Nginx-ModSecurity 使用 Comodo WAF 规则

2019 年 6 月 2 日 10:05:55nginx评论1,163字数 623阅读 2 分 4 秒阅读模式

一、概述

之前安装好了 ModSecurity 作为 nginx 的 WAF，但是后续的使用中发现 OWASP-CRS 规则过于苛刻，很多正常操作都会被阻挡，甚至打开一个正常的页面都会被拦截。每次都要手动排除规则十分麻烦，可以考虑使用第三方规则库：comodo 规则库地址（访问需要翻墙）。

comodo 规则库是免费使用的，支持 apache/httpd/nginx 等多种 web 应用。使用前要先注册账号，支付 0 元之后将会得到为期一年的授权，此时就可以下载最新的规则库使用了，使用方式和 OSASP-CRS 一样，只需把规则文件加到 ModSecurity 的配置文件中即可。同时，官方还提供了非常简易的操作面板和详细的操作文档。

Nginx-ModSecurity使用Comodo WAF规则

二、使用方式

如果没有安装 ModSecurity 先参考 nginx 安装 modsecurity 实现 waf 功能进行安装，ModSecurity 的配置文件放在/etc/nginx/目录下。

当前最新版的 comodo 规则库版本为 1.208，解压规则库，放到/etc/nginx/waf/comodo 目录：

tar cwaf_rules_nginx_3-1.208.tgz -C /etc/nginx/waf/comodo

1	tar cwaf_rules_nginx_3-1.208.tgz -C /etc/nginx/waf/comodo

修改/etc/nginx/modsecurity.conf 文件，设置新的规则文件位置：

Include /etc/nginx/waf/comodo/rules.conf.main

1	Include /etc/nginx/waf/comodo/rules.conf.main

重启 nginx 服务，然后测试规则是否生效：

[ma@ubuntu comodo]$ curl -I http://localhost
HTTP/1.1 200 OK
Server: Tomcat/1.0.2
Date: Sun, 02 Jun 2019 01:38:52 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Fri, 14 Dec 2018 14:04:25 GMT
Connection: keep-alive
ETag: "5c13b869-264"
Accept-Ranges: bytes

[ma@ubuntu comodo]$ curl -I 'http://localhost/?search=<scritp>alert('xss');</script>'
HTTP/1.1 403 Forbidden
Server: Tomcat/1.0.2
Date: Sun, 02 Jun 2019 01:39:17 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive