10分钟快速上手ModSecurity-nginx：从零构建企业级Web应用防火墙

10分钟快速上手ModSecurity-nginx：从零构建企业级Web应用防火墙

【免费下载链接】ModSecurity-nginxModSecurity v3 Nginx Connector项目地址: https://gitcode.com/gh_mirrors/mo/ModSecurity-nginx

ModSecurity-nginx是一款强大的Web应用防火墙(WAF)解决方案，它将ModSecurity v3的安全防护能力与Nginx的高性能完美结合，为企业级Web应用提供全方位的威胁防护。本指南将带你在10分钟内完成从环境准备到规则配置的全过程，轻松构建专业级Web安全屏障。

📋 准备工作：3分钟环境检查

在开始安装前，请确保你的系统满足以下要求：

• Linux操作系统（推荐Ubuntu 20.04+/CentOS 8+）
• Nginx 1.19.0或更高版本
• GCC编译器与开发工具链
• Git版本控制工具

通过以下命令快速安装依赖：

# Ubuntu/Debian系统 sudo apt update && sudo apt install -y build-essential git libpcre3-dev libssl-dev zlib1g-dev # CentOS/RHEL系统 sudo dnf install -y gcc git pcre-devel openssl-devel zlib-devel

🔧 快速安装：4分钟编译部署

1. 获取源码

git clone https://gitcode.com/gh_mirrors/mo/ModSecurity-nginx cd ModSecurity-nginx

2. 编译Nginx模块

# 假设Nginx源码位于/usr/local/src/nginx cd /usr/local/src/nginx ./configure --add-module=/data/web/disk1/git_repo/gh_mirrors/mo/ModSecurity-nginx make && sudo make install

3. 验证安装

nginx -V 2>&1 | grep modsecurity

若输出包含--add-module=/data/web/disk1/git_repo/gh_mirrors/mo/ModSecurity-nginx，则表示模块安装成功。

⚙️ 基础配置：3分钟安全启动

1. 创建配置文件

sudo mkdir -p /etc/nginx/modsecurity sudo cp ModSecurity-nginx/modsecurity.conf-recommended /etc/nginx/modsecurity/modsecurity.conf

2. 启用核心规则集

# 下载OWASP核心规则集 git clone https://gitcode.com/gh_mirrors/SpiderLabs/owasp-modsecurity-crs /etc/nginx/modsecurity/crs cd /etc/nginx/modsecurity/crs sudo cp crs-setup.conf.example crs-setup.conf

3. 配置Nginx

编辑Nginx配置文件（通常位于/etc/nginx/nginx.conf），添加以下内容：

server { # 其他配置... modsecurity on; modsecurity_rules_file /etc/nginx/modsecurity/modsecurity.conf; modsecurity_rules ' Include /etc/nginx/modsecurity/crs/crs-setup.conf Include /etc/nginx/modsecurity/crs/rules/*.conf '; }

🚨 常用安全规则示例

SQL注入防护

SecRule ARGS "@rx (union.*select|select.*from|insert.*into|delete.*from)" "id:1000,deny,status:403,msg:'SQL Injection Attempt'"

XSS攻击防护

SecRule ARGS "@rx <script.*?>.*?</script>" "id:1001,deny,status:403,msg:'XSS Attack Detected'"

敏感文件保护

SecRule REQUEST_URI "@rx \.(htaccess|env|git|svn)" "id:1002,deny,status:403,msg:'Sensitive File Access Attempt'"

📊 测试与验证

启动Nginx并测试防护效果：

sudo nginx -t # 检查配置 sudo systemctl restart nginx # 测试SQL注入防护 curl "http://yourdomain.com/?id=1%20union%20select%201,version(),3"

若返回403 Forbidden，则表示防护规则已生效。

🔍 进阶资源

• 详细配置文档：README.md
• 测试用例集：tests/
• Windows平台部署指南：win32/README.md

通过本指南，你已成功部署了企业级Web应用防火墙。ModSecurity-nginx的强大之处在于其灵活的规则配置系统，建议定期更新OWASP规则集以应对最新的安全威胁。如需深入定制，可以参考src/目录下的源代码了解模块工作原理。

【免费下载链接】ModSecurity-nginxModSecurity v3 Nginx Connector项目地址: https://gitcode.com/gh_mirrors/mo/ModSecurity-nginx