Nginx WAF 与安全加固

1. 常见安全风险

• SQL 注入
• XSS
• 路径遍历
• 伪造请求

2. 使用 ModSecurity

• ModSecurity 是一个常见的 Web 应用防火墙模块。
• 可与 Nginx 结合，提供请求规则引擎。

3. 基本规则配置

modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;

• 通过规则拦截攻击。
• 推荐结合 OWASP CRS 规则集。

4. 过滤危险请求

if ($request_method !~ ^(GET|POST|HEAD|OPTIONS)$) {
  return 444;
}

• 过滤不常见方法，减少漏洞面。
• 对上传端点加强校验。

5. 防止爬虫与暴力扫描

• 限制请求频率：limit_req。
• 对异常 UA 或 IP 进行封禁。

6. 日志与审计

• WAF 日志应与 Nginx 日志一致。
• 记录拦截原因和触发规则。

7. 生产环境建议

• 定期更新规则集。
• 先使用检测模式观察，再切换到阻断模式。
• 与业务团队协作，避免误杀正常请求。