ngx_waf：一款高大全的 Nginx 网站防火墙模块

说明： ngx_waf 是最近新出的一款方便且高性能的 Nginx 防火墙模块，功能齐全，「网络应用防火墙」的基本功能都有。安装方便，大多数情况下你可以直接下载使用预构建的模块。使用便捷，配置指令简单易懂。规则灵活，提供高级规则，将动作（如拦截或放行）和多个条件表达式组合起来。Github 项目地址：https://github.com/ADD-SP/ngx_waf

功能特性

1、SQL 注入防护（Powered By libinjection）。
2、XSS 攻击防护（Powered By libinjection）。
3、支持 IPV4 和 IPV6。
4、支持开启验证码（CAPTCHA)，支持 hCaptcha、reCAPTCHAv2 和 reCAPTCHAv3。此功能仅限最新的 Current 版本。
5、支持识别友好爬虫（如 BaiduSpider）并自动放行（基于 User-Agent 和 IP 的识别）。此功能仅限最新的 Current 版本。
6、CC 防御，超出限制后自动拉黑对应 IP 一段时间。
7、IP 黑白名单，同时支持类似 192.168.0.0/16 和 fe80::/10，即支持点分十进制和冒号十六进制表示法和网段划分。
8、POST 黑名单。
9、URL 黑白名单
10、查询字符串（Query String）黑名单。
11、UserAgent 黑名单。
12、Cookie 黑名单。
13、Referer 黑白名单。
14、高级规则，将动作（如拦截或放行）和多个条件表达式组合起来。

编译安装 ngx_waf 模块

⚠️ 本教程基于军哥的 LNMP 一键包环境！若环境相同，可供参考！

当前各程序版本信息如下：

LNMP = v1.7
Nginx version = 1.20.1
gcc version = 4.8.5

编译安装 LTS 版本的 ngx_waf 模块：

cd /usr/local/src \
  && git clone -b lts https://github.com/ADD-SP/ngx_waf.git \
  && cd ngx_waf \
  && make

cd /usr/local/src \
  && git clone https://github.com/libinjection/libinjection.git lib/libinjection

cd /usr/local/src/ngx_waf \
  && git clone https://github.com/DaveGamble/cJSON.git lib/cjson

cd /usr/local/src/ngx_waf \
  && git clone https://github.com/libinjection/libinjection.git inc/libinjection
    
cd /usr/local/src \
  && git clone https://github.com/jedisct1/libsodium.git --branch stable libsodium-src \
  && cd libsodium-src \
  && ./configure --prefix=/usr/local/src/libsodium --with-pic \
  && export LIB_SODIUM=/usr/local/src/libsodium \
  && make -j$(nproc) && make check -j $(nproc) && make install

cd /usr/local/src \
  && git clone https://github.com/troydhanson/uthash.git \
  && export LIB_UTHASH=/usr/local/src/uthash

进入 lnmp1.7 所在目录，编辑 ~/lnmp1.7/include/upgrade_nginx.sh这个文件：

nano ~/lnmp1.7/include/upgrade_nginx.sh

找到else后面的 ./configure 这行（大概第62行），在这串编译参数末端追加 --add-module=/usr/local/src/ngx_waf --with-cc-opt='-std=gnu99'（注意：有空格！！有空格！！不要换行！！！不要换行！！！）

编译模块

cd ~/lnmp1.7
./upgrade.sh nginx

输入版本号，回车，耐心等待编译完成。（Nginx 版本号可在 nginx下载页 找到预升级的版本号进行输入并按下回车键）

配置 waf 防火墙

在主机配置文件例如 /usr/local/nginx/conf/vhost/www.moewah.com.conf文件 server 块内加入以下代码：

    # 启用模块
    waf on;
    # 指定规则文件所在目录
    waf_rule_path /usr/local/src/ngx_waf/assets/rules/;
    # 指定防火墙的工作模式
    waf_mode DYNAMIC;
    # 指定请求频率上限为每分钟1000次，超过请求拉黑60分钟
    waf_cc_deny rate=1000r/m duration=60m;
    # 最多缓存 50 个检测目标的检测结果
    waf_cache capacity=50;
    # 被攻击时降低带宽占用
    waf_http_status cc_deny=444;

修改完成后，重启 nginx 使配置生效。

以上为喵斯基部落的自用配置，更多使用姿势请自行访问 -> 官方文档

---

相关推荐

1. LNMP 编译安装 ngx_pagespeed 模块给网站提速！
2. Ubuntu/Debian 系统安装配置 UFW 简单防火墙
3. CentOS 7 安装使用 iptables 防火墙方法介绍
4. vDDoS-Protection | 防攻击（DDos、CC）工具
5. CentOS 7 firewalld 防火墙常用命令汇总
6. 如何彻底禁止百度等搜索引擎收录

文章作者：喵斯基部落
原文地址：https://www.moewah.com/archives/4880.html
版权声明：本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。非商业转载及引用请注明出处（作者、原文链接），商业转载请联系作者获得授权。