OpenResty Edge 的高效能 Web 應用防火牆(WAF)
今天我將展示如何在 OpenResty Edge 中啟用 Web 應用防火牆,即 WAF。
OpenResty Edge 的 WAF 平臺比幾乎所有開源的 WAF 解決方案快很多倍,例如 ModSecurity 和 lua-resty-waf。
為應用程式啟用 WAF
讓我們進入 OpenResty Edge 的 Admin Web 控制檯。這是我們控制檯的樣本部署。每個使用者都有自己的本地部署。
這一次我們繼續使用 test-edge.com 域名的樣本應用。
進入這個應用。
進入 Page Rule 頁面。
在之前的教程中我們已經設定了一個反向代理的頁面規則。
現在來啟用一些 WAF 規則集。
點選編輯這個頁面規則。
需要點選這個開關啟用 WAF。
我們可以選擇要啟用的 WAF 規則集。
這裡我們只保留預設的規則集。
選擇要對命中 WAF 規則的請求執行的動作。
Log only 這個動作可以幫助我們測試 WAF 規則而不影響請求本身。
儲存這個規則。
像往常一樣,需要釋出一個新的版本來推送我們剛才的改動。
點選這個按鈕。
釋出!
新版本現在已經同步到所有的閘道器伺服器上了。
現在,新的頁面規則已經被推送到所有的閘道器叢集和伺服器。
這些配置的變化不需要伺服器過載、重啟或二進位制升級。所以它是非常高效和可擴充套件的。
測試應用程式的 WAF 設定
現在傳送一個試圖進行 SQL 注入的惡意請求。
該請求返回源站的預設索引頁。這是符合預期的,因為我們選擇了 Log only 這個動作。在 Web 控制檯中檢查 WAF 命中日誌。
可以看到,這個規則確實被命中了並且被記錄了下來。
這一部分顯示了被 WAF 捕獲的請求的細節。
點選檢查規則按鈕,檢視命中的 WAF 規則的細節。
這裡顯示了該規則的 Edgelang 定義。
禁用和重新啟用 WAF
如果發現有誤報的情況,可以點選關閉這個開關,單獨禁用相應的 WAF 規則。
被禁用的規則將顯示在 WAF 配置頁面上。
這裡是所有被禁用的 WAF 規則的列表。
而這就是我們剛剛禁用的 WAF 規則。
點選刪除按鈕可以重新啟用這個規則。
WAF 白名單
此外,為了節省 CPU 資源,您可以新增一個 WAF 白名單列出所有應該繞過 WAF 的請求。
例如,一般情況下不需要使用 WAF 過濾靜態資源。跳過這些資源可以減少伺服器的開銷。
修改 WAF 命中之後的攔截動作
這一次,讓我們把 “Log only” 的動作改成別的。比如返回一個 403 錯誤響應。
跳轉到 Page Rule 頁面。
再次編輯頁面規則。
改變動作。
這次我們會阻止惡意的請求。
這裡我們可以設定敏感度等級。
另外,我們也可以設定一個分數閾值。
它是所有命中的 WAF 規則的風險評分之和。剛才設定的動作只有在達到總分閾值的情況下才會被執行。儲存這個規則。
再次釋出配置的變化。
測試新的攔截動作
再次傳送惡意請求。
這次伺服器返回了一個 “403 Forbidden” 的響應。
再看一下 WAF 的日誌頁面。
這裡記錄的動作確實是 “用 HTTP 程式碼 403 阻止”。
建立 WAF 規則集
WAF 平臺是非常靈活和可擴充套件的。你也可以建立你自己的 WAF 規則集。
轉到全域性配置頁面。
點選 “全域性 WAF” 選單項。
單擊 “新建規則集” 按鈕。
在這裡輸入規則集的名稱和定義。
可以使用 Edge 語言中定義 WAF 規則。Edge 語言簡稱 Edgelang。
儲存這個規則集。
退出這個頁面。
OpenResty Edge 中 WAF 的實現
OpenResty Edge 的 WAF 效率極高。因為它實現了許多先進的最佳化技術。
它支援將所有 WAF 規則所引用的正規表示式合併到一個狀態機中。這樣,它只需掃描一次請求資料,就能立即知道能匹配到哪些規則和這些規則的哪些部分。
它還支援把所有 Edgelang 規則的常量字串字首和字尾模式組合成單一的樹狀資料結構。
這些最佳化不僅僅是針對 WAF 平臺的。
所有的頁面規則和 Edge 語言規則也都具有完全相同的最佳化。
這就是我今天要講的內容。
關於 OpenResty Edge
OpenResty Edge 是一款專為微服務和分散式流量架構設計的全能型閘道器軟體,由我們自主研發。它集流量管理、私有 CDN 構建、API 閘道器、安全防護等功能於一體,幫助您輕鬆構建、管理和保護現代應用程式。OpenResty Edge 擁有業界領先的效能和可擴充套件性,能夠滿足高併發、高負載場景下的苛刻需求。它支援排程 K8s 等容器應用流量,並可管理海量域名,輕鬆滿足大型網站和複雜應用的需求。
如果你喜歡這個教程,請訂閱這個部落格網站和我們的 YouTube 頻道 或 B 站頻道。謝謝!
關於作者
章亦春是開源 OpenResty® 專案創始人兼 OpenResty Inc. 公司 CEO 和創始人。
章亦春(Github ID: agentzh),生於中國江蘇,現定居美國灣區。他是中國早期開源技術和文化的倡導者和領軍人物,曾供職於多家國際知名的高科技企業,如 Cloudflare、雅虎、阿里巴巴, 是 “邊緣計算“、”動態追蹤 “和 “機器程式設計 “的先驅,擁有超過 22 年的程式設計及 16 年的開源經驗。作為擁有超過 4000 萬全球域名使用者的開源專案的領導者。他基於其 OpenResty® 開源專案打造的高科技企業 OpenResty Inc. 位於美國矽谷中心。其主打的兩個產品 OpenResty XRay(利用動態追蹤技術的非侵入式的故障剖析和排除工具)和 OpenResty Edge(最適合微服務和分散式流量的全能型閘道器軟體),廣受全球眾多上市及大型企業青睞。在 OpenResty 以外,章亦春為多個開源專案貢獻了累計超過百萬行程式碼,其中包括,Linux 核心、Nginx、LuaJIT、GDB、SystemTap、LLVM、Perl 等,並編寫過 60 多個開源軟體庫。
關注我們
如果您喜歡本文,歡迎關注我們 OpenResty Inc. 公司的部落格網站 。也歡迎掃碼關注我們的微信公眾號:
翻譯
我們提供了英文版原文和中譯版(本文)。我們也歡迎讀者提供其他語言的翻譯版本,只要是全文翻譯不帶省略,我們都將會考慮採用,非常感謝!