OpenResty 是一个基于 Nginx 和 LuaJIT 的全功能 Web 应用服务器,它提供了一种弱小而灵便的形式来构建和扩大 Web 应用服务器,同时放弃了 Nginx 的高性能和可靠性。OpenResty 是 APISIX、Kong、Ingress Nginx 等网关类产品的根底,因而 OpenResty 及其衍生产品非常适合作为 WAF 防护的对立入口。
本次应用的收费WAF次要用了雷池社区版,挂一个官网链接(感兴趣的敌人能够尝试一下):https://waf-ce.chaitin.cn/ 。
本文讲述了如何利用收费的长亭雷池 WAF 社区版,通过 lua-resty-t1k 插件为 OpenResty 减少平安防护,实现转发与检测服务拆散的平安架构。
根底版
根底版以 OpenResty 与长亭雷池 WAF 社区版装置在同一台 Host 为例。
第一步 – 装置雷池
长亭雷池 WAF 社区版有多种装置形式,具体装置形式能够参考长亭雷池 WAF 社区版官网文档:https://waf-ce.chaitin.cn/posts/guide_install
如果之前曾经装置了长亭雷池 WAF 社区版,确保版本 >= 2.0.0。长亭雷池 WAF 社区版治理页面左下角显示了以后版本。
第二步 – 配置 OpenResty
咱们以 OpenResty 官网镜像 alpine-fat 为例,介绍如何开启长亭雷池 WAF 防护:
进入长亭雷池 WAF 社区版装置目录,确认当前目录下存在 resources/detecotr 目录,启动 OpenResty。
docker run -d --name openresty -v $(pwd)/resources/detector:/opt/detector openresty/openresty:alpine-fat进入 OpenResty 容器,应用 luarocks 装置 lua-resty-t1k 插件:
docker exec -it openresty bashluarocks install lua-resty-t1k批改 /etc/nginx/conf.d/default.conf 门路下的 OpenResty 配置,减少 /t 门路测试 WAF 防护。以下为残缺配置,能够间接替换 /etc/nginx/conf.d/default.conf 文件:
server { listen 80; server_name localhost; location /t { access_by_lua_block { local t1k = require "resty.t1k" local t = { mode = "block", host = "unix:/opt/detector/snserver.sock", } local ok, err, result = t1k.do_access(t, true) if not ok then ngx.log(ngx.ERR, err) end } header_filter_by_lua_block { local t1k = require "resty.t1k" t1k.do_header_filter() } content_by_lua_block { ngx.say("passed") } } location / { root /usr/local/openresty/nginx/html; index index.html index.htm; } error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/local/openresty/nginx/html; }}验证并重载 OpenResty 配置:
openresty -t && openresty -s reload第三步 – 验证
拜访 /t/shell.php 验证防护成果:
# curl http://127.0.0.1/t/shell.php{"code": 403, "success":false, "message": "blocked by Chaitin SafeLine Web Application Firewall", "event_id": "2005f374e2c44757a449b1071f284e3b"}同时在长亭雷池 WAF 社区版可能看到对应拦挡日志。
失常拜访 /t 不会触发拦挡:
# curl http://127.0.0.1/t/passed进阶版
理论生产环境中,长亭雷池 WAF 社区版可能与 OpenResty 不在同一个 Host,或者有多个 OpenResty 散布在不同 Host。这时就须要将检测服务映射到 Host 指定端口供其它 Host 通过网络拜访。
定位到长亭雷池 WAF 社区版的装置目录,批改 compose.yaml,在 detector 局部减少端口映射,批改后果:
...... detector: container_name: safeline-detector restart: always image: chaitin/safeline-detector:${IMAGE_TAG} volumes: - ${SAFELINE_DIR}/resources/detector:/resources/detector - ${SAFELINE_DIR}/logs/detector:/logs/detector - /etc/localtime:/etc/localtime:ro environment: - LOG_DIR=/logs/detector networks: safeline-ce: ipv4_address: ${SUBNET_PREFIX}.5 cap_drop: - net_raw ports: ["8000:8000"] # 新增行 mario: container_name: safeline-mario restart: always.....批改 resources/detector/snserver.yml 的检测服务配置文件,批改后果:
fusion_sofile: ./config/libfusion2.soip_location_db: ./GeoLite2-City.mmdb# bind_addr: unix:///resources/detector/snserver.sock # 正文行bind_addr: 0.0.0.0 # 新增行listen_port: 8000 # 新增行......执行
docker compose up -d
使得配置批改失效,应用 nc 命令验证检测服务端口可达
# nc -zv ${长亭雷池 WAF 社区版 Host IP} 8000Connection to ${长亭雷池 WAF 社区版 Host IP} 8000 port [tcp/*] succeeded!批改 OpenResty 配置文件,指定 host 及 port,以下为批改后的配置文件
...... location /t { access_by_lua_block { local t1k = require "resty.t1k" local t = { mode = "block", host = "长亭雷池 WAF 社区版 Host IP", port = 8000, } local ok, err, result = t1k.do_access(t, true) if not ok then ngx.log(ngx.ERR, err) end } header_filter_by_lua_block { local t1k = require "resty.t1k" t1k.do_header_filter() } content_by_lua_block { ngx.say("passed") } }......验证并重载 OpenResty 配置
openresty -t && openresty -s reload之后就能够验证平安防护能力。