WAF安全应用防火墙(nginx+lua)

一、如果使用nginx简单实现403和404，应该都不难，只需要在配置文件中的server字段中添加相应的内容即可
1、nginx实现rerurn 403
修改nginx配置文件在server中加入以下内容

set $block_user_agent 0;
     if ( $http_user_agent ~ "Wget|AgentBench"){
        set $block_user_agent 1;
     }
     if ($block_user_agent = 1) {
         return 403 ;
   }

2、nginx实现rerurn 404
修改nginx配置文件在server中加入以下内容，让访问sql|bak|zip|tgz|tar.gz的请求返回404

location ~* "\.(sql|bak|zip|tgz|tar.gz)$"{
       return 404;
 }

但是针对于更高层面的功能实现，nginx自带的模块是实现不了的，例如IP白名单、IP黑名单、Cookie过滤等等。而waf安全防火墙可以实现的功能还是比较多的。
针对waf的介绍，请参考我的博客
http://blog.csdn.net/m0_37886429/article/details/73178889
今天我再介绍另外一种实现waf功能的方法，即”nginx+lua”

二、编译nginx的时候加载lua
1、环境准备：Nginx安装必备的Nginx和PCRE软件包。

[root@linux-node2 ~]# cd /usr/local/src 
[root@linux-node2 src]# wget http://nginx.org/download/nginx-1.9.4.tar.gz
[root@linux-node2 src]# wget https://ftp.pcre.org/pub/pcre/pcre-8.40.tar.gz
其次，下载当前最新的luajit和ngx_devel_kit (NDK)
[root@linux-node2 src]# wget http://luajit.org/download/LuaJIT-2.0.3.tar.gz
[root@linux-node2 src]# wget https://github.com/simpl/ngx_devel_kit/archive/v0.2.19.tar.gz
[root@linux-node2 src]# wget https://github.com/openresty/lua-nginx-module/archive/v0.9.16.tar.gz
[root@linux-node2 src]# useradd -s /sbin/nologin -M www    #创建Nginx运行的普通用户

2、解压NDK和lua-nginx-module

[root@linux-node2 src]# tar -zxvf v0.2.19.tar.gz
[root@linux-node2 src]# tar -zxvf v0.9.16.tar.gz

3、安装LuaJIT，Luajit是Lua即时编译器

[root@linux-node2 src]# tar -zxvf LuaJIT-2.0.3.tar.gz 
[root@linux-node2 src]# cd LuaJIT-2.0.3
[root@linux-node2 LuaJIT-2.0.3]# make && make install

4、安装Nginx并加载模块

[root@linux-node2 src]# tar -zxf pcre-8.40.tar.gz
[root@linux-node2 src]# tar -zxvf nginx-1.9.4.tar.gz 
[root@linux-node2 src]# cd nginx-1.9.4
[root@linux-node2 nginx-1.9.4]# export LUAJIT_LIB=/usr/local/lib
[root@linux-node2 nginx-1.9.4]# export LUAJIT_INC=/usr/local/include/luajit-2.0
[root@linux-node2 nginx-1.9.4]# ./configure --prefix=/usr/local/nginx --user=www --group=www     --with-http_ssl_module --with-http_stub_status_module --with-file-aio --with-http_dav_module --add-module=../ngx_devel_kit-0.2.19/ --add-module=../lua-nginx-module-0.9.16/ --with-pcre=/usr/local/src/pcre-8.40 
[root@linux-node2 nginx-1.5.12]# make -j2 && make install

[root@linux-node2 ~]# ln -s /usr/local/lib/libluajit-5.1.so.2 /lib64/libluajit-5.1.so.2 #一定创建此软连接，否则报错
如果不创建符号链接，可能出现以下异常： error while loading shared libraries: libluajit-5.1.so.2: cannot open shared object file: No such file or directory

安装完毕后，下面可以测试安装了，修改nginx.conf 增加第一个配置

location /hello {
                default_type 'text/plain';
                content_by_lua 'ngx.say(",lua")';
        }
[root@linux-node2 ~]# /usr/local/nginx-1.9.4/sbin/nginx –t
[root@linux-node2 ~]# /usr/local/nginx-1.9.4/sbin/nginx

测试