从实践中学习Web防火墙构建

本书深入介绍了Web防火墙的原理和架构，同时全面介绍了Nqinx及其相关模块。本书基于Nginx1.11和Naxsi0.56编写，带领读者掌握Naxsi安全框架的用法，并将其应用于实践中。本书共13章。第1章介绍iptables的基本知识，包括iptables的安装、配置及基本的使用方法；第2章介绍IP标头和TCP段结构，以及网络层的安全与防御；第3章介绍传输层的安全与防御；第4章介绍应用层的安全与防御：第5章介绍Web防火墙的发展史及WAF的种类；第6章介绍Naxsi模块，包括实现原理、配置、使用及规则生成等；第7章介绍动态限流模块ngx_dynamic_limit_req_module的原理及具体应用；第8章介绍RedisPushlptables模块，包括实现原理、安装、指令、API调用方法及应用场景；第9章结合前面介绍的内容，构建自己定制的Web防火墙；第10章介绍Nginx的开发，包括基本概念、数据类型及相关函数等；第11章介绍Nginx模块中的config文件的编写及调试；第12章介绍Redis模块的开发及RedisPushlptables代码拆解；第13章介绍逆向分析的思路及Rootkit攻击示例。本书适合网络安全、Web安全、网站可靠性、Nginx、Redis和运维等领域的从业人员阅读，也适合作为架构师、开发人员及Linux爱好者了解和系统学习安全防御框架原理及实现细节的参考书。

张博，Nginx和Redis资深开发者，sshfortress保垒机创始人。拥有近8年的C语言编程经验和Linux运维经验，长期从事网络安全和系统安全领域的研究。2013年进入互联网行业，致力于网络安全、系统安全及运维工具的研发，开发了多款用来防御网络攻击的开源软件，包括ngx_dynamic_limit_req_module、ngx_cookie_limit_req_module、RediSPushlptables和NginxExecute等。

赞誉
前言
第1章iptables使用简介1
1.1iptables防火墙1
1.2基本概念1
1.2.1iptables包含表3
1.2.2iptables包含链3
1.2.3连接状态4
1.2.4iptables规则4
1.2.5具体目标5
1.2.6iptables扩展模块5
1.3安装iptables5
1.3.1内核设置5
1.3.2iptables安装方式6
1.4配置和使用8
1.4.1nftables防火墙8
1.4.2iptables的缺点8
1.4.3nftables与iptables的主要区别9
1.4.4从iptables迁移到nftables10
1.4.5iptables语法11
1.4.6显示当前规则16
1.4.7重置规则16
1.4.8编辑规则16
1.4.9保存和恢复规则17
1.4.10实例应用17
第2章网络层的安全与防御20
2.1IP标头和TCP段结构20
2.1.1IPv4标头结构20
2.1.2IPv6标头结构24
2.1.3TCP段结构25
2.1.4TCP协议操作27
2.1.5TCP连接建立28
2.1.6TCP连接终止28
2.1.7TCP资源使用29
2.1.8TCP数据传输29
2.2记录IP标头信息34
2.2.1使用tshark记录标头信息34
2.2.2使用iptables记录标头信息35
2.3网络层攻击定义36
2.4网络层攻击37
2.5网络层防御41
第3章传输层的安全与防御42
……
3.1记录传输层标头信息42
3.1.1使用iptables记录TCP标头42
3.1.2使用tshark记录TCP标头43
3.1.3使用iptables记录UDP标头43
3.1.4使用tshark记录UDP标头44
3.1.5UDP属性44
3.2传输层攻击定义45
3.3传输层攻击类型45
3.3.1TCP攻击45
3.3.2UDP攻击48
3.3.3信息收集50
3.4传输层防御手段52
第4章应用层的安全与防御55
4.1iptables字符串匹配模块55
4.2应用层攻击定义56
4.3应用层攻击类型56
4.3.1缓冲区溢出攻击57
4.3.2钓鱼式攻击57
4.3.3后门攻击57
4.3.4Web攻击58
4.3.5应用层DDoS61
4.3.6嗅探攻击61
4.4应用层防御手段62
4.4.1缓冲区溢出63
4.4.2钓鱼式63
4.4.3后门63
4.4.4Web攻击64
4.4.5应用层DDoS64
4.4.6网络嗅探65
第5章Web防火墙类型66
5.1Web防火墙简介66
5.2Web防火墙历史67
5.3WAF与常规防火墙的区别68
5.4部署方式68
5.5Web防火墙的类型71
5.6各类防火墙的优缺点72
第6章NaxsiWeb防火墙73
6.1Naxsi简介73
6.2Naxsi安装73
6.2.1编译Naxsi73
6.2.2基本配置74
6.3Naxsi配置指令76
6.3.1白名单76
6.3.2规则77
6.3.3CheckRule79
6.3.4请求拒绝80
6.3.5指令索引80
6.3.6匹配规则82
6.4Naxsi基础使用84
6.5Naxsi格式解析91
6.5.1Raw_body91
6.5.2libinjection92
6.5.3JSON格式93
6.5.4运行时修饰符94
6.6示例95
6.6.1白名单示例95
6.6.2规则示例97
6.7Naxsi深入探索98
6.7.1Naxsi日志98
6.7.2内部规则100
6.7.3与Fail2Ban整合102
第7章ngx_dynamic_limit_req_module动态限流104
7.1实现原理104
7.1.1限流算法104
7.1.2应用场景106
7.1.3安装107
7.2功能108
7.2.1CC防卸108
7.2.2暴力破解108
7.2.3恶意刷接口108
7.2.4分布式代理恶意请求109
7.2.5动态定时拦截109
7.2.6黑名单和白名单110
7.3配置指令110
7.3.1dynamic_limit_req_zone设置区域参数111
7.3.2dynamic_limit_req设置队列114
7.3.3dynamic_limit_req_log_level设置日志级别114
7.3.4dynamic_limit_req_status设置响应状态115
7.3.5black-and-white-list设置黑名单和白名单115
7.4扩展功能115
7.4.1API实时计数、PV、UV统计115
7.4.2API阈值通知116
第8章RedisPushIptables模块120
8.1RedisPushIptables简介120
8.2RedisPushIptables与Fail2Ban比较120
8.2.1Fail2Ban的特征120
8.2.2RedisPushIptables的特征121
8.3安装RedisPushIptables122
8.4动态删除配置124
8.5RedisPushIptables指令125
8.6客户端API示例125
8.6.1C语言编程125
8.6.2Python语言编程126
8.6.3Bash语言编程128
8.6.4Lua语言编程128
第9章构建自己的WAF130
9.1安装所需软件130
9.2参数配置131
9.3白名单生成133
9.4白名单自动化生成138
9.5整合Fail2ban144
9.6定制开发Naxsi146
9.7Naxsi已知漏洞151
9.8多层防御整合后对比156
9.9可能存在的瓶颈157
9.10恶意IP库157
第10章Nginx开发指南158
10.1基本概念158
10.1.1源码目录158
10.1.2引用头文件159
10.1.3整型封装160
10.1.4函数返回值160
10.1.5错误处理161
10.2字符串161
10.2.1字符串操作162
10.2.2格式化字符串163
10.2.3数字转换函数164
10.2.4正则表达式165
10.3日志时间格式166
10.4数据结构167
10.4.1数组167
10.4.2单向链表168
10.4.3双向链表170
10.4.4红黑树171
10.4.5散列表171
10.5内存管理173
……