每個后端都應(yīng)該了解的OpenResty入門以及網(wǎng)關(guān)安全實戰(zhàn)
簡介
在官網(wǎng)上對 OpenResty 是這樣介紹的(http://openresty.org):
“OpenResty 是一個基于 Nginx 與 Lua 的高性能 Web 平臺,其內(nèi)部集成了大量精良的 Lua 庫、第三方模塊以及大多數(shù)的依賴項。用于方便地搭建能夠處理超高并發(fā)、擴展性極高的動態(tài) Web 應(yīng)用、Web 服務(wù)和動態(tài)網(wǎng)關(guān)。”
“OpenResty 通過匯聚各種設(shè)計精良的 Nginx 模塊(主要由 OpenResty 團(tuán)隊自主開發(fā)),從而將 Nginx 有效地變成一個強大的通用 Web 應(yīng)用平臺。這樣,Web 開發(fā)人員和系統(tǒng)工程師可以使用 Lua 腳本語言調(diào)動 Nginx 支持的各種 C 以及 Lua 模塊,快速構(gòu)造出足以勝任 10K 乃至 1000K 以上單機并發(fā)連接的高性能 Web 應(yīng)用系統(tǒng)。”
“OpenResty 的目標(biāo)是讓你的 Web 服務(wù)直接跑在 Nginx 服務(wù)內(nèi)部,充分利用 Nginx 的非阻塞 I/O 模型,不僅僅對 HTTP 客戶端請求,甚至于對遠(yuǎn)程后端諸如 MySQL、PostgreSQL、Memcached 以及 Redis 等都進(jìn)行一致的高性能響應(yīng)。”
從以上官網(wǎng)描述里我們可以知道,OpenResty 官網(wǎng)對其定位是以 Nginx 為核心集成 Lua,打造一個兼具開發(fā)效率和高性能的服務(wù)端開發(fā)平臺。
OpenResty 的核心是基于 Nginx 的一個 C 模塊(lua-Nginx-module),該模塊將 LuaJIT 嵌入到 Nginx 服務(wù)器中,并對外提供一套完整的 Lua API,透明地支持非阻塞 I/O,提供了輕量級線程、定時器等高級抽象。
我們可以用 Lua 語言來進(jìn)行字符串和數(shù)值運算、查詢數(shù)據(jù)庫、發(fā)送 HTTP 請求、執(zhí)行定時任務(wù)、調(diào)用外部命令等,還可以用 FFI 的方式調(diào)用外部 C 函數(shù)。這基本上可以滿足服務(wù)端開發(fā)需要的所有功能。
掌握好了 OpenResty,我們就可以同時擁有腳本語言的開發(fā)效率和迭代速度,以及 Nginx C 模塊的高并發(fā)和高性能優(yōu)勢。
下面為大家介紹本文大綱:
- OpenResty 的 hello world 該怎么寫
- 快速上手 Lua 腳本語言
- OpenResty 用到的 Nginx 知識
- OpenResty 在網(wǎng)關(guān)安全中如何應(yīng)用
OpenResty 的 hello world 該怎么寫
OpenResty 的安裝
OpenResty 的安裝有多種方法,比如使用操作系統(tǒng)的包管理器、源碼編譯或者 docker 鏡像。推薦優(yōu)先使用 yum、apt-get、brew 這類包管理系統(tǒng),來安裝 OpenResty。
對于 Mac OS X 或 macOS 用戶,強烈推薦您使用 homebrew 包管理工具安裝 OpenResty。可以直接使用下面 這一條命令:
brew install openresty/brew/openresty對于一些常見的 Linux 發(fā)行版本(Ubuntu、Debian、CentOS、RHEL、Fedora、OpenSUSE、Alpine 和 Amazon Linux), OpenResty 提供 官方預(yù)編譯包。確保首先用這種方式來安裝。這里用 CentOS 舉例,可以使用如下方式,
CentOS 9 或者更新版本
# add the yum repo:
wget https://openresty.org/package/centos/openresty2.repo
sudo mv openresty2.repo /etc/yum.repos.d/openresty.repo
# update the yum index:
sudo yum check-updateCentOS 8 或者更老版本
# add the yum repo:
wget https://openresty.org/package/centos/openresty.repo
sudo mv openresty.repo /etc/yum.repos.d/openresty.repo
# update the yum index:
sudo yum check-update然后就可以像下面這樣安裝軟件包,比如 openresty:
sudo yum install -y openrestyDocker 安裝
Docker 安裝的方式就最為簡單了,只需要輸入以下命令,就可以獲取打包好的鏡像。
