基于Openresty+Naxsi的WAF：从小白到实践

序

2019年2月18日，加入妈妈网，至今已经有四个月的时间，上周进到一个网关项目组，这个项目的主要目的是基于openResty+Naxsi实现WAF，相关技术初定涉及到openResty、Lua、Naxsi、es、Redis、php、Nginx、MySQL、consul、etcd，解决方案相似软WAF的另外一种思路：基于Openresty+Naxsi的WAF实现
openResty、Lua、Naxsi、es、consul、etcd，这些技术对项目组的成员来讲，基本上都是比较陌生的，对我本人来讲更是彻底没接触过的，下面将会记录我是如何对这些技术进行快速入门的，网关项目是如何一步一步搭建起来的。

阶段一

• 了解openResty、Lua、Naxsi、es、consul、etcd是啥玩意？
  • OpenResty通常称为ngx_openresty， 目前有两大应用目标：
    • 通用目的的 web 应用服务器。ngx_openresty 的性能（包括内存使用和 CPU 效率）算是最大的卖点之一。
    • Nginx 的脚本扩展编程，用于构建灵活的 Web 应用网关和 Web 应用防火墙。其优点在于 Lua 编程带来的巨大灵活性。
  • Lua是一种强大的、高效的、轻量级的、可嵌入的脚本语言。它支持过程编程、面向对象编程、函数编程、数据驱动编程和数据描述。
  • Naxsi是一个开放源码、高效、低维护规则的Nginx Web应用防火墙模块。Naxsi的主要目标是帮助人们加固他们的web应用程序，以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。
  • Elasticsearch 是一个分布式的搜索和分析引擎，能够用于全文检索、结构化检索和分析，并能将这三者结合起来。
  • etcd是一个开源的、分布式的键值对数据存储系统,提供共享配置、服务的注册和发现
  • Consul是一个提供服务发现、健康检查、K/V存储和多个数据中心的开源服务发现工具
• 这些技术之间是如何进行协同工做的？
  • 看懂软WAF的思路：软WAF的另外一种思路：基于Openresty+Naxsi的WAF实现
  • Naxsi在本WAF中主要实现基于http请求内容的防御策略规则，用于防御一些常见的漏洞，如：SQL注入攻击 XSS攻击 目录遍历漏洞 命令注入攻击 虚拟补丁 扫描器攻击等
  • Lua在本waf中主要负责实现相对复杂的安全防御策略，如cc攻击防御、全局IP访问频率限制、特定url访问频率限制、ip黑白名单防御、url白名单防御、http请求转发等功能。
  • ElasticSearch用于日志管理
  • consul、etcd是配置管理工具，二选一，用于waf防御策略分发，作到了配置文件有更新才push配置文件到nginx，而且reload nginx，避免了频繁的reload nginx节点
• 使用docker搭建OpenResty开发环境
  • 使用docker搭建OpenResty开发环境

阶段二

• 阅读技术文档，入门Lua
  • Lua入门记录
• 阅读技术文档，入门OpenResty
• 阅读技术文档，入门Naxsi
• 阅读技术文档，入门ElaticSearch
• 阅读技术文档，入门Consul、etcd
• 寻找适合的Lua框架
  • Lor
• 寻找适合的Lua包管理器
  • luarocks

资料

Nginx与Lua编写脚本的基本构建块是指令
OpenResty(nginx+lua) 入门