NGINX應用安全防禦模塊-彙總

ngx_lua_waf模塊

模塊介紹

一個基於ngx_lua的web應用防火牆,代碼很簡單，開發初衷主要是使用簡單，高性能和輕量級。

功能：

• 用於過濾post，get，cookie方式常見的web***

• 防止sql注入，本地包含，部分溢出，fuzzing測試，xss,×××F等web***

• 防止svn/備份之類文件泄漏.

• 防止ApacheBench之類壓力測試工具的***

• 屏蔽常見的掃描***工具，掃描器

• 屏蔽異常的網絡請求

• 屏蔽圖片附件類目錄php執行權限

• 防止webshell上傳

相關鏈接：

http://blog.chinaunix.net/uid-1728743-id-3546152.html

https://github.com/openresty/lua-nginx-module

http://www.tuicool.com/articles/6B3ia2

http://netsecurity.51cto.com/art/201503/467721_all.htm

防護機制

採用lua語言開發的第三方模塊，它能將lua語言嵌入到nginx配置中，從而使用lua就極大加強了nginx的能力。nginx以高併發而知名，lua腳本輕便。

Naxsi模塊

模塊介紹

Naxsi是基於nginx的一個輕量級的第三方Web安全防禦模塊，能夠實現對Web應用層各類惡意***的防禦，如SQL injiection、XSS、CSRF、Directory traversal等***，可以對Web應用層的Get、Post、Cookie這些請求行爲進行完整的檢測和過濾。

Naxsi 依賴一個值得確定的模型, 有多個優勢, 但受一些限制束縛 :

• 專業的 :

• 快速:簡約，輕量級運行

• 彈性:Signature-less的設計容許提升對付混淆/複雜的***的彈性

• 獨立更新:Signature-less的設計容許可持續的安全, 即便沒有更新

• 配置 :

• 積極的作法須要一個更重要的白名單機制而不是單靠模型

• 因爲Naxsi就像一個網絡防火牆, 若是您設置更多安全鬆散的規則, 您的web應用程序將沒法正常保護

相關鏈接：

http://blog.micblo.com/2015/07/19/naxsi-tutorial-1/

防護機制

Naxsi其主要防禦機制是經過內置的一套極其嚴格的核心規則庫（Core Rules）來實現威脅阻斷，並經過用戶自定義的白名單（White List）來防止正常的請求被誤殺，經過這樣正反兩端的不斷優化配合，來實現安全防禦和業務訪問的平衡。

ModSecurity模塊

模塊介紹

傾向於過濾和阻止web危險，之因此強大就在於規則，OWASP提供的規則是於社區志願者維護的，被稱爲核心規則CRS（corerules）,規則可靠強大，固然也能夠自定義規則來知足各類需求。

相關鏈接：

http://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html

 

防護機制

ModSecurity是一個***探測與阻止的引擎，它主要是用於Web應用程序因此也能夠叫作Web應用程序防火牆.它能夠做爲Apache Web服務器的一個模塊或單獨的應用程序來運行。ModSecurity的目的是爲加強Web應用程序的安全性和保護Web應用程序避免遭受來自已知與未知的***。