part1
点击上方蓝字关注我们
1.摘要
BunkerWeb是一个功能完备的Web服务器, 基于Nginx构建, 不同的是, BunkerWeb集成了WAF防火墙功能, 使Web应用程序默认保证其安全性。BunkerWeb可以无缝集成到企业现有的网络环境中, 包括:Linux、Docker、Swarm、Kubernetes等。并且支持自定义配置, 除此之外,还自带一个Web UI界面, 并支持强大的插件系统。
开源地址:
https://github.com/bunkerity/bunkerweb?tab=readme-ov-file
2.BunkerWeb安全特性
BunkerWeb最大的特定是其自带的安全特性, 主要包含以下安全属性:
-
HTTPS支持透明的Let's Encryptautomation:通过自动化Let's Encrypt集成轻松保护Web服务,确保客户端和服务器之间的加密通信。
-
包括全面的HTTP安全标头、数据泄漏预防和TLS强化技术。
-
通过集成ModSecurity, 增强对Web应用程序攻击的保护,由著名的OWASP核心规则集加强。(ModSecurity是一个著名的开源WAF防火墙, 开源地址:
-
BunkerWeb通过自动禁止触发异常HTTP状态码的行为,智能识别并阻止可疑活动。
-
对来自客户端的连接和请求的数量设置限制,防止资源耗尽并确保服务器资源的公平使用。
-
通过挑战恶意机器人解决诸如cookie、JavaScript测试、验证码、hCaptcha、reCAPTCHA或Turnstile等难题,有效阻止未经授权的访问,从而将其拒之门外。
-
利用外部黑名单和基于DNS的DNSBL列表主动阻止已知的恶意IP地址,增强对潜在威胁的防御。
3.BunkerWeb集成配置
BunkerWeb可以很方便的集成到现有的服务配置中, 当前BunkerWeb的最新版本为:v1.5.9,
打开该页面:https://config.bunkerweb.io/v1.5.9 ,
可以通过Web页面很方便的查看BunkerWeb支持的导入配置、全局配置、服务配置、文件管理、导出配置等参数。
例如,全局配置参数如下:
以下是服务配置:
在集成配置中,支持Docker、Autoconf、Swarm、Kubernetes和Linux,每一项配置都已经准备好,直接下载使用即可, 如图:
4.安全功能
BunkerWeb支持众多高级安全功能, 官方建议即使确保了最低限度的默认安全性, 也最好自己进行根据实际情况进行调优,。以下是支持的安全组件:
详细的调优策略可以参考文档:
https://docs.bunkerweb.io/1.5.9/security-tuning/#http-protocol
5.插件系统
BunkerWeb自带一套强大的插件系统,可以轻松添加新功能, 官方默认自带以下安全插件:
-
ClamAV - 使用ClamAV防病毒引擎自动扫描上传的文件,并在文件被检测为恶意时拒绝请求。
-
Coraza - 使用Coraza WAF(ModSecurity的替代品)检查请求。
-
CrowdSec - 使用行为分析来检测潜在的恶意活动。它能够识别并分析服务器上的异常行为,例如暴力破解尝试、扫描和其他恶意操作。
-
Discord - 使用Webhook向Discord频道发送安全通知。
-
Slack - 使用Webhook将安全通知发送到Slack通道。
-
VirusTotal - 用VirusTotal API自动扫描上传的文件,并在文件被检测为恶意时拒绝请求。
-
WebHook - 使用Webhook向自定义HTTP端点发送安全通知。
详细的插件使用方法可以参考:
