從實(shí)踐中學(xué)習(xí)Web防火墻構(gòu)建

贊譽(yù)
前言
第1章 iptables使用簡(jiǎn)介 1
1.1 iptables防火墻 1
1.2 基本概念 1
1.2.1 iptables包含表 3
1.2.2 iptables包含鏈 3
1.2.3 連接狀態(tài) 4
1.2.4 iptables規(guī)則 4
1.2.5 具體目標(biāo) 5
1.2.6 iptables擴(kuò)展模塊 5
1.3 安裝iptables 5
1.3.1 內(nèi)核設(shè)置 5
1.3.2 iptables安裝方式 6
1.4 配置和使用 8
1.4.1 nftables防火墻 8
1.4.2 iptables的缺點(diǎn) 8
1.4.3 nftables與iptables的主要區(qū)別 9
1.4.4 從iptables遷移到nftables 10
1.4.5 iptables語(yǔ)法 11
1.4.6 顯示當(dāng)前規(guī)則 16
1.4.7 重置規(guī)則 16
1.4.8 編輯規(guī)則 16
1.4.9 保存和恢復(fù)規(guī)則 17
1.4.10 實(shí)例應(yīng)用 17
第2章 網(wǎng)絡(luò)層的安全與防御 20
2.1 IP標(biāo)頭和TCP段結(jié)構(gòu) 20
2.1.1 IPv4標(biāo)頭結(jié)構(gòu) 20
2.1.2 IPv6標(biāo)頭結(jié)構(gòu) 24
2.1.3 TCP段結(jié)構(gòu) 25
2.1.4 TCP協(xié)議操作 27
2.1.5 TCP連接建立 28
2.1.6 TCP連接終止 28
2.1.7 TCP資源使用 29
2.1.8 TCP數(shù)據(jù)傳輸 29
2.2 記錄IP標(biāo)頭信息 34
2.2.1 使用tshark記錄標(biāo)頭信息 34
2.2.2 使用iptables記錄標(biāo)頭信息 35
2.3 網(wǎng)絡(luò)層攻擊定義 36
2.4 網(wǎng)絡(luò)層攻擊 37
2.5 網(wǎng)絡(luò)層防御 41
第3章 傳輸層的安全與防御 42
3.1 記錄傳輸層標(biāo)頭信息 42
3.1.1 使用iptables記錄TCP標(biāo)頭 42
3.1.2 使用tshark記錄TCP標(biāo)頭 43
3.1.3 使用iptables記錄UDP標(biāo)頭 43
3.1.4 使用tshark記錄UDP標(biāo)頭 44
3.1.5 UDP屬性 44
3.2 傳輸層攻擊定義 45
3.3 傳輸層攻擊類(lèi)型 45
3.3.1 TCP攻擊 45
3.3.2 UDP攻擊 48
3.3.3 信息收集 50
3.4 傳輸層防御手段 52
第4章 應(yīng)用層的安全與防御 55
4.1 iptables字符串匹配模塊 55
4.2 應(yīng)用層攻擊定義 56
4.3 應(yīng)用層攻擊類(lèi)型 56
4.3.1 緩沖區(qū)溢出攻擊 57
4.3.2 釣魚(yú)式攻擊 57
4.3.3 后門(mén)攻擊 57
4.3.4 Web攻擊 58
4.3.5 應(yīng)用層DDoS 61
4.3.6 嗅探攻擊 61
4.4 應(yīng)用層防御手段 62
4.4.1 緩沖區(qū)溢出 63
4.4.2 釣魚(yú)式 63
4.4.3 后門(mén) 63
4.4.4 Web攻擊 64
4.4.5 應(yīng)用層DDoS 64
4.4.6 網(wǎng)絡(luò)嗅探 65
第5章 Web防火墻類(lèi)型 66
5.1 Web防火墻簡(jiǎn)介 66
5.2 Web防火墻歷史 67
5.3 WAF與常規(guī)防火墻的區(qū)別 68
5.4 部署方式 68
5.5 Web防火墻的類(lèi)型 71
5.6 各類(lèi)防火墻的優(yōu)缺點(diǎn) 72
第6章 Naxsi Web防火墻 73
6.1 Naxsi簡(jiǎn)介 73
6.2 Naxsi安裝 73
6.2.1 編譯Naxsi 73
6.2.2 基本配置 74
6.3 Naxsi配置指令 76
6.3.1 白名單 76
6.3.2 規(guī)則 77
6.3.3 CheckRule 79