docker pull openresty/openresty目錄結(jié)構(gòu)
安裝 OpenResty 成功后的目錄結(jié)構(gòu)如下(以默認(rèn)安裝目錄為例):
/usr/local/openresty/ #安裝主目錄
├── bin #存放可執(zhí)行文件
├── luajit #LuaJIT運行庫
├── lualib #Lua組件
├── Nginx #Nginx核心運行平臺
├── pod #參考手冊(restydoc)使用的數(shù)據(jù)
└── site #包管理工具(opm)使用的數(shù)據(jù)啟動服務(wù)
yum 安裝完后,就可以直接運行 openresty 命令,啟動 OpenResty 服務(wù)。
/usr/local/openresty/bin/openresty #啟動OpenResty服務(wù)OpenResty 默認(rèn)開啟了 localhost:80 服務(wù),使用 wget 或者 curl 這樣的工具就可以驗證 OpenResty 是否正常工作:
curl http://localhost:80 #curl命令發(fā)送HTTP請求下面是一些其他常用命令,
/usr/local/openresty/bin/openresty -s stop #停止 OpenResty 服務(wù)
/usr/local/openresty/bin/openresty -s reload #重新加載 Nginx 配置文件
/usr/local/openresty/bin/openresty -t #檢查 Nginx 配置文件是否正確
/usr/local/openresty/bin/openresty -c #指定配置文件啟動OpenResty 的操作命令跟 Nginx 保持一致。可以執(zhí)行 openresty -h 以及 nginx -h 對比看出,
圖片
命令行工具 resty
如果你想安裝命令行工具 resty,那么可以像下面這樣安裝 openresty-resty 包:
sudo yum install -y openresty-restyresty 是一個 cli 工具,可以使用 -e 參數(shù)可以在命令行里直接執(zhí)行 Lua 代碼,我們可以在命令行執(zhí)行如下命令,
[root@VM-4-5-centos ~]# resty -e "print('hello world')"
hello OpenRestyresty 工具還有很多選項用于配置行為,非常靈活,-e 之外較常用的有
-c :指定最大并發(fā)連接數(shù)(默認(rèn)值是64);
-I :指定Lua庫的搜索路徑;
-l :指定加載某個Lua庫;
--http-conf :定制在http域里的指令;
--main-include :定制在main域里的指令;
--shdict :定制使用的共享內(nèi)存(參見10.2節(jié));
--resolve-ipv6 :允許解析ipv6的地址。想了解完整的列表,可以查看 resty -h 命令。
包管理工具 opm
跟大多數(shù)語言一樣有包管理工具一樣,OpenResty 也有自己的包管理工具 opm(OpenResty Package Manager),opm 在 openresty-opm 包里,安裝命令如下,
sudo yum install -y openresty-opmopm 是 OpenResty 自帶的包管理器,在你安裝好 OpenResty 之后,就可以直接使用。一些常見用法如下,
opm search http #搜索關(guān)鍵字http
opm search kafka #搜索關(guān)鍵字kafka
opm get agentzh/lua-resty-http #安裝組件,注意需要sudo
opm info agentzh/lua-resty-http #顯示組件的版本、作者等信息
opm remove agentzh/lua-resty-http #移除組件,同樣需要sudo
opm --install-dir=/opt get xxx #把組件安裝到/opt目錄下
opm --cwd get xxx #安裝到當(dāng)前目錄的/resty_modules下編寫 hello world
在上文中我們使用命令行工具 resty 寫了一個比較簡單的 OpenResty 程序,沒有 master 進(jìn)程,也不會監(jiān)聽端口。下面讓我們寫一個需要啟動 OpenResty 服務(wù)的 hello world。
首先找到 OpenResty 安裝目錄下 nginx/conf/nginx.conf 文件,在 server 下新增 OpenResty 的 content_by_lua 指令,里面嵌入了 ngx.say 的代碼:
server {
listen 88;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
location /hello {
