本發明公開了一種基于Nginx的WAF測試方法，屬于信息安全領域。包括以下內容：客戶端通過Nginx代理訪問Original時，Nginx鏡像模塊將客戶端對Original的訪問請求拷貝一份作為Mirror的訪問請求；當請求到達Nginx時，在Nginx內部會去匹配location，根據不同location對請求做出不同的處理；當請求匹配到Original location時，在Original location模塊中轉發請求到Original的同時，也會生成一個鏡像請求去匹配Mirror location模塊。本發明將真實業務環境和真實用戶請求映射到后臺鏡像業務，可以完全模擬WAF上線后的運行環境，可在不影響線上業務的情況下根據用戶真實請求對WAF進行測試。

技術領域

本發明的實施方式涉及屬于信息安全領域，更具體地，本發明的實施方式涉及一種基于Nginx的WAF測試方法。

背景技術

隨著計算機技術的不斷發展，web應用越來越廣泛。Nginx作為一款輕量級的Web服務器，具有高性能的HTTP處理能力和反向代理功能，被廣泛用作WAF部署服務器。WAF是Web應用的安全保障，上線前必須對其功能和性能進行全面的測試。目前，WAF測試一般會經過兩個步驟，線下測試與線上測試。線下主要測試WAF功能及性能，一般通過DVWA等漏洞平臺或者線下模擬業務環境檢測WAF功能，通過Jmeter等壓測工具檢測WAF性能。經過線下的初步測試，可以大概了解WAF的性能，排除WAF在功能上的錯誤，但是并不能避免WAF上線后產生誤報以及對線上業務造成的其他不可預知的負面影響。所以，WAF上線后也會經過一段時間的線上測試，來檢測WAF在真實業務環境下的運行情況，排除具體業務上的一些誤報。但是對于WAF上線后產生的誤報帶來的影響是不可避免的，很可能會影響線上業務的正常運行，給客戶造成使用上的不便，造成不必要的損失。

如圖1所示，圖1為傳統的WAF部署方式，將WAF部署在Nginx服務器中，請求通過Nginx反向代理對業務源站發起訪問，這樣所有的請求便會經過WAF檢測。請求到達WAF如果觸發規則，則攔截請求。如果不觸發規則，則請求通過，Nginx轉發請求到業務源站。業務源站對請求的響應也同樣經過WAF檢測，不觸發WAF規則的響應才會被發送到客戶端。

發明內容

本發明的目的是針對上述背景技術，提供一種基于Nginx的WAF測試方法，以期望解決如何基于真實業務數據對WAF進行測試，避免WAF上線后因誤報對線上業務產生影響，以及其他的WAF上線帶來的不可預知的負面影響。

為了解決上述問題，本發明采取以下技術方案：一種基于Nginx的WAF測試方法，包括以下內容：客戶端通過Nginx代理訪問Original時，Nginx鏡像模塊(ngx_http_mirror_modulek)將客戶端對Original的訪問請求拷貝一份作為Mirror的訪問請求；當請求到達Nginx時，在Nginx內部會去匹配location，根據不同location對請求做出不同的處理；當請求匹配到Original location時，在Original location模塊中轉發請求到Original的同時，也會生成一個鏡像請求去匹配Mirror location模塊；當鏡像請求匹配到Mirrorlocation時，Mirror location中WAF會去檢測鏡像請求，如果沒有觸發WAF規則，那么Mirror location將請求轉發到Mirror；當Mirror做出響應后，響應到達Nginx時也會先經過WAF檢測，如果沒觸發規則，則響應通過WAF到達Nginx處理響應的相應階段。

進一步的技術方案是：Original的響應Nginx轉發給客服端，Mirror的響應在到達Nginx時則被Nginx丟棄。