发布：2022/12/21 11:44:53作者：管理员 来源：本站 浏览次数：542

这篇文章主要介绍了为Nginx服务器配置黑名单或白名单功能的防火墙的方法,文中还附带介绍了一个基于lua的第三方防火墙模块,需要的朋友可以参考下  

功能描述：

处在黑名单中的ip与网络，将无法访问web服务。

处在白名单中的ip，访问web服务时，将不受Nginx所有安全模块的限制。

支持动态黑名单（需要与ngx_http_limit_req 配合）

具体详见下面的说明

文件配置方法说明

一、定义黑名单或白名单方法：

1. 配置格式

配置关键字 黑名单或白名单文件 存储空间

white_black_list_conf conf/white.list zone=white:2m;

 | | | |

 | | | --------------------------------------存储空间大小 这里是2m. 空间大小决定黑白名单的容量

 | | ---------------------------------------------------------------------------------------------存储空间名

 | ---------------------------------------------------------------黑名单或白名单配置文件路径

 ------------------------------------------------配置命令

2. 配置关键字 white_black_list_conf。

3. 只能在http{} 中使用

4. white_black_list_conf可以配置多个 只需 zone=value 其中的value不同就可

5. 配置示例：

http{

   ......

   white_black_list_conf conf/white.list zone=white:4m;

   white_black_list_conf conf/black.list zone=black:4m;

   ......

   server{

   .......

   }

   .......

}

二、黑白名单作用范围

1. 配置格式

配置关键字 on/off

配置关键字有：white_list 与 black_list 分别用来表示白名单与黑名单

2. 能在http{}、server{}、location{}下使用, 功能默认是关闭

3. 配置示例：

http{

   ......

   white_black_list_conf conf/white.list zone=white1:4m;

   white_black_list_conf conf/black.list zone=black1:4m;

   white_list white1 on; #白名单 white1 在整个http{} 中都开启

   black_list black1 on; #黑名单 black1 在整个http{} 中都开启

   server{

       .......

   }

   .......

}

http{

   ......

   white_black_list_conf conf/white.list zone=white2:4m;

   white_black_list_conf conf/black.list zone=black2:4m;

   server{

       .......

       white_list white2 on; #白名单 white1 在整个server{} 中都开启

       black_list black2 on; #黑名单 black1 在整个server{} 中都开启

       .......

   }

   .......

}

http{

   ......

   white_black_list_conf conf/white.list zone=white3:4m;

   white_black_list_conf conf/black.list zone=black3:4m;

   white_black_list_conf conf/black.list zone=black2:4m;

   white_black_list_conf conf/white.list zone=white2:4m;

   server{

       .......

       location /do {

           ........

           white_list white3 on; #白名单 white3 在location /do{} 中开启

           black_list black3 on; #黑名单 black3 在location /do{} 中开启

           ........

       }

       location /do1{

           white_list white2 on; #白名单 white2 在整个server{} 中都开启

           black_list black2 on; #黑名单 black2 在整个server{} 中都开启

       }

       .......

   }

   .......

}

4.http配置接口说明：

（1）配置配置接口

http{

   .......

   server{

       ......

       location /sec_config{

           sec_config on;

       }

       ......

   }

   .......

}

（2）配置方法：

a. http://xxx/sec_config 查看黑白名单定义情况

返回结果如下

{

   "version":    "nginx/1.3.0",

   "code":    "0",

   "item":    {

       "conf_type":    "white_black_list_conf",

       "zone_name":    "white",

       "list_path":    "/home/john/nginx/conf/white.list"

   },

   "item":    {

       "conf_type":    "white_black_list_conf",

       "zone_name":    "black",

       "list_path":    "/home/john/nginx/conf/black.list"

   },

   "item":    {

       "conf_type":    "white_black_list_conf",

       "zone_name":    "ex",

       "list_path":    "/home/john/nginx/conf/status_ex"

   }

}

b. http://xxx/sec_config?zone_name=white 查看zone_name 为white 的 list_path中的具体内容

c.http://xxx/sec_config?zone_name=white&add_item=192.168.141.23 向 zone_name 为white 中增加192.168.141.23

d. http://xxx/sec_config?zone_name=white&delete_item=192.168.141.23 在 zone_name 为white 中删除192.168.141.23

查看配置方法2:

http://xxx/sec_config?for_each

三、黑白名单文件内容

conf/black.list 文件内容如下

2.2.2.2

192.168.141.1

3.3.3.3

4.4.4.5

2.3.4.4

四、动态黑名单

   要使用该功能必须对 ngx_http_limit_req_module.c 进行patch

   在ngx_http_limit_req_module.c中

   增加#include <white_black_list.h>

   并修改代码找到：

 "

 if (rc == NGX_BUSY) {

   ngx_log_error(lrcf->limit_log_level, r->connection->log, 0,

          "limiting requests, excess: %ui.%03ui by zone \"%V\"",

          excess / 1000, excess % 1000,

          &limit->shm_zone->shm.name);

   "

   在其下面增加：

 ngx_black_add_item_interface(r, 1);

       配备关键字：

               dyn_black

       格式：

               dyn_black $zone_name time;

       比如：

               dyn_black black 60; //禁止访问60秒，60秒后自动解除

       注意：

               必须要配置black_list

       配置示例：

       http{

           ....

           white_black_list_conf conf/black.list zone=black:4m;

           limit_req_zone $binary_remote_addr zone=one:8m rate=4r/s;

           ...

           server {

               location / {

        black_list black on;

        limit_req zone=one burst=6;

        dyn_black black 60; //禁止访问60秒，60秒后自动解除

        ...