content_by_lua '
ngx.say("hello, world")
';
}
}接著我們執(zhí)行 openresty -s reload 命令,重新加載 nginx.conf 配置文件。沒有報錯的話,OpenResty 的服務(wù)就已經(jīng)成功啟動了。
最后使用 curl 命令,來查看結(jié)果的返回:
[root@VM-4-5-centos conf]# curl localhost:88/hello
hello, world到這里,一個真正的 OpenResty 開發(fā)的 hello world 程序就完成了。
快速上手 Lua 腳本語言
Lua 環(huán)境
我們不用專門去安裝標(biāo)準(zhǔn) Lua 5.1 之類的環(huán)境,因為 OpenResty 已經(jīng)不再支持標(biāo)準(zhǔn) Lua,而只支持 LuaJIT。這里我介紹的 Lua 語法,也是和 LuaJIT 兼容的部分,而不是基于最新的 Lua 5.3,這一點需要特別注意。
在 OpenResty 的安裝目錄下,可以找到 LuaJIT 的目錄和可執(zhí)行文件。在 CentOS 系統(tǒng)下,LuaJIT 的目錄如下,
[root@VM-4-5-centos luajit]# cd /usr/local/openresty/luajit/bin/
[root@VM-4-5-centos bin]# ll
total 536
lrwxrwxrwx 1 root root 18 Oct 12 11:22 luajit -> luajit-2.1.0-beta3
-rwxr-xr-x 1 root root 547728 Jul 18 12:38 luajit-2.1.0-beta3我們可以執(zhí)行 cp luajit /usr/local/bin/ 將 luajit 文件復(fù)制到 /usr/local/bin/ 目錄下,進(jìn)而可以直接使用 luajit 命令。
查看 LuaJIT 的版本號,
[root@VM-4-5-centos ~]# luajit -v
LuaJIT 2.1.0-beta3 -- Copyright (C) 2005-2022 Mike Pall. https://luajit.org/執(zhí)行 lua 腳本,
[root@VM-4-5-centos ~]# echo 'print("hello world")' > 1.lua
[root@VM-4-5-centos ~]# cat 1.lua
print("hello world")
[root@VM-4-5-centos ~]# luajit 1.lua
hello world
[root@VM-4-5-centos ~]#也可以使用 resty 來直接運行,它最終也是用 LuaJIT 來執(zhí)行的,
[root@VM-4-5-centos ~]# resty -e 'print("hello world")'
hello world基本語法
變量
在 Lua 中聲明變量,可以如下代碼所示,
local a = 'hello'
b = "world"加了 local 關(guān)鍵字,用于聲明局部變量。
不加 local 關(guān)鍵字的話,變量默認(rèn)是全局的。
注釋
兩個減號是單行注釋
-- 注釋多行注釋
--[[
多行注釋
多行注釋
--]]行尾結(jié)束
Lua 中代碼的行尾結(jié)束都不需要添加特殊字符,這跟 Java 不同(Java 在行尾需要添加 ;)。
local a = 'a'
print(a)數(shù)據(jù)類型
Lua 中的數(shù)據(jù)類型不多,你可以通過 type 函數(shù)來返回一個值的類型,比如下面這樣的操作:
[root@VM-4-5-centos ~]# resty -e 'print(type("hello world"))
> print(type(print))
> print(type(true))
> print(type(360.0))
> print(type({}))
> print(type(nil))
> '打印如下,
string
function
boolean
number
table
nil這幾種就是 Lua 中的基本數(shù)據(jù)類型了。下面我們來簡單介紹一下它們。
字符串
在 Lua 中,有三種方式可以表達(dá)一個字符串:單引號、雙引號,以及長括號([[]]),示例如下,
新建 str.lua 文件,寫入以下內(nèi)容,
local s = 'a'
local s1 = "b"
local s2 = [[c]]
print(s)
print(s1)
print(s2)執(zhí)行 luajit str.lua 返回結(jié)果如下,
a
b
c在 Lua 中,字符串拼接采用 .. 的方式,示例如下,
編輯 str.lua 文件,寫入以下內(nèi)容,
local s = 'a'
local s1 = "b"
local s2 = [[c]]
print(s)
print(s1)
print(s2)
local s3 =s .. s1 ..s2
print(s3)執(zhí)行 luajit str.lua 返回結(jié)果如下,
a
b
c
abc布爾值
在 Lua 中,只有 nil 和 false 為假,其他都為 true,包括 0 和空字符串也為真。我們可以用示例印證一下:
新建 bool.lua 腳本文件,寫入以下內(nèi)容,
local a = 0
local b
if a then
print("true")
end
a = ""
if a then
print("true")
end
print(b)執(zhí)行 luajit str.lua 返回結(jié)果如下,
true
true
nil在 Lua 中,空值就是 nil。如果你定義了一個變量,但沒有賦值,它的默認(rèn)值就是 nil,對應(yīng)的就是上面示例代碼的局部變量 b。
數(shù)字
Lua 的 number 類型,是用雙精度浮點數(shù)來實現(xiàn)的。值得一提的是,LuaJIT 支持 dual-number(雙數(shù))模式,也就是說,LuaJIT 會根據(jù)上下文來用整型來存儲整數(shù),而用雙精度浮點數(shù)來存放浮點數(shù)。示例如下,
新建 number.lua 腳本文件,寫入以下內(nèi)容,
print(type(2))
print(type(2.2))
print(type(0.2))
print(type(2e+1))
print(type(0.2e-1))
print(type(7.8263692594256e-06))
print(2 + 2)
print(2 + 22.2)執(zhí)行 luajit number.lua 返回結(jié)果如下,
number
number
number
number
number
number
4
24.2函數(shù)
函數(shù)在 Lua 中是一等公民,你可以把函數(shù)存放在一個變量中,也可以當(dāng)作另外一個函數(shù)的入?yún)⒑统鰠ⅰJ纠缦拢?/p>
新建 fun.lua 文件,寫入以下代碼,
-- 階乘
function factorial1(n)
if n == 0 then
return 1
else
return n * factorial1(n - 1)
end
end
print(factorial1(5))
factorial2 = factorial1
print(factorial2(5))執(zhí)行 luajit fun.lua 返回結(jié)果如下,
120
120分支控制
Lua 提供了以下兩種分支控制結(jié)構(gòu)語句:
- if 語句
- if...else 語句
- if...elseif...else 語句
if 語句
Lua if 語句語法格式如下:
if(布爾表達(dá)式)
then
--[ 在布爾表達(dá)式為 true 時執(zhí)行的語句 --]
end以下是一個判斷變量 a 的值是否小于 20 的示例,
新建 if1.lua,寫入以下內(nèi)容,
--[ 定義變量 --]
a = 10;
--[ 使用 if 語句 --]
if (a < 20) then
--[ if 條件為 true 時打印以下信息 --]
print("a 小于 20" );
end
print("a 的值為:", a);執(zhí)行 luajit if1.lua 返回結(jié)果如下,
a 小于 20
a 的值為: 10if...else 語句
Lua if 語句可以與 else 語句搭配使用, 在 if 條件表達(dá)式為 false 時執(zhí)行 else 語句代碼塊。
Lua if...else 語句語法格式如下:
if(布爾表達(dá)式)
then
--[ 布爾表達(dá)式為 true 時執(zhí)行該語句塊 --]
else
--[ 布爾表達(dá)式為 false 時執(zhí)行該語句塊 --]
end以下是一個判斷變量 a 值的示例,
新建 if2.lua,寫入以下內(nèi)容,
--[ 定義變量 --]
a = 100;
--[ 檢查條件 --]
if( a < 20 )
then
--[ if 條件為 true 時執(zhí)行該語句塊 --]
print("a 小于 20" )
else
--[ if 條件為 false 時執(zhí)行該語句塊 --]
print("a 大于 20" )
end
print("a 的值為 :", a)執(zhí)行 luajit if2.lua 返回結(jié)果如下,
a 大于 20
a 的值為 : 100if...elseif...else 語句
Lua if 語句可以與 elseif...else 語句搭配使用, 在 if 條件表達(dá)式為 false 時執(zhí)行 elseif...else 語句代碼塊,用于檢測多個條件語句。
Lua if...elseif...else 語句語法格式如下:
