开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

nginx_lua_waf 部署、测试记录

nginx_lua_waf部署、测试记录

首先，让我们了解一下什么是 nginx_lua_waf。它是一个开源的 Web 应用防火墙（Web Application Firewall, WAF），通过 lua 脚本实现自动化保护目标应用。下面是我针对 nginx_lua_waf 在腾讯云上进行部署和测试的详细记录。

部署记录

登录腾讯云控制台，在“云产品”列表中选择“服务器”，进入服务器管理页面。
选择“管理”标签，点击“更多操作”，然后进入“手动重装系统”页面。
在选择操作系统中，选择“Linux”，并根据提示创建新系统。
等待安装完成后，登录服务器。
在 /etc/nginx 中创建一个新配置文件，内容如下：

server 

    location /my/static 

    location / 
}

修改 nginx 的配置文件：

server 
    location /my/static/ 
    }
}

在 /etc/nginx/mime.types 文件末尾添加以下一行：

重启 nginx ：

# service nginx stop
# service nginx start

测试记录

在 Web 服务器（如 Nginx）上安装 nginx_lua_waf，并编写一段测试 Lua 代码。local http = require "luci.http" request = http.post } local response, status = http.request(request) print('status:', status, ', body:', response.body)
在浏览器中打开待测试的 /api/my 接口。
nginx_lua_waf 拦截到请求后，会调用 lua 脚本对其进行操作，根据 lua 脚本的逻辑决定是否允许请求通过。在这个例子中，lua 会通过 http.response() 返回一个自定义的错误页面。
打开 Web 日志，可以看到拦截到的请求以及返回的页面。

结语

在这个部署和测试记录中，我详细介绍了如何在腾讯云服务器上部署 nginx_lua_waf，并测试了一个简单的测试用例。通过使用 nginx_lua_waf，我们可以提高 Web 服务的安全性。希望这些信息对您有所帮助。如果需要进一步了解 nginx_lua_waf 或者其他相关问题，请随时问我。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Nginx添加开源防火墙（waf）防护

由于原生态的Nginx的一些安全防护功能有限，就研究能不能自己编写一个WAF，参考Kindle大神的ngx_lua_waf，自己尝试写一个了，使用两天时间，边学Lua，边写。不过不是安全专业，只实现了一些比较简单的功能：

03

一次很奇葩的 Nginx 500 Internal Server Error

今天明月碰到了一次 Nginx 的“500 Internal Server Error”故障，依惯例必须发文水一篇，算是一次记录吧！最后排查出来的故障原因虽然很奇葩但也算是一次经验积累了，所以也可以当做一次经验分享给大家。

03

部署nginx_lua_waf记录

通过部署nginx_lua_waf，具有使用简单、高性能、轻量级的优势，能够有效的防范sql注入、文件包含、XSS、fuzzing等web攻击，屏蔽异常的网络请求，防止webshell上传，相比于安全狗等商业版WAF，能够根据实际需求调整过滤规则，编辑符合企业自身业务需求的过滤规则。

00

ELK分析ngx_lua_waf软件防火墙日志

https://github.com/loveshell/ngx_lua_waf

01

基于ngx_lua_waf安装网站防护

ngx_lua_waf是一个基于ngx_lua开源强大的Web应用轻量级防火墙，它可以帮助我们提高网站的安全性和防护能力。通过安装和配置ngx_lua_waf，我们可以轻松地定制安全规则，实现灵活的安全防护。同时，WAF的实时日志记录和报警功能可以帮助我们及时发现和处理安全问题。

01

Centos7安装openresty实现WAF防火墙功能

OpenResty® 是一个结合了 Nginx 与 Lua 的高性能 Web 平台，其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 OpenResty® 通过汇聚各种设计精良的 Nginx 模块（主要由 OpenResty 团队自主开发），从而将 Nginx 有效地变成一个强大的通用 Web 应用平台。这样，Web 开发人员和系统工程师可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块，快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统。 OpenResty® 的目标是让你的Web服务直接跑在 Nginx 服务内部，充分利用 Nginx 的非阻塞 I/O 模型，不仅仅对 HTTP 客户端请求,甚至于对远程后端诸如 MySQL、PostgreSQL、Memcached 以及 Redis 等都进行一致的高性能响应。

02

WAF代码剖析之初识openresty

自从这几年信息安全的大力发展，信息安全的建设是逐步发展起来，作为甲方安全工程师，一个人的安全部，使用开源的WAF部署防御攻击，仿佛是件很平常的事情，但是开源的坏处就是没有人能够及时提供技术支撑，出现问题就只能自己维护，我相信维护WAF的代码和规则是一件很耗费精力的事情，还不如用商用的香。如果没安全预算的朋友，不妨跟我一起走向WAF开发的世界。

