宝塔面板安装ngx_waf,高性能的Nginx防火墙模块自带类似cf的防cc攻击的5秒盾

ngx_waf,一个新开发的方便且高性能的 Nginx 防火墙模块,ngx_waf的优点包括:

  • 功能齐全:「网络应用防火墙」的基本功能都有。
  • 安装方便:缺少依赖项时会自动提供解决方法。
  • 使用方便:配置指令简单易懂,不用看文档都能猜到大概是什么意思。
  • 高性能:经过较为极限的测试,启动本模块后 RPS(每秒请求数) 降低约 4%。测试说明和结果见使用文档。
宝塔面板安装ngx_waf,高性能的Nginx防火墙模块自带类似cf的防cc攻击的5秒盾

1.简介

项目:https://github.com/ADD-SP/ngx_waf/

2.部署方法1

这篇文章利用两个方法部署该模块,先介绍常规的静态编译方法。此外作者还提供了Docker安装方式,但不在本文讨论范围内。

2.1进入宝塔面板nginx目录

cd /www/server/nginx/sbin/

2.2备份宝塔nginx

cp nginx nginx.bak

2.3查看当前nginx的加载所的模块,在编译加载的PageSpeed模块的时候仍需加载这些模块(下面的路径是宝塔默认的nginx的路径,其他面板请自行更改路径)进入nginx的编译目录,命令如下:

cd /www/server/nginx/src

2.4查看宝塔编译好的nginx加载模块,在重新编译加载新模块时候仍需加载这些模块

nginx -V

注意这个命令是大写的V,如果小写v是不会显示模块的,这里会显示出所有的已经编译的模块。将./configure arguents:之后的内容复制到记事本备用。陌涛这里是:

--user=www --group=www --prefix=/www/server/nginx --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --with-openssl=/www/server/nginx/src/openssl --with-pcre=pcre-8.43 --with-http_v2_module --with-stream --with-stream_ssl_module --with-stream_ssl_preread_module --with-http_stub_status_module --with-http_ssl_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-cc-opt=-Wno-error --with-ld-opt=-ljemalloc --with-http_dav_module --add-module=/www/server/nginx/src/nginx-dav-ext-module

2.5添加ngx_waf防火墙模块,在所有模块的最后面添加如下的模块。

--add-module=/www/server/nginx/src/ngx_waf --with-cc-opt='-std=gnu99'

2.6举例,如果是宝塔直接如下命令回车即可。

./configure --user=www --group=www --prefix=/www/server/nginx --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --with-openssl=/www/server/nginx/src/openssl --with-pcre=pcre-8.43 --with-http_v2_module --with-stream --with-stream_ssl_module --with-stream_ssl_preread_module --with-http_stub_status_module --with-http_ssl_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-cc-opt=-Wno-error --with-ld-opt=-ljemalloc --with-http_dav_module --add-module=/www/server/nginx/src/nginx-dav-ext-module --add-module=/www/server/nginx/src/ngx_waf --with-cc-opt='-std=gnu99'

2.7以上命令执行完毕,输入编译命令如下:

make

编译安装过程大概要5分钟左右,还是有点长的。完成后将系统中原有的nginx用重新编译生成的nginx文件替换。

2.8停止nginx

service nginx stop

2.9删除原来的nginx,操作之前请确认自己的nginx已经备份

rm -rf /www/server/nginx/sbin/nginx

2.10复制新编译的nginx

cp /www/server/nginx/src/objs/nginx /www/server/nginx/sbin/

2.11启动nginx

service nginx start

2.12利用nginx -V命令检查模块是否完成,编译成功效果如下:

宝塔面板安装ngx_waf,高性能的Nginx防火墙模块自带类似cf的防cc攻击的5秒盾

3.部署方法2

这里在介绍一个方法编译该模块。

3.1如果你安装nginx,需要在软件商店卸载,之后重新安装,注意请选择编译模式安装。

3.2选择自定义安装模块,看图:

宝塔面板安装ngx_waf,高性能的Nginx防火墙模块自带类似cf的防cc攻击的5秒盾

注意,具体参数填写如下:

模块名称:ngx_waf

模块描述:ngx_waf

模块参数:

--add-module=/www/server/nginx/src/ngx_waf --with-cc-opt='-std=gnu99'

前置脚本:

mkdir -p /www/server/nginx/src
cd /www/server/nginx/src
git clone -b master https://github.com/ADD-SP/ngx_waf.git
cd ngx_waf
git clone https://github.com/libinjection/libinjection.git inc/libinjection

3.3编辑好之后提交,如图:

宝塔面板安装ngx_waf,高性能的Nginx防火墙模块自带类似cf的防cc攻击的5秒盾

提交后,等待安装成功即可。

3.4如果遇到错误,一般是这个错误,

报错:
adding module in /root/ngx_waf
checking for uthash library ... not found
./configure: error: the ngx_http_waf_module module requires the uthash library.

这个错误提示缺少 uthash 库,通过 yum 或者 apt 安装一下。

centos:yum install uthash-devel
ubuntu: apt install uthash-dev

3.5安装成功效果如下:nginx -V 检查!!看到最后已经有了ngx_waf模块,大功告成。

configure arguments: --user=www --group=www --prefix=/www/server/nginx --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --with-openssl=/www/server/nginx/src/openssl --with-pcre=pcre-8.43 --with-http_v2_module --with-stream --with-stream_ssl_module --with-stream_ssl_preread_module --with-http_stub_status_module --with-http_ssl_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-cc-opt=-Wno-error --with-ld-opt=-ljemalloc --with-http_dav_module --add-module=/www/server/nginx/src/nginx-dav-ext-module --add-module=/www/server/nginx/src/ngx_waf --with-cc-opt='-std=gnu99'

4.网站配置和效果展示

4.1如果没有网站可以新建一个,点开宝塔的网站配置文件,在server段内找个地方放一下即可。示列代码如下:这段代码开启了waf自带的5秒盾功能。

waf on; # 是否启用模块
waf_rule_path /www/server/nginx/src/ngx_waf/assets/rules/; # 模块规则
waf_mode STD !CC; # 启用普通模式并关闭CC防护
waf_cache capacity=50; # 缓存配置
waf_under_attack on uri=/under-attack.html; # 配置5秒盾
宝塔面板安装ngx_waf,高性能的Nginx防火墙模块自带类似cf的防cc攻击的5秒盾

4.2以上需要注意,把测试用的5秒盾html文件复制到你的站点的根目录下:

cp /www/server/nginx/src/ngx_waf/assets/under-attack.html /www/wwwroot/imotao.com

如果你不用命令可以顺着路径把这个文件直接复制到自己的网站根目录即可。

4.3测试效果,如果你配置正确,此时打开网站,会有5秒盾的效果提示。

宝塔面板安装ngx_waf,高性能的Nginx防火墙模块自带类似cf的防cc攻击的5秒盾

当然,这只是一个静态页面,你可以随意魔改,如果有改的特别好的,不妨贡献一份出来。

5.最后

以上教程只是简单展示了下5秒盾功能的开启,教程是基于宝塔部署,2种方法,推荐用第二种,不过具体看自己的需要来选择方法了。

至于其他的更多的功能,看官方的文档:

https://add-sp.github.io/ngx_waf/zh-cn/advance/directive.html

原创文章,作者:陌涛,如若转载,请注明出处:https://imotao.com/5888.html

(0)
陌涛的头像陌涛
上一篇 2021年7月2日
下一篇 2021年7月6日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据