if( 布爾表達(dá)式 1)
then
--[ 在布爾表達(dá)式 1 為 true 時執(zhí)行該語句塊 --]
elseif( 布爾表達(dá)式 2)
then
--[ 在布爾表達(dá)式 2 為 true 時執(zhí)行該語句塊 --]
elseif( 布爾表達(dá)式 3)
then
--[ 在布爾表達(dá)式 3 為 true 時執(zhí)行該語句塊 --]
else
--[ 如果以上布爾表達(dá)式都不為 true 則執(zhí)行該語句塊 --]
end以下是一個判斷變量 a 值的示例,
新建 if3.lua,寫入以下內(nèi)容,
--[ 定義變量 --]
a = 100
--[ 檢查布爾條件 --]
if( a == 10 )
then
--[ 如果條件為 true 打印以下信息 --]
print("a 的值為 10" )
elseif( a == 20 )
then
--[ if else if 條件為 true 時打印以下信息 --]
print("a 的值為 20" )
elseif( a == 30 )
then
--[ if else if condition 條件為 true 時打印以下信息 --]
print("a 的值為 30" )
else
--[ 以上條件語句沒有一個為 true 時打印以下信息 --]
print("沒有匹配 a 的值" )
end
print("a 的真實值為: ", a )執(zhí)行 luajit if3.lua 返回結(jié)果如下,
沒有匹配 a 的值
a 的真實值為: 100循環(huán)
Lua 編程語言中 for 循環(huán)語句可以重復(fù)執(zhí)行指定語句,重復(fù)次數(shù)可在 for 語句中控制。
Lua 編程語言中 for 語句有兩大類:
- 數(shù)值 for 循環(huán)
- 泛型 for 循環(huán)
數(shù)值 for 循環(huán)
Lua 編程語言中數(shù)值 for 循環(huán)語法格式:
for var=exp1,exp2,exp3 do
<執(zhí)行體>
endvar 從 exp1 變化到 exp2,每次變化以 exp3 為步長遞增 var,并執(zhí)行一次 "執(zhí)行體"。exp3 是可選的,如果不指定,默認(rèn)為 1。示例如下,
新建 for1.lua 文件,寫入以下內(nèi)容,
function f(x)
print("function")
return x*2
end
for i = 1, f(5) do print(i)
end執(zhí)行 luajit for1.lua 返回結(jié)果如下,
function
1
2
3
4
5
6
7
8
9
10泛型 for 循環(huán)
泛型 for 循環(huán)通過一個迭代器函數(shù)來遍歷所有值,類似 java 中的 foreach 語句。
Lua 編程語言中泛型 for 循環(huán)語法格式:
--打印數(shù)組a的所有值
local a = {"one", "two", "three"}
for i, v in ipairs(a) do
print(i, v)
endi 是數(shù)組索引值,v 是對應(yīng)索引的數(shù)組元素值。ipairs 是 Lua 提供的一個迭代器函數(shù),用來迭代數(shù)組。
將以上內(nèi)容下入 for2.lua 文件,打印結(jié)果如下,
1 one
2 two
3 threeLua 模塊與包
模塊類似于一個封裝庫,從 Lua 5.1 開始,Lua 加入了標(biāo)準(zhǔn)的模塊管理機制,可以把一些公用的代碼放在一個文件里,以 API 接口的形式在其他地方調(diào)用,有利于代碼的重用和降低代碼耦合度。
Lua 提供了一個名為 require 的函數(shù)用來加載模塊。要加載一個模塊,只需要簡單地調(diào)用就可以了。例如:
require("cjson")
-- 或者
require "cjson"Lua 比較小巧,內(nèi)置的標(biāo)準(zhǔn)庫并不多。在 OpenResty 的環(huán)境中默認(rèn)支持了一些官方模塊,如 cjson 可以直接使用,其他的一些第三方庫則需要先使用 lua_package_path 指令配置 OpenResty 的文件尋址路徑,又或者直接使用 opm 包管理工具來安裝一些第三方模塊。
OpenResty 中默認(rèn)啟用了下面列表的絕大部分組件,想要了解更多 OpenResty 相關(guān)組件的話,可以翻閱官網(wǎng)說明 https://openresty.org/cn/components.html。
LuaJIT
ArrayVarNginxModule
AuthRequestNginxModule
CoolkitNginxModule
DrizzleNginxModule
EchoNginxModule
EncryptedSessionNginxModule