01

2021年十大开源web应用防火墙

开源web应用防火墙是网络安全的重要部分，Cloudflare认为：十年后数字经济的网络安全基础设施会像水过滤系统一样普及，而这个过滤系统的核心就是waf。对于服务器来说，部署WEB应用防火墙十分重要，笔者经过大量搜索，并结合市场热度，整理出2021年十大开源web应用防火墙。 1、OpenResty OpenResty 是由中国人章亦春发起，把nginx和各种三方模块的一个打包而成的软件平台，核心就是nginx+lua脚本语言。主要是因为nginx是C语言编写，修改很复杂，而lua语言则简单得多，国内很多大公司如360、京东、gitee等都在用来作为web应用防火墙。项目地址：https://github.com/openresty/ 2、AIHTTPS aihttps是hihttps的升级版，也是由中国人编写。特点是兼容ModSecurity规则，并且已经向人工智能方向进化：使用机器学习自主生成对抗规则，来防御包括：漏洞扫描、CC 、DDOS、SQL注入、XSS等。其商业版也开源，是目前商业化开源程度最高的WAF。项目地址：https://github.com/qq4108863/ 官网：http://www.hihttps.com

05

nginx+lua实现简单的waf网页防火墙功能

参考地址：http://www.2cto.com/Article/201303/198425.html

02

锦衣盾·WEB防火墙

jxwaf(锦衣盾)是一款基于openresty(nginx+lua)开发的下一代web应用防火墙，独创的业务逻辑防护引擎和机器学习引擎可以有效对业务安全风险进行防护，解决传统WAF无法对业务安全进行防护的痛点。内置的语义分析引擎配合机器学习引擎可以避免传统WAF规则叠加太多导致速度变慢的问题，同时增强检测精准性（低误报、低漏报）。

03

WordPress 面对恶意请求、恶意登录的基本安全防御措施

今天明月给大家分享一下 WordPress 站点的基本安全防御措施，这些都是明月多年使用 WordPress 的经验总结，至少都是“实测有效”的，甚至不少还是明月正在使用的，希望可以帮助到各位 WordPress 博客站长们。

02

一文从原理到实践教你使用Nginx_lua实现WAF

过去企业通常会采用防火墙，作为安全保障的第一道防线；当时的防火墙只是在第三层（网络层）有效的阻断一些数据包；而随着web应用的功能越来越丰富的时候，Web服务器因为其强大的计算能力，处理性能，蕴含较高的价值，成为主要的被攻击目标（第七层应用层）而传统防火墙在阻止利用应用程序漏洞进行的攻击方面，却没有办法；在此背景下，WAF(Web Application Firewall）应运而生。

04

Nginx_lua实现waf

过去企业通常会采用防火墙，作为安全保障的第一道防线；当时的防火墙只是在第三层（网络层）有效的阻断一些数据包；而随着web应用的功能越来越丰富的时候，Web服务器因为其强大的计算能力，处理性能，蕴含较高的价值，成为主要的被攻击目标（第七层应用层）而传统防火墙在阻止利用应用程序漏洞进行的攻击方面，却没有办法；在此背景下，WAF(Web Application Firewall）应运而生。

02

自建WAF防火墙

介绍一种 Tengine 结合 lua 防御 cc 攻击的案例。用户可以进行相关尝试，但本文只用于操作演示，不对操作结果和出现的问题负责。

03

CentOS7编译安装Nginx/配置lua/反向代理/缓存加速

lua的话，我看到宝塔后台集成的那些防渗透/防CC攻击的功能都是基于：https://github.com/loveshell/ngx_lua_waf

01

LNMP安装以及设置防CC 防火墙

将 Enable_Nginx_Lua 的值改为 y 按i进入编辑改完按ESC 输入:wq回车保存

02

Bypass ngx_lua_waf SQL 注入防御（多姿势）

ngx_lua_waf 是一款基于 ngx_lua 的 web 应用防火墙，使用简单，高性能、轻量级。默认防御规则在 wafconf 目录中，摘录几条核心的 SQL 注入防御规则：

00

Nginx基础 - Nginx+Lua实现灰度发布与WAF

1.Nginx加载Lua环境默认情况下Nginx不支持Lua模块, 需要安装LuaJIT解释器, 并且需要重新编译Nginx, 建议使用openrestry

02

Bypass ngx_lua_waf SQL注入防御（多姿势）

ngx_lua_waf是一款基于ngx_lua的web应用防火墙，使用简单，高性能、轻量级。默认防御规则在wafconf目录中，摘录几条核心的SQL注入防御规则：

