nginx 软waf （Openresty）

现在企业的业务出口基本是http/https其他内部端口都可以在设备acl和iptables访问控制；那主要的web出口如何做安全防护？？ 我们使用nginx lua 来实现web软waf。

nginx waf防护顺序：

先检查白名单，通过即不检测；再检查黑名单，不通过即拒绝，检查UA，UA不通过即拒绝；检查cookie；URL检查;URL参数检查，post检查；

nginx 配置

http {
    # lua_waf
    lua_shared_dict limit 50m;
    #根据主机内存调合适的值  
    lua_shared_dict iplimit 20m;
    lua_shared_dict blockiplimit 5m;

    lua_package_path "/usr/local/nginx/conf/waf/?.lua";
    init_by_lua_file  /usr/local/nginx/conf/waf/init.lua;
    access_by_lua_file /usr/local/nginx/conf/waf/access.lua;
}

启用waf

cat /local/nginx/conf/waf/config.lua

config_waf_enable = "on"

nginx -s reload #载入

elk效果图

参考： https://www.cnblogs.com/reblue520/p/6814072.html