开源WAF搭建

ModSecurity

在Ubuntu和Nginx上安装，nginx版本为1.14.0。

安装需要包

apt-get install -y apt-utils autoconf automake build-essential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev libpcre++-dev libtool libxml2-dev libyajl-dev pkgconf wget zlib1g-dev

下载编译ModSecurity 3.0源代码

git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity

进入目录运行编译

./build.sh
git submodule init
git submodule update
./configure
make
make install

如果出现fatal: No names found, cannot describe anything.，是可以忽略的。

ModSecurity连接器

下载连接器代码

git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git

根据已安装的nginx版本安装需要的nginx原代码

wget http://nginx.org/download/nginx-1.14.0.tar.gz
tar zxvf nginx-1.14.0.tar.gz

需要把连接器编译为动态模块到nginx中，到nginx目录下，其中的编译命令根据nginx -V来决定。

./configure --with-compat --add-dynamic-module=../ModSecurity-nginx
make modules
mkdir /etc/nginx/modules
cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules/

PS：运行nginx -t测试nginx运行，如果出现报错ModSecurity二进制文件不匹配，则可能是nginx版本验证不匹配，那就需要源码编译安装nginx，同时把ModSecurity一起编译。

加载nginx动态模块

编译完成后的动态模块需要到配置文件中启动加载，修改配置文件/etc/nginx/nginx.conf中

load_module /etc/nginx/modules/ngx_http_modsecurity_module.so;

启用和测试规则

安装Spiderlabs的规则

mkdir /etc/nginx/modsec
wget -P /etc/nginx/modsec/ https://raw.githubusercontent.com/SpiderLabs/ModSecurity/v3/master/modsecurity.conf-recommended
mv /etc/nginx/modsec/modsecurity.conf-recommended /etc/nginx/modsec/modsecurity.conf

把ModSecurity中的unicode.mapping文件复制到以上目录

cp ModSecurity/unicode.mapping /etc/nginx/modsec

修改配置文件，其中配置部分被注释，需要安需要启用。

SecRuleEngine DetectionOnly  #仅检测恶意流量，改为on为丢弃恶意流量

添加owasp的规则，在nginx下创建目录

mkdir owasp-modsecurity-crs
cd owasp-modsecurity-crs
wget https://github.com/coreruleset/coreruleset/archive/v3.3.0.tar.gz
mv crs-setup.conf.example crs-setup.conf
mv rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf.example rules/REQUEST-900-EXCLUSION-RULES-BEFORE-CRS.conf
mv rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf.example rules/RESPONSE-999-EXCLUSION-RULES-AFTER-CRS.conf

在modsec中修改modsecurity.conf，添加配置文件，同时把rules目录下的配置文件添加进去

Include /etc/nginx/modsec/owasp-modsecurity-crs/coreruleset-3.3.0/crs-setup.conf
Include /etc/nginx/modsec/owasp-modsecurity-crs/coreruleset-3.3.0/rules/*.conf

在nginx配置文件中添加此配置

vi sites-enabled/default

server {
    listen 80;
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsec/modsecurity.conf;

}

可以到crs配置文件中找到对应的规则来启用，比如如下启用id为900240的后缀文件检测

C:\Users\user>curl http://192.168.120.142/admin.db
<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.14.0</center>
</body>
</html>

默认情况下会拦截常见的web攻击，比如

C:\Users\user>curl http://192.168.120.142/admin.php?id=1%20and%201=1
<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.14.0</center>
</body>
</html>

配置新的conf文件

如果默认的规则文件不符合需求，获取由于其他原因需要添加规则。先看一个普通的规则是怎么样的

SecRule REQUEST_FILENAME "@endsWith /wp-login.php" \
    "id:1003,\
    phase:2,\
    pass,\
    nolog,\
    ctl:ruleRemoveTargetByTag=OWASP_CRS;ARGS:pwd"