6.3.4 請(qǐng)求拒絕 80
6.3.5 指令索引 80
6.3.6 匹配規(guī)則 82
6.4 Naxsi基礎(chǔ)使用 84
6.5 Naxsi格式解析 91
6.5.1 Raw_body 91
6.5.2 libinjection 92
6.5.3 JSON格式 93
6.5.4 運(yùn)行時(shí)修飾符 94
6.6 示例 95
6.6.1 白名單示例 95
6.6.2 規(guī)則示例 97
6.7 Naxsi深入探索 98
6.7.1 Naxsi日志 98
6.7.2 內(nèi)部規(guī)則 100
6.7.3 與Fail2Ban整合 102
第7章 ngx_dynamic_limit_req_module動(dòng)態(tài)限流 104
7.1 實(shí)現(xiàn)原理 104
7.1.1 限流算法 104
7.1.2 應(yīng)用場(chǎng)景 106
7.1.3 安裝 107
7.2 功能 108
7.2.1 CC防卸 108
7.2.2 暴力破解 108
7.2.3 惡意刷接口 108
7.2.4 分布式代理惡意請(qǐng)求 109
7.2.5 動(dòng)態(tài)定時(shí)攔截 109
7.2.6 黑名單和白名單 110
7.3 配置指令 110
7.3.1 dynamic_limit_req_zone 設(shè)置區(qū)域參數(shù) 111
7.3.2 dynamic_limit_req設(shè)置隊(duì)列 114
7.3.3 dynamic_limit_req_log_level設(shè)置日志級(jí)別 114
7.3.4 dynamic_limit_req_status設(shè)置響應(yīng)狀態(tài) 115
7.3.5 black-and-white-list設(shè)置黑名單和白名單 115
7.4 擴(kuò)展功能 115
7.4.1 API實(shí)時(shí)計(jì)數(shù)、PV、UV統(tǒng)計(jì) 115
7.4.2 API閾值通知 116
第8章 RedisPushIptables模塊 120
8.1 RedisPushIptables簡(jiǎn)介 120
8.2 RedisPushIptables與Fail2Ban比較 120
8.2.1 Fail2Ban的特征 120
8.2.2 RedisPushIptables的特征 121
8.3 安裝RedisPushIptables 122
8.4 動(dòng)態(tài)刪除配置 124
8.5 RedisPushIptables指令 125
8.6 客戶(hù)端API示例 125
8.6.1 C語(yǔ)言編程 125
8.6.2 Python語(yǔ)言編程 126
8.6.3 Bash語(yǔ)言編程 128
8.6.4 Lua語(yǔ)言編程 128
第9章 構(gòu)建自己的WAF 130
9.1 安裝所需軟件 130
9.2 參數(shù)配置 131
9.3 白名單生成 133
9.4 白名單自動(dòng)化生成 138
9.5 整合Fail2ban 144
9.6 定制開(kāi)發(fā)Naxsi 146
9.7 Naxsi已知漏洞 151
9.8 多層防御整合后對(duì)比 156
9.9 可能存在的瓶頸 157
9.10 惡意IP庫(kù) 157
第10章 Nginx開(kāi)發(fā)指南 158
10.1 基本概念 158
10.1.1 源碼目錄 158
10.1.2 引用頭文件 159
10.1.3 整型封裝 160
10.1.4 函數(shù)返回值 160
10.1.5 錯(cuò)誤處理 161
10.2 字符串 161
10.2.1 字符串操作 162
10.2.2 格式化字符串 163
10.2.3 數(shù)字轉(zhuǎn)換函數(shù) 164
10.2.4 正則表達(dá)式 165
10.3 日志時(shí)間格式 166
10.4 數(shù)據(jù)結(jié)構(gòu) 167
10.4.1 數(shù)組 167
10.4.2 單向鏈表 168
10.4.3 雙向鏈表 170
10.4.4 紅黑樹(shù) 171
10.4.5 散列表 171
10.5 內(nèi)存管理 173
1