m;
lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua;/usr/local/openresty/lua-resty-core/lib/?.lua;;";
init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua";
access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua";

5.而後保存退出重啓看日誌

openresty -t && openresty -s reload

確保日誌無異常後則成功引入WAF模塊

WAF模塊配置文件詳解

來學習一下waf/config.lua配置文件中的內容

cat /usr/local/openresty/nginx/conf/waf/config.lua
--lua文件中，--爲行註釋，
--[[ 
這是塊註釋
--]]

config_waf_enable = "on"        --是否啓用waf模塊，值爲 on 或 off
config_log_dir = "/tmp"         --waf的日誌位置，日誌格式默認爲json
config_rule_dir = "/usr/local/openresty/nginx/conf/waf/rule-config" --策略規則目錄位置，可根據狀況變更
config_white_url_check = "on"   --是否開啓URL檢測
config_white_ip_check = "on"    --是否開啓IP白名單檢測
config_black_ip_check = "on"    --是否開啓IP黑名單檢測
config_url_check = "on"         --是否開啓URL過濾
config_url_args_check = "on"    --是否開啓Get參數過濾
config_user_agent_check = "on"  --是否開啓UserAgent客戶端過濾
config_cookie_check = "on"      --是否開啓cookie過濾
config_cc_check = "on"          --是否開啓cc攻擊過濾
config_cc_rate = "10/60"        --cc攻擊的速率/時間，單位爲秒；默認示例中爲單個IP地址在60秒內訪問同一個頁面次數超過10次則認爲是cc攻擊，則自動禁止此IP地址訪問此頁面60秒，60秒後解封(封禁過程當中此IP地址依然能夠訪問其它頁面，若是同一個頁面訪問次數超過10次依然會被禁止)
config_post_check = "on"        --是否開啓POST檢測
config_waf_output = "html"      --對於違反規則的請求則跳轉到一個自定義html頁面仍是指定頁面，值爲 html 和 redirect
config_waf_redirect_url = "https://www.unixhot.com"     --指定違反請求後跳轉的指定html頁面

--指定違反規則後跳轉的自定義html頁面
config_output_html=[[
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Language" content="zh-cn" />
<title>網站防火牆</title>
</head>
<body>
<h1 align="center"> 歡迎白帽子進行受權安全測試，安全漏洞請聯繫QQ：1111111。
</body>
</html>
]]

IP黑名單配置

須要在config.lua中開啓config_black_ip_check = "on"參數 IP黑名單配置很是簡單，這個與Nginx的ngx_http_access_module模塊原理是一致的，只須要把拒絕的地址加入到 waf/rule-config/blackip.rule文件中便可

cat /usr/local/openresty/nginx/conf/waf/rule-config/blackip.rule
192.168.31.14

而後訪問Openresty地址，以下已返回403被禁止

IP白名單配置

須要在config.lua中開啓config_white_ip_check = "on"參數 IP白名單與黑名單相反，添加到IP白名單中的IP不受WAF限制,具體請自行測試

cat /usr/local/openresty/nginx/conf/waf/rule-config/whiteip.rule
192.168.31.14

CC攻擊過濾

須要在config.lua中開啓config_cc_check = "on"參數，而後指定config_cc_rate = "10/60"速率和時間 CC攻擊只須要在config.lua配置文件中指定上面的兩個參數便可以下指定在60秒內對於單個IP地址訪問單個頁面的次數最大10次，超過10次則自動拉入黑名單，60秒後自動解除

vim /usr/local/openresty/nginx/conf/waf/config.lua
config_cc_check = "on"
config_cc_rate = "10/60"

而後進行測試,以下刷新10次之後就變爲來403

咱們換個頁面再次刷新，以下換個頁面能夠正常訪問，不過連續對一個頁面60秒內刷新10次之後將也被拉入黑名單

注：以上的請求速率和時間只能做爲參考，你們線上使用具體還要根據相應環境進行調整

異常URL策略配置

須要在config.lua中開啓config_url_check = "on"參數而後定義rule-config/url.rule文件，url.rule文件默認爲以下，若是匹配到規則的將跳轉到由config.lua中config_waf_output = "html"參數指定的頁面

