NAP简介：

1. 全名Nginx App Protect

2. 高性能WAF

3. 轻量级软件包，部署于Nginx Plus上

4. 为现代应用架构设计，多平台支持

5. 融入CI/CD Pipeline

6. 注入F5 WAF产品的核心技术

版本信息：

2020.5.22 GA

2020.6.9 V1.1

2020.6.30 V1.2

2020.7.21 V1.3

2020.9.8 V2.0

2020.10.28 V2.1

NAP策略动态配置

在使用NAP时，我们常需要对不用应用配置相同的防护策略，而核心防护策略的迭代/更新，需要多个策略文件同步操作，往往会带来较大的管理配置开销。

这时，我们可以通过NAP配置中的外部引用功能，使策略能根据外部配置文件动态变化。也就是说，我们可以为各类策略提供一组预定义的配置，并且可以通过简单的引用，将他们合并为最终策略的一部分。这样也就确保了，在不断迭代的环境中，策略始终是最新的。

防护响应页面的动态举例

我们在实验环境中已经部署了一套财务网站，并且在Docker中部署了NAP：

使用的默认的安全策略：

在模拟XSS攻击后，可以看到默认的防护页面：

在Gitlab中定义blocking.txt文件，并在文件中添加防护响应页面的描述和图片：

在NAP的策略中，将这个动态文件引用进来，替换配置后Reload生效：

再次模拟XSS攻击时，可以看到blocking.txt中定义的防护响应页面：

注意

策略中引用的单个文件的任何更新都不会触发策略编译。需要通过重新加载NGINX配置来主动完成此操作。

总结

通过以上关联和配置，我们不需要再逐个修改策略配置文件，只需要修改被引用的动态文件，就可以完成配置的迭代，新的策略也就能够生效。策略中的其他部分，都可以采用此类引用方法，提高策略管理和实施效率。

参考

https://docs.nginx.com/nginx-app-protect/configuration/#external-references