從實踐中學習Web防火牆構建

本書深入介紹了Web防火牆的原理和架構，同時全面介紹了Nginx及其相關模組。本書基於Nginx1.11和Naxsi 0.56編寫，帶領讀者掌握Naxsi安全框架的用法，並將其套用於實踐中。

本書共13章。第1章介紹iptables的基本知識，包括iptables的安裝、配置及基本的使用方法；第2章介紹IP標頭和TCP段結構，以及網路層的安全與防禦；第3章介紹傳輸層的安全與防禦；第4章介紹套用層的安全與防禦；第5章介紹Web防火牆的發展史及WAF的種類；第6章介紹Naxsi模組，包括實現原理、配置、使用及規則生成等；第7章介紹動態限流模組ngx_dynamic_limit_req_module的原理及具體套用；第8章介紹RedisPushIptables模組，包括實現原理、安裝、指令、API調用方法及套用場景；第9章結合前面介紹的內容，構建自己定製的Web防火牆；第10章介紹Nginx的開發，包括基本概念、數據類型及相關函式等；第11章介紹Nginx模組中的config檔案的編寫及調試；第12章介紹Redis模組的開發及RedisPushIptables代碼拆解；第13章介紹逆向分析的思路及Rootkit攻擊示例。本書適合網路安全、Web安全、網站可靠性、Nginx模組、Redis模組和運維等領域的從業人員閱讀，也適合作為架構師、軟體開發人員及Linux愛好者了解和系統學習安全防禦框架原理及實現細節的參考書。

第1章 iptables使用簡介 1

1.1 iptables防火牆1

1.2 基本概念 1

1.3 安裝iptables 5

1.4 配置和使用 8

第2章 網路層的安全與防禦 20

2.1 IP標頭和TCP段結構 20

2.2 記錄IP標頭信息 34

2.3 網路層攻擊定義 36

2.4 網路層攻擊 37

2.5 網路層防禦 41

第3章 傳輸層的安全與防禦 42

3.1 記錄傳輸層標頭信息 42

3.2 傳輸層攻擊定義 45

3.3 傳輸層攻擊類型 45

3.4 傳輸層防禦手段 52

第4章 套用層的安全與防禦 55

4.1 iptables字元串匹配模組55

4.2 套用層攻擊定義 56

4.3 套用層攻擊類型 56

4.4 套用層防禦手段 62

第5章 Web防火牆類型 66

5.1 Web防火牆簡介 66

5.2 Web防火牆歷史 67

5.3 WAF與常規防火牆的區別 68

5.4 部署方式 68

5.5 Web防火牆的類型 71

5.6 各類防火牆的優缺點 72

第6章 Naxsi Web防火牆 73

6.1 Naxsi簡介 73

6.2 Naxsi安裝 73

6.3 Naxsi配置指令 76

6.4 Naxsi基礎使用 84

6.5 Naxsi格式解析 91

6.6 示例 95

6.7 Naxsi深入探索 98

第7章 ngx_dynamic_limit_req_module動態限流 104

7.1 實現原理 104

7.2 功能 108

7.3 配置指令 110

7.4 擴展功能 115

第8章 RedisPushIptables模組 120

8.1 RedisPushIptables簡介 120

8.2 RedisPushIptables與Fail2Ban比較 120

8.3 安裝RedisPushIptables 122

8.4 動態刪除配置 124

8.5 RedisPushIptables指令 125

8.6 客戶端API示例 125

第9章 構建自己的WAF 130

9.1 安裝所需軟體 130

9.2 參數配置 131

9.3 白名單生成 133

9.4 白名單自動化生成 138

9.5 整合Fail2ban 144

9.6 定製開發Naxsi 146

9.7 Naxsi已知漏洞 151

9.8 多層防禦整合後對比 156

9.9 可能存在的瓶頸 157

9.10 惡意IP庫 157

第10章 Nginx開發指南 158

10.1 基本概念 158

10.2 字元串 161

10.3 日誌時間格式 166

10.4 數據結構 167

10.5 記憶體管理 173

10.6 日誌記錄 177

10.7 結構體 178

10.8 事件 183

10.9 進程 186

10.10 執行緒 188

10.11 模組 189

10.12 HTTP框架 195

10.13 HTTP框架執行流程 203

10.14 變數 212

10.15 負載均衡 216

第11章 Nginx高級主題 220

11.1 模組轉換220

11.2 模組編譯222

11.3 config檔案 222

11.4 Nginx調試 224

11.5 示例226

第12章 Redis模組編寫 231

12.1 模組簡介 231

12.2 模組API233

12.3 RedisPushIptables代碼拆解 235

第13章 後門分析與監測 244

13.1 溯源步驟和攻擊示例 244

13.2 修補漏洞 253

13.3 監測主機異常 253

從理論、套用和實踐三個維度介紹Web防火牆構建的相關知識

由淺入深地剖析OSI模型中不同層級的攻擊原理和防禦方法

涵蓋環境搭建、攻擊類型、攻擊示例、攻擊過程分析、防禦方法……

系統介紹如何構建Web防火牆，內容新穎、獨特

詳細介紹從網路層到套用層的安全與防禦知識

涉及TCP、iptables、Nginx、Redis及逆向分析等內容

結合實戰經驗，深度探索Web與網路安全的相關知識

涉及的防禦工具已開源，可作為Web防火牆框架

張博 Nginx和Redis資深開發者，sshfortress保壘機（sshfortress.com）創始人。擁有近8年的C語言編程經驗和Linux運維經驗，長期從事網路安全和系統安全領域的研究。2013年進入網際網路行業，致力於網路安全、系統安全及運維工具的研發，開發了多款用來防禦網路攻擊的開源軟體，包括ngx_dynamic_limit_req_module、ngx_cookie_limit_req_module、RedisPushIptables和NginxExecute等。