当前位置: 首页 > article >正文

APISIX 联动雷池 WAF 实现 Web 安全防护

Apache APISIX 是一个动态、实时、高性能的云原生 API 网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。

雷池是由长亭科技开发的 WAF 系统,提供对 HTTP 请求的安全请求,提供完整的 API 管理和防护能力。

💡 WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击。

近日,长亭科技与 APISIX 达成战略合作,自 APISIX 3.5.0 之后的版本将内置长亭雷池 WAF 插件,在启用 chaitin-waf 插件后,流量将被转发给长亭 WAF 服务,用以检测和防止各种 Web 应用程序攻击,以保护应用程序和用户数据的安全。

开源仓库

雷池:https://github.com/chaitin/SafeLine

apisix:https://github.com/apache/apisix

使用方式

安装 APISIX

💡 注意,要使用 APISIX 3.5.0 及以上版本的 APISIX

本文使用 apisix 的 docker 版本来做演示,克隆 apisix-docker 仓库,运行以下命令来安装:

git clone https://github.com/apache/apisix-docker
cd apisix-docker/compose
echo 'APISIX_DOCKER_TAG=3.5.0-debian' >> .env
docker compose -f docker-compose-release.yaml up -d
  • 业务地址:http://127.0.0.1:9080/
  • 管理地址:http://127.0.0.1:9180/

安装雷池

使用雷池官方提供的一句话安装命令即可:

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

不出意外的话,一路回车就能安装成功。

  • 安装目录:/data/safeline/
  • 控制台:https://127.0.0.1:9443/

修改雷池检测引擎的工作模式

社区版雷池的检测引擎默认以 unix socket 的方式提供服务,我们需要把他修改为 tcp 方式,供 APISIX 调用。

进入雷池检测引擎的配置目录:

cd /data/safeline/resources/detector/

用文本编辑器打开目录里的 detector.yml 文件:

# bind_addr: 0.0.0.0
# listen_port: 8000

我们需要将 bind 方式从 unix socket 改为 tcp,修改为以下内容即可:

bind_addr: 0.0.0.0
listen_port: 8000

这样我们就把雷池引擎的服务监听到了 8000 端口,现在只需要把容器内的 8000 端口映射到宿主机即可。

进入雷池的安装目录

cd /data/safeline/

用文本编辑器打开目录里的 compose.yaml 文件,为 detector 容器增加 ports 字段,暴露其 8000

端口,参考如下:

......

detector:
    ......
    ports:
    - 8000:8000

......

OK,改好了,在雷池安装目录下执行以下命令重启雷池即可生效。

docker compose down
docker compose up -d

修改雷池的默认端口

雷池和 apisix 默认都监听 9443 端口,如果在同一台机器上安装,需要修改雷池的默认端口。

在雷池的安装目录下,有一个名为 .env 的隐藏文件,其中的 MGT_PORT 字段,修改这里后使用上面的方法再重启雷池即可生效。

在 apisix 里绑定雷池

调用 apisix 的 api,设置雷池检测引擎的地址,供 apisix 调用,参考以下请求:

💡 192.168.99.11 是我本地雷池的地址,替换为你的 IP 即可

curl http://127.0.0.1:9180/apisix/admin/plugin_metadata/chaitin-waf -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
  "nodes":[
     {
       "host": "192.168.99.11",
       "port": 8000
     }
  ]
}'

调用 apisix 的 api,设置一条路由,参考以下请求:

💡 192.168.99.12:80 是上游服务器的地址,apisix 会将请求反向代理到这个地址。

curl http://127.0.0.1:9180/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
   "uri": "/*",
   "plugins": {
       "chaitin-waf": {}
    },
   "upstream": {
       "type": "roundrobin",
       "nodes": {
           "192.168.99.12:80": 1
       }
   }
}'

测试防护效果

经过以上步骤,雷池 + apisix 基本配置完成,可以试试效果了,请求 9080 端口,可以看到 apisix 成功代理了上游服务器的页面:

curl 'http://127.0.0.1:9080/'

在请求中加入一个 a 参数,模拟 SQL 注入攻击:

curl 'http://127.0.0.1:9080/' -d 'a=1 and 1=1'

返回了 HTTP 403 错误,从错误消息中可以看出,雷池成功抵御了此次攻击。

{"code": 403, "success":false, "message": "blocked by Chaitin SafeLine Web Application Firewall", "event_id": "18e0f220f7a94127acb21ad3c1b4ac47"}

打开雷池的控制台界面,可以看到雷池记录了完整的攻击信息

image.png

最后

本文主要介绍了在 APISIX 3.5.0 之上快速集成雷池 Web 防护能力的使用方式,如果对项目感兴趣,欢迎到 github 献上一颗 star。

雷池:https://github.com/chaitin/SafeLine

apisix:https://github.com/apache/apisix


http://www.kler.cn/a/326022.html

相关文章:

  • 【Linux学习】【Ubuntu入门】1-4 ubuntu终端操作与shell命令1
  • sql中的聚合函数
  • 面试经典 150 题:20、2、228、122
  • 定时器简介
  • 前景理论(Prospect Theory)
  • git push时报错! [rejected] master -> master (fetch first)error: ...
  • VLAN Bond 堆叠
  • 苍穹外卖学习笔记(十三)
  • TikTok Shop成印尼第二大电商平台,TikTok怎么快速涨粉?
  • OpenCV开发笔记(八十一):通过棋盘格使用鱼眼方式标定相机内参矩阵矫正摄像头图像
  • 关于音频噪音处理【常见问题、解决方案等】
  • yolov8/9/10模型在垃圾分类检测中的应用【代码+数据集+python环境+GUI系统】
  • C语言解析软链接,获得真实路径
  • VSCODE驯服日记(三):配置C++环境
  • 【UI】Vue3 + Naive-ui 使用表格Data Table 以及分页页码显示不全问题解决
  • JSON字符串转换成Java集合对象
  • 数据集-目标检测系列-鲨鱼检测数据集 shark >> DataBall
  • docker-compose 命令指定yml文件的命令
  • HTTPS证书配置
  • 【html网页制作】旅游风景主题网页制作含css动画及js特效(8页面附效果源码)
  • Hadoop搭建及Springboot集成
  • 【PyTorch】循环神经网络
  • Ubuntu磁盘不足扩容
  • 【Linux篇】常用命令及操作技巧(进阶篇 - 上)
  • 数据结构之栈和队列——LeetCode:150. 逆波兰表达式求值,224. 基本计算器,232. 用栈实现队列
  • CSS 的user-select属性,控制用户是否能够选中文本内容