序
2019年2月18日,加入妈妈网,至今已经有四个月的时间,上周进到一个网关项目组,这个项目的主要目的是基于openResty+Naxsi实现WAF,相关技术初定涉及到openResty、Lua、Naxsi、es、Redis、php、Nginx、MySQL、consul、etcd,解决方案类似https://www.freebuf.com/articles/web/170781.html
openResty、Lua、Naxsi、es、consul、etcd,这些技术对项目组的成员来说,基本上都是比较陌生的,对我本人来说更是完全没接触过的,下面将会记录我是如何对这些技术进行快速入门的,网关项目是如何一步一步搭建起来的。
阶段一
- 了解openResty、Lua、Naxsi、es、consul、etcd是啥玩意?
- OpenResty一般称为ngx_openresty, 目前有两大应用目标:
- 通用目的的 web 应用服务器。ngx_openresty 的性能(包括内存使用和 CPU 效率)算是最大的卖点之一。
- Nginx 的脚本扩展编程,用于构建灵活的 Web 应用网关和 Web 应用防火墙。其优势在于 Lua 编程带来的巨大灵活性。
- Lua是一种强大的、高效的、轻量级的、可嵌入的脚本语言。它支持过程编程、面向对象编程、函数编程、数据驱动编程和数据描述。
- Naxsi是一个开放源码、高效、低维护规则的Nginx Web应用防火墙模块。Naxsi的主要目标是帮助人们加固他们的web应用程序,以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。
- Elasticsearch 是一个分布式的搜索和分析引擎,可以用于全文检索、结构化检索和分析,并能将这三者结合起来。
- etcd是一个开源的、分布式的键值对数据存储系统,提供共享配置、服务的注册和发现
- Consul是一个提供服务发现、健康检查、K/V存储和多个数据中心的开源服务发现工具
- OpenResty一般称为ngx_openresty, 目前有两大应用目标:
- 这些技术之间是如何进行协同工作的?
- 看懂软WAF的思路:https://www.freebuf.com/articles/web/170781.html
- Naxsi在本WAF中主要实现基于http请求内容的防护策略规则,用于防护一些常见的漏洞,如:SQL注入攻击 XSS攻击 目录遍历漏洞 命令注入攻击 虚拟补丁 扫描器攻击等
- Lua在本waf中主要负责实现相对复杂的安全防护策略,如cc攻击防护、全局IP访问频率限制、特定url访问频率限制、ip黑白名单防护、url白名单防护、http请求转发等功能。
- ElasticSearch用于日志管理
- consul、etcd是配置管理工具,二选一,用于waf防护策略分发,做到了配置文件有更新才push配置文件到nginx,并且reload nginx,避免了频繁的reload nginx节点
- 使用docker搭建开发环境
阶段二
- 阅读技术文档,快速入门Lua
- 阅读技术文档,快速入门OpenResty
- 阅读技术文档,快速入门Naxsi
- 阅读技术文档,快速入门ElaticSearch
- 阅读技术文档,快速入门Consul、etcd
- 寻找适合的Lua框架
- 寻找适合的Lua包管理器