开源下一代Web应用程序防火墙(WAF)

1.摘要

BunkerWeb是一个功能完备的Web服务器, 基于Nginx构建, 不同的是, BunkerWeb集成了WAF防火墙功能, 使Web应用程序默认保证其安全性。BunkerWeb可以无缝集成到企业现有的网络环境中, 包括:Linux、Docker、Swarm、Kubernetes等。并且支持自定义配置, 除此之外,还自带一个Web UI界面, 并支持强大的插件系统。

开源地址: 

https://github.com/bunkerity/bunkerweb?tab=readme-ov-file

2.BunkerWeb安全特性

BunkerWeb最大的特定是其自带的安全特性, 主要包含以下安全属性:

• HTTPS支持透明的Let's Encryptautomation：通过自动化Let's Encrypt集成轻松保护Web服务，确保客户端和服务器之间的加密通信。

• 包括全面的HTTP安全标头、数据泄漏预防和TLS强化技术。

• 通过集成ModSecurity, 增强对Web应用程序攻击的保护，由著名的OWASP核心规则集加强。(ModSecurity是一个著名的开源WAF防火墙, 开源地址:

  https://github.com/owasp-modsecurity/ModSecurity )

• BunkerWeb通过自动禁止触发异常HTTP状态码的行为，智能识别并阻止可疑活动。

• 对来自客户端的连接和请求的数量设置限制，防止资源耗尽并确保服务器资源的公平使用。

• 通过挑战恶意机器人解决诸如cookie、JavaScript测试、验证码、hCaptcha、reCAPTCHA或Turnstile等难题，有效阻止未经授权的访问，从而将其拒之门外。

• 利用外部黑名单和基于DNS的DNSBL列表主动阻止已知的恶意IP地址，增强对潜在威胁的防御。

3.BunkerWeb集成配置

BunkerWeb可以很方便的集成到现有的服务配置中, 当前BunkerWeb的最新版本为:v1.5.9,

打开该页面:https://config.bunkerweb.io/v1.5.9 , 

可以通过Web页面很方便的查看BunkerWeb支持的导入配置、全局配置、服务配置、文件管理、导出配置等参数。

例如,全局配置参数如下:

以下是服务配置:

在集成配置中,支持Docker、Autoconf、Swarm、Kubernetes和Linux,每一项配置都已经准备好,直接下载使用即可, 如图:

4.安全功能

BunkerWeb支持众多高级安全功能, 官方建议即使确保了最低限度的默认安全性, 也最好自己进行根据实际情况进行调优,。以下是支持的安全组件:

详细的调优策略可以参考文档: 

https://docs.bunkerweb.io/1.5.9/security-tuning/#http-protocol

5.插件系统

BunkerWeb自带一套强大的插件系统,可以轻松添加新功能, 官方默认自带以下安全插件:

• ClamAV - 使用ClamAV防病毒引擎自动扫描上传的文件，并在文件被检测为恶意时拒绝请求。

• Coraza - 使用Coraza WAF（ModSecurity的替代品）检查请求。

• CrowdSec - 使用行为分析来检测潜在的恶意活动。它能够识别并分析服务器上的异常行为，例如暴力破解尝试、扫描和其他恶意操作。

• Discord - 使用Webhook向Discord频道发送安全通知。

• Slack - 使用Webhook将安全通知发送到Slack通道。

• VirusTotal - 用VirusTotal API自动扫描上传的文件，并在文件被检测为恶意时拒绝请求。

• WebHook - 使用Webhook向自定义HTTP端点发送安全通知。 

详细的插件使用方法可以参考:

https://docs.bunkerweb.io/1.5.9/plugins/#official-plugins

原文始发于微信公众号（二进制空间安全）：开源下一代Web应用程序防火墙(WAF)