相当于在wp-login.php页面中，禁用对参数pwd的拦截检查。其中的格式是

SecRule VARIABLES OPERATOR ACTIONS
VARIABLES ：代表HTTP包中的标识项，规定了安全规则针对的对象。
OPERATOR：代表操作符，一般用来定义安全规则的匹配条件。
ACTIONS：代表响应动作，一般用来定义数据包被规则命中后的响应动作。

比如，我们打算写一个只允许特定IP访问的路径。这时候需要两条规则来判断，需要chain来连接动作。把它保存到上面crs配置文件路径。重启nginx

SecRule REQUEST_FILENAME "@endsWith /login.php" \
	"id:91002,\
	phase:1,\
	pass,\
	nolog,\
	deny,\
	chain"
	SecRule  REMOTE_ADDR "!@ipMatch 192.168.120.1" \
		"t:none"

配置文档参考：http://www.modsecurity.cn/chm/ConfigurationDirectives.html

VeryNginx

VeryNginx 基于 lua_nginx_module(openrestry) 开发。 集成在 Nginx 中运行，扩展了 Nginx 本身的功能，并提供了友好的 Web 交互界面。本质上这并不是一个WAF，只是openrestry的界面化。但是可以通过界面化的配置规则来实现waf的功能。

https://github.com/alexazhou/VeryNginx

一键配置

克隆 VeryNginx 仓库到本地, 然后进入仓库目录，执行以下命令

python install.py install

即可一键安装 VeryNginx 和 以及依赖的 OpenResty，可以先修改其中的版本为新版本地址再安装。

手动安装

手动安装，需要本地的nginx有openrestry，所以先安装。

apt-get install libreadline-dev libpcre3-dev libssl-dev perl
wget https://openresty.org/download/openresty-1.17.8.2.tar.gz
./configure -j2
make -j2
sudo make install
export PATH=/usr/local/openresty/bin:$PATH

这时候会把openrestry加入快捷命令，如果直接执行openrestry将开启自带的nginx。

再来安装verynginx

python install.py install verynginx

在nginx的配置文件中添加以下规则，需要配置到不同的地方。

include /opt/verynginx/verynginx/nginx_conf/in_external.conf;   #http外部
include /opt/verynginx/verynginx/nginx_conf/in_http_block.conf;  #http内部
include /opt/verynginx/verynginx/nginx_conf/in_server_block.conf;  #server内部

在地址/verynginx/index_zh.html下即可访问到页面。

默认的账号密码都是verynginx / verynginx。添加规则的方式比modsecurity简单，但自带的规则过于简单，需要自己添加规则。

已有的规则可以参考：https://github.com/unixhot/waf

JxWaf

https://github.com/jx-sec/jxwaf

jxwaf(锦衣盾)是一款开源WEB应用防火墙，分为客户端和服务端，客户端也是openrestry开发而来。

服务端安装

采用私有化部署

docker run -d -p 80:80 jxwaf/jxwaf-server:latest

拉取后，访问地址邮箱验证码随便填写，注册账号在全局配置页面获取”api key”和”api password”

客户端安装

git clone https://github.com/jx-sec/jxwaf.git
cd jxwaf
sh install_waf.sh

在下载的文件内：

cd tools
python jxwaf_init.py --api_key=xxxx --api_password=xxxx --waf_server=http://192.168.1.1
/opt/jxwaf/nginx/sbin/nginx

在网站管理中添加对应的域名和IP端口

Janusec

可多节点布置的应用网关。https://github.com/Janusec/janusec

wget https://www.janusec.com/download/janusec-latest.tar.gz
tar zxf ./janusec-latest.tar.gz
cd janusec-0.9.9
./install.sh

此处选择的是1，主节点。默认安装的路径为 /usr/local/janusec/

由于需要postgresql

sudo apt-get install postgresql postgresql-client
sudo -i -u postgres
create user janusec with password 'janusec';
create database janusec owner janusec;
grant all on database janusec to janusec;
\q

然后编辑 /usr/local/janusec/config.json ，尝试开启waf

systemctl start janusec

设置中管理太台监听设置为true，则使用http:9080端口，此处修改为false，直接在目录janusec-admin/

默认用户名：admin，默认口令：J@nusec123。在应用管理中添加IP端口信息即可。