FormInputNginxModule
HeadersMoreNginxModule
...本文的 Lua 語法介紹到這里就足夠在 OpenResty 中編寫 lua 腳本了,想要了解更多 Lua 內(nèi)容,如 table、文件、調(diào)式等可以自行翻閱 https://www.runoob.com/lua/lua-tutorial.html 網(wǎng)站。
OpenResty 用到的 Nginx 知識
內(nèi)置常量和變量
OpenResty 在內(nèi)置 Lua 引擎中新增了一些常用的內(nèi)置變量如下所示。
圖片
圖片來源https://zhuanlan.zhihu.com/p/539546173
OpenResty 在內(nèi)置 Lua 引擎中新增了一些常用的內(nèi)置常量大致如下所示。
圖片
圖片
這些內(nèi)置變量和常量都可以在 Lua 腳本中直接使用。
配置指令
OpenResty 定義了一系列 Nginx 配置指令,用于配置何時運行用戶 Lua 腳本以及如何返回 Lua 腳本的執(zhí)行結(jié)果,這些指令可以直接在 nginx.conf 配置文件中使用。
OpenResty 定義的 Nginx 配置指令大致如下所示。
圖片
圖片來源https://zhuanlan.zhihu.com/p/539546173
這些指令中有 9 個 *_by_lua 指令,它們和 Nginx 的關(guān)系如下圖所示
圖片
圖片來自 lua-Nginx-module 文檔
其中,init_by_lua 只會在 Master 進(jìn)程被創(chuàng)建時執(zhí)行,init_worker_by_lua 只會在每個 Worker 進(jìn)程被創(chuàng)建時執(zhí)行。其他的 *_by_lua 指令則是由終端請求觸發(fā),會被反復(fù)執(zhí)行。
所以在 init_by_lua 階段,我們可以預(yù)先加載 Lua 模塊和公共的只讀數(shù)據(jù),這樣可以利用操作系統(tǒng)的 COW(copy on write)特性,來節(jié)省一些內(nèi)存。
對于業(yè)務(wù)代碼來說,其實大部分的操作都可以在 content_by_lua 里面完成,但更推薦的做法,是根據(jù)不同的功能來進(jìn)行拆分,比如下面這樣:
- set_by_lua:設(shè)置變量;
- rewrite_by_lua:轉(zhuǎn)發(fā)、重定向等;
- access_by_lua:準(zhǔn)入、權(quán)限等;
- content_by_lua:生成返回內(nèi)容;
- header_filter_by_lua:應(yīng)答頭過濾處理;
- body_filter_by_lua:應(yīng)答體過濾處理;
- log_by_lua:日志記錄。
利用這些階段的特性,我們可以一些通用邏輯進(jìn)行拆分處理,比如我們可以在 access 階段解密,在 body filter 階段加密就可以了,在 content 階段的代碼是不用做任何修改的。
# 加密協(xié)議版本
location /test {
access_by_lua '...'; # 請求體解密
content_by_lua '...'; # 處理請求,不需要關(guān)心通信協(xié)議
body_filter_by_lua '...'; # 應(yīng)答體加密
}OpenResty 在網(wǎng)關(guān)安全中如何應(yīng)用
WAF 介紹
Web 應(yīng)用防火墻(Web Application Firewall,簡稱 WAF)對網(wǎng)站或者 App 的業(yè)務(wù)流量進(jìn)行惡意特征識別及防護(hù),在對流量清洗和過濾后,將正常、安全的流量返回給服務(wù)器,避免網(wǎng)站服務(wù)器被惡意入侵導(dǎo)致性能異常等問題,從而保障網(wǎng)站的業(yè)務(wù)安全和數(shù)據(jù)安全。
常見 Web 應(yīng)用攻擊防護(hù)
- 防御一些常見常見威脅:SQL 注入、XSS 跨站、WebShell 上傳、后門攻擊、命令注入、非法 HTTP 協(xié)議請求、常見 Web 服務(wù)器漏洞攻擊、CSRF、核心文件非授權(quán)訪問、路徑穿越、網(wǎng)站被掃描等。
- CC 惡意攻擊防護(hù):控制單一源 IP 的訪問頻率,基于重定向跳轉(zhuǎn)驗證、人機識別等。針對海量慢速請求攻擊,根據(jù)統(tǒng)計響應(yīng)碼及 URL 請求分布、異常 Referer 及 User-Agent 特征識別,結(jié)合網(wǎng)站精準(zhǔn)防護(hù)規(guī)則綜合防護(hù)。
- 網(wǎng)站隱身:不對攻擊者暴露站點地址,避免其繞過 Web 應(yīng)用防火墻直接攻擊。
相關(guān)產(chǎn)品
目前 WAF 相關(guān)產(chǎn)品主要有三類:
- 硬件 WAF:效果好,但是貴!
