Table of Contents

• 發(fā)布應用
• 日志
• 規(guī)則

發(fā)布應用

• 簡介
• 接入規(guī)則配置簡要說明
• 發(fā)布應用舉例
  • 初次使用OpenWAF
    • 使用OpenWAF提供的nginx配置文件
    • 使用自己原有的nginx配置

簡介

發(fā)布應用，需要配置 OpenWAF 的接入規(guī)則，配置文件位置：/opt/OpenWAF/conf/twaf_access_rule.json

OpenWAF的接入規(guī)則和nginx的配置結合，達到發(fā)布應用的目的

接入規(guī)則配置簡要說明

{
    "twaf_access_rule": [
        "rules": [                                 -- 數(shù)組，注意先后順序
            {                                      
                "ngx_ssl": false,                  -- nginx認證的開關
                "ngx_ssl_cert": "path",            -- nginx認證所需PEM證書地址
                "ngx_ssl_key": "path",             -- nginx認證所需PEM私鑰地址
                "host": "www.baidu.com",           -- 域名，正則匹配
                "port": 80,                        -- 端口號（缺省80）
                "path": "\/",                      -- 路徑，正則匹配
                "server_ssl": false,               -- 后端服務器ssl開關
                "forward": "server_5",             -- 后端服務器upstream名稱
                "forward_addr": "1.1.1.2",         -- 后端服務器ip地址
                "forward_port": "8080",            -- 后端服務器端口號（缺省80）
                "policy": "policy_uuid"            -- 安全策略ID
            }
        ]
    }
}

發(fā)布應用舉例

接下來結合nginx配置舉例講解接入規(guī)則的使用  

初次使用OpenWAF

使用OpenWAF提供的nginx配置文件

如果用 OpenWAF 默認的 /etc/ngx_openwaf.conf 配置文件（默認監(jiān)聽 80 端口）

修改 /opt/OpenWAF/conf/twaf_access_rule.json 文件中第一條接入規(guī)則的"forward_addr"值  

    要防護的服務器為192.168.3.1:80，配置如下：
        "forward_addr": "192.168.3.1"

    
    要防護的服務器為22.22.22.22:8090，配置如下：
        "forward_addr": "22.22.22.22",
        "forward_port": 8090

此時啟動nginx，進行訪問即可    

小提示：
    啟動nginx命令  /usr/local/openresty/nginx/sbin/nginx -c /etc/ngx_openwaf.conf  
    停止nginx命令  /usr/local/openresty/nginx/sbin/nginx -c /etc/ngx_openwaf.conf -s stop

默認SQLI，CC防護都是開啟的，可以進行SQL注入或CC攻擊，看防護效果

深入防護，深入測試，請看其他文檔

使用自己原有的nginx配置

擁有自己的nginx配置，僅需以下兩步即可體驗OpenWAF防護

1. nginx配置修改
   在 nginx 的 http 級別添加如下兩行：

   include /opt/OpenWAF/conf/twaf_main.conf;
   include /opt/OpenWAF/conf/twaf_api.conf;

   要防護的 server 或 location 級別添加如下一行：

   include /opt/OpenWAF/conf/twaf_server.conf;

1. OpenWAF接入規(guī)則修改
   修改/opt/OpenWAF/conf/twaf_access_rule.json文件
   將"state"值設為false即可