一个 nginx 防火墙模块: ngx_waf

用过一段 ngx_lua_waf，但是由于这个项目很久不更新了，而且由于缺少拉黑整个网段，不支持 IPV6 等缺点就没有再用下去。但我确实有用防火墙的需求，所以自己用 C 写了一个 nginx 防火墙模块。

欢迎指教！

功能

IPV4 和 IPV6 黑白名单。IPV4 支持点分十进制写法，同时支持 192.168.0.0/16 这种方式指定一个网段。IPV6 支持冒号十六进制写法，同时支持 fe80::/80 这种方式指定一个网段。
CC 攻击防御。自定义每分钟的访问次数上限，超出上限自动自动拉黑一段时间，时长自定义。
POST 内容黑名单（支持正则）。
URL 黑白名单（支持正则）。
GET 参数黑名单（支持正则）。
Referer 黑白名单（支持正则）.
Cookie 黑名单（支持正则）。
UserAgent 黑名单（支持正则）。

从 v2.2.0-beta-2 开始本模块开始支持 IPV6，如果有需要请下载对应的版本。

c137rick

2020-12-12 23:20:20 +08:00

@Nangle 从防火墙角度来说防采集一般通过限制 IP 的访问频率和拉黑 IP 实现，前者可以用本模块的 CC 防御功能。

目前暂未支持多个 IP 黑名单，目前只能合并到同一个文件内。如果觉得有必要可以在 Github 上开一个 issuse 讨论一下。

privil

2020-12-14 10:32:26 +08:00

@c137rick #10 你好，想请问一下 CC 防护是否可以考虑增加一个访问频繁转跳验证码的功能，验证码通过则可以访问，否则锁定一段时间持续要求填写验证码，大部分 toC 的业务层可能更需要这种功能，尤其是业务规模不大的情况下，又遇到刷单的问题。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.