WAFのフルネームは「Webアプリケーションファイアウォール」、中国語はWebアプリケーションファイアウォール、Cloudflareが提供するWAFを使っていますが、ルートがアメリカにあるためレイテンシーが高いので、ローカルに構築する予定です。
あなたがウェブサイトを構築するとき、常にいくつかの不可解な訪問があります、これらはあなたのウェブサイトにハッキングする人々ではありません、これらはすべて退屈なスクリプトであり、どこでもXJBスキャンです。 これらの退屈なスキャンを回避するには、これらのアクセスをブロックするファイアウォールが必要です。 WAFは、クローラー、SQLインジェクション、悪意のあるスキャン、ルールに基づく悪意のある要求などをブロックできるため、Webサイトやアプリケーションのセキュリティを保護できます。
ngxluawaf は Lua-nginx-module (Openresty) ベースの Web アプリケーション ファイアウォールで、オープンソース アドレスは https://github.com/loveshell/ngxluawaf です。
その一般的な用途:
SQLインジェクション、ローカルインクルード、部分オーバーフロー、ファジングテスト、XSS、SSRFなどのWeb攻撃を防止します SVN/バックアップなどのファイルの漏洩を防ぐ ApacheBenchのようなストレステストツールからの攻撃を防ぐ 一般的なスキャンハッキングツール、スキャナーをブロックする 異常なネットワーク要求をマスクする 画像添付ディレクトリのPHP実行権限をブロックする ウェブシェルのアップロードを禁止する
LNMPワンクリックインストールパッケージ自体はluaをサポートしていますが、lnmp.confに行を追加するだけです。
Enable_Nginx_Lua='y'
LNMP がインストールされていない場合、変更されたインストール済み LNMP は lua をサポートします。 インストールされている場合は、それも変更し、LNMPインストールパッケージディレクトリで「./upgrade.sh nginx」を実行してNginxをアップグレードすると、luaをサポートするためのアップグレードが完了します。
LNMPワンクリックインストールパッケージのチュートリアルは、ここで見ることができます: https://lnmp.org/install.html
wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip -O ngx_lua_waf.zip && unzip ngx_lua_waf.zip && mv ngx_lua_waf-master /usr/local/nginx/conf/waf
'server_tokens off; ' で、次のコードを追加します。
lua_package_path "/usr/local/nginx/conf/waf/?. ルア"; lua_shared_dict制限10m。 init_by_lua_file /usr/local/nginx/conf/waf/init.lua;
変更後、上の図に示すようにすることができますので、忘れずに保存してください。
ngxluawafを有効にしたいウェブサイトの 'conf' ファイルを '/usr/local/nginx/conf/vhost/' 内にあるものを編集します。
サーバー行の下に次のコードを追加します。
access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;
上の画像に示されているように。
コマンド 'lnmp nginx reload' を使用して nginx をリロードします。 エラーが報告されない場合、構成は有効になっています。
'https:// ドメイン/テスト.php?id=.. /etc/passwd' を使用して、ngxluawafが有効になっているかどうかをテストします。
上の画像のようなものが表示された場合は、正しく設定されていることを意味します。
上記の手順に従うと、基本的なWAFがすでに構成されていますが、さらに多くのことを行うには、構成ファイル「/ usr / local/nginx/conf / waf/config.lua」を変更します。
RulePath = "/usr/local/nginx/conf/waf/wafconf/" --ルール格納ディレクトリ 攻撃ログ = "オフ" --攻撃情報のログを有効にするには、logdirを設定する必要があります logdir = "/usr/local/nginx/logs/hack/" --logは、ユーザー自身が作成する必要のあるディレクトリを保存し、nginxユーザーの書き込み可能な権限が必要です UrlDeny="on" -- URL アクセスをブロックするかどうか リダイレクト="オン" --ブロック後にリダイレクトするかどうか クッキーマッチ = "オン" --クッキー攻撃をブロックするかどうか ポストマッチ = "オン" --POST攻撃をブロックするかどうか ホワイトモジュール = "オン" -- URL のホワイトリスト登録を有効にするかどうか black_fileExt={"php","jsp"} --アップロードが許可されていないファイルサフィックスのタイプを入力します ipWhitelist={"127.0.0.1"} --IPホワイトリスト、カンマで区切られた複数のIP ipBlocklist={"1.0.0.1"} --IPブラックリスト、カンマで区切られた複数のIP CCDeny="on" -- CC 攻撃のブロックを有効にするかどうか (nginx.conf の HTTP セグメントで制限lua_shared_dict 10 m を増やす必要があります;) CCrate = "100/60" --CC攻撃の頻度を秒単位で設定します。 --デフォルトでは、同じIPアドレスは1分間に100回しか要求できません html=[[離れてください~~]] --警告コンテンツ、括弧内でカスタマイズ可能 注:大文字と小文字を区別して、二重引用符をいじらないでください
実際、これは、直接DDosに本当に従事したい場合にのみ、アンチスクリプトにすることができます。
シンプルな Raspberry Pi 呼吸灯のデモ
GoodSync は、ファイル同期およびファイル バックアップ ソフトウェアです。
Font Awesome アイコン コレクションを WordPress サイトに追加しましょう!
これは、Siri が真にインテリジェントになるための出発点となる可能性があります。
V2ray と連携することで、China Unicom のフローフリー バイパス機能を実現できます.この記事は詳細なチュートリアルです.
目次
人気タグ
その他の言語
サイト情報