        }

        location /xxx {

        sec_config on;

        }

        ...

           }

           ...

       }

PS：基于lua-nginx-module的ngx_lua_waf防火墙

项目地址：https://github.com/loveshell/ngx_lua_waf?utm_source=tuicool&utm_medium=referral

推荐安装:

推荐使用lujit2.1做lua支持

ngx_lua如果是0.9.2以上版本，建议正则过滤函数改为ngx.re.find，匹配效率会提高三倍左右。

使用说明：

nginx安装路径假设为:/usr/local/nginx/conf/

把ngx_lua_waf下载到conf目录下,解压命名为waf

在nginx.conf的http段添加

 lua_package_path "/usr/local/nginx/conf/waf/?.lua";

 lua_shared_dict limit 10m;

 init_by_lua_file /usr/local/nginx/conf/waf/init.lua;

 access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

配置config.lua里的waf规则目录(一般在waf/conf/目录下)

 RulePath = "/usr/local/nginx/conf/waf/wafconf/"

绝对路径如有变动，需对应修改

然后重启nginx即可

配置文件详细说明：

 RulePath = "/usr/local/nginx/conf/waf/wafconf/"

 --规则存放目录

 attacklog = "off"

 --是否开启攻击信息记录，需要配置logdir

 logdir = "/usr/local/nginx/logs/hack/"

 --log存储目录，该目录需要用户自己新建，切需要nginx用户的可写权限

 UrlDeny="on"

 --是否拦截url访问

 Redirect="on"

 --是否拦截后重定向

 CookieMatch = "on"

 --是否拦截cookie攻击

 postMatch = "on" 

 --是否拦截post攻击

 whiteModule = "on" 

 --是否开启URL白名单

 ipWhitelist={"127.0.0.1"}

 --ip白名单，多个ip用逗号分隔

 ipBlocklist={"1.0.0.1"}

 --ip黑名单，多个ip用逗号分隔

 CCDeny="on"

 --是否开启拦截cc攻击(需要nginx.conf的http段增加lua_shared_dict limit 10m;)

 CCrate = "100/60"

 --设置cc攻击频率，单位为秒.

 --默认1分钟同一个IP只能请求同一个地址100次

 html=[[Please go away~~]]

 --警告内容,可在中括号内自定义

 备注:不要乱动双引号，区分大小写

检查规则是否生效

部署完毕可以尝试如下命令：

http{

   ......

   white_black_list_conf conf/white.list zone=white1:4m;

   white_black_list_conf conf/black.list zone=black1:4m;

   white_list white1 on; #白名单 white1 在整个http{} 中都开启

   black_list black1 on; #黑名单 black1 在整个http{} 中都开启

   server{

       .......

   }

   .......

}

http{

   ......

   white_black_list_conf conf/white.list zone=white2:4m;

   white_black_list_conf conf/black.list zone=black2:4m;

   server{

       .......

       white_list white2 on; #白名单 white1 在整个server{} 中都开启

       black_list black2 on; #黑名单 black1 在整个server{} 中都开启

       .......

   }

   .......

}

http{

   ......

   white_black_list_conf conf/white.list zone=white3:4m;

   white_black_list_conf conf/black.list zone=black3:4m;

   white_black_list_conf conf/black.list zone=black2:4m;

   white_black_list_conf conf/white.list zone=white2:4m;

   server{

       .......

       location /do {

           ........

           white_list white3 on; #白名单 white3 在location /do{} 中开启

           black_list black3 on; #黑名单 black3 在location /do{} 中开启

           ........

       }

       location /do1{

           white_list white2 on; #白名单 white2 在整个server{} 中都开启

           black_list black2 on; #黑名单 black2 在整个server{} 中都开启

       }

       .......

   }

   .......

}

0

   返回"Please go away~~"字样，说明规则生效。

注意:默认，本机在白名单不过滤，可自行调整config.lua配置

为Nginx服务器配置黑名单或白名单功能的防火墙（nginx域名白名单） Nginx 黑名单 白名单 防火墙 第1张

为Nginx服务器配置黑名单或白名单功能的防火墙（nginx域名白名单） Nginx 黑名单 白名单 防火墙 第2张

规则更新：

考虑到正则的缓存问题，动态规则会影响性能，所以暂没用共享内存字典和redis之类东西做动态管理。

规则更新可以把规则文件放置到其他服务器，通过crontab任务定时下载来更新规则，nginx reload即可生效。以保障ngx lua waf的高性能。

只记录过滤日志，不开启过滤，在代码里在check前面加上--注释即可，如果需要过滤，反之

一些说明：

过滤规则在wafconf下，可根据需求自行调整，每条规则需换行,或者用|分割

     global是全局过滤文件，里面的规则对post和get都过滤 

     get是只在get请求过滤的规则  

     post是只在post请求过滤的规则  

     whitelist是白名单，里面的url匹配到不做过滤   

     user-agent是对user-agent的过滤规则

默认开启了get和post过滤，需要开启cookie过滤的，编辑waf.lua取消部分--注释即可

日志文件名称格式如下:虚拟主机名_sec.log