WAF_专栏-NGINX开源社区

# WAF

Web 应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web 应用防火墙是通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。

关注标签

31人关注

文章

问答

排序

发布于2021-02-08 10:00

nginx下安装配置modsecurity waf防火墙（附完整编译、配置、排错、详细规则）

ModSecurity是一个免费、开源的Apache模块，可以充当Web应用防火墙(WAF)。ModSecurity是一个入侵探测与阻止的引擎.它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。目前已经支持nginx和IIS，配合nginx的灵活和高效，可以打造成生产级的WAF，是保护和审核web安全的利器。而OWASP是一个安全社区，开发和维护着一套免费的应用程序保护规则，这就是所谓OWASP的ModSecurity的核心规则集(即CRS)。我们可以通过ModSecurity手工创建安全过滤器、定义攻击并实现主动的安全输入验证。nginx下安装配置modsecurity如下：第一步：备份原环境模块使用 /../nginx-V 先查看原来都有哪些模块。然后把上面这些先复制下来以作备用。第二步：安装依赖，阿里云的服务器可以直接使用yum安装或者升级yuminstall-ygccmakeautomakeautoconflibtoolyu

点赞1

浏览6.4k

发布于2020-08-06 16:43

NGINX App Protect：NGINX Plus的高级F5应用程序安全性

原文来自：https://www.nginx.com/blog/nginx-app-protect-1-0-released/进行数字化转型的公司有明确的业务需求。其中包括改善现代业务应用程序的客户体验，采用敏捷实践以超越市场竞争对手，以及利用市场优势来推动新的收入来源。支持这些工作的是新的应用程序体系结构，这些体系结构可提高开发效率并结合了容器，微服务和API。对于现代应用程序，敏捷性和上市时间至关重要。安全通常是次要的考虑因素，或者被完全忽略。为什么？传统应用程序的安全控制并不总是能很好地映射到业务需求。例如，通常由SecOps团队配置和操作的那种复杂的Web应用程序防火墙（WAF）通常不太适合由DevOps团队支持特定业务线部署的敏捷应用程序。结果可能是安全性不足或配置错误，上市时间延迟以及不良的用户体验。推出NGINXAppProtectNGINXAppProtect是一种新的应用程序安全解决方案，它将先进的F5WAF技术的功效与NGINXPlus的敏捷性和性能相结合。该解决方案在NGINXPlus上本地运行，并解决了现代DevOps环境面临的一些最困难的挑战：将

点赞4

浏览1.7k

发布于2020-12-31 17:56

NGINX APP Protect的可视化管理

在上一篇云原生应用安全防护中我提到：NGINX提供一套了标准的服务针对不同场景，提供不同选择：NGINXAppProtect可以与NGINXPlus一起部署。唯一的全能性部署，可以与负载均衡、反向代理、API网关一同部署。NGINXAppProtect可以嵌入部署到NGINXIngressController，后者是容器化云原生环境最佳的流量管理方案之一。NGINXController是为多云部署的NGINXPlusinstance提供统一的管理和可视化，目前ControllerAppSecuirty正在Beta测试中。今天聊聊上面的第三条，NGINXControllerAppSecurity的基本功能特点。主角背景介绍NGINX，俄裔，16岁，精通负载均衡，反向代理，API网关等，在融入主流门派后（F5），最近新get新技能NGINXController与NGINXAppProtect；灵活小巧，不仅出招快（高性能应用交付），防守能力也很出众（WAF能力）；适应能力强，可单带（独立部署），也可以团战（与云服务集成）。应用的安全的风口为何

点赞1

浏览1.3k

发布于2020-12-01 00:00

NAP策略动态配置

NAP简介：1.全名NginxAppProtect2.高性能WAF3.轻量级软件包，部署于NginxPlus上4.为现代应用架构设计，多平台支持5.融入CI/CDPipeline6.注入F5WAF产品的核心技术版本信息：2020.5.22GA2020.6.9V1.12020.6.30V1.22020.7.21V1.32020.9.8V2.02020.10.28V2.1NAP策略动态配置在使用NAP时，我们常需要对不用应用配置相同的防护策略，而核心防护策略的迭代/更新，需要多个策略文件同步操作，往往会带来较大的管理配置开销。这时，我们可以通过NAP配置中的外部引用功能，使策略能根据外部配置文件动态变化。也就是说，我们可以为各类策略提供一组预定义的配置，并且可以通过简单的引用，将他们合并为最终策略的一部分。这样也就确保了，在不断迭代的环境中，策略始终是最新的。防护响应页面的动态举例我们在实验环境中已经部署了一套财务网站，并且在Docker中部署了NAP：使用的默认的安全策略：在模拟XSS攻击后，可以看到默认的防护页面：在Gitlab中定义blocking.

