開源WEB應(yīng)用防火墻jxwaf怎么用，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

創(chuàng)新互聯(lián)專注于邕寧網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供邕寧營銷型網(wǎng)站建設(shè)，邕寧網(wǎng)站制作、邕寧網(wǎng)頁設(shè)計、邕寧網(wǎng)站官網(wǎng)定制、重慶小程序開發(fā)公司服務(wù)，打造邕寧網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供邕寧網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

jxwaf

jxwaf(錦衣盾)是一款基于openresty(nginx+lua)開發(fā)的下一代web應(yīng)用防火墻，獨創(chuàng)的業(yè)務(wù)邏輯防護引擎和機器學(xué)習(xí)引擎可以有效對業(yè)務(wù)安全風(fēng)險進行防護，解決傳統(tǒng)WAF無法對業(yè)務(wù)安全進行防護的痛點。內(nèi)置的語義分析引擎配合機器學(xué)習(xí)引擎可以避免傳統(tǒng)WAF規(guī)則疊加太多導(dǎo)致速度變慢的問題，同時增強檢測精準(zhǔn)性（低誤報、低漏報）。

Feature 功能

• 基礎(chǔ)攻擊防護

• SQL注入攻擊

• XSS攻擊

• 目錄遍歷漏洞

• 命令注入攻擊

• WebShell上傳防護

• 掃描器攻擊等...

• 機器學(xué)習(xí)

• 支持向量機(SVM)

• 語義分析

• SQL注入語義分析

• XSS攻擊語義分析

• 業(yè)務(wù)邏輯漏洞防護

• 注冊保護

• 登陸保護

• 活動防刷

• 短信炸彈防護

• 越權(quán)漏洞防護

• 短信驗證碼校驗繞過防護等...

• 高級CC攻擊防護

• 可針對不同URL，不同請求參數(shù)單獨設(shè)置不同防護變量

• 人機識別

• Cookie安全防護

• 前端參數(shù)加密防護

• 支持AES加解密

• 支持DES加解密

• 支持RSA加解密

• 透明部署動態(tài)口令功能

• 可對后臺管理系統(tǒng)和網(wǎng)站用戶提供動態(tài)口令(OTP)功能

• 檢測緩存功能

• 對已經(jīng)過WAF檢測請求進行MD5緩存，提高檢測效率

• 支持協(xié)議

• HTTP/HTTPS

• 性能&可靠性

• 毫秒級響應(yīng)，請求處理時間小于一毫秒

• 支持主備部署，避免單點故障

• 支持集群反向代理模式部署，可處理超大數(shù)據(jù)流量

• 支持嵌入式部署，無需改變原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

• 支持云模式部署

• 管理功能

• 基礎(chǔ)配置

• 規(guī)則配置

• 報表展示

• 告警配置

Architecture 架構(gòu)

jxwaf(錦衣盾)由jxwaf與jxwaf管理中心組成:

• jxwaf : 基于openresty(nginx+lua)開發(fā)

• jxwaf管理中心：http://www.jxwaf.com

Environment 環(huán)境

• jxwaf

• Centos 7

• Openresty 1.11.2.4

Install 安裝

將代碼下載到/tmp目錄，運行jxwaf_install.sh文件，jxwaf將安裝在/opt/jxwaf目錄，具體如下:

1. $ cd /tmp

2. $ git clone https://github.com/jx-sec/jxwaf.git

3. $ cd jxwaf

4. $ sh install_waf.sh

5. 安裝后顯示如下即安裝成功

   nginx: the configuration file /opt/jxwaf/nginx/conf/nginx.conf syntax is ok

   nginx: configuration file /opt/jxwaf/nginx/conf/nginx.conf test is successful

6. 訪問 http://www.jxwaf.com 并注冊賬號，在  WAF規(guī)則管理->查看官方規(guī)則組 頁面按照自身需求加載規(guī)則，之后在 WAF規(guī)則配置->WAF全局配置 頁面獲取 "WAFAPIKEY"

7. 修改/opt/jxwaf/nginx/conf/jxwaf/jxwafconfig.json 中的"waf_api_key"為你自己賬號的"WAF_API_KEY"