03

互联网公司WAF系统设计

0×01 WAF简介 WAF 全称是Web Application Firewall, 简单讲就是web防火墙，是对web业务进行防护的一种安全防护手段。其实，现在很多的移动app，也是使用的http协议进行数据交换，也可以理解成web业务，可以对app server进行防护。主要的web危害，一般指的是OWASP Top 10，比如SQL注入、XSS、CSRF等常见的web危害方法。当然可能不止这些方法，比如社工。轻则用你的服务器打个ddos，重则数据全部被盗，损失公司的信誉和money。互联

1-OpenResty 介绍 (摘抄)

由于我的做小程序的时候改了下后台的安装软件,不是使用的单纯的Nginx,而是使用的OpenResty,然后呢在网上看到了有介绍OpenResty的,故摘抄下来,不知道现在用 OpenResty人有多少,不过我倒是庆幸自己用OpenResty

02

Nginx内存内容泄漏-问题复现与修复方案解析

最近HackerOne公布了Nginx内存内容泄漏的问题，如果说内存内容泄漏的问题是个Bug的话，那这个Bug是个比较典型的程序没有对输入异常数据做适当的过滤处理而形成的。

01

互联网安全防御之WAF (Web应用防火墙) 实现方案分享

WAF，即Web Application Firewall（Web应用防火墙），是一种针对Web应用层恶意请求的访问控制措施，是立体防御体系的组成部分和一种辅助性防御手段。

01

Nginx内存内容泄漏：问题复现与修复方案解析

最近HackerOne公布了Nginx内存内容泄漏的问题，如果说内存内容泄漏的问题是个Bug的话，那这个Bug是个比较典型的程序没有对输入异常数据做适当的过滤处理而形成的。

01

甲方自研分布式WAF落地全程实录

Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称：WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。架构设计我们的流量第一层先到达高防抗D，做DDOS清洗，然后转发给WAF，由WAF做第二次清洗流控，转发给后端业务LB，整体架构如下，并旁路了分析引擎，弥补了WAF这一块无法做太复杂的计算缺陷，并把分析结果通过接口交给WAF执行。技术选型目前，主流

01

nginx lua软waf应用防火墙（Openresty）

现在企业的业务出口基本是http/https其他内部端口都可以在设备acl和iptables访问控制；那主要的web出口如何做安全防护？？我们使用nginx lua 来实现web软waf。

02

【说站】宝塔面板如何添加免费的waf防火墙？

目前除了用付费的宝塔防火墙插件之外，其实还有两种方式可以使用免费的Nginx防火墙功能：一个是可以在面板插件里面搜索“防火墙”可以找到第三方的免费防火墙插件，登陆面板安装就可以使用。还有一种方式是开启被隐藏的nginx防火墙模块，下面重点讲下如何开启隐藏的防火墙。

02

运维安全——安全防护-OpenResty

OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台，其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。

03

分布式WAF落地全程实录

Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称：WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

03

nginx编译安装ngx_lua模块

nginx lua模块淘宝开发的nginx第三方模块,它能将lua语言嵌入到nginx配置中,从而使用lua就极大增强了nginx的能力.

04

Nginx Lua Redis防止CC攻击

Nginx Lua Redis防止CC攻击实现原理：同一个外网IP、同一个网址(ngx.var.request_uri)、同一个客户端(http_user_agent)在某一段时间(CCseconds)内访问某个网址(ngx.var.request_uri)超过指定次数(CCcount)，则禁止这个外网IP+同一个客户端(md5(IP+ngx.var.http_user_agent)访问这个网址(ngx.var.request_uri)一段时间(blackseconds)。

01

每个后端都应该了解的OpenResty入门以及网关安全实战

在官网上对 OpenResty 是这样介绍的（http://openresty.org）：

05

行之有效的屏蔽恶意 URL 请求的方法分享

说起恶意 URL 请求（Malicious URL request）可能很多老站长们应该都知道，URL 恶意请求对于网站来说是很正常的一种“黑客行为”，大家都知道搜索引擎有“蜘蛛爬虫”（bot），那么反之黑客也有自己的“漏洞蜘蛛爬虫”。简单点说就是一个可以在网络上运行并且不断的“遍历”发现的网站上的程序漏洞并记录反馈给指定的服务器什么的，需要的时候就可以针对网站漏洞进行攻击或者什么的（攻击只是一个统称，把被攻击网站做“肉鸡”用来攻击别人，盗取网站重要资料，木马植入等等算是一种攻击行为）。