点赞1

浏览1.2k

发布于2020-11-30 21:00

云原生应用的安全防护，有啥不同

带着这样的疑问最近翻阅了社区的几篇最新的文章，先摘录杂烩了一些特别高大上的观点，学习下。---云原生的应用程序交付似乎比想象中来的更快。NGINX受IDC委托于2019年对APImanagement做了一次调查，其中两个数据特别有意思： 1、到2020底（还有一个月），有27％的企业计划将在云中部署超过一半的应用程序。2、到2022底，云原生应用的比例将达到总应用数的35％。结合国内运营商在公有云、私有云不断的加码投入与厮杀，越来越多的证据似乎都在说明，向云迁移和云原生应用程序开发的速度与比例才是数据化转型积极与否的标志。随着云原生应用部署的增多和加快，应用交付难题又要再次被审视：安全性与可见性。在云原生应用交付中的一些痛点慢慢凸显出来：1.统一的企业级服务体验有点难：它们不一样与本地应用相比，托管在云中的应用被认为更难管理，这不是因为安全性和可见性选项更差，而仅仅是因为它们不一样。与本地部署的应用安全不同，就像一个人从学校进入社会，没有了大环境安全加持，云原生应用只能依赖于云友好工具将安全性构建到每个应用程序的生命周期中。但是，工具因云而异，质量和功能数量的级别不同，使得云迁

点赞2

浏览1k

NGINX官方账号

发布于2022-07-27 14:42

在 Kubernetes 中部署应用交付服务（第 2 部分）

原文作者：OwenGarrettofF5原文链接：在Kubernetes中部署应用交付服务（第2部分）转载来源：NGINX官方网站本文是以下系列博文中的一篇：在Kubernetes中部署应用交付服务（第1部分）解释了为什么因分治而重复使用的应用服务反而可以提高整体效率：因为NetOps和DevOps团队有不同的要求，所以他们会选择最适合他们特定需求的工具。在Kubernetes中部署应用交付服务（第2部分）（本文）以WAF为例，就应用交付服务在Kubernetes环境中的部署位置提供了指导。您可以根据自己的需求，以基于每个Service或基于每个POD的方式，将WAF部署在Kubernetes环境的“前门”或IngressController上。在本系列博文的上一篇，我们讨论了DevOps在控制应用部署、管理和交付方式方面日益增长的影响力。虽然这可能看似会引发与NetOps团队的冲突，但企业需要明白的是，每个团队都有不同的职责、目标和运维模式。要想实现专门化并提高运维效率，关键是要慎重选择负载均衡和We

点赞1

浏览1k

名蒸蛋·柯南

发布于2023-06-12 18:12

NGINX 如何助力 OpenAI 的发展

NGINX 可以通过在性能、可扩展性和安全防护方面提供一些好处，在帮助OpenAI方面发挥关键作用。以下是 NGINX 可以帮助 OpenAI 的几种方法。

点赞0

浏览482

NGINX官方账号

发布于5天前

【版本更新】NGINX App Protect WAF 版本更新到 5.1

【版本更新】NGINX App Protect WAF 版本更新到 5.1，您现在可以在进入生产状态之前暂存新的攻击特征库，从而减少误报，提高业务生产力，新版本根据 JWT 中的声明验证强制执行对 URL 的访问，从而提高 API 安全状况。访问 NGINX 中文官方开源社区（nginx.org.cn）了解详情。

点赞0

浏览46

发表文章

提问

社区达人

成为达人

暂无个人介绍

关注

暂无个人介绍

关注

暂无个人介绍

关注

暂无个人介绍

关注

暂无个人介绍

关注

相关文章

NGINX 如何助力 OpenAI 的发展

NGINX 可以通过在性能、可扩展性和安全防护方面提供一些好处，在帮助OpenAI方面发挥关键作用。以下是 NGINX 可以帮助 OpenAI 的几种方法。

名蒸蛋·柯南

发布于2023-06-12 18:12

保持联系

微信公众号

加入微信群

获取商业支持

了解商业产品和专业支持服务

加入邮件列表

向开发组提交代码或反馈意见