8. $ /opt/jxwaf/nginx/sbin/nginx 啟動openresty,openresty會在啟動或者reload的時候自動到j(luò)xwaf管理中心拉取用戶配置的最新規(guī)則

Docs 文檔

• JXWAF使用說明

• 基于Openresty實現(xiàn)業(yè)務(wù)安全防護

• 基于Openresty實現(xiàn)透明部署動態(tài)口令功能

• WAF開發(fā)之Cookie安全防護

Contributor 貢獻者

• chenjc  安全工程師

• jiongrizi 前端開發(fā)工程師

BUG&Requirement BUG&需求

• github  提交BUG題或需求

• QQ群 730947092

• 郵箱 jx-sec@outlook.com

Other 其他

目前開源版本已經(jīng)可以正常使用，基礎(chǔ)功能和官方基礎(chǔ)規(guī)則均測試完成，可以滿足中小企業(yè)基本的防護需求。

但是功能還沒有全部上線，還有一些功能沒有從線下版本遷移到開源版本，現(xiàn)在僅上線了基礎(chǔ)攻擊防護，Cookie安全防護功能和語義分析功能。其他功能會陸續(xù)上線，進度取決于某前端能扣出來的時間，預(yù)計年內(nèi)能全部搞完。

以上是存量的功能，下面列些To do:

1. 通過規(guī)則配置實現(xiàn)機器學(xué)習(xí)數(shù)據(jù)清洗，特征獲取，模型訓(xùn)練，簡單說就是個輕量級的機器學(xué)習(xí)訓(xùn)練-應(yīng)用平臺，用戶只需關(guān)注最核心的特征獲取，其他"臟話累活"由平臺解決，降低機器學(xué)習(xí)應(yīng)用門檻。目前核心功能已開發(fā)完成，與現(xiàn)存其他功能整合中。

2. 命令執(zhí)行，代碼執(zhí)行等語義分析庫開發(fā)

3. 官方規(guī)則完善

4. 第三方安全應(yīng)用接口整合

5. 業(yè)務(wù)安全防護場景開發(fā)

6. 報表報警功能完善

7. 云WAF系統(tǒng)開發(fā)

Github地址:https://github.com/jx-sec/jxwaf

JXWAF管理中心:http://www.jxwaf.com/

這個項目從最開始的構(gòu)思到現(xiàn)在開發(fā)得七七八八，也差不多一年了。最開始搞這個項目，是因為在深度使用Modsecurity后，發(fā)現(xiàn)坑太多Hold不住，沒辦法我一搞滲透的也只能轉(zhuǎn)行開發(fā)WAF了，然后因為職業(yè)病的原因，在寫的時候特別對一些容易被繞過的地方重點關(guān)注，具體體現(xiàn)在代碼的方方面面，這算是這款WAF的一個優(yōu)點。

接下來談?wù)勑阅苓@塊，目前測試的結(jié)果是在1ms以內(nèi)，核心模塊處理時間大概在0.001ms，得益于luajit技術(shù)，增加規(guī)則幾乎沒影響。并發(fā)的話，單臺2G 1核虛擬機測試在5000上下，我這沒資源，有興趣可以測試配置好的實體機的性能，達(dá)到10K以上應(yīng)該沒問題。按照之前用Modsecurity的經(jīng)驗，單日PV一億以下的就不用考慮啥性能問題了,沒"富人命"就不用考慮"富人病"。至于并發(fā)大流量大的情況，可以上集群或者自研。

簡單總結(jié)下目標(biāo)用戶:

1. 一個人的安全部/沒預(yù)算的安全部

2. 有WAF需求沒WAF預(yù)算沒安全人員的公司

3. 給內(nèi)網(wǎng)/線上應(yīng)用上二次驗證功能

4. 有機器學(xué)習(xí)防護需求

5. 有業(yè)務(wù)安全防護需求

6. 盒子WAF扛不住,不想上云/無法上云

7. 有高定制規(guī)則/功能需求的公司

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進一步的了解或閱讀更多相關(guān)文章，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。