NGINX应用安全防御模块-汇总

ngx_lua_waf模块

模块介绍

一个基于ngx_lua的web应用防火墙,代码很简单，开发初衷主要是使用简单，高性能和轻量级。

功能：

• 用于过滤post，get，cookie方式常见的web***

• 防止sql注入，本地包含，部分溢出，fuzzing测试，xss,×××F等web***

• 防止svn/备份之类文件泄漏.

• 防止ApacheBench之类压力测试工具的***

• 屏蔽常见的扫描***工具，扫描器

• 屏蔽异常的网络请求

• 屏蔽图片附件类目录php执行权限

• 防止webshell上传

相关链接：

http://blog.chinaunix.net/uid-1728743-id-3546152.html

https://github.com/openresty/lua-nginx-module

http://www.tuicool.com/articles/6B3ia2

http://netsecurity.51cto.com/art/201503/467721_all.htm

防护机制

采用lua语言开发的第三方模块，它能将lua语言嵌入到nginx配置中，从而使用lua就极大加强了nginx的能力。nginx以高并发而知名，lua脚本轻便。

Naxsi模块

模块介绍

Naxsi是基于nginx的一个轻量级的第三方Web安全防御模块，能够实现对Web应用层各类恶意***的防御，如SQL injiection、XSS、CSRF、Directory traversal等***，可以对Web应用层的Get、Post、Cookie这些请求行为进行完整的检测和过滤。

Naxsi 依赖一个值得确定的模型, 有多个优势, 但受一些限制束缚 :

• 专业的 :

• 快速:简约，轻量级运行

• 弹性:Signature-less的设计容许提升对付混淆/复杂的***的弹性

• 独立更新:Signature-less的设计容许可持续的安全, 即便没有更新

• 配置 :

• 积极的作法须要一个更重要的白名单机制而不是单靠模型

• 因为Naxsi就像一个网络防火墙, 若是您设置更多安全松散的规则, 您的web应用程序将没法正常保护

相关链接：

http://blog.micblo.com/2015/07/19/naxsi-tutorial-1/

防护机制

Naxsi其主要防御机制是经过内置的一套极其严格的核心规则库（Core Rules）来实现威胁阻断，并经过用户自定义的白名单（White List）来防止正常的请求被误杀，经过这样正反两端的不断优化配合，来实现安全防御和业务访问的平衡。

ModSecurity模块

模块介绍

倾向于过滤和阻止web危险，之因此强大就在于规则，OWASP提供的规则是于社区志愿者维护的，被称为核心规则CRS（corerules）,规则可靠强大，固然也能够自定义规则来知足各类需求。

相关链接：

http://www.52os.net/articles/nginx-use-modsecurity-module-as-waf.html

 

防护机制

ModSecurity是一个***探测与阻止的引擎，它主要是用于Web应用程序因此也能够叫作Web应用程序防火墙.它能够做为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为加强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的***。