Nginx与Lua在网络安全的应用

1、技术创新，变革未来Nginx 与 Lua在网络安全的应用NGINX 防护的基本方式IPUserAgentFrequency Limit复杂特征匹配收集信息 / 延迟决策主动行为探测基础进阶URINGINX 工作模型MasterWorkerWorkerWorkerWorkerShare MEMSIGNALRead / WriteNGINX 配置继承模型Main EventsHTTPServerLocationLocationServer复合条件下的 IF 配置实例set $flag 0;if ($remote_addr (12.34|56.78) set $flag $flag1;if ($ht

2、tp_user_agent * spider) set $flag $flag1;if ($flag = 011) return 403;IF IS EVIL违反直觉的 IF 配置实例location /test set $true 1;if ($true) add_header X-First 1;if ($true) add_header X-Second 2;return 204;IF IS EVILNginxLua被广泛应用的Web服务器 高并发连接 低内存消耗 高可靠性 热部署小巧的脚本语言 高性能 易于开发 无需编译 占用资源少Nginx+Lua 技术栈 结合了 Nginx 的高性

3、能和 Lua 的可编程能力 将 Lua 逻辑嵌入 Nginx 执行流程中 完全的异步非阻塞NGX_LUA_MODULE 执行流程init_by_luainit_worker_by_luaset_by_luarewrite_by_lua access_by_lualog_by_luacontent_by_luabody_filter_by_luaNginx Init PhaseNginx Rewrite / AccessPhaseNginx Content PhaseNginx Log PhaseHello worldworker_processes1; events worker_connec

4、tions1024;http server listen 8080; location / default_type text/html; content_by_lua ngx.say(hello, world);WAF demolocation / access_by_lua local localua = ngx.var.http_user_agent ip = ngx.var.remote_addrifngx.re.find(ua,spider, i)andngx.re.find(ip,12.34|56.78,i)thenngx.exit(403)end;Nginx ,ngx_lua_m

5、odule, OpenResty 之间的关系OpenRestyNginxNgx_Lua_ModuleLua VM Nginx APIHTTP 处理能力 可插拔模块框架多个 Nginx 模块EchoNginxModule HeaderMoreNginxModule AuthRequetNginxModule多个 Lua 扩展库LuaRestyDNSLibrary LuaRestyLockLibraryLuaRestyMemcachedLibrary通过 Cookies 验证浏览器特征ClientNginxUpStreamLuawithout cookieswith cookiesUpStream

6、UpStreamVerify TokenSet Cookies ( Token )Set CookiesToken SeedIPUserAgentX-Forward-BySecret通过 JavaScript 验证浏览器特征ClientNginxUpStreamLuawithout cookieswith cookiesUpStreamUpStreamVerify TokenReturn JavascriptJavascriptJavascript RuntimeGen TokenSet CookiesVeryNginx一个可供学习的开源项目基于 OpenResty包含 WAF 基本实现完全开源Web Control PanelFilterOpenRestyN