长亭百川云 - 文章详情

开源下一代Web应用程序防火墙(WAF)

suntiger

159

2024-07-29

part1

点击上方蓝字关注我们

1.摘要

BunkerWeb是一个功能完备的Web服务器, 基于Nginx构建, 不同的是, BunkerWeb集成了WAF防火墙功能, 使Web应用程序默认保证其安全性。BunkerWeb可以无缝集成到企业现有的网络环境中, 包括:Linux、Docker、Swarm、Kubernetes等。并且支持自定义配置, 除此之外,还自带一个Web UI界面, 并支持强大的插件系统。

开源地址: 

https://github.com/bunkerity/bunkerweb?tab=readme-ov-file

2.BunkerWeb安全特性

BunkerWeb最大的特定是其自带的安全特性, 主要包含以下安全属性:

  • HTTPS支持透明的Let's Encryptautomation:通过自动化Let's Encrypt集成轻松保护Web服务,确保客户端和服务器之间的加密通信。

  • 包括全面的HTTP安全标头、数据泄漏预防和TLS强化技术。

  • 通过集成ModSecurity, 增强对Web应用程序攻击的保护,由著名的OWASP核心规则集加强。(ModSecurity是一个著名的开源WAF防火墙, 开源地址:

    https://github.com/owasp-modsecurity/ModSecurity )

  • BunkerWeb通过自动禁止触发异常HTTP状态码的行为,智能识别并阻止可疑活动。

  • 对来自客户端的连接和请求的数量设置限制,防止资源耗尽并确保服务器资源的公平使用。

  • 通过挑战恶意机器人解决诸如cookie、JavaScript测试、验证码、hCaptcha、reCAPTCHA或Turnstile等难题,有效阻止未经授权的访问,从而将其拒之门外。

  • 利用外部黑名单和基于DNS的DNSBL列表主动阻止已知的恶意IP地址,增强对潜在威胁的防御。

3.BunkerWeb集成配置

BunkerWeb可以很方便的集成到现有的服务配置中, 当前BunkerWeb的最新版本为:v1.5.9,

打开该页面:https://config.bunkerweb.io/v1.5.9

可以通过Web页面很方便的查看BunkerWeb支持的导入配置、全局配置、服务配置、文件管理、导出配置等参数。

例如,全局配置参数如下:

以下是服务配置:

在集成配置中,支持Docker、Autoconf、Swarm、Kubernetes和Linux,每一项配置都已经准备好,直接下载使用即可, 如图:

4.安全功能

BunkerWeb支持众多高级安全功能, 官方建议即使确保了最低限度的默认安全性, 也最好自己进行根据实际情况进行调优,。以下是支持的安全组件:

详细的调优策略可以参考文档: 

https://docs.bunkerweb.io/1.5.9/security-tuning/#http-protocol

5.插件系统

BunkerWeb自带一套强大的插件系统,可以轻松添加新功能, 官方默认自带以下安全插件:

  • ClamAV - 使用ClamAV防病毒引擎自动扫描上传的文件,并在文件被检测为恶意时拒绝请求。

  • Coraza - 使用Coraza WAF(ModSecurity的替代品)检查请求。

  • CrowdSec - 使用行为分析来检测潜在的恶意活动。它能够识别并分析服务器上的异常行为,例如暴力破解尝试、扫描和其他恶意操作。

  • Discord - 使用Webhook向Discord频道发送安全通知。

  • Slack - 使用Webhook将安全通知发送到Slack通道。

  • VirusTotal - 用VirusTotal API自动扫描上传的文件,并在文件被检测为恶意时拒绝请求。

  • WebHook - 使用Webhook向自定义HTTP端点发送安全通知。 

详细的插件使用方法可以参考:

https://docs.bunkerweb.io/1.5.9/plugins/#official-plugins

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2