02

openresty搭建网站防火墙

当我提交一个 select * from 疑似 sql注入的参数时,则会直接被拦截

01

打破基于openresty的WEB安全防护（CVE-2018-9230）

原文链接：https://www.anquanke.com/post/id/103771

02

openresty （nginx）

OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台，其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 ---- OpenResty® 通过汇聚各种设计精良的 Nginx 模块（主要由 OpenResty 团队自

02

无成本给网站服务器加入高可靠的WAF防护

据可靠的新闻网数据显示，阿里巴巴每天被黑客攻击的次数高达三亿多次。跨站攻击、CC攻击、DDOS攻击，甚至还有些站长遭遇了“可怕的”刷流量，作为一个普通的小站长，十几二十块钱瞬间没有的滋味实在是不舒服。攻防就像是天平两端的两个物件，一直是你多我增的趋势，从诞生之日起就摇摆不定。话不多说，今天树懒先生告诉大家如何利用NGINX-LUA给服务器添加高可靠的WAF防护。

03

无成本为网站服务器加入高可靠的WAF防护

什么是WAF：WAF就是Web应用防护系统（Web Application Firewall）翻译过来就是网站应用级入侵防御系统，他的工作原理是通过执行一系列针对HTTP（80端口）或者HTTPS（443端口）的安全策略来阻止不正经的访问，比如跨站攻击等。

02

OpenResty 的过去、现在和未来（下）

这是春哥在去年 OpenResty 大会上的分享实录。满满的干货，我搭配 PPT 整理为三部分，分期发出来给大家。如果是有什么错漏，是我整理的问题。

03

构建零信任网络安全的基础技术介绍

现在很多企业单位开始重视零信任网络安全的建设，基于代理流量和外部准入认证，对于外部可见的请求进行安全性的确认。

03

Nginx如何防护DDOS和CC攻击

Nginx作为一款轻量高性能开源的Web服务器，深受大众欢迎并在服务器中得到了广泛应用。但是Nginx默认是不设防的，即不会自动防御DDOS攻击和CC攻击，因此攻击者可以轻易地发送大量的请求从而耗尽你的服务器资源、恶意盗刷你的服务器流量或者让你的后端服务器崩溃，因此配置Nginx基础防御是很有必要的，本篇文章就记录如何为你的Nginx配置一些基础的防御规则从而保护你的Web服务器。

03

免费版Linux宝塔面板开启免费waf防火墙遇到的坑-wordpress上传http错误

今天按照网上的教程开启了宝塔隐藏的免费waf，结果导致了wordpress上传http错误大概流程如下：

02

bt下开启nginx自带lua防火墙

bt下配置nginx，搜索#include luawaf.conf;取消注释，保存配置并重启nginx。 ![][1] 这个waf没有界面只能修改配置文件，配置文件在/www/server/nginx/waf下一个叫config.lua的配置文件。配置文件内容如下：

00

bt下开启nginx自带lua防火墙

bt下配置nginx，搜索#include luawaf.conf;取消注释，保存配置并重启nginx。 ![][1] 这个waf没有界面只能修改配置文件，配置文件在/www/server/nginx/waf下一个叫config.lua的配置文件。配置文件内容如下：

01

记一次被DDoS敲诈的历程

背景是这样，一个朋友网站业务被DDoS了，先是威胁要800元RMB，然后又转成提供DDOS的服务，然后又变成了DoS培训，又变成了卖DDoS软件，最后又变成了DDoS高防护提供者，最后到警察叔叔那里，报警立案成功的故事。

