cheerwaf基于 openresty 的 web 應用防火墻

設計背景

在一些大型信息展示的站點中，每天會面對大量的惡意漏洞盲掃、爬蟲采集，往往在這樣的站點場景中，流量很大，很難區(qū)分哪些是真實流量，哪些是采集垃圾流量，因此需要一個靈活規(guī)則的過濾器來進行篩選和攔截，筆者當時所在的云財經(jīng)就是這么一個場景，每天的獨立訪問用戶幾十萬，其中有效行為訪問用戶不到40%，針對這種場景開發(fā)了基于靈活自定義規(guī)則的web應用防火墻

架構(gòu)

cheerwaf是基于openresty設計的web應用防火墻，技術(shù)架構(gòu)如下： 

• 防火墻邏輯部分采用openresty

• 防火墻規(guī)則讀取采用二級緩存設計，nginx內(nèi)存+redis

• waf的管理端采用thinkphp編寫，規(guī)則保存在mysql，然后發(fā)布到redis

• waf規(guī)則過濾主要通過access_by_lua_file實現(xiàn)

• waf支持放行、攔截、行為可信加分、行為可疑加分

• waf支持的行為粒度單次會話、訪客(cookie)、注冊用戶(cookie)、IP地址

• waf規(guī)則觸發(fā)條件支持http頭各字段、cookie字段、行為粒度的打分、行為粒度的單位時間訪問次數(shù)

• waf規(guī)則內(nèi)置IP段抓取防護

• waf規(guī)則內(nèi)置偽搜索引擎蜘蛛防護

產(chǎn)品截圖