企业安全建设笔记-2

企业安全建设笔记-2

自建waf将基于nginx+lua的架构(openresty)

https://github.com/loveshell/ngx_lua_waf

效果

检测过程及原理

OpenResty是一个基于Nginx与Lua的高性能Web平台,其内部集成了大量精良的Lua库、第三方模块以及大多数的依赖项,用于方便地搭建能够处理超高并发、扩展性极高的动态Web应用、Web服务和动态网关。OpenResty通过汇聚各种设计精良的Nginx模块,从而将Nginx有效地变成一个强大的通用Web应用平台。这样,Web开发人员和系统工程师可以使用Lua脚本语言调动Nginx支持的各种C以及Lua模块,快速构造出足以胜任10K乃至1000K以上单机并发连接的高性能Web应用系统。OpenResty的目标是让你的Web服务直接运行在Nginx服务内部,充分利用Nginx的非阻塞I/O模型,不仅仅对HTTP客户端请求,甚至于对诸如MySQL、PostgreSQL、Memcached以及Redis等的远程后端都进行一致的高性能响应。

https://www.owasp.org/index.php/OWASP_VFW_Project

或者使用Varnish FireWall这个项目。

分布式waf系统

单机版本的WAF还难以承载大规模的业务,并发高和可用性容易出现问题

1、分布式WAF集群主要包括:四层负载均衡、WAF服务、WAF日志处理、WAF配置管理,每个部分均支持集群部署,快速横向扩展。

2、四层负载均衡从基础网络安全的角度讲,应该严格限制直接使用公网IP对外提供服务的形式,因为直接使用公网IP提供服务,攻击面会非常大且不可控。应该把只有经过测试的服务才使用负载均衡的方式对外发布Web服务,其他服务除非必要,都不直接对外发布,这样可以严格控制黑客的攻击面。

四层负载的主要作用是:·将用户请求转发给后端WAF服务;·将后端的WAF服务以公网IP的形式发布出去;·最好具备一定的抗攻击的能力。

通过开源解决方案LVS解决集群系统的问题,而且lvs已经集成在大多数linux系统中,只需要安装一个管理软件就可以使用,使用VS-NAT来完成流量转发。

由于使用了VS-NAT的方式使得可以很好的隐藏后端服务器,对前端服务器只开放单独端口,减小了被攻击面。

 

0

Related Posts

Comments

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.