Nginx+ Lua搭建网站WAF防火墙教程
搭建Nginx+Lua网站WAF(Web Application Firewall)
Web 应用防火墙(WAF)是用于保护网站免受常见攻击(如SQL注入、XSS、DDoS等)的重要安全工具。Nginx 和 Lua 相结合提供了一种轻量级且高效的解决方案。本教程将演示如何搭建一个简单的 Nginx+Lua 网站 WAF 防火墙。
一、安装Nginx和Lua模块
首先,确保在服务器上安装了 Nginx 和 LuaJIT,并启用了 Lua 模块。以下是安装步骤:
1.1 安装 Nginx 和 Lua 模块
在基于 Ubuntu 的系统中,通过以下命令进行安装:
sudo apt-get update
sudo apt-get install nginx libnginx-mod-http-lua
解释:
- sudo apt-get update:更新包列表,确保软件包是最新的。
- sudo apt-get install nginx libnginx-mod-http-lua:安装 Nginx 和 Lua 模块,Lua 模块用于让 Nginx 运行 Lua 脚本。
安装完成后,使用 nginx -v 命令确认 Nginx 安装成功,确保版本号符合要求。
1.2 安装 LuaJIT(如果没有自动安装)
LuaJIT 是 Nginx 上运行 Lua 脚本的高效引擎。如果 Lua 模块没有自动安装 LuaJIT,可以通过以下命令单独安装:
sudo apt-get install luajit
安装完成后,验证 LuaJIT 是否安装成功:
luajit -v
二、配置Nginx
配置 Nginx,以支持 WAF(Web 应用防火墙)。你需要创建一个配置文件 waf.conf,并将其引入到 Nginx 主配置文件中。
2.1 创建 WAF 配置文件
在 /etc/nginx 目录下创建 waf.conf 配置文件,配置 WAF 规则和 Lua 脚本。
# waf.conf
lua_shared_dict waf_dict 10m; # 创建共享内存空间,供 Lua 使用
# 初始化 Lua 文件,加载 WAF 规则
init_by_lua_file /path/to/waf/init.lua;
# 请求访问时调用 Lua 文件,执行 WAF 逻辑
access_by_lua_file /path/to/waf/access.lua;
server {
listen 80;
server_name your_domain.com;
location / {
# 反向代理到后端服务器
proxy_pass http://your_backend_server;
}
}
解释:
- lua_shared_dict waf_dict 10m;:创建一个名为 waf_dict 的共享内存区域,大小为 10MB,供 Lua 脚本存储数据。
- init_by_lua_file /path/to/waf/init.lua;:指定初始化 Lua 文件,该文件用于定义 WAF 的规则和配置信息。
- access_by_lua_file /path/to/waf/access.lua;:每次请求到达时,调用该 Lua 文件来处理请求,执行 WAF 规则的检查和过滤。
2.2 修改 Nginx 主配置文件
将刚刚创建的 waf.conf 配置文件引入到 Nginx 主配置文件(nginx.conf)中:
# nginx.conf
include /etc/nginx/waf.conf;
此时,waf.conf 文件中的配置将生效,Nginx 将能够加载和执行 WAF 规则。
三、编写WAF规则和Lua脚本
3.1 创建 init.lua 文件
在 /path/to/waf/ 目录下创建 init.lua 文件,用于初始化 WAF 规则和设置共享内存。这里可以定义一些简单的规则,比如阻止访问某些特定的 URL 或 IP 地址。
-- init.lua
-- 访问控制:阻止特定 IP
local blocked_ips = {"192.168.1.100", "10.0.0.200"}
-- 将规则存入共享内存
for _, ip in ipairs(blocked_ips) do
ngx.shared.waf_dict:set(ip, true)
end
解释:
- ngx.shared.waf_dict:set(ip, true):将被阻止的 IP 地址存入共享内存 waf_dict,每次访问请求时,WAF 将检查此内存中的 IP 地址列表。
- 通过 Lua 脚本可以灵活扩展 WAF 规则,如检测 SQL 注入、XSS 攻击等。
3.2 创建 access.lua 文件
接下来,在 /path/to/waf/ 目录下创建 access.lua 文件,用于实现 WAF 的请求过滤和处理逻辑。
-- access.lua
-- 获取客户端 IP 地址
local client_ip = ngx.var.remote_addr
-- 检查客户端 IP 是否在阻止列表中
if ngx.shared.waf_dict:get(client_ip) then
ngx.status = ngx.HTTP_FORBIDDEN
ngx.say("Forbidden: Your IP is blocked")
ngx.exit(ngx.HTTP_FORBIDDEN)
end
-- 检查请求的 URL 是否包含敏感词
local blocked_urls = {"/admin", "/login"}
for _, url in ipairs(blocked_urls) do
if ngx.var.uri:find(url) then
ngx.status = ngx.HTTP_FORBIDDEN
ngx.say("Forbidden: Access to this URL is not allowed")
ngx.exit(ngx.HTTP_FORBIDDEN)
end
end
解释:
- ngx.var.remote_addr:获取客户端的 IP 地址。
- ngx.shared.waf_dict:get(client_ip):从共享内存中获取该 IP 是否在被阻止列表中。
- ngx.var.uri:find(url):检查请求的 URL 是否包含被阻止的关键字(如 /admin 和 /login)。
四、重启Nginx
完成 WAF 配置和 Lua 脚本编写后,重启 Nginx 服务使其生效:
sudo service nginx restart
五、总结
通过本教程,你已经成功搭建了基于 Nginx+Lua 的网站 WAF 防火墙。该防火墙能够根据你定义的规则,对恶意请求进行过滤和拦截。具体流程如下:
- 安装和配置 Nginx:启用 Lua 模块以便支持 Lua 脚本。
- 配置 WAF:使用 Lua 脚本定义 WAF 规则,如阻止恶意 IP 或特定 URL。
- 编写 Lua 脚本:在 init.lua 中初始化规则,在 access.lua 中编写具体的请求过滤逻辑。
- 重启 Nginx:使配置生效,开始防护 Web 应用程序。
通过这个简单的 WAF 防火墙,能够有效防御 DDoS 攻击、SQL 注入、XSS 攻击 等常见 Web 安全威胁。为确保 WAF 的有效性,建议定期更新规则和脚本,并对 WAF 的性能进行监控和优化。
工作流程图
graph TB
A[安装Nginx和Lua模块] --> B[创建waf.conf配置文件]
B --> C[编写init.lua和access.lua脚本]
C --> D[重启Nginx服务]
D --> E[Web应用防火墙启用]
通过这个流程图,可以清晰地看到搭建 Nginx+Lua 网站 WAF 的步骤,从安装、配置到启用整个过程。