- 軟件 WAF:效果還算可以,能用,有開源產(chǎn)品!
- 云廠商 WAF:云廠商的 WAF 都很貴!
鑒于極客精神(白嫖萬歲 ??),這里介紹幾款業(yè)內(nèi)開源的 WAF 產(chǎn)品,
- 長亭科技的雷池社區(qū)版,主頁地址:https://waf-ce.chaitin.cn/
- ModSecurity,主頁地址:https://www.modsecurity.org/
- Coraza,主頁地址:https://coraza.io/
- VeryNginx,主頁地址:https://github.com/alexazhou/VeryNginx
- NAXSI,主頁地址:https://github.com/nbs-system/naxsi
- NGX_WAF,主頁地址:https://github.com/ADD-SP/ngx_waf
- 南墻,主頁地址:https://waf.uusec.com/
- JANUSEC,主頁地址:https://www.janusec.com/
- HTTPWAF,主頁地址:https://github.com/httpwaf/httpwaf2.0
- 錦衣盾,主頁地址:https://www.jxwaf.com/
對于以上 WAF 產(chǎn)品的一些評價指標(biāo)如下:
- 防護(hù)效果:主要是兩個維度,能不能防住攻擊,會不會影響普通用戶
- 技術(shù)先進(jìn)性:防護(hù)引擎的技術(shù)競爭力,是否具備對抗高級攻擊的能力
- 項目質(zhì)量:本文將以功能完整性、開源代碼質(zhì)量、文檔完整性等角度作為評價依據(jù)
- 社區(qū)認(rèn)可度:反映了項目在用戶社區(qū)中的聲譽和影響力,本文將以 GitHub Star 數(shù)作為評價依據(jù)
- 社區(qū)活躍度:是潛力的體現(xiàn),活躍度越高發(fā)展越快,本文將以社區(qū)用戶的參與度和作者維護(hù)項目的積極性作為
最終的的得分如下,
圖片
圖片來源https://stack.chaitin.com/techblog/detail/115
需要注意的是軟件 WAF 一般在第 7 層中進(jìn)行防御(osi 模型),并非能夠防御所有類型的攻擊,比如 ddos 攻擊就不能防御。不過一般云廠商提供的 WAF 產(chǎn)品也有攜帶了 ddos 攻擊防御的支持,比如阿里云。
OpenResty 在 WAF 中的應(yīng)用
使用 OpenResty 作為流量入口時,我們可以通過編寫一些 Lua 腳本來實現(xiàn) WAF 防御的功能。Lua 腳本可以在 Nginx 配置文件中指定,在不同的階段執(zhí)行。
對于防火墻功能,我們通常可以在 access_by_lua 階段執(zhí)行 Lua 腳本,用于匹配請求或響應(yīng)的頭部或內(nèi)容,并根據(jù)匹配結(jié)果決定是否放行數(shù)據(jù)包或返回錯誤信息。
下面我將給大家演示如何使用 OpenResty 實現(xiàn)一個基于 Lua 的 WAF(Web Application Firewall)功能。用來識別和阻止常見的 Web 攻擊,如 cc 防御、ip 黑名單、ua 參數(shù)校驗等。
cc 防御
- 修改 nginx.conf 文件,加入 access_by_lua_file cc.lua 指令,
http {
# 聲明一個 10m 大小的共享內(nèi)存 cc_dict
lua_shared_dict cc_dict 10m;
lua_package_path "/usr/local/openresty/nginx/conf/lua/waf/?.lua;/usr/local/openresty/lualib/?.lua;";
...
server {
listen 88;
server_name localhost;
# 在access階段執(zhí)行 cc 防御插件
access_by_lua_file cc.lua;
location / {
...