03

亿及流量多级缓存 - 一致性哈希负载均衡与模板渲染

Lua 实现的一个简单的 LRU 缓存，适合在 Lua 空间里直接缓存较为复杂的 Lua 数据结构：

02

闲谈WAF与反爬虫

Openresty的核心功能就提供WEB服务，Openresty还有个很重要的功能就是用作反向代理服务器。 WAF防护功能的基本原理就是利用Openresty的反向代理模式工作。因为Openresty服务器作为后端WEB服务器的前置服务器，先于后端服务器收到用户的请求，Openresty服务器在某个处理阶段，通过LUA语言读取用户的HTTP请求数据，并通过特定规则过滤策略，发现用户请求中的恶意攻击行为。当Openresty的拦截分析功能，发现用户的请求含有威胁的意图时，直接将用户的请求进行了拦截。这时的请求，实际上不会被发送给业务服务器。（Openresty的常用处理阶段）这种模式本质上，也是一种串行的流量复制模式，从时间轴上用户请求的数据，被按时间的前后顺序复制了两份，一份数据先传给反向代理服务模式下的代理服务器，当代理服务器经过安全策略的检查，发现用户的请求没有威胁行为，又将几乎同样的请求数据转发给上游的业务服务器。现在还有一种基于日志分析的WEB防护系统，这种系统依赖与日志的产生，在请求交给业务服务器，产生日志以后，对日志进行分析，当发现有异常攻击行为在请求当中，会从下次请求的时进行拦截。这种模式没有建立下反向代理的工作模式下，只有当就服务器已经响应了用户请求后，生成日志之后才能分析，相对来说处理是滞后一步的。这种场景下的系统，要求拦截模块可以与分析系统、业务系统协同工作。还有一种的是基于流量并行复制，将要给业务服务器的请求数据，先通过分光或是其他形式的流量复制，把流量发给其他服务器，其他服务器通过特定服务的流量协议的数据解析，将给业务的HTTP解析取得，然后分析流量的威胁行为，当异常请求再来的时候，通过业务服务器的前置Operesty、Tengine、Nginx等前置或是负载均衡，或部署业务本身服务的拦截模块进行拦截。这种模式的处理，反向代理模式的代理那部分拦截模块，不负责异常的分析，只做具体的拦截动作。这样最大的好处是，代理或是负载均衡集群没有“思考”的时间消耗，只是执行具体拦截，这样的反向代理的模式下，不会消耗业务服务的太多响应时间。这种模式，最大限度减少代理服务器对业务服务器的响应损耗，某些业务对应影响业务所消耗的时间严格的限制，并且对已上线的业务来说，压测准确率不能交十分好的把握，如果处理不好，出现正则风暴的可能性也都是有的，同样的问题是拦截相对第一时间拦截响应的模式，也会滞后处理。各种模式都有自己的好处和弊端，对于不同的业务规模可以使用对应的模式与其匹配。对于一些小型的业务来说，可以不使用太重型的武器，理论上来讲，只要反向代理的模式可以覆盖业务量，成本和部署好控制，可以选用反向代理模式的WEB防火墙部署。这种模式对DDOS基本也是无解的。 WAF系统的规则构建，针对于单一的业务来讲，没有必要求大求全，除去通用规则，Python业务服务没有必要配置PHP的拦截规则，Python的业务语言框架，也不用要求WAF系统进行拦截，因为当前业务用的Python的框架，不会有PHP框架的漏洞。 WAF和反爬虫系统不一样的地方，排除扫描器的爬虫行为。爬虫系统的目的是抓取网上的有价值的网页内容，而不是非要爬取数据的同时，在爬取请求的链接中加入XSS和SQL注入，毕竟爬虫是抓取内容，而不是把发现漏洞和攻陷主机或是挂马为目的。反爬系统的异常和WAF系统检查异常的角度是不一样的。因为请求者的目的就不一样。但是他们采用的技术手段有时候是类似的。无论从路由器设备就开始取得流量数据，还是通过镜像在链路层，或是网络层复制流量、还是通过Openresty反向代理代理的7层读取流量数据，要根据业务的硬件架构和软件结构来分析判断匹配对应模式的。 WAF系统的拦截规则不是万能的，即使是同样的异常拦截规则，也不是可以简单的移植到别的系统上的。一种是规则解释模块的功能问题，还有性能问题，核心的引擎平台怎么样。

01

记一次被DDoS敲诈的历程

之前一个蜀国的朋友业务被DDOS攻击，业务服务被机房断网，客户单流失有经济损失，这篇具体说的就是这件事情。

01

为什么在书中介绍Orange网关？

国内基于OpenResty Lua的开源网关，从规模和影响力方面，Orange是一个历史标杆，当初在国产OR网关不多的时候， Orange就已经出现被使用于生产中。区别于其他网关产品，还有一些基于OpenResty Lua的实现WAF的Web防火墙项目，Orange本身使用了自己的轻量级Lua Web框架Lor，并不是直接用Lua裸写功能。所以无论从代码规模，还是系统的设计架构思路，Orange和Lor框架，都很有其特点，值得参考学习。Orange是属于开山劈地之作之一。

02

Linux 宝塔面板免费版开启 waf 防火墙的方法

宝塔面板在 6.x 之前的版本中自带了 Nginx 防火墙功能（Nginx管理 > 过滤器），到了 6.x 之后，，，为了推行收费版的防火墙插件，宝塔官方把这个免费的防火墙入口给隐藏了。今天，就来说说如何开启这个隐藏的 Nginx 防火墙！

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