自建WAF系统的步骤

　　基于开源软件自建WAF是个不错的选择，本节以春哥的OpenResty以及unixhot开源的WAF为基础，以Centos系统为例，介绍如何建立WAF。unixhot开源的WAF虽然功能比较简单，但其代码逻辑清晰，对于理解WAF的基本原理非常有帮助，然而应用在实际环境中还有许多需要修改的地方。我会在unixhot的基础上提供一个升级版本，有兴趣的读者可以参考本书配套GitHub的code/waf。

　　1.OpenResty简介

　　OpenResty是一个基于Nginx与Lua的高性能Web平台，其内部集成了大量精良的Lua库、第三方模块以及大多数的依赖项，用于方便地搭建能够处理超高并发、扩展性极高的动态Web应用、Web服务和动态网关。OpenResty通过汇聚各种设计精良的Nginx模块，从而将Nginx有效地变成一个强大的通用Web应用平台。这样，Web开发人员和系统工程师可以使用Lua脚本语言调动Nginx支持的各种C以及Lua模块，快速构造出足以胜任10K乃至1000K以上单机并发连接的高性能Web应用系统。OpenResty的目标是让你的Web服务直接运行在Nginx服务内部，充分利用Nginx的非阻塞I/O模型，不仅仅对HTTP客户端请求，甚至于对诸如MySQL、PostgreSQL、Memcached以及Redis等的远程后端都进行一致的高性能响应。

　　2.安装OpenResty

　　首先安装依赖的库：

　　yum install -y readline-devel pcre-devel openssl-devel

　　然后下载OpenResty并编译安装，安装路径在/home/maidou/opt/openresty：

　　wget https://openresty.org/download/ngx_openresty-1.9.3.2.tar.gz

　　./configure ——prefix=/home/maidou/opt/openresty ——with-luajit ——with-http_stub_status_module ——with-pcre ——with-pcre-jit

　　gmake

　　gmake install

　　3.安装unixhot

　　从GitHub同步对应的代码：

　　git clone https://github.com/unixhot/waf.git

　　将WAF的Lua文件复制到Nginx配置文件目录：

　　cp -fr waf /home/maidou/opt/openresty/nginx/conf/

　　修改Nginx配置文件nginx.conf，在HTTP标签处增加WAF相关配置，其中lua_package_path表示Lua脚本对应的目录，init_by_lua_file表示Lua初始化脚本，access_by_lua_file表示处理每个请求的Lua脚本：

　　http {

　　include mime.types;

　　default_type application/octet-stream;

　　sendfile on;

　　#WAF相关配置

　　lua_shared_dict limit 50m;

　　lua_package_path "/home/maidou/opt/openresty/nginx/conf/waf/?.lua";

　　init_by_lua_file "/home/maidou/opt/openresty/nginx/conf/waf/init.lua";

　　access_by_lua_file "/home/maidou/opt/openresty/nginx/conf/waf/access.lua";

　　Nginx重新加载配置文件生效：

　　./nginx -s reload

　　4.Nginx反向代理

　　Nginx+Lua WAF很重要的一个基础功能，即反向代理功能，假设需要保护网站：

　　http://www.douwaf.com

　　解析域名对应的IP地址为112.80.255.48：

　　nslookup www.douwaf.com

　　www.douwaf.com canonical name = xi.n.shifen.com.

　　Name: xi.n.shifen.com

　　www.douwaf.com canonical name = xi.n.shifen.com.

　　Name: xi.n.shifen.com

　　Address: 180.76.234.74

　　使用页面访问，可以正常使用，说明反向代理配置生效。测试阶段也可以不进行DNS切换，修改/etc/hosts文件也可以达到同样效果：

　　180.76.234.74 www.douwaf.com

　　查看访问日志，可以看到对应的访问记录：

　　61.135.169.80 - - [21/Jul/2017:19:09:03 +0800] "GET / HTTP/1.1" 200 11762 "-" "curl/7.51.0"

　　5.基于Nginx+Lua的WAF

　　可以把Lua理解为一个进程，贯穿在整个Nginx服务的HTTP报文处理的流程中，可以针对HTTP报文的任何字段进行处理，如图2-7所示。这里只是为了方便理解，事实上Lua就像胶水一样粘入了Nginx的处理流程，其实并没有真实存在一个Lua进程。下面以unixhot的WAF为例，我们一起来理解WAF的运行原理。