Lawrence Blog

先前  Windows ModSecurity WAF 這篇文章有說明，什麼是 WAF，以及如何在 IIS 上面安裝 WAF，這篇我要記錄一下如何在 Ubuntu + Nginx 上安裝 WAF 模組。 安裝 ModSecurity 安裝必要套件 LibModSecurity，或者可以參考選擇自行建置，底下參考網站有很多自行建置的方法。 sudo apt-get install libmodsecurity3 # Ubuntu 下載與已安裝的 nginx 相同版本的 Source Code ，並且壓縮。 $ nginx -v # 1.18.0 $ wget http://nginx.org/download/nginx-1.18.0.tar.gz $ tar zxvf nginx-1.18.0.tar.gz $ rm nginx-1.18.0.tar.gz 下載 ModSecurity/Nginx 連接器。 git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git 設置和建置 ModSecurity 動態模組，成功建置後會產生一個 ngx_http_modsecurity_module.so 檔案到 ~/nginx-1.18.0/objs 目錄底下。 $ cd ~/nginx-1.18.0 $ ./configure --with-compat --add-dynamic-module=../ModSecurity-nginx x $ make modules

本篇紀錄 Nginx 上面掛載 SSL 憑證的步驟，相關說明如下。 安裝 Certbot for nginx 使用  站台對應的 Server 必須事先對應好，這裡不在說明，請自行參考 這篇 的說明。 因為在測試環境上，沒有辦法開放 80 & 443 Port，所以這邊先使用 萬用子網域憑證 ，執行底下的程式碼， --manual 參數的關係，接下來的命令都會使用互動的方式來進行。  執行完上面那段語法會跳出 dns-01  challenge，並提供一個值，請拿這個值到 DNS 後台進行設定。

WAF 維基百科定義 網頁應用程式防火牆（英語：Web Application Firewall，縮寫：WAF）是一種特定形式的 應用程式防火牆 ，用於過濾、監視和阻斷通過網頁服務的 HTTP 流量。透過監察HTTP 流量 ，它可以防止利用網頁應用程式已知漏洞的攻擊，例如 SQL 注入 、 跨網站指令碼 (XSS)、檔案包含和不正確的系統組態。 WAF 與傳統防火牆 Firewall 的差異 傳統防火牆主要的辨識範圍最多只到網路架構第四層-傳輸層 (OSI 4 layer)，傳統防火牆無法分析 HTTP 與網站應用程序例如: HTML、SQL語言等，然而隨著科技進步，如今駭客已經能夠輕易入侵網站應用程式的漏洞，攻擊至第七層應用層 (OSI 7 layer)，傳統防火牆無法對應用層的攻擊進行有效防禦，因此造就 WAF 的出現。