1.禁止URL訪問 .htaccess|.bash_history 的文件

2.禁止URL訪問包含帶有phpmyadmin|jmx-console|admin-console|jmxinvokerservlet地址

3.禁止URL訪問包含 java.lang 的地址

4.禁止URL訪問包含 .svn/ 的地址

cat url.rule
\.(htaccess|bash_history)
\.(bak|inc|old|mdb|sql|backup|java|class|tgz|gz|tar|zip)$
(phpmyadmin|jmx-console|admin-console|jmxinvokerservlet)
java\.lang
\.svn\/
/(attachments|upimg|images|css|uploadfiles|html|uploads|templets|static|template|data|inc|forumdata|upload|includes|cache|avatar)/(\\w+).(php|jsp)

假如你不想讓別人訪問根下的/login，那麼就能夠寫入到配置中

cat url.rule
\.(htaccess|bash_history)
\.(bak|inc|old|mdb|sql|backup|java|class|tgz|gz|tar|zip)$
(phpmyadmin|jmx-console|admin-console|jmxinvokerservlet)
java\.lang
\.svn\/
/(attachments|upimg|images|css|uploadfiles|html|uploads|templets|static|template|data|inc|forumdata|upload|includes|cache|avatar)/(\\w+).(php|jsp)
/login

而後進行重啓後訪問,以下就跳轉到了咱們在config.lua中指定的頁面，此頁面可根據需求進行修改。若是上面默認的url規則匹配到了你的地址，那麼你就能夠把相應配置去掉

異常UserAgent策略配置

須要在config.lua中開啓config_user_agent_check = "on"參數WAF模塊中默認封鎖瞭如下UserAgent，如 HTTrack網站下載 namp網絡掃描 audit網絡審計 dirbuster網站目錄掃描 pangolin SQL注入工具 scan網絡掃描 hydra密碼暴力破解 libwww漏洞工具 sqlmap自動SQL注入工具 w3af網絡掃描 Nikto Web漏洞掃描 ... 等等

cat useragent.rule
(HTTrack|harvest|audit|dirbuster|pangolin|nmap|sqln|-scan|hydra|Parser|libwww|BBBike|sqlmap|w3af|owasp|Nikto|fimap|havij|PycURL|zmeu|BabyKrokodil|netsparker|httperf|bench)

咱們正常訪問URL是沒問題的，下面來模擬一個非法的UserAgent進行訪問

#模擬網站下載
curl http://192.168.31.219/ --user-agent 'HTTrack'
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Language" content="zh-cn" />
<title>網站防火牆</title>
</head>
<body>
<h1 align="center"> 歡迎白帽子進行受權安全測試，安全漏洞請聯繫QQ：1111111。
</body>
</html>

#模擬nmap網絡掃描
curl http://192.168.31.219/ --user-agent 'nmap'
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Language" content="zh-cn" />
<title>網站防火牆</title>
</head>
<body>
<h1 align="center"> 歡迎白帽子進行受權安全測試，安全漏洞請聯繫QQ：1111111。
</body>
</html>

添加禁止Chrome瀏覽器訪問的UserAgent

#跟隨配置添加到最後
cat useragent.rule
(HTTrack|harvest|audit|dirbuster|pangolin|nmap|sqln|-scan|hydra|Parser|libwww|BBBike|sqlmap|w3af|owasp|Nikto|fimap|havij|PycURL|zmeu|BabyKrokodil|netsparker|httperf|bench|Chrome)

而後重啓Openrestry，經過Chrome瀏覽器進行訪問

如上所示所有命中了WAF的規則

異常Get參數策略配置

須要在config.lua配置中開啓config_url_args_check = "on"

