開源WEB應用防火墻jxwaf怎么用

開源WEB應用防火墻jxwaf怎么用，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

jxwaf

jxwaf(錦衣盾)是一款基于openresty(nginx+lua)開發的下一代web應用防火墻，獨創的業務邏輯防護引擎和機器學習引擎可以有效對業務安全風險進行防護，解決傳統WAF無法對業務安全進行防護的痛點。內置的語義分析引擎配合機器學習引擎可以避免傳統WAF規則疊加太多導致速度變慢的問題，同時增強檢測精準性（低誤報、低漏報）。

Feature 功能

• 基礎攻擊防護

• SQL注入攻擊

• XSS攻擊

• 目錄遍歷漏洞

• 命令注入攻擊

• WebShell上傳防護

• 掃描器攻擊等...

• 機器學習

• 支持向量機(SVM)

• 語義分析

• SQL注入語義分析

• XSS攻擊語義分析

• 業務邏輯漏洞防護

• 注冊保護

• 登陸保護

• 活動防刷

• 短信炸彈防護

• 越權漏洞防護

• 短信驗證碼校驗繞過防護等...

• 高級CC攻擊防護

• 可針對不同URL，不同請求參數單獨設置不同防護變量

• 人機識別

• Cookie安全防護

• 前端參數加密防護

• 支持AES加解密

• 支持DES加解密

• 支持RSA加解密

• 透明部署動態口令功能

• 可對后臺管理系統和網站用戶提供動態口令(OTP)功能

• 檢測緩存功能

• 對已經過WAF檢測請求進行MD5緩存，提高檢測效率

• 支持協議

• HTTP/HTTPS

• 性能&可靠性

• 毫秒級響應，請求處理時間小于一毫秒

• 支持主備部署，避免單點故障

• 支持集群反向代理模式部署，可處理超大數據流量

• 支持嵌入式部署，無需改變原有網絡拓撲結構

• 支持云模式部署

• 管理功能

• 基礎配置

• 規則配置

• 報表展示

• 告警配置

Architecture 架構

jxwaf(錦衣盾)由jxwaf與jxwaf管理中心組成:

• jxwaf : 基于openresty(nginx+lua)開發

• jxwaf管理中心：http://www.jxwaf.com

Environment 環境

• jxwaf

• Centos 7

• Openresty 1.11.2.4

Install 安裝

將代碼下載到/tmp目錄，運行jxwaf_install.sh文件，jxwaf將安裝在/opt/jxwaf目錄，具體如下:

1. $ cd /tmp

2. $ git clone https://github.com/jx-sec/jxwaf.git

3. $ cd jxwaf

4. $ sh install_waf.sh

5. 安裝后顯示如下即安裝成功

   nginx: the configuration file /opt/jxwaf/nginx/conf/nginx.conf syntax is ok

   nginx: configuration file /opt/jxwaf/nginx/conf/nginx.conf test is successful

6. 訪問 http://www.jxwaf.com 并注冊賬號，在  WAF規則管理->查看官方規則組 頁面按照自身需求加載規則，之后在 WAF規則配置->WAF全局配置 頁面獲取 "WAFAPIKEY"

7. 修改/opt/jxwaf/nginx/conf/jxwaf/jxwafconfig.json 中的"waf_api_key"為你自己賬號的"WAF_API_KEY"

8. $ /opt/jxwaf/nginx/sbin/nginx 啟動openresty,openresty會在啟動或者reload的時候自動到jxwaf管理中心拉取用戶配置的最新規則

Docs 文檔

• JXWAF使用說明

• 基于Openresty實現業務安全防護

• 基于Openresty實現透明部署動態口令功能

• WAF開發之Cookie安全防護

Contributor 貢獻者

• chenjc  安全工程師

• jiongrizi 前端開發工程師

BUG&Requirement BUG&需求

• github  提交BUG題或需求

• QQ群 730947092

• 郵箱 jx-sec@outlook.com

Other 其他

目前開源版本已經可以正常使用，基礎功能和官方基礎規則均測試完成，可以滿足中小企業基本的防護需求。

但是功能還沒有全部上線，還有一些功能沒有從線下版本遷移到開源版本，現在僅上線了基礎攻擊防護，Cookie安全防護功能和語義分析功能。其他功能會陸續上線，進度取決于某前端能扣出來的時間，預計年內能全部搞完。

以上是存量的功能，下面列些To do:

1. 通過規則配置實現機器學習數據清洗，特征獲取，模型訓練，簡單說就是個輕量級的機器學習訓練-應用平臺，用戶只需關注最核心的特征獲取，其他"臟話累活"由平臺解決，降低機器學習應用門檻。目前核心功能已開發完成，與現存其他功能整合中。

2. 命令執行，代碼執行等語義分析庫開發

3. 官方規則完善

4. 第三方安全應用接口整合

5. 業務安全防護場景開發

6. 報表報警功能完善

7. 云WAF系統開發

Github地址:https://github.com/jx-sec/jxwaf

JXWAF管理中心:http://www.jxwaf.com/

這個項目從最開始的構思到現在開發得七七八八，也差不多一年了。最開始搞這個項目，是因為在深度使用Modsecurity后，發現坑太多Hold不住，沒辦法我一搞滲透的也只能轉行開發WAF了，然后因為職業病的原因，在寫的時候特別對一些容易被繞過的地方重點關注，具體體現在代碼的方方面面，這算是這款WAF的一個優點。

接下來談談性能這塊，目前測試的結果是在1ms以內，核心模塊處理時間大概在0.001ms，得益于luajit技術，增加規則幾乎沒影響。并發的話，單臺2G 1核虛擬機測試在5000上下，我這沒資源，有興趣可以測試配置好的實體機的性能，達到10K以上應該沒問題。按照之前用Modsecurity的經驗，單日PV一億以下的就不用考慮啥性能問題了,沒"富人命"就不用考慮"富人病"。至于并發大流量大的情況，可以上集群或者自研。

簡單總結下目標用戶:

1. 一個人的安全部/沒預算的安全部

2. 有WAF需求沒WAF預算沒安全人員的公司

3. 給內網/線上應用上二次驗證功能

4. 有機器學習防護需求

5. 有業務安全防護需求

6. 盒子WAF扛不住,不想上云/無法上云

7. 有高定制規則/功能需求的公司

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。