現在企業的業務出口基本是http/https其他內部端口都可以在設備acl和iptables訪問控制;那主要的web出口如何做安全防護?? 我們使用nginx lua 來實現web軟waf。
nginx waf防護順序:
先檢查白名單,通過即不檢測;再檢查黑名單,不通過即拒絕,檢查UA,UA不通過即拒絕;檢查cookie;URL檢查;URL參數檢查,post檢查;
nginx 配置
http {
# lua_waf
lua_shared_dict limit 50m;
#根據主機內存調合適的值
lua_shared_dict iplimit 20m;
lua_shared_dict blockiplimit 5m;
lua_package_path "/usr/local/nginx/conf/waf/?.lua";
init_by_lua_file /usr/local/nginx/conf/waf/init.lua;
access_by_lua_file /usr/local/nginx/conf/waf/access.lua;
}
啓用waf
cat /local/nginx/conf/waf/config.lua
config_waf_enable = "on"
nginx -s reload #載入