參數默認封鎖了以下：

cat args.rule
\.\./
\:\$
\$\{
select.+(from|limit)
(?:(union(.*?)select))
having|rongjitest
sleep\((\s*)(\d*)(\s*)\)
benchmark\((.*)\,(.*)\)
base64_decode\(
(?:from\W+information_schema\W)
(?:(?:current_)user|database|schema|connection_id)\s*\(
(?:etc\/\W*passwd)
into(\s+)+(?:dump|out)file\s*
group\s+by.+\(
xwork.MethodAccessor
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(
xwork\.MethodAccessor
(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/
java\.lang
\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[
\<(iframe|script|body|img|layer|div|meta|style|base|object|input)
(onmouseover|onerror|onload)\=

咱們進行訪問 http://192.168.31.219/hello?aa=select id from mysql,獲得以下，進行匹配

curl 'http://192.168.31.219/hello?aa=select id from mysql'
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Language" content="zh-cn" />
<title>網站防火牆</title>
</head>
<body>
<h1 align="center"> 歡迎白帽子進行受權安全測試，安全漏洞請聯繫QQ：1111111。
</body>
</html>

咱們也能夠根據本身需求去配置，以下最後添加abcops

cat args.rule
\.\./
\:\$
\$\{
select.+(from|limit)
(?:(union(.*?)select))
having|rongjitest
sleep\((\s*)(\d*)(\s*)\)
benchmark\((.*)\,(.*)\)
base64_decode\(
(?:from\W+information_schema\W)
(?:(?:current_)user|database|schema|connection_id)\s*\(
(?:etc\/\W*passwd)
into(\s+)+(?:dump|out)file\s*
group\s+by.+\(
xwork.MethodAccessor
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(
xwork\.MethodAccessor
(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/
java\.lang
\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[
\<(iframe|script|body|img|layer|div|meta|style|base|object|input)
(onmouseover|onerror|onload)\=
abcops

而後咱們進行訪問http://192.168.31.219/hello?aa=abcops也會匹配到規則

異常POST參數策略配置

須要在config.lua中開啓config_post_check = "on"選項

默認POST請求封禁以下，POST封禁內容與GET類似

cat post.rule
\.\./
select.+(from|limit)
(?:(union(.*?)select))
having|rongjitest
sleep\((\s*)(\d*)(\s*)\)
benchmark\((.*)\,(.*)\)
base64_decode\(
(?:from\W+information_schema\W)
(?:(?:current_)user|database|schema|connection_id)\s*\(
(?:etc\/\W*passwd)
into(\s+)+(?:dump|out)file\s*
group\s+by.+\(
xwork.MethodAccessor
(?:define|eval|file_get_contents|include|require|require_once|shell_exec|phpinfo|system|passthru|preg_\w+|execute|echo|print|print_r|var_dump|(fp)open|alert|showmodaldialog)\(
xwork\.MethodAccessor
(gopher|doc|php|glob|file|phar|zlib|ftp|ldap|dict|ogg|data)\:\/
java\.lang
\$_(GET|post|cookie|files|session|env|phplib|GLOBALS|SERVER)\[
\<(iframe|script|body|img|layer|div|meta|style|base|object|input)
(onmouseover|onerror|onload)\=

直接對POST策略進行提交請求，經過curl -XPOST來進行提交POST請求

curl -XPOST 'http://192.168.31.219/hello?aa=select id from mysql'
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="Content-Language" content="zh-cn" />
<title>網站防火牆</title>
</head>
<body>
<h1 align="center"> 歡迎白帽子進行受權安全測試，安全漏洞請聯繫QQ：1111111。
</body>
</html>

如上命中規則，咱們查看Openrestry日誌，查看是否爲POST請求

tail -1 /usr/local/openresty/nginx/logs/access.log
192.168.31.217 - - [27/Jul/2020:18:21:32 +0800] "POST /hello?aa=select id from mysql HTTP/1.1" 403 313 "-" "curl/7.29.0"

福利：豆花同窗爲你們精心整理了一份關於linux和python的學習資料大合集！有須要的小夥伴們，關注豆花我的公衆號：python頭條！回覆關鍵詞「資料合集」便可免費領取！

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。