}
}
}- 新建 cc.lua 腳本,寫入以下內(nèi)容,
-- 獲取客戶端ip
local function getClientIp()
IP = ngx.var.remote_addr
if IP == nil then
IP = "unknown"
end
return IP
end
local function denyCC()
local uri=ngx.var.uri
ccCount=100
ccSecnotallow=6
local access_uri = getClientIp()..uri
local limit = ngx.shared.cc_dict
local req,_=limit:get(access_uri)
if req then
if req > ccCount then
ngx.exit(503)
return true
else
limit:incr(access_uri,1)
end
else
limit:set(access_uri,1,ccSeconds)
end
return false
end
if denyCC() then
return
end- 重啟 OpenResty 服務(wù),就完成了 cc 防御功能。
openresty -s reloadip 黑名單
- 修改 nginx.conf 文件,加入 access_by_lua_file ip_block.lua 指令,
http {
lua_package_path "/usr/local/openresty/nginx/conf/lua/waf/?.lua;/usr/local/openresty/lualib/?.lua;";
...
server {
listen 88;
server_name localhost;
# 在access階段執(zhí)行 ip_block 防御插件
access_by_lua_file ip_block.lua;
location / {
...
}
}
}- 新建 ip_block.lua 腳本,寫入以下內(nèi)容,
local cjson = require "cjson"
local function read_json(var)
file = io.open(var,"r")
if file==nil then
return
end
str = file:read("*a")
file:close()
list = cjson.decode(str)
return list
end
local function getClientIp()
IP = ngx.var.remote_addr
if IP == nil then
IP = "unknown"
end
return IP
end
local function blockIpCheck()
local ipBlockList=read_json('/usr/local/openresty/nginx/conf/lua/waf/ip_block.json')
if next(ipBlockList) ~= nil then
for _,ip in pairs(ipBlockList) do
if getClientIp()==ip then
ngx.exit(403)
return true
end
end
end
return false
end
if blockIpCheck() then
return
end- 在 /usr/local/openresty/nginx/conf/lua/waf 目錄下新建 ip_block.json 文件,寫入我們要加入黑名單的 ip,
["58.48.224.7"]- 重啟 OpenResty 服務(wù),就完成了 ip 黑名單功能。
openresty -s reloadua 攔截
- 修改 nginx.conf 文件,加入 access_by_lua_file ua.lua 指令,
http {
lua_package_path "/usr/local/openresty/nginx/conf/lua/waf/?.lua;/usr/local/openresty/lualib/?.lua;";
...
server {
listen 88;
server_name localhost;
# 在access階段執(zhí)行 ua 防御插件
access_by_lua_file ua.lua;
location / {
...
}
}
}- 新建 ua.lua 腳本,寫入以下內(nèi)容,
local ngxMatch=ngx.re.match
local cjson = require "cjson"
local function read_json(var)
file = io.open(var,"r")
if file==nil then
return
end
str = file:read("*a")
file:close()
list = cjson.decode(str)
return list
end
function ua()
local ua = ngx.var.http_user_agent
local userAgents=read_json('/usr/local/openresty/nginx/conf/lua/waf/user_agent.json')
if next(userAgents) ~= nil then
for _,rule in pairs(userAgents) do
if rule ~="" and ngxMatch(ua,rule,"isjo") then
ngx.exit(403)
return true
end
end
end
return false
end
if ua() then
return
end- 在 /usr/local/openresty/nginx/conf/lua/waf 目錄下新建 user_agent.json 文件,寫入我們要加入黑名單的 ua 信息,
["Chrome/116.0.0.0"]- 重啟 OpenResty 服務(wù),就完成了 ua 攔截功能。
openresty -s reload相關(guān)資料
- OpenResty 官網(wǎng):https://openresty.org/cn/benchmark.html
- 菜鳥教程:https://www.runoob.com/lua/lua-tutorial.html
- 《OpenResty完全開發(fā)指南》:https://weread.qq.com/web/bookDetail/fec3240071848696fec3572
- 《OpenResty從入門到實戰(zhàn)》:https://time.geekbang.org/column/intro/186?code=hkx6qkdp47iccvn0yf40aowqzyzzchyykmswfogb90g%3D
總結(jié)
自此本文介紹了OpenResty入門以及使用 Lua 腳本實現(xiàn)一些常見的網(wǎng)關(guān)安全功能等。需要注意的就是大家在已有的 Nginx 服務(wù)遷移到 OpenResty 上來時,記得注意 OpenResty 版本,Nginx 與 OpenResty 相同版本情況下,OpenResty 官方是保證完全兼容的。
